[設定値] :
設定値 | 説明 |
---|---|
md5-hmac | HMAC-MD5 |
sha-hmac | HMAC-SHA-1 |
sha256-hmac | HMAC-SHA2-256 |
sha384-hmac | HMAC-SHA2-384 |
sha512-hmac | HMAC-SHA2-512 |
[設定値] :
設定値 | 説明 |
---|---|
3des-cbc | 3DES-CBC |
des-cbc | DES-CBC |
aes-cbc | AES128-CBC |
aes256-cbc | AES256-CBC |
[設定値] :
設定値 | 説明 |
---|---|
on | シーケンス番号のチェックを行う |
off | シーケンス番号のチェックを行わない |
SA のポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。この定義は複数のトンネルモードおよびトランスポートモードで使用できる。
local-id 、 remote-id には、カプセル化したいパケットの始点/終点アドレスの範囲をネットワークアドレスで記述する。これにより、 1 つのセキュリティ・ゲートウェイに対して、複数の IPsec SA を生成し、 IP パケットの内容に応じて SA を使い分けることができるようになる。
[IPSEC] sequence difference [IPSEC] sequence number is wrongといったログが記録される。
相手側が、トンネルインタフェースでの優先/帯域制御を行っている場合、シーケンス番号の順序が入れ替わってパケットを受信することがある。その場合、実際にはエラーではないのに上のログが表示され、パケットが破棄されることがあるので、そのような場合には設定を off にするとよい。
IKEv2 では、ipsec ike proposal-limitation コマンドが on に設定されているとき、本コマンドの ah_algorithm 、および esp_algorithm パラメーターで設定されたアルゴリズムを提案する。ipsec ike proposal-limitation コマンドが off に設定されているとき、または、ipsec ike proposal-limitation コマンドに対応していない機種では、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。また応答側として働く場合は受け取った提案から以下の優先順位でアルゴリズムを選択する。
HMAC-SHA2-512 > HMAC-SHA2-384 > HMAC-SHA2-256 > HMAC-SHA-1 > HMAC-MD5
※HMAC-SHA2-512、HMAC-SHA2-384はRev.23.00系以降で対応。
AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC
※IKEv2でのみAES192-CBCをサポートする。ただし、コマンドでAES192-CBCを選択することはできない。
また、 IKEv2 では local-id 、 remote-id パラメーターに関しても効力を持たない。
双方で設定するlocal-id とremote-id は一致している必要がある。
ah_algorithm パラメータの sha384-hmac、および sha512-hmac キーワードは Rev.23.00 系以降のファームウェアで指定可能。
# ipsec sa policy 101 1 esp aes-cbc sha-hmac
拡張ライセンスをインポートすると、以下のパラメーターに入力できる上限値が拡張される。
ライセンス名 | 拡張後の上限値 ( ライセンス本数ごとの値 ) |
|||
---|---|---|---|---|
1本 | 2本 | 3本 | 4本 | |
YSL-VPN-EX1 | 100 | - | - | - |
YSL-VPN-EX3 | 1500 | 2000 | 2500 | 3000 |