SGX808 IPsec 外部规格书

机型	固件	修订内容
SGX808	Rev.1.00.03及更高版本	-
SGX808	Rev.1.00.08及更高版本	・可以执行2个会话。・可以指定主机名称作为目的地信息。・可以设置IPsec作为默认路由。

Enable/Disable

编辑IPsec连接设置(Edit IPsec connection settings)

可以对每个连接信息分别设置"启用"／"停用"。
没有设置连接信息时无法选择该项。
（默认："停用"）

如果把"停用"改选为"启用"并按下"确定"按钮，将会应用相关信息并开始运行。
如果把"启用"改选为"停用"并按下"确定"按钮，将会停止相关信息的运行。
在这2种运行中，如果另一方为连接状态，另一方不会被切断并进行重新连接，但如果更改了默认路由，将会执行切断并重新连接。
在"启用"状态的运行过程中，按下了"确定"按钮时，将继续保持连接状态，不会执行重新连接。

默认网关(Default Gateway)

从下拉菜单中选择隧道名称，设置作为默认路由的隧道。
（默认："停用"）

如果更改了该设置，将切断连接状态为"启用"的隧道后重新连接。
此外，把此处设置的隧道设为"停用"，或者删除了信息时，也会切断连接状态为"启用"的另一方隧道后重新连接。默认路由变为"停用"。

需要注意的是，如果把该设置设为"停用"以外的其他内容，向WAN端发送的数据包将全部进入设置的隧道中，所以如果存在例外的路由,需要在[网络设置]-[高级路由配置]中事先设置。

此外，设置了2个隧道，其中一个设为默认路由时，2个隧道各自确立之后，所有的数据包将发送到设为默认路由的隧道中。但是，系统会默认设置另一个隧道的路由，所以目的地为该隧道前端的网络段的数据包，将会直接发送到该隧道中，而不会发送到默认路由中。

编辑(Edit)按钮

进入个别连接信息设置画面。

删除(Delete)按钮

删除个别连接信息。
没有设置连接信息的状态下，无法执行该项。

Setting

名称(Name)

设置IPsec会话的名称。不可省略。
不能把2个会话设为相同名称。
ascii字符32bytes（默认：无）
禁止使用下述字符。

　'"'（双引号）、'='（等号）、'#'（井号）、' '（空白）

　';'（分号）、'(',')'（括号）、'`'（反引号)、'\'（反斜线）

  '*'（星号）、'''（单引号）、'|'（竖线）、'~'（波浪号）

预共享密钥(Pre-Shared-Key)

IPsec使用密钥转换协议IKE(Internet Key Exchange)。不可省略。
所需密钥由IKE自动生成，但需要在此处设置作为该密钥基础的预共享密钥(PSK:Pre-Shared-Key)。
ascii字符128bytes（默认：无）
禁止使用'"'(双引号)。

目的地(Destination)

输入目的地信息（IP地址或FQDN）。不可省略。
ascii字符256bytes（默认：无）
禁止使用下述字符。

　'"'（双引号）、'='（等号）、'#'（井号）、' '（空白）

目的地ID(Destination ID)

设置目的地的ID。可省略。
ascii字符256bytes（默认：无）
禁止使用下述字符。

　'"'（双引号）、'='（等号）、'#'（井号）、' '（空白）

目的地本地地址(Destination Local IP Address)

设置目的地的本地IP地址。不可省略。
（默认：无）

目的地本地网络(Destination Local Network)

设置目的地的本地网络地址和子网掩码地址。不可省略。
（默认：无）

来源(Source)

选择连接模式。
"Aggressive mode" or "Main mode"（默认："Main mode"）

源IP地址(Source IP Address)

设置本机WAN端的IP地址。不可省略。
"aggressive mode"时，该项不可输入。

源ID(Source ID)

设置IKE的阶段2中使用的自己一方的ID。不可省略。
"aggressive mode"时，该项为必填项目。
ascii字符256bytes（默认：无）

禁止使用下述字符。

　'"'（双引号）、'='（等号）、'#'（井号）、' '（空白）

认证算法(Authentication Algorithm)

从下述3项中选择认证算法。
"HMAC-MD5"
"HMAC-SHA"（默认）
"HMAC-SHA256"

加密算法(Encryption Algorithm)

从下述3项中选择加密算法。
"3DES-CBC"
"AES-CBC"（默认）
"AES256-CBC"

