[index] CentreCOM AR450S コマンドリファレンス 2.9

CREATE IPSEC BUNDLESPECIFICATION

カテゴリー：IPsec / SAバンドルスペック

CREATE IPSEC BUNDLESPECIFICATION=bspec-id KEYMANAGEMENT={ISAKMP|MANUAL} STRING="bundle-string" [EXPIRYKBYTES=1..4193280] [EXPIRYSECONDS=300..31449600]

bspec-id: SAバンドルスペック番号（0～255）
bundle-string: SAスペック指定文字列（1～100文字。SAスペック番号（0～255）をセパレーター（AND、OR、カンマ）で区切って並べたもの）

SAバンドルスペックを作成する。

SAバンドルスペックは、IPsec通信で使用するSAスペック（プロトコル等）の組み合わせを指定するもの。これにより、あるトラフィックには暗号化（ESP）と認証（AH）を施し、別のトラフィックには暗号化（ESP）だけを適用するといった設定が可能になる。

パラメーター

BUNDLESPECIFICATION: SAバンドルスペック番号

KEYMANAGEMENT: 鍵管理方式。SAバンドルの作成を手動で行うか（MANUAL=手動鍵管理）、ISAKMP/IKEのネゴシエーションによって自動的に行うか（ISAKMP=自動鍵管理）を指定する。

STRING: バンドルを構成するSAスペックの組み合わせ。SAスペック番号をAND、OR、カンマで区切って記述する。手動鍵管理の場合は、最大2個のSAスペックをANDで区切って指定する。各SAスペックは、それぞれ別のIPsecプロトコル（ESP、AH）でなくてはならない。たとえば、SAスペック「1」（ESP）と「3」（AH）からなるSAバンドルは「1 AND 3」のように指定する。この場合、パケットに対してESP、AHの順に処理が行われる。自動鍵管理の場合は、SAスペックの組み合わせをカンマ区切りで複数候補指定できる。実際にどのバンドル構成が使用されるかは、ISAKMP/IKEのネゴシエーションによって決まる。SAスペック「1」と「2」なら「1 AND 2」、「1」か「2」のどちらかのみなら「1 OR 2」、「1」と「2」が第一候補で「1」と「3」が第二候補なら、「1 AND 2, 1 AND 3」のように記述する。「AND」は併用するプロトコルを指定するものでそれぞれが異なるプロトコルでなくてはならない。「OR」はアルゴリズムの選択肢を示すもので同じプロトコルでなくてはならない。また、「AND」によるプロトコルの適用順序は、通常ESP、AHの順とする。

EXPIRYKBYTES: バンドル内SAの有効期限（Kbyte）。通信データ量がここで指定した量に達すると、該当SAバンドルは再ネゴシエートされる。KEYMANAGEMENTパラメーターにISAKMPを指定したときだけ有効。4193280を超える値を指定した場合、4193280が設定される。デフォルトは無期限。

EXPIRYSECONDS: バンドル内SAの有効期限（秒）。バンドル作成後ここで指定した時間が経過すると、該当SAバンドルは再ネゴシエートされる。KEYMANAGEMENTパラメーターにISAKMPを指定したときだけ有効。デフォルトは28800秒（8時間）。

例

■ 手動鍵管理用のSAバンドルスペック「1」を作成する。SAスペックは「1」と「2」を使用する。
CREATE IPSEC BUNDLE=1 KEYMAN=MANUAL STRING="1 AND 2"■ 自動鍵管理用のSAバンドルスペック「2」を作成する。SAスペックの組み合わせは、3つの候補を指定する。
CREATE IPSEC BUNDLE=2 KEYMAN=ISAKMP STR="1 OR 2 AND 4, 1 OR 2, 3 AND 4"

参考

RFC2401, Security Architecture for the Internet Protocol
RFC2402, IP Authentication Header
RFC2403, The Use of HMAC-MD5-96 within ESP and AH
RFC2404, The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2406, IP Encapsulating Security Payload (ESP)
RFC2407, The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408, Internet Security Association and Key Management Protocol (ISAKMP)
RFC2409, The Internet Key Exchange (IKE)
RFC2410, The NULL Encryption Algorithm and Its Use With IPsec
RFC2411, IP Security Document Roadmap
RFC2412, The OAKLEY Key Determination Protocol
RFC2451, The ESP CBC-Mode Cipher Algorithms
RFC2104, HMAC: Keyed-Hashing for Message Authentication

PN: J613-M3069-03 Rev.L