セキュリティアソシエーションの追加

［概要］

IPsecで通信を行うためのセキュリティアソシエーションを設定する。

［入力形式］

CS-SEIL-510/C CS-SEIL/Turbo

ipsec security-association add <SA name>

{ { tunnel | transport }

{ <start IPaddress> <end IPaddress> | <start Interface> <end IPaddress>

| dynamic | auto | any } | tunnel-interface <ipsec Interface> } [to-auth { none | ah <spi> <ah auth algorithm> <auth keyphrase> }] [to-encap { esp <spi> <esp algorithm> <esp keyphrase> |

esp-auth <spi> <esp algorithm> <esp keyphrase>

<auth algorithm> <auth keyphrase> }]

[from-auth { none | ah <spi> <auth algorithm> <auth keyphrase> }] [from-encap { esp <spi> <esp algorithm> <esp keyphrase> |

esp-auth <spi> <esp algorithm> <esp keyphrase>

<auth algorithm> <auth keyphrase> }]

［パラメータ］

<SA name> セキュリティアソシエーション名(1-16文字, [a-zA-Z0-9 ])

<start IPaddress> IPsecで認証/暗号化を行うトンネルの始点IPアドレス

<end IPaddress> IPsecで認証/暗号化を行うトンネルの終点IPアドレス

dynamic IPsecで認証/暗号化を行うトンネルの始点/終点IPアドレスに動的ア ドレスを利用する

auto IPsecで認証/暗号化を行うトンネルの始点/終点IPアドレスに動的ア

第2章 設定コマンド

2.13. IPsec設定(ipsec) FutureNet CS-SEILシリーズ

ドレスを利用し、対応するセキュリティポリシを自動生成する any トランスポートモードの場合にIPsecで認証/暗号化を行う始点/終点

IPアドレスを無制限にする。

tunnel トンネルモードでIPsecを使用する

transport トランスポートモードでIPsecを使用する

tunnel-interface トンネルインタフェースモードでIPsecを利用する

<spi>

0x100〜0xffffffff セキュリティアソシエーションを一意に識別するための値

<auth algorithm> 認証アルゴリズム

<esp algorithm> 暗号アルゴリズム

<auth keyphrase> 認証パスワード（16進数、長さは「表2-1:IPsecの認証パスワードの 長さ」参照）

<esp keyphrase> 暗号化パスワード（16進数、長さは「表2-2:IPsecの暗号化パスワー ドの長さ」参照）

［デフォルト値］

to-auth none to-encap none from-auth none from-encap none

［説明］

トンネルモードはSEILを経由しての通信にIPsecを適用し、トランスポートモードはSEIL自身 が他のノードと安全な通信を行うためにIPsecを適用するモードです。

トンネルインタフェースモードはトンネルモードとほぼ同じですが、ipsecインタフェースを利用 して通信を行なうモードです。

ipsecインタフェースでは通常のトンネルインタフェースと同様の経路制御が可能です。

<start IPaddress>はSEILのIPアドレスでなければなりません。各インタフェースに付けたIPア ドレスおよびNAPTのグローバルアドレスの設定で指定したIPアドレスを使用する事ができます。

<start IPaddress>の代わりに<start Interface>を指定すると、指定したインタフェースのアドレスを 自動的に取得して利用します。インタフェースのアドレスが動的に変更された場合も自動的にアド レスを再取得してセキュリティアソシエーションを作成し直します。

to-authはSEILからの送信時に認証ヘッダを付ける設定、from-authはSEILが受信時に認証ヘッ ダを確認する設定です。to-encapはSEILからの送信時にパケットを暗号化する設定、from-encap はSEILが受信時に暗号化されたパケットを復号する設定です。

トンネルモードでは、to-encap、from-encap を省略することはできません。また、to-auth、

第2章 設定コマンド

2.13. IPsec設定(ipsec) FutureNet CS-SEILシリーズ

from-auth を設定すると通信できません。

専用ハードウェアを利用することができるアルゴリズムとプロトコルの組み合わせは「表2-3:専用 ハードウェアで処理されるアルゴリズム」および「表2-4:専用ハードウェアで処理されるプロトコ ルの組み合わせ」を参照してください.

アドレスにautoを指定した場合には、対向機器から通知された始点/終点アドレスとセキュリティ ポリシ情報を利用します。この際の、セキュリティポリシ情報は対向機器側のプリフィックス長が IPv4の場合32、IPv6の場合128でなければなりません。セキュリティポリシは設定する必要はあ りません。

ipsecコマンドは、IPv4、IPv6に対応しています。

CS-SEIL-510/C

最大64個まで設定できます。

CS-SEIL/Turbo

最大256個まで設定できます。

◆ 表2-1:IPsecの認証パスワードの長さ

アルゴリズム パスワードの長さ hmac-md5 32文字（128bit） keyed-md5 32文字（128bit） hmac-sha1 40文字（160bit） keyed-sha1 40文字（160bit）

◆ 表2-2:IPsecの暗号化パスワードの長さ

アルゴリズム パスワードの長さ

des 16文字（64bit）

3des 48文字（192bit）

blowfish 10〜112文字（40〜448bit） cast128 10〜32文字（40〜128bit） aes 32〜64文字（128〜256bit）

◆ 表2-3:専用ハードウェアで処理されるアルゴリズム 暗号アルゴリズム des, 3des , aes(CS-SEIL-510/Cのみ) 認証アルゴリズム hmac-md5, hmac-sha1

※ ただし、ESPで認証を行なう場合、暗号アルゴリズムと認証アルゴリズムの両者が表に含まれる 場合のみハードウェア処理が行なわれる。

◆ 表2-4:専用ハードウェアで処理されるプロトコルの組み合わせ

プロトコル 送信時 受信時

AH (認証のみ) ○ ○

ESP (暗号化/復号化のみ) ○ ○

ESP-Auth (暗号化/復号化と認証) ○ ○

AH + ESP ○ △(AHとESPを別々に処理)

AH + ESP-Auth ×(ソフトウェア処理) △(AHとESPを別々に処理)

※ ただし、どの組み合わせでも、オプションヘッダを含む場合はソフトウェア処理となる。

第2章 設定コマンド

2.13. IPsec設定(ipsec) FutureNet CS-SEILシリーズ