"确定"按钮

存储设置的信息，返回之前的画面。
设为"启用"，且基本设置(4.1. IPsec的有效和无效)为"启用"时，根据设置内容开始运行。设为"停用"时，虽然存储设置内容，但不会开始运行。

"删除"按钮

删除设置的信息，返回之前的画面。
已经处于运行（连接）状态时，将终止（切断）运行。

"重置"按钮

把输入中的设置信息，返回到按下"确定"按钮之前的状态。

"返回"按钮

返回之前的画面。废弃输入中的信息。

Status

可以在Web设置画面的[系统管理]-[状态]页面上，确认连接状态。

构成示例

                      10.0.0.0/24
    ---+--------------------------------------+----
       |.100                                  |.200
    [SGX808]                              [RTX1200]
       |.1   192.168.100.0/24                 |.1   192.168.200.0/24
    ---+-----+-------------               ----+-----+-------------
    	     |                                      |
           [PC1]                                  [PC2]

SGX808: LAN端地址：192.168.100.1; WAN端地址：10.0.0.100
RTX1200: LAN端地址：192.168.200.1; WAN端地址：10.0.0.200

路由器端的设置示例

    -----------    
    ip route 192.168.100.0/24 gateway tunnel 1
    ip lan1 address 192.168.200.1/24			...(*4)
    ip lan2 address 10.0.0.200/24			...(*2)
    ip lan2 nat descriptor 1

    tunnel select 1
     ipsec tunnel 1
      ipsec sa policy 1 1 esp aes-cbc sha-hmac		...(*5)
      ipsec ike local address 1 192.168.200.1
      ipsec ike local id 1 192.168.200.1		...(*3)
      ipsec ike backward-compatibility 1 2
      ipsec ike pre-shared-key 1 text test		...(*1)
      ipsec ike remote address 1 10.0.0.100
      ipsec ike send info 1 off
     tunnel enable 1

    nat descriptor type 1 masquerade
    nat descriptor address outer 1 primary
    nat descriptor address inner 1 auto
    nat descriptor masquerade static 1 1 192.168.200.1 udp 500
    nat descriptor masquerade static 1 2 192.168.200.1 esp
    -----------

ip route 192.168.100.0/24 gateway tunnel 1: 使用IPsec与目的地LAN进行通讯，所以把该路由设为隧道。

ip lan1 address 192.168.200.1/24 ip lan2 address 10.0.0.200/24: 对LAN1和LAN2设置固定地址。

ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp: 对LAN2接口设置NAT地址伪装。

ipsec tunnel 1 tunnel enable 1: 设置执行IPsec定义的应用和自动密钥转换。

ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike pre-shared-key 1 text test: 设置针对目的地安全网关的SA策略。
Pre-Shared-Key设为与目的地相同。

ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1 ipsec ike remote address 1 10.0.0.100: 在local address和id中设置LAN1端的地址，在remote address中设置目的地WAN端地址。

ipsec ike backward-compatibility 1 2: 把IKEv1密钥转换类型设为2(新发行)。

ipsec ike send info 1 off: 设置不发送IKE的信息有效载荷。
SGX808在接收到ISAKMP SA的delete的informational数据包后，会自动切断IPsec的会话，所以应事先执行该项设置。

SGX808端的设置示例

名称(Name)：: 设置适当的名称。

预共享密钥(Pre-Shared-Key)：: 设置与连接对象相同的Pre-Shared-Key。（路由器端的设置示例(*1)）
本说明示例：test

目的地(Destination)：: 设置目的地地址。（路由器端的设置示例(*2)）
本说明示例：10.0.0.200

目的地ID(Destination ID)：: 设置目的地ID。（路由器端的设置示例(*3)）
本说明示例：192.168.200.1

目的地本地地址(Destination Local IP Address)：: 设置目的地的本地IP地址。（路由器端的设置示例(*4)）
本说明示例：192.168.200.1

目的地本地网络(Destination Local Network)：: 设置目的地的本地网络地址和子网掩码地址。
本说明示例：192.168.200.0 / 255.255.255.0

来源(Source)：: 选择"Main mode"。

源IP地址(Source IP Address)：: 设置WAN端的IP地址。
本说明示例：10.0.0.100

源ID(Source ID)：: 无需设置。

认证算法(Authentication Algorithm)：: 遵从连接对象中设置的算法。（路由器端的设置示例(*5)）
本说明示例：HMAC-SHA

加密算法(Encryption Algorithm)：: 遵从连接对象中设置的算法。（路由器端的设置示例(*5)）
本说明示例：AES-CBC

构成示例

                      10.0.0.0/24
    ---+--------------------------------------+----
       |                                      |.200
    [SGX808]                              [RTX1200]
       |.1   192.168.100.0/24                 |.1   192.168.200.0/24
    ---+-----+-------------               ----+-----+-------------
    	     |                                      |
           [PC1]                                  [PC2]

