Security Gateway and IPsec release 3
作成日 | 1999/Jul/23 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 16KB |
このドキュメントでは、従来のコマンド体系からの変更点について説明する。 また、仕様の変更されたコマンドと、新規のコマンドについては、 コマンド仕様を記載する。
事前共有鍵を設定するコマンド、 寿命を設定するコマンド、 セキュリティ・ゲートウェイのアドレスを設定するコマンドは、 コマンドの書式が変更されているため、注意が必要である。 これらのコマンドについては設定を見直し、新しいコマンドを再設定する必要がある。
バイナリ鍵の設定方法が変更されているため、バイナリ鍵を設定している場合には、 設定を変更する必要がある。
また、Rev.4.00.33から追加されたダイ ヤルアップVPN機能により、[ipsec pre-shared-key]コマンドの仕様変更 があり、コマンドも[ipsec ike pre-shared-key]へと変更されました。
新設されたipsec ike duration ipsec-saコマンドで代用される。
新設されたipsec ike remote addressコマンドで代用される。
新設されたipsec ike local addressコマンドで代用される。
廃止されたコマンドも含めて、上の4つのコマンドは、 古い書式のままでも入力することができる。そして、解釈可能な限りは、 自動的に新しいコマンドの設定に変換される。 もちろん、変換が完全に意図した通りに行われる保証はないので、 変換後の設定を再確認する必要がある。特に、ipsec ike hostコマンドで allを設定している場合には、全く変換されないため、 ipsec ike remote addressコマンドを自ら設定する必要がある。
ipsec refresh saコマンドは、従来と動作が異なるため、 注意が必要である。従来の動作は、SAを手動で更新することであったが、 新しい仕様では、すべてのSAを削除してIKEの状態を初期化する。 このコマンドの利用方法としては、 IKEの鍵交換が再送タイムアウトによって休止しているときに、 直ちに鍵交換を復帰させることである。 なお、このような休止状態は、 トンネル向けのパケットを送信することでも解除できる。
新しく以下のコマンドが追加された。
新規のコマンドと動作が変更されたコマンドの仕様を記載する。
○ IPsec SAの寿命の設定 [入力形式] ipsec ike duration ipsec-sa GATEWAY SECOND [KILOBYTE] [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) SECOND 秒寿命 KILOBYTE キロバイト寿命 [説明] IKEで提案するIPsec SAの寿命を設定する [デフォルト] 28800
○ ISAKMP SAの寿命の設定 [入力形式] ipsec ike duration isakmp-sa GATEWAY SECOND [KILOBYTE] [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) SECOND 秒寿命 KILOBYTE キロバイト寿命 [説明] IKEで提案するISAKMP SAの寿命を設定する [デフォルト] 28800
○ IKEが用いる暗号アルゴリズムの設定 [入力形式] ipsec ike encryption GATEWAY ALGORITHM [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ALGORITHM 暗号アルゴリズム des-cbc 3des-cbc [説明] IKEが用いる暗号アルゴリズムを設定する [ノート] IKEで始動側として働くときには、このコマンドで設定された アルゴリズムを提案する。応答側として働くときは、このコ マンドの設定に関係なく、DES-CBCと3DES-CBCを用いることが できる。 [デフォルト] des-cbc
○ IKEが用いるグループの設定 [入力形式] ipsec ike group GATEWAY GROUP [GROUP] [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) GROUP グループ識別子 modp768 modp1024 [説明] IKEで用いるグループを設定する [ノート] IKEで始動側として働くときには、このコマンドで設定された グループを提案する。応答側として働くときは、このコ マンドの設定に関係なく、MODP768とMODP1024を用いることが できる。 2種類のグループを設定したときには、1つ目がフェーズ1で、 2つ目がフェーズ2で提案される。グループを1種類しか 設定しないときは、フェーズ1とフェーズ2の両方で、設定 したグループが提案される。 [デフォルト] modp768
○ IKEが用いるハッシュアルゴリズムの設定 [入力形式] ipsec ike hash GATEWAY ALGORITHM [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ALGORITHM ハッシュアルゴリズム md5 sha [説明] IKEが用いるハッシュアルゴリズムを設定する [ノート] IKEで始動側として働くときには、このコマンドで設定された アルゴリズムを提案する。応答側として働くときは、このコ マンドの設定に関係なく、MD5とSHAを用いることができる。 [デフォルト] md5
○ 自分側のセキュリティ・ゲートウェイのアドレスの設定 [入力形式] ipsec ike local address GATEWAY ADDRESS ipsec ike local address GATEWAY clear [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ADDRESS IPアドレス [説明] 自分側のセキュリティ・ゲートウェイのIPアドレスを設定する。 [ノート] clearを設定したときには、相手側のセキュリティ・ゲートウェイに 近いインタフェースのアドレスを用いてIKEを起動する。 [デフォルト] clear
