15.25 IKE が用いるハッシュアルゴリズムの設定

[書式]

[設定値及び初期値]

[説明]

IKE が用いるハッシュアルゴリズムを設定する。

始動側として働く場合に、本コマンドで設定されたアルゴリズムを提案する。応答側として働く場合は本コマンドの設定に関係なく、サポートされている任意のアルゴリズムを用いることができる。

ただし、IKEv1 で ipsec ike negotiate-strictly コマンドが on の場合は、応答側であっても設定したアルゴリズムしか利用できない。

[ノート]

IKEv2 では、 IKEv1のハッシュアルゴリズムに相当する折衝パラメーターとして、認証アルゴリズム (Integrity Algorithm) と PRF(Pseudo-Random Function)がある。IKEv2 で ipsec ike proposal-limitation コマンドが on に設定されているとき、本コマンドで設定されたアルゴリズムを提案する。ipsec ike proposal-limitation コマンドが off に設定されているとき、または、ipsec ike proposal-limitation コマンドに対応していない機種では、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。また応答側として働く場合は、提案されたものからより安全なアルゴリズムを選択する。

IKEv2 でサポート可能な認証アルゴリズム及び応答時の選択の優先順位は以下の通り。
  • HMAC-SHA2-512-256 > HMAC-SHA2-384-192 > HMAC-SHA2-256-128 > HMAC-SHA-1-96 > HMAC-MD5-96

    ※HMAC-SHA2-512-256、HMAC-SHA2-384-192はRev.23.00系以降で対応。

また、 IKEv2 でサポート可能な PRF 、及び応答選択時の優先順位は以下の通り。
  • HMAC-SHA2-512 > HMAC-SHA2-384 > HMAC-SHA2-256 > HMAC-SHA-1 > HMAC-MD5

    ※HMAC-SHA2-512、HMAC-SHA2-384はRev.23.00系以降で対応。

algorithm パラメータの sha384、および sha512 キーワードは Rev.23.00 系以降のファームウェアで指定可能。

[拡張ライセンス対応]

拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

[適用モデル]

RTX5000, RTX3510, RTX3500, RTX1300, RTX1220, RTX1210, RTX830