SGX808: LAN端地址：192.168.100.1; WAN端地址：不固定
RTX1200: LAN端地址：192.168.200.1; WAN端地址：10.0.0.200

路由器端的设置示例

    -----------    
    ip route 192.168.100.0/24 gateway tunnel 1
    ip lan1 address 192.168.200.1/24			...(*4)
    ip lan2 address 10.0.0.200/24			...(*2)
    ip lan2 nat descriptor 1

    tunnel select 1
     ipsec tunnel 1
      ipsec sa policy 1 1 esp aes-cbc sha-hmac		...(*5)
      ipsec ike local address 1 192.168.200.1
      ipsec ike local id 1 192.168.200.1		...(*3)
      ipsec ike backward-compatibility 1 2
      ipsec ike payload type 1 3
      ipsec ike pre-shared-key 1 text test		...(*1)
      ipsec ike remote address 1 any
      ipsec ike remote name 1 XXXXXX key-id		...(*6)
      ipsec ike send info 1 off
     tunnel enable 1

    nat descriptor type 1 masquerade
    nat descriptor address outer 1 primary
    nat descriptor address inner 1 auto
    nat descriptor masquerade static 1 1 192.168.200.1 udp 500
    nat descriptor masquerade static 1 2 192.168.200.1 esp
    -----------

ip route 192.168.100.0/24 gateway tunnel 1: 使用IPsec与目的地LAN通讯，所以把该路由设为隧道。

ip lan1 address 192.168.200.1/24 ip lan2 address 10.0.0.200/24: 对LAN1和LAN2设置固定地址。

ip lan2 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 primary nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp: 对LAN2接口设置NAT地址伪装。

ipsec tunnel 1 tunnel enable 1: 设置执行IPsec定义的应用和自动密钥转换。

ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike pre-shared-key 1 text test: 设置针对目的地安全网关的SA策略。
Pre-Shared-Key设为与目的地相同。

ipsec ike backward-compatibility 1 2: 把IKEv1密钥转换类型设为2(新发行)。

ipsec ike payload type 1 3 ipsec ike remote address 1 any ipsec ike remote name 1 XXXXXX key-id: 把payload的类型设为3(匹配一部分内置为初始向量(Ⅳ)的生成方法)。
由于目的地的全局地址不固定，所以在remote address设置any。
设置目的地安全网关的名称(XXXXXX)。
执行这些设置后，路由器将作为aggressive mode的responder运行。

ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1: 在local address和id中设置LAN1端的地址。

ipsec ike send info 1 off: 设置不发送IKE的信息有效载荷。
SGX808在接收到ISAKMP SA的delete的informational数据包后，会自动切断IPsec的会话，所以应事先执行该项设置。

SGX808端的设置示例

名称(Name)：: 设置适当的名称。

预共享密钥(Pre-Shared-Key)：: 设置与连接对象相同的Pre-Shared-Sey。（路由器端的设置示例(*1)）
本说明示例：test

目的地(Destination)：: 设置目的地地址。（路由器端的设置示例(*2)）
本说明示例：10.0.0.200

目的地ID(Destination ID)：: 设置目的地ID。（路由器端的设置示例(*3)）
本说明示例：192.168.200.1

目的地本地地址(Destination Local IP Address)：: 设置目的地的本地IP地址。（路由器端的设置示例(*4)）
本说明示例：192.168.200.1

目的地本地网络(Destination Local Network)：: 设置目的地的本地网络地址和子网掩码地址。
本说明示例：192.168.200.0 / 255.255.255.0

来源(Source)：: 选择"Aggressive mode"。

源IP地址(Source IP Address)：: 已选择"Aggressive mode"，所以无法设置。

源ID(Source ID)：: 设置与连接对象相同的key-id。（路由器端的设置示例(*6)）
本说明示例：XXXXXX

认证算法(Authentication Algorithm)：: 遵从连接对象中设置的算法。（路由器端的设置示例(*5)）
本说明示例：HMAC-SHA

加密算法(Encryption Algorithm)：: 遵从连接对象中设置的算法。（路由器端的设置示例(*5)）
本说明示例：AES-CBC

下述是连接对象也需要设置PPPoE时的示例。

构成示例

    ===+================<Internet>============+===
       |                                      |
    [SGX808]                              [RTX1200]
       |.1   192.168.100.0/24                 |.1   192.168.200.0/24
    ---+-----+-------------               ----+-----+-------------
    	     |                                      |
           [PC1]                                  [PC2]

