第 2 章 設定コマンド
2.14 IKE 設定 (ike)
2.14 IKE 設定 (ike)
2.14.1 IKE の再送の設定
[概要]
IKEのパケットの再送に関する設定を行う。
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
ike retry { <retry> | system-default } ike interval { <interval> | system-default }
ike phase1-timeout { <phase1-timeout> | system-default } ike phase2-timeout { <phase2-timeout> | system-default } ike per-send { <packets> | system-default }
[パラメータ]
<retry> 再送回数(1〜2147483647回)
<interval> 再送間隔(1〜86400秒)
<phase1-timeout> フェーズ1でのタイムアウト時間(1〜86400秒)
<phase2-timeout> フェーズ2でのタイムアウト時間(1〜86400秒)
<packets> 1回の送信で送られるパケット数(1〜65535パケット) system-default SEILの標準設定
[デフォルト値]
retry 5 interval 10 phase1-timeout 30 phase2-timeout 30 per-send 1
2.14.2 IKE の自動接続設定
[概要]
IKEのパケットの自動接続の有効/無効に関する設定を行う。
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
第2章 設定コマンド
2.14. IKE設定(ike) FutureNet CS-SEILシリーズ
ike auto-initiation { enable | disable | system-default }
[パラメータ]
enable 自動接続を有効にする
disable 自動接続を無効にする
system-default SEILの標準設定
[デフォルト値]
disable
[説明]
有効である場合、IPsec/IKEの設定が行われておりSAが張られていないときに、自動的にSAを張 る動作を行います。
2.14.3 IKE のパディングの設定
[概要]
IKEのパディングに関する設定を行う。
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
ike randomize-padding-value { enable | disable | system-default } ike randomize-padding-length { enable | disable | system-default } ike maximum-padding-length { <length> | system-default }
ike strict-padding-byte-check { enable | disable | system-default } ike exclusive-tail { enable | disable | system-default }
[パラメータ]
randomize-padding-value パディング値のランダム化の有無 randomize-padding-length パディング長のランダム化の有無
<length> ランダム化したパディング長の最大値(1〜65535bytes)
strict-padding-byte-check パディングの末尾のパディング長を検査するかどうか。
exclusive-tail パディングの末尾のパディング長に、それ自身の長さを含めるかど
うか。
system-default SEILの標準設定
第2章 設定コマンド
2.14. IKE設定(ike) FutureNet CS-SEILシリーズ
[デフォルト値]
randomize-padding-value enable randomize-padding-length disable maximum-padding-length 20
strict-padding-byte-check disable exclusive-tail enable
2.14.4 IKE Peer の追加
[概要]
IKE peerの設定を行う。
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
ike peer add <peer name> exchange-mode { main | aggressive | base } proposals <proposal>,...address { <address> | dynamic }
[port { <port> | system-default }]
[check-level { <level> | system-default }]
[initial-contact { enable | disable | system-default }] [my-identifier [{ fqdn | user-fqdn } <psk name>
| address | system-default]]
[nonce-size { <size> | system-default }]
[peers-identifier [{ fqdn | user-fqdn } <psk name>
| address | system-default]]
[variable-size-key-exchange-payload { enable | disable | system-default }] [tunnel-interface { enable | disable }]
[パラメータ]
<peer name> IKE Peer名(1-16文字) exchange-mode フェーズ1で使用するモード
<proposal> 使用するIKEプロポーザル名のリスト
<address> IKEで通信する相手のIPアドレス
dynamic 動的IPアドレスからの接続を受け付ける
<port> IKEで通信する相手のポート番号
<level>
obey フェーズ2のlifetimeおよびPFSは始動側に従う
第2章 設定コマンド
2.14. IKE設定(ike) FutureNet CS-SEILシリーズ
claim フェーズ2のlifetimeは短いものを、PFSは一致したものを使う strict フェーズ2のlifetimeは始動側が短ければ使用し、PFSは一致したも
のを使う
exact フェーズ2のlifetimeおよびPFSは一致したもののみを使う initial-contact INITIAL-CONTACTメッセージの使用/不使用の設定
<my-identifier>
fqdn 自己識別子としてFQDNを使う
user-fqdn 自己識別子としてユーザーFQDNを使う
address 自己識別子としてIPアドレスを使う
<psk name> 事前共有鍵の識別子
<size>
8〜256 Nonce値の大きさ(bytes)
<peers-identifier>
fqdn 相手識別子としてFQDNを使う
user-fqdn 相手識別子としてユーザーFQDNを使う
address 相手識別子としてIPアドレスを使う
variable-size-key-exchange-payload 鍵交換ペイロードのサイズを可変とするかどうか の設定
tunnel-interface トンネルインタフェースの使用/不使用の設定 system-default SEILの標準設定
[デフォルト値]
port 500
check-level strict initial-contact enable my-identifier address nonce-size 16
peers-identifier address
variable-size-key-exchange-payload disable tunnel-interface disable
generate-policy enable
[説明]
この設定は、IKE フェーズ1のパラメータとなります。
IKEプロポーザル名はカンマ区切りで複数設定できます。最大8個まで設定できます。
ike peerコマンドは、IPv4、IPv6に対応しています。
第2章 設定コマンド
2.14. IKE設定(ike) FutureNet CS-SEILシリーズ
addressにdynamicを設定することで、動的IPアドレスからの接続を受け付けることができます。
この場合、exchange modeはaggressiveモードにのみ対応します。また、IPアドレスにより接 続相手を選択することができないため、必ずfqdnまたはuser-fqdnをpeers-identifierとし て設定する必要があります。
ipsecインタフェースを利用する場合は、tunnel-interfaceをenableにする必要があります。
CS-SEIL-510/C
最大64個まで設定ができます。
CS-SEIL/Turbo
最大256個まで設定ができます。
2.14.5 IKE Peer の変更
[概要]
IKE peer設定の変更を行う。
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
ike peer modify <peer name> [exchange-mode { main | aggressive | base }]
[proposals <proposal>,...] [address { <address> | dynamic }]
[port { <port> | system-default }]
[check-level { <level> | system-default }]
[initial-contact { enable | disable | system-default }] [my-identifier [{ fqdn | user-fqdn } <psk name>
| address | system-default]]
[nonce-size { <size> | system-default }]
[peers-identifier [{ fqdn | user-fqdn } <psk name>
| address | system-default]]
[variable-size-key-exchange-payload { enable | disable | system-default }]
[パラメータ]
前項を参照
[説明]
ike peerコマンドは、IPv4、IPv6に対応しています。
2.14.6 IKE Peer の削除
[概要]
IKE peer設定の削除を行う。
第2章 設定コマンド
2.14. IKE設定(ike) FutureNet CS-SEILシリーズ
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
ike peer delete <peer name>...
