[書式]
- ipsec ike group gateway_id group [group]
- no ipsec ike group gateway_id [group [group]]
[設定値及び初期値]
- gateway_id : セキュリティ・ゲートウェイの識別子
- group : グループ識別子
- [設定値] :
- modp768
- modp1024
- modp1536
- modp2048
- [初期値] :
- modp768 ( RTX1500, RTX1100, RT107e )
- modp1024 ( 上記以外の機種 )
[説明]
IKE で用いるグループを設定する。
始動側として働く場合には、このコマンドで設定されたグループを提案する。応答側として働く場合には、このコマンドの設定に関係なく、サポート可能な任意のグループを用いることができる。
その他、動作する IKE のバージョンによって異なる本コマンドの影響、注意点については以下の通り。
- IKEv1
2 種類のグループを設定した場合には、1 つ目がフェーズ 1 で、2 つ目がフェーズ 2 で提案される。グループを 1 種類しか設定しない場合は、フェーズ 1 とフェーズ 2 の両方で、設定したグループが提案される。
また、 ipsec ike negotiate-strictly コマンドが on の場合は、応答側であっても設定したグループしか利用できない。
- IKEv2
常に 1 つ目に設定したグループのみが使用される。 2 つ目に設定したグループは無視される。
また、 始動側として提案したグループが相手に拒否され、別のグループを要求された場合は、そのグループで再度提案する ( 要求されたグループがサポート可能な場合 ) 。
以後、IPsec の設定を変更するか再起動するまで、同じ相手側セキュリティ・ゲートウェイに対しては再提案したグループが優先的に使用される。
[ノート]
以下の機種では、グループ識別子にmodp768とmodp1024しか指定できない。
[拡張ライセンス対応]
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
gateway_id
ライセンス名 |
拡張後の上限値 |
YSL-VPN-EX1 |
100 |
[適用モデル]
RTX5000, RTX3500, RTX3000, RTX1500, RTX1220, RTX1210, RTX1200, RTX1100, RTX830, RTX810, RT107e, SRT100