interface.ipsec[].ipv6

静的IPv6アドレスを使用してルーティングベースIPsecを構成する場合のコンフィグパラメータ

IPsecインタフェース

IPsec/IKEプロトコルにより、ルーティングベースIPsecのトンネルを構成する論理インタフェースです。

コンフィグパラメータ

interface.ipsec[]...

設定数とインタフェース名

表 1. 設定数とインタフェース名
機種	設定上限	インタフェース名
SA-W2 SA-W2L	64個	ipsec0 - ipsec63

IPsecインタフェースの設定

キーバリュー

interface.ipsec[].ipv6.source: IPsec/IKEの接続元（自分側）IPv6アドレス
制約事項: 省略不可

<IPv6address>

IPv6アドレス

any

任意のアドレス

IKEv2使用時（...ike.version : 2 設定時）のみ指定できます。
...ipv6.destination : any と同時に設定できません。
...ike.v2.my-identifier.type : address と同時に設定できません。

interface.ipsec[].ipv6.destination: IPsec/IKEの対向装置（相手側）IPv6アドレス
制約事項: 省略不可

<IPv6address>

IPv6アドレス

any

任意のアドレス

IKEv2使用時（...ike.version : 2 設定時）のみ指定できます。
...ipv6.source : any と同時に設定できません。
...ike.v2.peers-identifier.type : address と同時に設定できません。

interface.ipsec[].preshared-key: IKEの事前共有鍵
制約事項: 省略不可

<String>

文字数	使用できない文字
12-128	空白

interface.ipsec[].ipv4.address: インタフェースのIPv4アドレス
制約事項: IPv4アドレスを設定した場合は ...ipv4.remote を省略不可

<IPv4address/Prefixlen>

IPv4アドレスとプレフィックス長

<Interface>

Unnumberedインタフェースとし、指定インタフェースからIPv4アドレスを借りる

ge[]
wlan[]
bridge[]
vlan[]
loopback0

デフォルト値: ge1

interface.ipsec[].ipv4.remote: インタフェースのリモート側IPv4アドレス

<IPv4address>: IPv4アドレス

interface.ipsec[].mtu: インタフェースのMTU

<Size>

MTU値

範囲	単位
1280-1500	Octet

デフォルト値: 1500

interface.ipsec[].ipv4.tcp-mss: IPsecトンネル上のIPv4通信のTCP-MSS調整

<Size>

TCP MSS値

範囲	単位
32-32767	Octet

none

調整しない

デフォルト値: 1240

interface.ipsec[].description: インタフェースの説明
ヒント: 用途等を把握しやすくするための文字列を設定できます。動作に影響しません。

<String>

文字数
0-64

interface.ipsec[].passive-mode: 受動モードでの動作

enable

有効化

暗号化対象の送信パケットが発生するまで接続開始しない

disable

無効化

設定され次第自動的に接続を開始する

デフォルト値: disable

interface.ipsec[].nat-traversal: IPsec NAT Traversalの使用

enable

有効化

アドレス書換を検知するとUDPによるカプセル化を適用します。

force

強制モードで有効化

アドレス書換の有無によらずUDPによるカプセル化を適用します。

デフォルト値: enable

注:

ESPパケットをUDPでカプセル化する必要がある場合に force を設定してください。
対向機器がNAT Traversalに対応しない場合は無効化されます。
IPv6のNATによるアドレス書換に未対応のため、NATが適用されるネットワーク間で利用することはできません。

IKEプロポーザルの設定

対向装置とパラメータのすり合わせが必要な場合に設定します。

キー

バリュー

interface.ipsec[].ike.proposal.phase1.encryption.[].algorithm

IKE Phase1プロポーザルに含める暗号アルゴリズム

設定上限: 4個

<Keyword>

使用可能な暗号アルゴリズム
aes128, aes192, aes256, 3des, des

未指定時はaes256, aes128をプロポーザルに含めます。
優先度はインデックス番号の昇順に従います。

interface.ipsec[].ike.proposal.phase1.hash.[].algorithm

IKE Phase1プロポーザルに含めるハッシュアルゴリズム

設定上限: 4個

<Keyword>

使用可能なハッシュアルゴリズム
sha1, sha256, sha384, sha512, md5

未指定時はsha256, sha1をプロポーザルに含めます。
優先度はインデックス番号の昇順に従います。

interface.ipsec[].ike.proposal.phase1.dh-group: IKE Phase1プロポーザルに含めるISAKMP SAのDHグループ

<Keyword>

使用可能なDHグループ
modp1024, modp1536, modp2048, modp3072, modp4096, mopd6144, modp8192

デフォルト値: modp1536

interface.ipsec[].ike.proposal.phase1.lifetime: IKE Phase1プロポーザルに含めるISAKMP SAのライフタイム

<Time>

範囲	書式
1m-1440h	[書式の詳細]

