IKEパラメータの既定値
本装置が用いるIKEパラメータの既定値を紹介します。
SA-W2シリーズ
ヒント:
IPsec/IKEを使用して他の機種とVPNを接続する場合は、一時的にVPN通信が可能であっても実装上の差異(値の解釈や挙動の違いなど)により突然通信不能に陥る可能性があるため、IKEパラメータの同一性について注意する必要があります。
| パラメータ | 項目 | 値 |
|---|---|---|
|
IKEの調整項目 (IKE Phase-1) |
暗号アルゴリズム | AES256, AES128 |
| ハッシュアルゴリズム |
SHA-256, SHA-1 |
|
| DHグループ | MODP1536 | |
| ライフタイム | 86400秒 | |
|
IPsecの調整項目 (IKE Phase-2) |
暗号アルゴリズム | AES256, AES128 |
| メッセージ認証アルゴリズム |
HMAC-SHA-256, HMAC-SHA-1 |
|
| ライフタイム | 28800秒(イニシエータに従う) | |
| PFSグループ | なし(イニシエータに従う) | |
| 暗号化対象プロトコル | IPv4のみ | |
| IKEの対向との調整項目 | 鍵交換モード:既定値 | メインモード |
| 鍵交換モード:アドレス書き換え検知使用時 | アグレッシブモード | |
| ポート番号 | UDP 500 | |
| 値の同一性確認の厳密さ | イニシエータに従う | |
| INITIAL-CONTACTメッセージ | 送信する | |
| 自己識別子 | IPアドレス | |
| 相手識別子 | IPアドレス | |
| Nonce値の大きさ | 16 bytes | |
| DPD(Dead Peer Detection) | 有効 | |
| パディング値のランダム化 | 有効 | |
| パディング長のランダム化 | 無効 | |
| ランダム化したパディング長の最大値 | 20 bytes | |
| パディングの末尾のパディング長の検査 | 無効 | |
| パディングの末尾のパディングに自身の長さを含める | 有効 | |
| 再送回数 | 5回 | |
| 再送間隔 | 10秒 | |
| Phase-1のタイムアウト | 30秒 | |
| Phase-2のタイムアウト | 30秒 | |
| 1回の送信で送るパケット数 | 1個 | |
| DPDの送信間隔 | 20秒 | |
| DPDで接続断と見なす連続無応答回数 | 5回 | |
| IPsecセキュリティアソシエーション | セキュリティプロトコル | ESP有効, AH無効 |
IKEv2
| パラメータ | 項目 | 値 |
|---|---|---|
|
IKE SA |
暗号アルゴリズム | AES256, AES192, AES128 |
| 認証アルゴリズム | HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256, HMAC-SHA-1 | |
| PRF | HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256, HMAC-SHA-1 | |
| DHグループ | CURVE25519, MODP2048, ECP521, MODP1024 | |
| ライフタイム | 8h | |
|
CHILD SA |
暗号アルゴリズム | AES256, AES192, AES128 |
| 認証アルゴリズム | HMAC-SHA-512, HMAC-SHA-384, HMAC-SHA-256, HMAC-SHA-1 | |
| ライフタイム | 7.5h | |
| ライフバイト | なし | |
| PFSグループ | なし | |
| 暗号化対象プロトコル | IPv4 | |
| IKEの対向との調整項目 | INITIAL-CONTACT | メッセージ 送信しない |
| 自己識別子 | IPアドレス、FQDN、User-FQDN | |
| 相手識別子 | IPアドレス、FQDN、User-FQDN | |
| IKEv2 Keepalive | 有効 | |
| トンネルインタフェースモード | 有効 | |
| 再送回数 | 5回 | |
| 再送間隔 | 2秒 ^ 再送回数 (Keepalive も共通) | |
| 初回折衝のタイムアウト | 60秒 | |
| Rekey のタイムアウト | 30秒 (IKE SA の rekey のみ) | |
| 1回の送信で送るパケット数 | 1個 | |
| Keepaliveの送信間隔 | 20秒 | |
| NAT-T Keepalive の送信間隔 | 120秒 | |
| MOBIKE(RFC4555) | 有効 | |
| NAT Traversal | 有効 | |
| IPsecセキュリティアソシエーション | セキュリティプロトコル | ESP有効, AH無効 |
ポリシーベースIPsec
| パラメータ | 項目 | 値 |
|---|---|---|
|
IKEの調整項目 (IKE Phase-1) |
暗号アルゴリズム | AES256, AES128, 3DES |
| ハッシュアルゴリズム | SHA-256, SHA-1 | |
| DHグループ | MODP1536 | |
| ライフタイム | 86400秒 | |
|
IPsecの調整項目 (IKE Phase-2) |
暗号アルゴリズム | AES256, AES128, 3DES |
| メッセージ認証アルゴリズム | HMAC-SHA-256, HMAC-SHA-1 | |
| ライフタイム | 28800秒(イニシエータに従う) | |
| PFSグループ | なし(イニシエータに従う) | |
| 暗号化対象プロトコル | IPv4のみ | |
| IKEの対向との調整項目 | 鍵交換モード | コンフィグで指定必須(メインモード, アグレッシブモード) |
