11.21 IKE が用いる暗号アルゴリズムの設定

[書式]


[設定値及び初期値]


[説明]

IKE が用いる暗号アルゴリズムを設定する。

始動側として働く場合に、本コマンドで設定されたアルゴリズムを提案する。応答側として働く場合は本コマンドの設定に関係なく、サポートされている任意のアルゴリズムを用いることができる。

ただし、IKEv1 で ipsec ike negotiate-strictly コマンドが on の場合は、応答側であっても設定したアルゴリズムしか利用できない。

[ノート]

IKEv2 では、ipsec ike proposal-limitation コマンドが on に設定されているとき、本コマンドで設定されたアルゴリズムを提案する。ipsec ike proposal-limitation コマンドが off に設定されているときは、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。また応答側として働く場合は、提案されたものからより安全なアルゴリズムを選択する。

IKEv2 でサポート可能な暗号アルゴリズム及び応答時の選択の優先順位は以下の通り。
  • AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC

    ※IKEv2 でのみ AES192-CBC をサポートする。ただし、コマンドで AES192-CBC を選択することはできない。

[設定例]

# ipsec ike encryption 1 aes-cbc

[適用モデル]

vRX Amazon EC2 版, vRX VMware ESXi 版