デフォルト値: 24h

interface.ipsec[].ike.proposal.phase2.authentication.[].algorithm

IKE Phase2プロポーザルに含める認証アルゴリズム

設定上限: 4個

<Keyword>

使用可能な認証アルゴリズム
hmac-sha512, hmac-sha384, hmac-sha256, hmac-sha1, hmac-md5

未指定時はhmac-sha256, hmac-sha1をプロポーザルに含めます。
優先度はインデックス番号の昇順に従います。

interface.ipsec[].ike.proposal.phase2.encryption.[].algorithm

IKE Phase2プロポーザルに含める暗号アルゴリズム

設定上限: 4個

<Keyword>

使用可能な暗号アルゴリズム
aes128, aes192, aes256, 3des, des

未指定時はaes256, aes128をプロポーザルに含めます。
優先度はインデックス番号の昇順に従います。

interface.ipsec[].ike.proposal.phase2.pfs-group: IKE Phase2プロポーザルに含めるIPsec SAのPFSグループ

<Keyword>

使用可能なPFSグループ
modp1024, modp1536, modp2048, modp3072, modp4096, mopd6144, modp8192

interface.ipsec[].ike.proposal.phase2.lifetime-of-time: IKE Phase2プロポーザルに含めるIPsec SAのライフタイム

<Time>

範囲	書式
1m-1440h	[書式の詳細]

デフォルト値: 8h

interface.ipsec[].ike.proposal.phase2.use-transport-mode: IKE Phase2プロポーザルに含めるIPsec SAの通信モードにトランスポートモードを指定する

enable: 有効化
disable: 無効化

デフォルト値: disable

IKEv2の詳細パラメータの設定

IKEv1の代わりにIKEv2を使用する場合に設定します。

キーバリュー

interface.ipsec[].ike.version: 使用するIKEバージョン

制約事項: IKEv2を使用する場合は省略不可（2を指定する）

1: IKEv1
2: IKEv2

デフォルト値: 1

interface.ipsec[].ike.v2.my-identifier.type: 自己識別子の種類

address: IPアドレス
fqdn: FQDN
user-fqdn: ユーザFQDN

デフォルト値: address

interface.ipsec[].ike.v2.my-identifier.fqdn: FQDN形式の自己識別子

<String>

文字数
1-255

interface.ipsec[].ike.v2.my-identifier.user-fqdn: ユーザFQDN（メールアドレス）形式の自己識別子

<String>

文字数	制約
1-255	ローカルパート（＠の左側）は64文字以内

interface.ipsec[].ike.v2.peers-identifier.type: 相手識別子の種類

address: IPアドレス
fqdn: FQDN
user-fqdn: ユーザFQDN

interface.ipsec[].ike.v2.peers-identifier.fqdn: FQDN形式の自己識別子

<String>

文字数
1-255

interface.ipsec[].ike.v2.peers-identifier.user-fqdn: ユーザFQDN（メールアドレス）形式の自己識別子

<String>

文字数	制約
1-255	ローカルパート（＠の左側）は64文字以内

interface.ipsec[].ike.v2.keepalive: IKEv2 Keepaliveの動作

制約事項:...passive-modeが設定されている場合、このキーは無視されます

enable: 有効化
disable: 無効化

デフォルト値: enable

interface.ipsec[].ike.v2.responder-only

レスポンダ（受動側）専用としIKE Phase1の自動折衝開始を抑止する

ike.auto-initiation : enableが設定されていても抑止します
有効なPhase1セッションを保持しているときのPhase2の折衝開始には影響しません

制約事項:...passive-modeが設定されている場合、このキーは無視されます

enable: 有効化
disable: 無効化

デフォルト値: disable

interface.ipsec[].ike.v2.mobike: IKEv2 MOBIKEの動作

enable: 有効化
disable: 無効化

デフォルト値: disable

interface.ipsec[].ike.v2.proposal.ike-sa.encryption.[].algorithm

IKE-SAのプロポーザルに含める暗号アルゴリズム

設定上限: 3個

<Keyword>

使用可能なアルゴリズム
aes128, aes192, aes256

未指定時はaes256をプロポーザルに含めます。
優先度はインデックス番号の昇順に従います。

interface.ipsec[].ike.v2.proposal.ike-sa.prf.[].algorithm

IKE-SAのプロポーザルに含めるPRFアルゴリズム

設定上限: 4個

<Keyword>

使用可能なアルゴリズム
hmac-md5, hmac-sha1, hmac-sha256, hmac-sha384, hmac-sha512

未指定時はhmac-sha256をプロポーザルに含めます。
優先度はインデックス番号の昇順に従います。

interface.ipsec[].ike.v2.proposal.ike-sa.integrity.[].algorithm

IKE-SAのプロポーザルに含める完全性アルゴリズム

設定上限: 4個

<Keyword>

使用可能なアルゴリズム
hmac-md5, hmac-sha1, hmac-sha256, hmac-sha384, hmac-sha512

未指定時はhmac-sha256をプロポーザルに含めます。
優先度はインデックス番号の昇順に従います。

interface.ipsec[].ike.v2.proposal.ike-sa.dh-group.[].algorithm: IKE-SAのプロポーザルに含めるDHグループ

<Keyword>

使用可能なアルゴリズム
modp1024, modp1536, modp2048, ecp192, ecp224, ecp256, ecp384, ecp521, curve25519

