[設定値] :
設定値 | 説明 |
---|---|
md5-hmac | HMAC-MD5 |
sha-hmac | HMAC-SHA-1 |
sha256-hmac | HMAC-SHA2-256 |
[設定値] :
設定値 | 説明 |
---|---|
3des-cbc | 3DES-CBC |
des-cbc | DES-CBC |
aes-cbc | AES128-CBC |
aes256-cbc | AES256-CBC |
[設定値] :
設定値 | 説明 |
---|---|
on | シーケンス番号のチェックを行う |
off | シーケンス番号のチェックを行わない |
SA のポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。この定義は複数のトンネルモードおよびトランスポートモードで使用できる。
local-id 、 remote-id には、カプセル化したいパケットの始点/終点アドレスの範囲をネットワークアドレスで記述する。これにより、 1 つのセキュリティ・ゲートウェイに対して、複数の IPsec SA を生成し、 IP パケットの内容に応じて SA を使い分けることができるようになる。
[IPSEC] sequence difference [IPSEC] sequence number is wrongといったログが記録される。
相手側が、トンネルインタフェースでの優先/帯域制御を行っている場合、シーケンス番号の順序が入れ替わってパケットを受信することがある。その場合、実際にはエラーではないのに上のログが表示され、パケットが破棄されることがあるので、そのような場合には設定を off にするとよい。
HMAC-SHA2-256 > HMAC-SHA-1 > HMAC-MD5
AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC
双方で設定するlocal-id とremote-id は一致している必要がある。
ah_algorithm、および esp_algorithm パラメーターは省略可能。
Rev.11.00.36 以降で使用可能。
# ipsec sa policy 1 1 esp aes-cbc sha-hmac