13.35.2 SA のポリシーの定義

[書式]

• ipsec sa policy policy_id gateway_id ah [ah_algorithm] [local-id=local-id] [remote-id=remote-id] [anti-replay-check=check]
• ipsec sa policy policy_id gateway_id esp [esp_algorithm] [ah_algorithm] [anti-replay-check=check]
• no ipsec sa policy policy_id [gateway_id]

[設定値及び初期値]

• policy_id
  • [設定値] : ポリシーID ( 1..2147483647 )
  • [初期値] : -
• gateway_id
  • [設定値] : セキュリティ・ゲートウェイの識別子
  • [初期値] : -
• ah : 認証ヘッダ (Authentication Header) プロトコルを示すキーワード
  • [初期値] : -
• esp : 暗号ペイロード (Encapsulating Security Payload) プロトコルを示すキーワード
  • [初期値] : -
• ah_algorithm : 認証アルゴリズム

  • [設定値] :

    設定値	説明
    md5-hmac	HMAC-MD5
    sha-hmac	HMAC-SHA-1
    sha256-hmac	HMAC-SHA2-256

  • [初期値] :
    • sha-hmac ( AHプロトコルの場合 )
    • - ( ESPプロトコルの場合 )
• esp_algorithm : 暗号アルゴリズム

  • [設定値] :

    設定値	説明
    3des-cbc	3DES-CBC
    des-cbc	DES-CBC
    aes-cbc	AES128-CBC
    aes256-cbc	AES256-CBC

  • [初期値] : aes-cbc
• local-id
  • [設定値] : 自分側のプライベートネットワーク
  • [初期値] : -
• remote-id
  • [設定値] : 相手側のプライベートネットワーク
  • [初期値] : -
• check

  • [設定値] :

    設定値	説明
    on	シーケンス番号のチェックを行う
    off	シーケンス番号のチェックを行わない

  • [初期値] : on

[説明]

SA のポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。この定義は複数のトンネルモードおよびトランスポートモードで使用できる。

local-id 、 remote-id には、カプセル化したいパケットの始点／終点アドレスの範囲をネットワークアドレスで記述する。これにより、 1 つのセキュリティ・ゲートウェイに対して、複数の IPsec SA を生成し、 IP パケットの内容に応じて SA を使い分けることができるようになる。

[IPSEC] sequence difference
[IPSEC] sequence number is wrong

相手側が、トンネルインタフェースでの優先/帯域制御を行っている場合、シーケンス番号の順序が入れ替わってパケットを受信することがある。その場合、実際にはエラーではないのに上のログが表示され、パケットが破棄されることがあるので、そのような場合には設定を off にするとよい。

[ノート]

双方で設定するlocal-id とremote-id は一致している必要がある。
ah_algorithm、および esp_algorithm パラメーターは省略可能。

Rev.11.00.36 以降で使用可能。

[設定例]

# ipsec sa policy 1 1 esp aes-cbc sha-hmac