未指定時はmodp2048およびecp521をプロポーザルに含めます。
優先度はインデックス番号の昇順に従います。

interface.ipsec[].ike.v2.proposal.ike-sa.lifetime: IKE-SAのライフタイム

<Time>

範囲	書式
1m-1440h	[書式の詳細]

デフォルト値: 8h

interface.ipsec[].ike.v2.proposal.child-sa.encryption.[].algorithm

CHILD-SAのプロポーザルに含める暗号アルゴリズム

設定上限: 3個

<Keyword>

使用可能なアルゴリズム
aes128, aes192, aes256

未指定時はaes256をプロポーザルに含めます。
優先度はインデックス番号の昇順に従います。

interface.ipsec[].ike.v2.proposal.child-sa.integrity.[].algorithm

CHILD-SAのプロポーザルに含める完全性アルゴリズム

設定上限: 4個

<Keyword>

使用可能なアルゴリズム
hmac-md5, hmac-sha1, hmac-sha256, hmac-sha384, hmac-sha512

未指定時はhmac-sha256をプロポーザルに含めます。
優先度はインデックス番号の昇順に従います。

interface.ipsec[].ike.v2.proposal.child-sa.pfs-group.[].algorithm: CHILD-SAのプロポーザルに含めるPFSグループ

none

使用しない

<Keyword>

使用可能なアルゴリズム
modp1024, modp1536, modp2048, ecp192, ecp224, ecp256, ecp384, ecp521, curve25519

noneと同時に設定できません。
優先度はインデックス番号の昇順に従います。

デフォルト値: none

interface.ipsec[].ike.v2.proposal.child-sa.lifetime-of-time: CHILD-SAのライフタイム

<Time>

範囲	書式
1m-1440h	[書式の詳細]

デフォルト値: 7h30m

interface.ipsec[].ike.v2.proposal.child-sa.use-transport-mode: 通信モードにトランスポートモードを使用する

enable: 有効化
disable: 無効化

デフォルト値: disable

interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[]

CHILD-SAのプロポーザルに含めるTraffic Selector

設定上限: 4個

interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].source.ipv4.address: Traffic Selector - Initiator のIPv4アドレス

<IPv4Networkaddress/Prefixlen>: IPv4ネットワークアドレスとプレフィックス長

注:

IPv4のTraffic Selectorを設定する場合は、...source.ipv4.addressと...destination.ipv4.addressを両方指定する必要があります。
IPv4のTraffic SelectorとIPv6のTraffic Selectorを両方設定する場合は、それぞれ異なるエントリに設定する必要があります。

interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].destination.ipv4.address: Traffic Selector - Responder のIPv4アドレス

<IPv4Networkaddress/Prefixlen>: IPv4ネットワークアドレスとプレフィックス長

注:

IPv4のTraffic Selectorを設定する場合は、...source.ipv4.addressと...destination.ipv4.addressを両方指定する必要があります。
IPv4のTraffic SelectorとIPv6のTraffic Selectorを両方設定する場合は、それぞれ異なるエントリに設定する必要があります。

interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].source.ipv6.address: Traffic Selector - Initiator のIPv6アドレス

<IPv6Networkaddress/Prefixlen>: IPv6ネットワークアドレスとプレフィックス長

注:

IPv6のTraffic Selectorを設定する場合は、...source.ipv6.addressと...destination.ipv6.addressを両方指定する必要があります。
IPv4のTraffic SelectorとIPv6のTraffic Selectorを両方設定する場合は、それぞれ異なるエントリに設定する必要があります。

interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].destination.ipv6.address: Traffic Selector - Responder のIPv6アドレス

<IPv6Networkaddress/Prefixlen>: IPv6ネットワークアドレスとプレフィックス長

注:

IPv6のTraffic Selectorを設定する場合は、...source.ipv6.addressと...destination.ipv6.addressを両方指定する必要があります。
IPv4のTraffic SelectorとIPv6のTraffic Selectorを両方設定する場合は、それぞれ異なるエントリに設定する必要があります。

interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].protocol: Traffic Selectorのプロトコル

<Number>

プロトコル番号

範囲
0-254

<Keyword>

使用可能なプロトコル名
ipv4, ipv6, icmp, ipv6-icmp, tcp, udp, igmp, ah, esp

any

任意のプロトコル

デフォルト値: any

注:

IPv4のTraffic Selectorを設定する場合はipv6-icmpを指定できません
IPv6のTraffic Selectorを設定する場合はicmpを指定できません

interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].source.port: Traffic Selector - Initiatorのポート番号

<Number>

範囲
0-65535

0を指定した場合は0-65535として扱います。

デフォルト値: 0-65535

interface.ipsec[].ike.v2.proposal.child-sa.proxy-traffic-selector.[].destination.port: Traffic Selector - Responderのポート番号

<Number>

範囲
0-65535

0を指定した場合は0-65535として扱います。

デフォルト値: 0-65535

Note

IPsecインタフェースのキーの設定が変更されると、当該インタフェースのIPsec/IKE接続は一旦切断され再接続を試みます。