15.48.2 SA のポリシーの定義

[書式]

ipsec sa policy policy_id gateway_id ah [ah_algorithm] [local-id=local-id] [remote-id=remote-id] [anti-replay-check=check]
ipsec sa policy policy_id gateway_id esp [esp_algorithm] [ah_algorithm] [anti-replay-check=check]
no ipsec sa policy policy_id [gateway_id]

[設定値及び初期値]

policy_id
- [設定値] : ポリシーID(1..2147483647)
- [初期値] : -
gateway_id
- [設定値] : セキュリティ・ゲートウェイの識別子
- [初期値] : -
ah : 認証ヘッダ (Authentication Header) プロトコルを示すキーワード
- [初期値] : -
esp : 暗号ペイロード (Encapsulating Security Payload) プロトコルを示すキーワード
- [初期値] : -
ah_algorithm : 認証アルゴリズム
- [設定値] :
  
  設定値説明
  
  md5-hmac HMAC-MD5
  
  sha-hmac HMAC-SHA-1
  
  sha256-hmac HMAC-SHA2-256
  
  sha384-hmac HMAC-SHA2-384
  
  sha512-hmac HMAC-SHA2-512
- [初期値] :
  - sha-hmac ( AHプロトコルの場合 )
  - - ( ESPプロトコルの場合 )
esp_algorithm : 暗号アルゴリズム
- [設定値] :
  
  設定値説明
  
  3des-cbc 3DES-CBC
  
  des-cbc DES-CBC
  
  aes-cbc AES128-CBC
  
  aes256-cbc AES256-CBC
- [初期値] : aes-cbc
local-id
- [設定値] : 自分側のプライベートネットワーク
- [初期値] : -
remote-id
- [設定値] : 相手側のプライベートネットワーク
- [初期値] : -
check
- [設定値] :
  
  設定値説明
  
  on シーケンス番号のチェックを行う
  
  off シーケンス番号のチェックを行わない
- [初期値] :
  - off (RTX3510、RTX1300)
  - on (上記以外)

設定値	説明
md5-hmac	HMAC-MD5
sha-hmac	HMAC-SHA-1
sha256-hmac	HMAC-SHA2-256
sha384-hmac	HMAC-SHA2-384
sha512-hmac	HMAC-SHA2-512

設定値	説明
3des-cbc	3DES-CBC
des-cbc	DES-CBC
aes-cbc	AES128-CBC
aes256-cbc	AES256-CBC

設定値	説明
on	シーケンス番号のチェックを行う
off	シーケンス番号のチェックを行わない

[説明]

SA のポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。この定義は複数のトンネルモードおよびトランスポートモードで使用できる。

local-id 、 remote-id には、カプセル化したいパケットの始点／終点アドレスの範囲をネットワークアドレスで記述する。これにより、 1 つのセキュリティ・ゲートウェイに対して、複数の IPsec SA を生成し、 IP パケットの内容に応じて SA を使い分けることができるようになる。

check=on の場合、受信パケット毎にシーケンス番号の重複や番号順のチェックを行い、エラーとなるパケットは破棄する。破棄する際には debug レベルで

[IPSEC] sequence difference
[IPSEC] sequence number is wrong

といったログが記録される。

相手側が、トンネルインタフェースでの優先/帯域制御を行っている場合、シーケンス番号の順序が入れ替わってパケットを受信することがある。その場合、実際にはエラーではないのに上のログが表示され、パケットが破棄されることがあるので、そのような場合には設定を off にするとよい。

IKEv2 では、ipsec ike proposal-limitation コマンドが on に設定されているとき、本コマンドの ah_algorithm 、および esp_algorithm パラメーターで設定されたアルゴリズムを提案する。ipsec ike proposal-limitation コマンドが off に設定されているとき、または、ipsec ike proposal-limitation コマンドに対応していない機種では、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。また応答側として働く場合は受け取った提案から以下の優先順位でアルゴリズムを選択する。

認証アルゴリズム
HMAC-SHA2-512 ＞ HMAC-SHA2-384 ＞ HMAC-SHA2-256 ＞ HMAC-SHA-1 ＞ HMAC-MD5

※HMAC-SHA2-512、HMAC-SHA2-384は、vRX Amazon EC2 版、vRX VMware ESXi 版、RTX5000、RTX3500、RTX1220、RTX1210、RTX840、および RTX830 では使用不可。
暗号アルゴリズム
AES256-CBC ＞ AES192-CBC ＞ AES128-CBC ＞ 3DES-CBC ＞ DES-CBC

※IKEv2でのみAES192-CBCをサポートする。ただし、コマンドでAES192-CBCを選択することはできない。

また、 IKEv2 では local-id 、 remote-id パラメーターに関しても効力を持たない。

[ノート]

双方で設定するlocal-id とremote-id は一致している必要がある。

ah_algorithm パラメータの sha384-hmac および sha512-hmac キーワードは、vRX Amazon EC2 版、vRX VMware ESXi 版、RTX5000、RTX3500、RTX1220、RTX1210、RTX840、および RTX830 では指定不可能。

[設定例]

# ipsec sa policy 101 1 esp aes-cbc sha-hmac

[拡張ライセンス対応]

拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。

gateway_id

ライセンス名	拡張後の上限値 ( ライセンス本数ごとの値 )
ライセンス名	1本	2本	3本	4本	5本
YSL-VPN-EX1	100	-	-	-	-
YSL-VPN-EX2	300	500	700	900	1100
YSL-VPN-EX3	1500	2000	2500	3000	-

[適用モデル]

vRX シリーズ, RTX5000, RTX3510, RTX3500, RTX1300, RTX1220, RTX1210, RTX840, RTX830