SGX808: LAN端地址：192.168.100.1; WAN端地址：不固定
RTX1200: LAN端地址：192.168.200.1; WAN端地址：不固定
WAN端主机名称：xxx.yyy.netvolante.jp
事先由Netvolante DNS服务等分配的名称

路由器端的设置示例

在IPsec的设置中追加PPPoE的设置。

    -----------    
    ip route default gateway pp 1
    ip route 192.168.100.0/24 gateway tunnel 1
    ip lan1 address 192.168.200.1/24			...(*4)

    pp select 1
     pppoe use lan2
     pp auth accept pap chap
     pp auth myname [userID] [PASS]
     ppp lcp mru on 1454
     ppp ipcp ipaddress on
     ppp ipcp msext on
     ppp ccp type none
     ip pp nat descriptor 1
     netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp	...(*2)
     pp enable 1

    tunnel select 1
     ipsec tunnel 1
      ipsec sa policy 1 1 esp aes-cbc sha-hmac		...(*5)
      ipsec ike local address 1 192.168.200.1
      ipsec ike local id 1 192.168.200.1		...(*3)
      ipsec ike backward-compatibility 1 2
      ipsec ike payload type 1 3
      ipsec ike pre-shared-key 1 text test		...(*1)
      ipsec ike remote address 1 any
      ipsec ike remote name 1 XXXXXX key-id		...(*6)
      ipsec ike send info 1 off
     tunnel enable 1

    nat descriptor type 1 masquerade
    nat descriptor address outer 1 ipcp
    nat descriptor address inner 1 auto
    nat descriptor masquerade static 1 1 192.168.200.1 udp 500
    nat descriptor masquerade static 1 2 192.168.200.1 esp
    -----------

ip route default gateway pp 1 ip route 192.168.100.0/24 gateway tunnel 1: 设置默认路由，以及在与目的地LAN的通讯中，使用IPsec时的隧道。

ip lan1 address 192.168.200.1/24: 对LAN1设置固定地址。

pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname [userID] [PASS] ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp pp enable 1: 设置PPPoE。同时注册主机名称。

ip pp nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp: 对pp接口设置NAT地址伪装。
外部IP地址使用PPP的连接目标通知的IP地址。

ipsec tunnel 1 tunnel enable 1: 设置执行IPsec定义的应用和自动密钥转换。

ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike pre-shared-key 1 text test: 设置针对目的地安全网关的SA策略。
Pre-Shared-Key设为与目的地相同。

ipsec ike backward-compatibility 1 2: 把IKEv1密钥转换类型设为2(新发行)。

ipsec ike payload type 1 3 ipsec ike remote address 1 any ipsec ike remote name 1 XXXXXX key-id: 把payload的类型设为3(匹配一部分内置为初始向量(Ⅳ)的生成方法)。
由于目的地的全局地址不固定，所以在remote address设置any。
设置目的地安全网关的名称(XXXXXX)。
执行这些设置后，路由器将作为aggressive mode的responder运行。

ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1: 在local address和id中设置LAN1端的地址。

ipsec ike send info 1 off: 设置不发送IKE的信息有效载荷。
SGX808在接收到ISAKMP SA的delete的informational数据包后，会自动切断IPsec的会话，所以应事先执行该项设置。

SGX808端的设置示例

省略PPPoE的设置。IPsec的设置与aggressive mode时的设置基本相同。
应指定目的地中分配的主机名称。

名称(Name)：: 设置适当的名称。

预共享密钥(Pre-Shared-Key)：: 设置与连接对象相同的Pre-Shared-Key。（路由器端的设置示例(*1)）
本说明示例：test

目的地(Destination)：: 设置目的地的主机名称。（路由器端的设置示例(*2)）
本说明示例：xxx.yyy.netvolante.jp

目的地ID(Destination ID)：: 设置目的地ID。（路由器端的设置示例(*3)）
本说明示例：192.168.200.1

目的地本地地址(Destination Local IP Address)：: 设置目的地的本地IP地址。（路由器端的设置示例(*4)）
本说明示例：192.168.200.1

目的地本地网络(Destination Local Network)：: 设置目的地的本地网络地址和子网掩码地址。
本说明示例：192.168.200.0 / 255.255.255.0

