ike peer

IKE peerを設定する。

実行権限
admin
対象機種
SEIL/B1, SEIL/X1, SEIL/X2, SEIL/x86 Fuji, SEIL/BPV4

ike peer add

IKE peerの設定を追加する。

設定上限
機種 上限
SEIL/B1 64
SEIL/X1 256
SEIL/X2 512
SEIL/x86 Fuji 512
SEIL/BPV4 512
ike peer add <name>
  exchange-mode { main | aggressive }
  proposals <proposal>,...
  address { <IPaddress> | dynamic }
  [port { <port> | system-default }]
  [check-level { obey | claim | strict | exact | system-default }]
  [initial-contact { enable | disable | system-default }]
  [my-identifier { fqdn <identifier> | user-fqdn <identifier> | address | system-default }]
  [peers-identifier { fqdn <peers-identifier> | user-fqdn <peers-identifier> | address | system-default }]
  [nonce-size { <size> | system-default }]
  [variable-size-key-exchange-payload { enable | disable | system-default }]
  [tunnel-interface { enable | disable | system-default }]
  [dpd { enable | disable | system-default }]
  [esp-fragment-size { none | system-default | <size> }]
  [nat-traversal { enable | disable | force | system-default }]
  [send-transport-phase2-id { disable | enable | system-default }]
  [responder-only { on | off | system-default }]
  [prefer-new-phase1 { enable | disable | system-default }]
<name>
IKE peerの設定名
設定範囲 予約語
1-16文字 all
exchange-mode
フェーズ1の鍵交換モード
aggressive
aggressiveモードを使用する
main
mainモードを使用する
proposals
使用するIKEプロポーザル名のリスト
<proposal>
プロポーザル名を指定する
  • カンマ区切りで複数(8個まで)指定できます。
address
IKE対向のIPアドレス
<IPaddress>
指定したIPアドレスからの接続を受け付ける
dynamic
動的IPアドレスからの接続を受け付ける
port
使用するポート番号
<port>
ポート番号を指定する
設定範囲
1-65535
system-default
既定値を使用する
既定値
500
check-level
パラメータの同一性確認の厳密さ
obey
フェーズ2のlifetime及びPFSは始動側に従う
claim
フェーズ2のlifetimeは短いものを、PFSは一致したものを使う
strict
フェーズ2のlifetimeは始動側が短ければ使用し、PFSは一致したものを使う
exact
フェーズ2のlifetime及びPFSは一致したもののみを使う
system-default
既定値を使用する
既定値
strict
initial-contact
INITIAL-CONTACTメッセージの送信
enable
有効にする
disable
無効にする
system-default
既定値を使用する
既定値
enable
my-identifier
自己識別子の指定
fqdn
FQDN形式の文字列を使用する
user-fqdn
ユーザーFQDN形式の文字列を使用する
address
IPアドレスを使用する
<identifier>
自己識別子
設定範囲 書式
1-256文字 FQDNまたはユーザーFQDN
system-default
既定値を使用する
既定値
address
peers-identifier
相手識別子の指定
fqdn
FQDN形式の文字列を使用する
user-fqdn
ユーザーFQDN形式の文字列を使用する
address
IPアドレスを使用する
<peers-identifier>
相手識別子の文字列
  • "ike preshared-key"コマンドで設定済みの、対向の識別子を指定します
system-default
既定値を使用する
既定値
address
nonce-size
Nonce 値の大きさ
<size>
大きさを指定する
設定範囲 単位
8-256 Byte
system-default
既定値を使用する
既定値
16
variable-size-key-exchange-payload
可変長の鍵交換ペイロードの使用
enable
有効にする
disable
無効にする
system-default
既定値を使用する
既定値
disable
tunnel-interface
IPsecインタフェースでの使用
enable
有効にする
disable
無効にする
system-default
既定値を使用する
既定値
disable
dpd
DPD(Dead Peer Detection)の使用
enable
有効にする
disable
無効にする
system-default
既定値を使用する
既定値
disable
esp-fragment-size
パケット暗号化前のフラグメント処理
<size>
指定したサイズでフラグメントする
設定範囲 単位
576-1500 Byte
none
フラグメントしない
system-default
既定値を使用する
既定値
none
nat-traversal
NAT-Traversalの使用
enable
有効にする
disable
無効にする
force
NATを検出しない場合でもUDPによるカプセル化を行う
system-default
既定値を使用する
既定値
disable
send-transport-phase2-id
IKEフェーズ2においてトランスポートモードであってもIDペイロードを送信する
enable
有効にする
disable
無効にする
system-default
既定値を使用する
既定値
disable
responder-only
IKEフェーズ1の開始を待ち受けのみとする
on
使用する
off
使用しない
system-default
既定値を使用する
既定値
off
prefer-new-phase1
IKEフェーズ1が更新されたとき、既存のIKEフェーズ2(IPsec SA)を新しいIKEフェーズ1に関連付ける
  • 異機種間でのIKEフェーズ1の再折衝が安定しないとき、有効化することで安定が見込める場合があります。
enable
有効にする
disable
無効にする
system-default
既定値を使用する
既定値
disable

Note

IKE フェーズ1の折衝で使用するパラメータとなります。

addressにdynamicを設定することで、動的IPアドレスからの接続を受け付けることができます。 この場合、exchange_modeはaggressiveモードにのみ対応します。また、IPアドレスにより接続相手を選択できないため、必ずfqdnまたはuser-fqdnをpeers-identifierとして 設定する必要があります。

ipsecインタフェースを利用する場合は、tunnel-interfaceをenableにする必要があります。

DPDまたはNAT-Traversalを利用する場合は、対向側装置もDPDまたはNAT-Traversalに対応している必要があります。

NAT-Traversalを利用する場合は、portパラメータは無視されます。

同一NATの配下からのIPsecとL2TP/IPsec簡易設定を利用した接続は同時に利用できません。

responder-only onを指定した場合、ポリシーに一致する通信の発生や、auto-initiation enableの場合にもphase1の折衝を開始しません。ただし、phase1が既に確立している場合のphase2の折衝は開始します。

注: ike peerにdynamicが指定されている場合は、L2TP/IPsec簡易設定を同時に利用できません。

ike peer delete

IKE peerの設定を削除する。

ike peer delete { <name> ... | all }
<name>
対象の設定名
  • 空白区切りで列挙可能
all
すべて

ike peer modify

IKE peerの設定を変更する。

ike peer modify <name>
  [exchange-mode { main | aggressive }]
  [proposals <proposal>,...]
  [address { <IPaddress> | dynamic }]
  [port { <port> | system-default }]
  [check-level { obey | claim | strict | exact | system-default }]
  [initial-contact { enable | disable | system-default }]
  [my-identifier { fqdn <identifier> | user-fqdn <identifier> | address | system-default }]
  [peers-identifier { fqdn <peers-identifier> | user-fqdn <peers-identifier> | address | system-default }]
  [nonce-size { <size> | system-default }]
  [variable-size-key-exchange-payload { enable | disable | system-default }]
  [tunnel-interface { enable | disable }]
  [dpd { enable | disable | system-default }]
  [esp-fragment-size { none | system-default | <size> }]
  [nat-traversal { enable | disable | force | system-default }]
  [send-transport-phase2-id { disable | enable | system-default }]
  [responder-only {on | off | system-default }]
  [prefer-new-phase1 { enable | disable | system-default }]
<name>
対象の設定名