18.23 IKE が用いるグループの設定

[書式]


[設定値及び初期値]


[説明]


IKE で用いるグループを設定する。
始動側として働く場合には、このコマンドで設定されたグループを提案する。応答側として働く場合には、このコマンドの設定に関係なく、サポート可能な任意のグループを用いることができる。

その他、動作する IKE のバージョンによって異なる本コマンドの影響、注意点については以下の通り。
  • IKEv1

    2 種類のグループを設定した場合には、1 つ目がフェーズ 1 で、2 つ目がフェーズ 2 で提案される。グループを 1 種類しか設定しない場合は、フェーズ 1 とフェーズ 2 の両方で、設定したグループが提案される。

    また、 ipsec ike negotiate-strictly コマンドが on の場合は、応答側であっても設定したグループしか利用できない。

  • IKEv2

    常に 1 つ目に設定したグループのみが使用される。 2 つ目に設定したグループは無視される。

    また、 始動側として提案したグループが相手に拒否され、別のグループを要求された場合は、そのグループで再度提案する ( 要求されたグループがサポート可能な場合 ) 。 以後、IPsec の設定を変更するか再起動するまで、同じ相手側セキュリティ・ゲートウェイに対しては再提案したグループが優先的に使用される。

[ノート]

以下の機種では、グループ識別子にmodp768とmodp1024しか指定できない。
  • RTX1500, RTX1100, RT107e

[適用モデル]

RTX5000, RTX3500, RTX3000, RTX1500, RTX1210, RTX1200, RTX1100, RTX830, RTX810, RT107e, SRT100