来源(Source)：: 选择"Aggressive mode"。

源IP地址(Source IP Address)：: 已选择"Aggressive mode"，所以无法设置。

源ID(Source ID)：: 设置与连接对象相同的key-id。（路由器端的设置示例(*6)）
本说明示例：XXXXXX

认证算法(Authentication Algorithm)：: 遵从连接对象中设置的算法。（路由器端的设置示例(*5)）
本说明示例：HMAC-SHA

加密算法(Encryption Algorithm)：: 遵从连接对象中设置的算法。（路由器端的设置示例(*5)）
本说明示例：AES-CBC

下述是通过NAT Traversal，连接2台SGX808的IPsec连接示例。
假设在连接对象中，从PPPoE服务器向WAN端分配了任意的IP地址。

构成示例

    =====+=============<Internet>===========+===
         |                                  |
      [RTX1200_1]                        [RTX1200_2]
         |.1    192.168.10.0/24             |.1   192.168.200.0/24
     ----+-----+---------------         ----+-----+---------------
         |     |                                  |
         |  [SGX808_2]                          [PC3]
         |     |.1   192.168.101.0/24 
         |  ---+----+----------------
         |          |
         |        [PC2]
         |
      [SGX808_1]
         |.1   192.168.100.0/24 
      ---+----+----------------
              |
            [PC1]

SGX808_1: LAN端地址：192.168.100.1; WAN端地址：不固定(通过DHCP从RTX1200_1分配)
SGX808_2: LAN端地址：192.168.101.1; WAN端地址：不固定(通过DHCP从RTX1200_1分配)
RTX1200_1: LAN端地址：192.168.10.1; WAN端地址：不固定(PPPoE服务器分配)
RTX1200_2: LAN端地址：192.168.200.1; WAN端地址：不固定
WAN端主机名称：xxx.yyy.netvolante.jp
事先由Netvolante DNS服务等分配的名称

路由器端的设置示例

5.3の例に対し、NAT Traversalの設定を追加します。

    -----------
    ip route default gateway pp 1
    ip route 192.168.100.0/24 gateway tunnel 1
    ip route 192.168.101.0/24 gateway tunnel 2
    ip lan1 address 192.168.1.1/24

    pp select 1
     pppoe use lan2
     pp auth accept pap chap
     pp auth myname [userID] [PASS]
     ppp lcp mru on 1454
     ppp ipcp ipaddress on
     ppp ipcp msext on
     ppp ccp type none
     ip pp nat descriptor 1
     netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp
     pp enable 1

    tunnel select 1
     ipsec tunnel 1
      ipsec sa policy 1 1 esp aes-cbc sha-hmac
      ipsec ike local address 1 192.168.200.1
      ipsec ike local id 1 192.168.200.1
      ipsec ike backward-compatibility 1 2
      ipsec ike nat-traversal 1 on
      ipsec ike payload type 1 3
      ipsec ike pre-shared-key 1 text test
      ipsec ike remote address 1 any
      ipsec ike remote name 1 XXXXXX1 key-id
      ipsec ike send info 1 off
     tunnel enable 1

    tunnel select 2
     ipsec tunnel 2
      ipsec sa policy 2 2 esp aes-cbc sha-hmac
      ipsec ike local address 2 192.168.200.1
      ipsec ike local id 2 192.168.200.1
      ipsec ike backward-compatibility 2 2
      ipsec ike nat-traversal 2 on
      ipsec ike payload type 2 3
      ipsec ike pre-shared-key 2 text test2
      ipsec ike remote address 2 any
      ipsec ike remote name 2 XXXXXX2 key-id
      ipsec ike send info 2 off
     tunnel enable 2

    nat descriptor type 1 masquerade
    nat descriptor address outer 1 ipcp
    nat descriptor address inner 1 auto
    nat descriptor masquerade static 1 1 192.168.200.1 udp 500
    nat descriptor masquerade static 1 2 192.168.200.1 esp
    nat descriptor masquerade static 1 3 192.168.200.1 udp 4500
    -----------

ip route default gateway pp 1 ip route 192.168.100.0/24 gateway tunnel 1 ip route 192.168.101.0/24 gateway tunnel 2: 设置默认路由，以及在与目的地LAN的通讯中，使用IPsec时的隧道。

ip lan1 address 192.168.200.1/24: 对LAN1设置固定地址。

pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname [userID] [PASS] ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none netvolante-dns hostname host pp 1 xxx.yyy.netvolante.jp pp enable 1: 设置PPPoE。同时注册主机名称。

