Security Gateway and IPsec release 3
作成日 | 1999/Jul/23 |
最終変更日 | 2018/Nov/06 |
文書サイズ | 8.3KB |
IPsecのコマンド仕様が変更されたことに伴って、 既存の設定を変更する必要が生じる。そこで、このドキュメントでは、 設定を移行するときに注意すべき点を説明する。より細かいコマンド仕様については、 「IPsecリリース3のコマンド仕様」に記載する。
今回、書式が変更されたコマンドは、以下の4つである。 以下では、これらのコマンドの変更点を示し、 従来の設定をどのように変更すれば良いかを説明する。
従来のコマンド体系では、相手側のセキュリティ・ゲートウェイを IPアドレスで識別しているが、変更されたコマンド体系では、 新しくゲートウェイ番号という識別子を用意し、セキュリティ・ ゲートウェイを、ゲートウェイ番号によって識別する。 例えば、寿命を設定する新しいコマンドは、以下のような 書式を持つ。ここで、「ゲートウェイ番号」というパラメータが、 寿命を設定すべきセキュリティ・ゲートウェイを表している。
ipsec ike duration ipsec-sa ゲートウェイ番号 寿命
このように、相手のセキュリティ・ゲートウェイに対して、 あらかじめ、ゲートウェイ番号を割り当てておく必要がある。 ゲートウェイ番号は、RT103iでは1から10までの整数であり、 それ以外の機種では1から20までの整数である。
このコマンドは、事前共有鍵を設定するためのコマンドであったが、 バイナリ鍵の書式が変更された。従来は、バイナリ鍵を、 1バイトずつ空白で区切って記述する必要があったが、 新しい書式では、空白で区切る必要はなくなった。しかし、 新しい書式では、先頭に'0x'を付けなければならない。
[入力形式] ipsec pre-shared-key IP_ADDRESS clear ipsec pre-shared-key IP_ADDRESS text TEXT_KEY ipsec pre-shared-key IP_ADDRESS BINARY_KEY [パラメータ] IP_ADDRESS 相手側のセキュリティゲートウェイのIPアドレス TEXT_KEY テキスト鍵 最大32文字まで BINARY_KEY = '0x...' バイナリ鍵 最大32バイトまで
[ ダイヤルアップVPNに関する補足 ]
このコマンドは、SAの寿命を設定するためのコマンドであったが、 以下のように書式が変更された。従来は、ただ1つの値しか設定できなかったが、 相手のセキュリティ・ゲートウェイごとに設定できるようになった。 なお、このコマンドは必須ではないので、 デフォルトの寿命値(8時間)を使用する場合には、この設定を省略できる。
[入力形式] ipsec ike duration ipsec-sa GATEWAY SECOND [KILOBYTE] [パラメータ] GATEWAY ゲートウェイ番号 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) SECOND 秒寿命 KILOBYTE キロバイト寿命
このコマンドは、 相手側のセキュリティ・ゲートウェイの IPアドレスを設定するためのコマンドであったが、以下のように書式が変更された。 従来は複数のIPアドレスを列記できたが、仕様変更により、 各ゲートウェイ番号に対して、ただ1つのIPアドレスを設定することになった。 なお、従来の仕様に含まれていたnoneとallのパラメータは廃止された。 以下に、新しいコマンドの書式を示す。
[入力形式] ipsec ike remote address GATEWAY ADDRESS ipsec ike remote address GATEWAY clear [パラメータ] GATEWAY ゲートウェイ番号 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ADDRESS IPアドレス
このコマンドは、 自分側のセキュリティ・ゲートウェイの IPアドレスを設定するためのコマンドであったが、 以下のように書式が変更された。 従来は、ただ1つのIPアドレスしか設定できなかったが、 今回の仕様変更により、各ゲートウェイ番号に対して IPアドレスを設定できるようになった。 すなわち、相手のセキュリティ・ゲートウェイに応じて、 異なるIPアドレスを名乗ることができる。なお、 このコマンドは必須ではないので、必ずしも設定する必要はない。
[入力形式] ipsec ike local address GATEWAY ADDRESS ipsec ike local address GATEWAY clear [パラメータ] GATEWAY ゲートウェイ番号 1 - 10 (RT103i) 1 - 20 (RT140/RT200i) ADDRESS IPアドレス
まず、各対地に対して、ゲートウェイ番号を割り当てる。番号は、 RT103iでは1から10までの整数であり、それ以外の機種では1から20までの整数である。
もし、ipsec pre-shared-keyコマンドで、バイナリ鍵を設定している場合には、 以下のように変更する。
旧:ipsec pre-shared-key IPアドレス 1a de 03 2f .... 新:ipsec pre-shared-key IPアドレス 0x1ade032f ....
次に、ipsec ike hostの設定を以下のように変更する。
旧:ipsec ike host IPアドレス1 IPアドレス2 ... 新:ipsec ike remote address ゲートウェイ番号1 IPアドレス1 ipsec ike remote address ゲートウェイ番号2 IPアドレス2 ・ ・ ・
複数のIPアドレスが指定されていた場合には、IPアドレスごとに、 異なるゲートウェイ番号を割り当てなければならない。 次に、ipsec sa durationの設定があれば、以下のように変更する。
旧:ipsec sa duration 寿命 新:ipsec ike duration ipsec-sa ゲートウェイ番号 寿命
もし、複数のセキュリティ・ゲートウェイがあるならば、 その数だけ設定する必要がある。最後に、ipsec ike local hostの設定があれば、 以下のように変更する。
旧:ipsec ike local host IPアドレス 新:ipsec ike local address ゲートウェイ番号 IPアドレス
この場合も、IPアドレスに対応したゲートウェイ番号を設定する。