[設定値] :
| 設定値 | 説明 |
|---|---|
| md5-hmac | HMAC-MD5 |
| sha-hmac | HMAC-SHA |
| sha256-hmac | HMAC-SHA2-256 |
[設定値] :
| 設定値 | 説明 |
|---|---|
| 3des-cbc | 3DES-CBC |
| des-cbc | DES-CBC |
| aes-cbc | AES128-CBC |
| aes256-cbc | AES256-CBC |
[設定値] :
| 設定値 | 説明 |
|---|---|
| on | シーケンス番号のチェックを行う |
| off | シーケンス番号のチェックを行わない |
SA のポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。この定義は複数のトンネルモードおよびトランスポートモードで使用できる。
local-id 、 remote-id には、カプセル化したいパケットの始点/終点アドレスの範囲をネットワークアドレスで記述する。これにより、 1 つのセキュリティー・ゲートウェイに対して、複数の IPsec SA を生成し、 IP パケットの内容に応じて SA を使い分けることができるようになる。
[IPSEC] sequence difference [IPSEC] sequence number is wrongといったログが記録される。
相手側が、トンネルインターフェースでの優先/帯域制御を行っている場合、シーケンス番号の順序が入れ替わってパケットを受信することがある。その場合、実際にはエラーではないのに上のログが表示され、パケットが破棄されることがあるので、そのような場合には設定を off にするとよい。
IKEv2 では、ipsec ike proposal-limitation コマンドが on に設定されているとき、本コマンドの ah_algorithm 、および esp_algorithm パラメーターで設定されたアルゴリズムを提案する。ipsec ike proposal-limitation コマンドが off に設定されているときは、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティー・ゲートウェイに選択させる。また応答側として働く場合は受け取った提案から以下の優先順位でアルゴリズムを選択する。
HMAC-SHA2-256 > HMAC-SHA-1 > HMAC-MD5
AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC
※IKEv2でのみ AES192-CBC をサポートする。ただし、コマンドで AES192-CBC を選択することはできない。
また、 IKEv2 では local-id 、 remote-id パラメーターに関しても効力を持たない。
双方で設定するlocal-id とremote-id は一致している必要がある。
NVR510 は Rev.15.01.03 以降で使用可能。
# ipsec sa policy 101 1 esp aes-cbc sha-hmac