[入力形式] ipsec security-association add <SA name>
{ { tunnel | transport }
{ <start IPaddress> <end IPaddress> | <start Interface> <end IPaddress>
| dynamic | auto } | tunnel-interface <ipsec Interface> }
[to-auth { none | ah <spi> <ah auth algorithm> <auth keyphrase> }]
[to-encap { esp <spi> <esp algorithm> <esp keyphrase> | esp-auth <spi> <esp algorithm> <esp keyphrase>
<auth algorithm> <auth keyphrase> }]
[from-encap { esp <spi> <esp algorithm> <esp keyphrase> | esp-auth <spi> <esp algorithm> <esp keyphrase>
<auth algorithm> <auth keyphrase> }]
[パラメータ] <SA name> セキュリティアソシエーション名(1-16文字, [a-zA-Z0-9 ])
<start IPaddress> IPsecで認証/暗号化を行うトンネルの始点IPアドレス
<end IPaddress> IPsecで認証/暗号化を行うトンネルの終点IPアドレス
dynamic IPsecで認証/暗号化を行うトンネルの始点/終点IPアドレスに
動的アドレスを利用する
auto IPsecで認証/暗号化を行うトンネルの始点/終点IPアドレスに
動的アドレスを利用し、対応するセキュリティポリシを自動生 成する
tunnel トンネルモードでIPsecを使用する
transport トランスポートモードでIPsecを使用する
tunnel-interface トンネルインターフェイスモードでIPsecを利用する
<spi> 0x100〜0xffffffff セキュリティアソシエーションを
一意に識別するための値
<auth algorithm> 認証アルゴリズム
<esp algorithm> 暗号アルゴリズム
<auth keyphrase> 認証パスワード(16進数、長さは表9「IPsecのパスワードの 長さ」参照)
<esp keyphrase> 暗号化パスワード(16進数、長さは表9「IPsecのパスワード の長さ」参照)
[デフォルト値] to-auth none to-encap none from-auth none from-encap none
[説明] IPsecで通信を行うためのセキュリティアソシエーションを設定する。
[ノート] トンネルモードはCS-SEIL-510/Cを経由しての通信にIPsecを適用し、トランスポート
モードはCS-SEIL-510/C自身が他のノードと安全な通信を行うためにIPsecを適用する
モードです。
トンネルインターフェイスモードはトンネルモードとほぼ同じですが、
ipsecインターフェイスを利用して通信を行なうモードです。ipsecインターフェイスでは
通常のトンネルインターフェイスと同様の経路制御が可能です。
<start IPaddress>はCS-SEIL-510/CのIPアドレスでなければなりません。各インター フェイスに付けたIPアドレスおよびNAPTのグローバルアドレスの設定で指定したIPア ドレスを使用する事ができます。
<start IPaddress>の代わりに<start Interface>を指定すると、指定したインターフェース のアドレスを自動的に取得して利用します。インターフェイスのアドレスが動的に変更さ
れた場合も自動的にアドレスを再取得してセキュリティアソシエーションを作成し直しま す。
to-authはCS-SEIL-510/Cからの送信時に認証ヘッダを付ける設定、from-authは CS-SEIL-510/Cが受信時に認証ヘッダを確認する設定です。to-encapはCS-SEIL-510/Cからの送信 時にパケットを暗号化する設定、from-encapはCS-SEIL-510/Cが受信時に暗号化された パケットを復号する設定です。
トンネルモードでは、to-encap、from-encapを省略することはできません。また、to-auth、
from-authを設定すると通信できません。
最大64個まで設定できます。
ipsecコマンドは、IPv4、IPv6に対応しています。
専用ハードウェアを利用することができるアルゴリズムとプロトコルの組み合わせは表10
「専用ハードウェアで処理されるアルゴリズム」および表11「専用ハードウェアで処理さ れるプロトコルの組み合わせ」を参照してください.
アドレスにautoを指定した場合には、対向機器から通知された始点/終点アドレスとセキュ リティポリシ情報を利用します。この際の、セキュリティポリシ情報は対向機器側のプリ フィックス長がIPv4の場合32、IPv6の場合128でなければなりません。セキュリティポ リシは設定する必要はありません。
表9: IPsecのパスワードの長さ
認証パスワード
アルゴリズム パスワードの長さ hmac-md5 32文字(128bit) keyed-md5 32文字(128bit) hmac-sha1 40文字(160bit) keyed-sha1 40文字(160bit)
暗号化パスワード アルゴリズム パスワードの長さ
des 16文字(64bit)
3des 48文字(192bit)
blowfish 10〜112文字(40〜448bit) cast128 10〜32文字(40〜128bit) aes 32〜64文字(128〜256bit)
表10:専用ハードウェアで処理されるアルゴリズム
暗号アルゴリズム des, 3des , aes 認証アルゴリズム hmac-md5, hmac-sha1
※ ただし、ESPで認証を行なう場合、暗号アルゴリズムと認証アルゴリズムの両者が表に含まれる場合のみ ハードウェア処理が行なわれる。
プロトコル 送信時 受信時
AH (認証のみ) ○ ○
ESP (暗号化/復号化のみ) ○ ○
ESP-Auth (暗号化/復号化と認証) ○ ○
AH+ESP ○ △(AHとESPを別々に処理)
AH+ESP-Auth ×(ソフトウェア処理) △(AHとESPを別々に処理)
※ ただし、どの組み合わせでも、オプションヘッダを含む場合はソフトウェア処理となる。