[index] CentreCOM AR450S コマンドリファレンス 2.9

CREATE IPSEC SASPECIFICATION

カテゴリー：IPsec / SAスペック

CREATE IPSEC SASPECIFICATION=saspec-id KEYMANAGEMENT={ISAKMP|MANUAL} PROTOCOL={AH|ESP} [MODE={TRANSPORT|TUNNEL}] [ENCALG={DES|3DESOUTER|AES128|AES192|AES256|NULL}] [ENCKEY=key-id] [HASHALG={MD5|NULL|SHA}] [HASHKEY=key-id] [INSPI=spi] [OUTSPI=spi] [ANTIREPLAYENABLED={TRUE|FALSE}] [REPLAYWINDOWSIZE={32|64|128|256}]

saspec-id: SAスペック番号（0～255）
key-id: 鍵番号（0～65535）
spi: SPI値（0～4294967295。ただし、0～255は使用すべきでない）

SAスペックを作成する。

SAスペックはIPsec通信の仕様（パケットに適用する処理）を定義するもので、SAの動作モード（トンネル、トランスポート）、鍵管理方式（手動、自動）、処理/プロトコル（暗号化・認証/ESP、認証/AH）、使用アルゴリズム（DES、MD5、SHAなど）、SPI（手動設定の場合）などのパラメーターを設定する。

パラメーター

SASPECIFICATION: SAスペック番号

KEYMANAGEMENT: 鍵管理方式。手動設定（MANUAL）か自動設定（ISAKMP）から選択する。

PROTOCOL: IPsecプロトコル。ESP（暗号化と認証）、AH（認証）から選択する。個々のSAスペックでは1つしかプロトコルを指定できないが、実際にIPsec通信の設定を行うときは、SAスペックの組み合わせを「SAバンドルスペック」として指定する

MODE: SAの動作モード。TUNNEL（トンネルモード）とTRANSPORT（トランスポートモード）がある。省略時はTUNNEL

ENCALG: 暗号化アルゴリズム。PROTOCOLにESPを指定した場合の必須パラメーター。通常はDES（56ビットDES）、3DESOUTER（168ビット3DES）、AES128（128ビットAES）、AES192（192ビットAES）、AES256（256ビットAES）を指定する。NULL（NULL暗号化アルゴリズム）は、ESPの認証機能だけを使いたいときやデバッグを行うときに指定する。ENCALGとHASHALGの両方にNULLを指定することはできない

ENCKEY: 暗号鍵番号。PROTOCOLにESPを指定し、KEYMANAGEMENTにMANUALを指定した場合にのみ有効（かつ必須）

HASHALG: メッセージ認証用のハッシュアルゴリズム。PROTOCOLにAHかESPを指定した場合の必須パラメーター。NULLはESPの暗号化機能だけを用い、認証機能を使わない場合に指定する。ENCALGとHASHALGの両方にNULLを指定することはできない

HASHKEY: 認証鍵番号。PROTOCOLにAHかESPを指定し、KEYMANAGEMENTにMANUALを指定した場合にのみ有効（かつ必須）

INSPI: 内向きトラフィックのSPI（Security Parameter Index）値。PROTOCOLにAHかESPを指定し、KEYMANAGEMENTにMANUALを指定した場合にのみ必要

OUTSPI: 外向きトラフィックのSPI（Security Parameter Index）値。PROTOCOLにAHかESPを指定し、KEYMANAGEMENTにMANUALを指定した場合にのみ必要

ANTIREPLAYENABLED: リプレイ防止機能の有効・無効。PROTOCOLにCOMPを指定した場合、および、手動鍵管理を使う場合は無効。デフォルトはFALSE

REPLAYWINDOWSIZE: リプレイ防止ウィンドウサイズ。デフォルトは32パケット。KEYMANAGEMENTにMANUALを指定した場合は無効

例

■ 手動鍵管理用のSAスペック「1」を作成する。このSAでは、トンネルモードESPによる暗号化と認証を行う。暗号アルゴリズムにはDES（鍵番号「1」）を、認証アルゴリズムにはSHA（鍵番号「2」）を用い、SPIは内向きが1000、外向きが1001とする。
CREATE IPSEC SASPEC=1 KEYMAN=MANUAL PROT=ESP ENCALG=DES ENCKEY=1 HASHALG=SHA HASHKEY=2 INSPI=1000 OUTSPI=1001■ 自動鍵管理用のSAスペック「2」を作成する。このSAでは、トンネルモードESPによる暗号化と認証を行う。暗号化アルゴリズムにはDESを、認証用のハッシュアルゴリズムにはSHAを用いる。暗号・認証鍵とSPI値は、ISAKMP/IKEのネゴシエーションによって自動的に管理するため指定しない
CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROT=ESP ENCALG=DES HASHALG=SHA■ ESPのデバッグを行うため、実際には暗号化を行わないNULL暗号化アルゴリズムを使用する。
CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROT=ESP ENCALG=NULL HASHALG=SHA

参考

RFC2401, Security Architecture for the Internet Protocol
RFC2402, IP Authentication Header
RFC2403, The Use of HMAC-MD5-96 within ESP and AH
RFC2404, The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2406, IP Encapsulating Security Payload (ESP)
RFC2407, The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408, Internet Security Association and Key Management Protocol (ISAKMP)
RFC2409, The Internet Key Exchange (IKE)
RFC2410, The NULL Encryption Algorithm and Its Use With IPsec
RFC2411, IP Security Document Roadmap
RFC2412, The OAKLEY Key Determination Protocol
RFC2451, The ESP CBC-Mode Cipher Algorithms
RFC2104, HMAC: Keyed-Hashing for Message Authentication

PN: J613-M3069-03 Rev.L