ip pp nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 auto nat descriptor masquerade static 1 1 192.168.200.1 udp 500 nat descriptor masquerade static 1 2 192.168.200.1 esp nat descriptor masquerade static 1 3 192.168.200.1 udp 4500: 对pp接口设置NAT地址伪装。
外部IP地址使用PPP的连接目标通知的IP地址。
如需把IPsec的NAT Traversal设为有效，应设置不自动转换udp的4500端口。

ipsec tunnel 1 tunnel enable 1 ipsec tunnel 2 tunnel enable 2: 设置执行针对2处的IPsec定义的应用和自动密钥转换。

ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike pre-shared-key 1 text test ipsec sa policy 2 2 esp aes-cbc sha-hmac ipsec ike pre-shared-key 2 text test: 设置针对目的地安全网关的SA策略。
Pre-Shared-Key设为与目的地相同。

ipsec ike backward-compatibility 1 2 ipsec ike backward-compatibility 2 2: 把IKEv1密钥转换类型设为2(新发行)。

ipsec ike nat-traversal 1 on ipsec ike nat-traversal 2 on: 设置使用IPsec NAT Traversal。

ipsec ike payload type 1 3 ipsec ike remote address 1 any ipsec ike remote name 1 XXXXXX1 key-id ipsec ike payload type 2 3 ipsec ike remote address 2 any ipsec ike remote name 2 XXXXXX2 key-id: 把payload的类型设为3(匹配一部分内置为初始向量(Ⅳ)的生成方法)。
由于目的地的全局地址不固定，所以在remote address设置any。
设置目的地安全网关的名称(XXXXXX1,XXXXXX2)。
执行这些设置后，路由器将作为aggressive mode的responder运行。

ipsec ike local address 1 192.168.200.1 ipsec ike local id 1 192.168.200.1 ipsec ike local address 2 192.168.200.1 ipsec ike local id 2 192.168.200.1: 在local address和id中设置LAN1端的地址。

ipsec ike send info 1 off ipsec ike send info 2 off: 设置不发送IKE的信息有效载荷。
SGX808在接收到ISAKMP SA的delete的informational数据包后，会自动切断IPsec的会话，所以应事先执行该项设置。

RTX1200_1的设置

无需特别设置。
执行连接网络时的PPPoE设置和NAT设置，以及LAN端的网络设置等即可。

SGX808的设置

无需对NAT Traversal进行特别设置。
与aggressive mode的连接示例相同，执行2台设备都为级联的、连接RTX1200_2的设置即可。

rekey间隔使用下述计算公式。

    rekeytime = lifetime - (margintime + random(0, margintime * rekeyfuzz))
    
    rekeytime : rekey间隔
    lifetime : IPsec SA的寿命(20分钟)
    margintime : 设备(3分钟)
    rekeyfuzz : 100%

不可更改计算时使用的各个值。这样，rekey间隔为14～17分钟。

如果连接对象使用了Yamaha生产的路由器，那么设置Keepalive功能时的连接方式，只可使用ICMP Echo。
如果设置其他方式，可能导致中途断开，所以不能使用。

SGX808 IPsec 外部规格书

1. 概要

2. 限制条件

3. 支持的机型和固件版本

4. 详细

4.1. IPsec的有效和无效

编辑IPsec连接设置(Edit IPsec connection settings)

默认网关(Default Gateway)

编辑(Edit)按钮

删除(Delete)按钮

4.2. 设置连接信息

名称(Name)

预共享密钥(Pre-Shared-Key)

目的地(Destination)

目的地ID(Destination ID)

目的地本地地址(Destination Local IP Address)

目的地本地网络(Destination Local Network)

来源(Source)

源IP地址(Source IP Address)

源ID(Source ID)

认证算法(Authentication Algorithm)

加密算法(Encryption Algorithm)

"确定"按钮

"删除"按钮

"重置"按钮

"返回"按钮

4.3. 状态参考

5. 设置示例

5.1. Main mode

构成示例

路由器端的设置示例

SGX808端的设置示例

5.2. aggressive mode

构成示例

路由器端的设置示例

SGX808端的设置示例

5.3. aggressive mode(on PPPoE)

构成示例

路由器端的设置示例

SGX808端的设置示例

5.4. NAT Traversal

构成示例

路由器端的设置示例

RTX1200_1的设置

SGX808的设置

6. 补充

6.1. Rekey

6.2. keepalive