○ 自分側のIDの設定 [入力形式] ipsec ike local id GATEWAY ADDRESS[/NETMASK] ipsec ike local id GATEWAY clear [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ADDRESS IPアドレス NETMASK ネットマスク [説明] IKEのフェーズ2で用いる自分側のIDを設定する。 [ノート] clearを設定したときには、IDを送信しない。 NETMASKを省略したときは、タイプ1のIDが送信される。 また、NETMASKを指定したときは、タイプ4のIDが送信される。 [デフォルト] clear
○ IKEのログの種類の設定 [入力形式] ipsec ike log GATEWAY TYPE [TYPE ... ] ipsec ike log GATEWAY clear [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) TYPE 出力するログの種類 message-info IKEメッセージの内容 payload-info ペイロードの処理内容 key-info 鍵計算の処理内容 [説明] 出力するログの種類を設定する。ログはすべて、 syslogのdebugレベルで出力される。 [ノート] 引数として、clearを設定したときには、最小限のログ しか出力しない。引数として複数の種類を設定することもできる。 [デフォルト] clear
○ IKEペイロードのタイプの設定 [入力形式] ipsec ike payload type GATEWAY type [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) TYPE ペイロードのタイプ 1 ... Rev.3.01.11〜Rev.4.00.14で使用しているもの 2 ... 新規 [説明] IKEペイロードのタイプを設定する。RTの古いリビジョンと 接続するときには、タイプを1に設定する必要がある。 [デフォルト] 2
○ IKEが用いる事前共有鍵の設定 [入力形式] ipsec pre-shared-key IP_ADDRESS clear ipsec pre-shared-key IP_ADDRESS text TEXT_KEY ipsec pre-shared-key IP_ADDRESS BINARY_KEY [パラメータ] IP_ADDRESS 相手側のセキュリティゲートウェイのIPアドレス TEXT_KEY テキスト鍵 最大32文字まで BINARY_KEY = '0x...' バイナリ鍵 最大32バイトまで [説明] IKEが用いる事前共有鍵を設定する。 相手側のセキュリティゲートウェイに対して1つずつ設定可能。 [ノート] 相手側のセキュリティ・ゲートウェイでも同じ鍵を 設定する必要がある。 [デフォルト] clear
[ ダイヤルアップVPNに関する補足 ]
○ PFSを用いるか否かの設定 [入力形式] ipsec ike pfs GATEWAY SW [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) SW スイッチ on ... 用いる off ... 用いない [説明] IKEでPFSを用いるか否かを設定する。 [ノート] 相手側のセキュリティ・ゲートウェイと同じように 設定する必要がある。 [デフォルト] off
○ 相手側のセキュリティ・ゲートウェイのアドレスの設定 [入力形式] ipsec ike remote address GATEWAY ADDRESS ipsec ike remote address GATEWAY clear [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ADDRESS IPアドレス [説明] 相手側のセキュリティ・ゲートウェイのIPアドレスを設定する。 相手側のセキュリティゲートウェイに対して1つずつ設定可能。 [デフォルト] clear
○ 相手側のIDの設定 [入力形式] ipsec ike remote id GATEWAY ADDRESS[/NETMASK] ipsec ike remote id GATEWAY clear [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ADDRESS IPアドレス NETMASK ネットマスク [説明] IKEのフェーズ2で用いる相手側のIDを設定する。 [ノート] clearを設定したときには、IDを送信しない。 NETMASKを省略したときは、タイプ1のIDが送信される。 また、NETMASKを指定したときは、タイプ4のIDが送信される。 [デフォルト] clear
○ IKEの情報ペイロードを送信するか否かの設定 [入力形式] ipsec ike send info GATEWAY SW [パラメータ] GATEWAY セキュリティ・ゲートウェイの識別子 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) SW スイッチ on ... 送信する off ... 送信しない [説明] IKEの情報ペイロードを送信するか否かを設定する。 受信に関しては、この設定に関わらず、すべての情報 ペイロードを解釈する。 [ノート] このコマンドは、接続性の検証などの特別な目的で 使用される。定常の運用時はonに設定する必要がある。 [デフォルト] on
○ SAの管理状態の初期化 [入力形式] ipsec refresh sa [説明] 管理されているSAをすべて削除して、IKEの状態を初期化する。