ike peer delete all
[パラメータ]
<peer name> IKE Peer名
all 全てのIKE Peer設定
[説明]
ike peerコマンドは、IPv4、IPv6に対応しています。
2.14.7 IKE プロポーザルの追加
[概要]
IKEプロポーザルの設定を行う。
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
ike proposal add <ikep name>
authentication preshared-key encryption <enc algo>
hash <hash algo> dh-group <pfs-group>
[lifetime-of-time { <time> | system-default }]
[パラメータ]
<ikep name> IKEプロポーザル名(1-16文字) authentication 相手ホストを認証する方法
<enc algo> IKEで使用する暗号アルゴリズム
<hash algo> IKEで使用する認証アルゴリズム
<pfs-group> Diffie-Hellmanグループ
<time> IKEセキュリティアソシエーションの有効時間(1〜99999999秒)
system-default SEILの標準設定
第2章 設定コマンド
2.14. IKE設定(ike) FutureNet CS-SEILシリーズ
[デフォルト値]
lifetime-of-time 28800
[説明]
現在は、authentication に preshared-key(事前共有鍵)以外を使うことはできません。
Diffie-Hellmanグループは、modp768, modp1024, modp1536 の順で盗聴による鍵の解読が困 難になりますが、その分計算時間が長くなります。
使用できる認証アルゴリズムは、md5, sha1, sha256, sha384, sha512です。
使用できる暗号アルゴリズムは、3des, des, blowfish, cast128, aes, aes128, aes192, aes256です。
最大64個まで登録できます。
lifetime-of-time は、d、h、mを末尾に付けることで、日単位、時単位、分単位での指定が可能 です。d、h、mは組み合わせて利用することもできます。省略した場合は秒単位となります。
AESの鍵長が始動者側、応答者側で不一致の場合は始動者側の設定を優先します。
2.14.8 IKE プロポーザルの変更
[概要]
IKEプロポーザル設定の変更を行う。
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
ike proposal modify <ikep name>
[authentication preshared-key] [encryption <enc algo>] [hash <hash algo>] [dh-group <pfs-group>]
[lifetime-of-time { <time> | system-default }]
[パラメータ]
前項を参照
2.14.9 IKE プロポーザルの削除
[概要]
IKEプロポーザル設定の削除を行う。
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
ike proposal delete <ikep name>...
第2章 設定コマンド
2.14. IKE設定(ike) FutureNet CS-SEILシリーズ
ike proposal delete all
[パラメータ]
<ikep name> IKEプロポーザル名
all 全てのIKEプロポーザル設定
2.14.10 IKE 事前共有鍵の追加
[概要]
IKEで通信を開始するために使用する事前共有鍵の設定を行う。
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
ike preshared-key add <psk name> <key>
[パラメータ]
<psk name> 事前共有鍵の識別子(1-256文字)
<key> 事前共有鍵(1-64文字)
[説明]
事前共有鍵の識別子には peer 識別子と同じ文字列を設定します。peer 識別子には IP アドレ ス、FQDN、ユーザーFQDN形式があります。
事前共有鍵として "0x" で始まる16進数形式で表記でき、"0x" を除いて128文字まで入力でき ます。
ike preshared-keyは、IPv4、IPv6に対応しています。
CS-SEIL-510/C
最大64個まで登録できます。
CS-SEIL/Turbo
最大256個まで登録できます。
2.14.11 IKE 事前共有鍵の変更
[概要]
IKEで通信を開始するために使用する事前共有鍵設定の変更を行う。
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
第2章 設定コマンド
2.14. IKE設定(ike) FutureNet CS-SEILシリーズ
ike preshared-key modify <psk name> <key>
[パラメータ]
<psk name> 事前共有鍵の識別子(1-256文字)
<key> 事前共有鍵(1-64文字)
2.14.12 IKE 事前共有鍵の削除
[概要]
事前共有鍵設定の削除を行う。
[入力形式]
CS-SEIL-510/C CS-SEIL/Turbo
ike preshared-key delete <psk name>...
ike preshared-key delete all
[パラメータ]
<psk name> 事前共有鍵の識別子 all 全ての事前共有鍵
第2章 設定コマンド