| ポート番号 | UDP 500 | |
| 値の同一性確認の厳密さ | イニシエータに従う | |
| INITIAL-CONTACTメッセージ | 送信する | |
| 自己識別子 | IPアドレス | |
| 相手識別子 | IPアドレス | |
| Nonce値の大きさ | 16 bytes | |
| DPD(Dead Peer Detection) | 無効 | |
| パディング値のランダム化 | 有効 | |
| パディング長のランダム化 | 無効 | |
| ランダム化したパディング長の最大値 | 20 bytes | |
| パディングの末尾のパディング長の検査 | 無効 | |
| パディングの末尾のパディングに自身の長さを含める | 有効 | |
| 再送回数 | 5回 | |
| 再送間隔 | 10秒 | |
| Phase-1のタイムアウト | 30秒 | |
| Phase-2のタイムアウト | 30秒 | |
| 1回の送信で送るパケット数 | 1個 | |
| DPDの送信間隔 | 20秒 | |
| DPDで接続断と見なす連続無応答回数 | 5回 | |
| IPsecセキュリティアソシエーション | セキュリティプロトコル | ESP有効, AH無効 |
L2TPv3 + IPsec
| パラメータ | 項目 | 値 |
|---|---|---|
|
IKEの調整項目 (IKE Phase-1) |
暗号アルゴリズム | AES256, AES128 |
| ハッシュアルゴリズム |
SHA-256, SHA-1 |
|
| DHグループ | MODP1536 | |
| ライフタイム | 86400秒 | |
|
IPsecの調整項目 (IKE Phase-2) |
暗号アルゴリズム | AES256, AES128 |
| メッセージ認証アルゴリズム |
HMAC-SHA-256, HMAC-SHA-1 |
|
| ライフタイム | 28800秒(イニシエータに従う) | |
| PFSグループ | なし(イニシエータに従う) | |
| 暗号化対象プロトコル | IPv4のみ | |
| IKEの対向との調整項目 | 鍵交換モード:既定値 | メインモード |
| 鍵交換モード:アドレス書き換え検知使用時 | アグレッシブモード | |
| ポート番号 | UDP 500 | |
| 値の同一性確認の厳密さ | イニシエータに従う | |
| INITIAL-CONTACTメッセージ | 送信する | |
| 自己識別子 | IPアドレス | |
| 相手識別子 | IPアドレス | |
| Nonce値の大きさ | 16 bytes | |
| DPD(Dead Peer Detection) | 有効 | |
| パディング値のランダム化 | 有効 | |
| パディング長のランダム化 | 無効 | |
| ランダム化したパディング長の最大値 | 20 bytes | |
| パディングの末尾のパディング長の検査 | 無効 | |
| パディングの末尾のパディングに自身の長さを含める | 有効 | |
| 再送回数 | 5回 | |
| 再送間隔 | 10秒 | |
| Phase-1のタイムアウト | 30秒 | |
| Phase-2のタイムアウト | 30秒 | |
| 1回の送信で送るパケット数 | 1個 | |
| DPDの送信間隔 | 20秒 | |
| DPDで接続断と見なす連続無応答回数 | 5回 | |
| IPsecセキュリティアソシエーション | セキュリティプロトコル | ESP有効, AH無効 |
L2TP/IPsec (PPPAC)
| DHグループ | 暗号アルゴリズム | ハッシュアルゴリズム | ライフタイム |
|---|---|---|---|
| MODP2048 | AES256 | SHA-1 | 8時間 |
| MODP1024 | AES256 | SHA-1 | 8時間 |
| MODP1536 | AES256 | SHA-1 | 8時間 |
| MODP1024 | 3DES | SHA-1 | 8時間 |
| MODP1024 | 3DES | MD5 | 8時間 |
| PFSグループ | 暗号アルゴリズム | メッセージ認証アルゴリズム | ライフタイム |
|---|---|---|---|
| なし | AES256, AES128, 3DES | HMAC-SHA-1, HMAC-MD5 | 1時間 |
| 送信元IPアドレス : ポート番号 | 送信先 : ポート番号 | プロトコル | AH | ESP | モード | ポリシー |
|---|---|---|---|---|---|---|
| 自身のIPアドレス : 1701 | any : any | UDP | なし | あり | トランスポート | IPsec必須 |
| any : any | 自身のIPアドレス : 1701 | UDP | なし | あり | トランスポート | IPsec必須 |
| 項目 | 値 |
|---|---|
| 鍵交換モード | メインモード |
| ポート番号 | UDP 500, 4500 |
| 値の同一性確認の厳密さ | イニシエータに従う |
| INITIAL-CONTACTメッセージ | 送信する |
| 自己識別子 | IPアドレス |
| 相手識別子 | IPアドレス |
| Nonce値の大きさ | 16 bytes |
| DPD(Dead Peer Detection) | 無効 |
| パディング値のランダム化 | 有効 |
| パディング長のランダム化 | 無効 |
| ランダム化したパディング長の最大値 | 20 bytes |
| パディングの末尾のパディング長の検査 | 無効 |
| パディングの末尾のパディングに自身の長さを含める | 有効 |
| 再送回数 | 5回 |
| 再送間隔 | 10秒 |
| Phase-1のタイムアウト | 30秒 |
| Phase-2のタイムアウト | 30秒 |
| 1回の送信で送るパケット数 | 1個 |