11.47.2 SA のポリシーの定義

[書式]


[設定値及び初期値]


[説明]

SA のポリシーを定義する。この定義はトンネルモードおよびトランスポートモードの設定に必要である。この定義は複数のトンネルモードおよびトランスポートモードで使用できる。

local-idremote-id には、カプセル化したいパケットの始点/終点アドレスの範囲をネットワークアドレスで記述する。これにより、1 つのセキュリティ・ゲートウェイに対して、複数の IPsec SA を生成し、IP パケットの内容に応じて SA を使い分けることができるようになる。

check=on の場合、受信パケット毎にシーケンス番号の重複や番号順のチェックを行い、エラーとなるパケットは破棄する。破棄する際には debug レベルで
[IPSEC] sequence difference
[IPSEC] sequence number is wrong
といったログが記録される。

相手側が、トンネルインタフェースでの優先/帯域制御を行っている場合、シーケンス番号の順序が入れ替わってパケットを受信することがある。その場合、実際にはエラーではないのに上のログが表示され、パケットが破棄されることがあるので、そのような場合には設定を off にするとよい。


IKEv2 では、ipsec ike proposal-limitation コマンドが on に設定されているとき、本コマンドの ah_algorithm、および esp_algorithm パラメーターで設定されたアルゴリズムを提案する。ipsec ike proposal-limitation コマンドが off に設定されているときは、本コマンドの設定にかかわらず、サポートするすべてのアルゴリズムを同時に提案し、相手側セキュリティ・ゲートウェイに選択させる。また応答側として働く場合は受け取った提案から以下の優先順位でアルゴリズムを選択する。


  • 認証アルゴリズム

    HMAC-SHA2-256 > HMAC-SHA-1 > HMAC-MD5

  • 暗号アルゴリズム

    AES256-CBC > AES192-CBC > AES128-CBC > 3DES-CBC > DES-CBC

    ※IKEv2でのみAES192-CBCをサポートする。ただし、コマンドでAES192-CBCを選択することはできない。

また、IKEv2 では local-idremote-id パラメーターに関しても効力を持たない。

[ノート]

双方で設定する local-idremote-id は一致している必要がある。

[設定例]

# ipsec sa policy 101 1 esp aes-cbc sha-hmac

[適用モデル]

vRX Amazon EC2 版, vRX VMware ESXi 版