[index] CentreCOM AR450S コマンドリファレンス 2.9

SET IPSEC POLICY

カテゴリー：IPsec / IPsecポリシー

SET IPSEC POLICY=policy [ACTION={DENY|IPSEC|PERMIT}] [BUNDLESPECIFICATION=bspec-id] [PEERADDRESS={ipadd|ANY|DYNAMIC}] [LADDRESS={ANY|ipadd[-ipadd]}] [LMASK=ipadd] [LNAME={ANY|system-name}] [LPORT={ANY|port}] [RADDRESS={ANY|ipadd[-ipadd]}] [RMASK=ipadd] [RNAME={ANY|system-name}] [RPORT={ANY|port}] [TRANSPORTPROTOCOL={ANY|ESP|GRE|ICMP|OSPF|RSVP|TCP|UDP|protocol}] [DFBIT={SET|COPY|CLEAR}] [GROUP={0|1|2}] [IPROUTETEMPLATE=template] [ISAKMPPOLICY=isakmp-policy] [SRCINTERFACE=interface] [UDPHEARTBEAT={TRUE|FALSE}] [UDPPORT=port] [UDPTUNNEL={TRUE|FALSE}] [USEPFSKEY={TRUE|FALSE}] [POSITION=pos]

policy: IPsecポリシー名（1～23文字）
bspec-id: SAバンドルスペック番号（0～255）
ipadd: IPアドレスまたはネットマスク
system-name: システム名（1～120文字。空白を含む場合はダブルクォートで囲む）
port: TCP/UDPポート番号（0～65535）
protocol: IPプロトコル番号（0～255）
template: ルートテンプレート名（1～31文字。大文字小文字を区別しない）
isakmp-policy: ISAKMPポリシー名（1～24文字。空白を含む場合はダブルクォートで囲む）
interface: IPインターフェース名（eth0、ppp0など）
pos: ポリシールールの位置（1～100）

IPsecポリシーの設定パラメーターを変更する。

パラメーター

POLICY: IPsecポリシー名

ACTION: 本ポリシーの条件（LADDRESS、LMASK、LNAME、LPORT、RADDRESS、RMASK、RNAME、RPORT、TRANSPORTPROTOCOL）に適合したパケットに対する処理を指定する。IPSEC（BUNDELSPECIFICATIONパラメーターで指定したSAバンドルによって処理する）、PERMIT（IPsecを使わない通常のパケット処理を行う）、DENY（パケットを破棄する）から選択する。

BUNDLESPECIFICATION: SAバンドル作成時に用いるSAバンドルスペックを指定する。SAバンドルは、IPsecで使用するセキュリティープロトコルやアルゴリズムの情報をひとまとめにしたもの。本パラメーターは、ACTIONにIPSECを指定した場合のみ有効（かつ必須）。

PEERADDRESS: 対向IPsec装置のIPアドレス。相手のIPアドレスが不定かつ動的に変化する場合はDYNAMICを指定する。また、任意の固定IPアドレスの相手と接続する場合はANYを指定する。DYNAMICとANYは、KEYMANAGEMENTにISAKMPを指定した場合のみ有効

LADDRESS: パケット選択パラメーター（セレクター）の1つ。ポリシーの適用対象となるパケットのローカル側IPアドレスを指定する。LMASKと組み合わせてサブネットを指定したり、ハイフンでアドレスの範囲を指定することもできる。省略時はANY（すべて）

LMASK: セレクターの1つ。LADDRESSに対するネットマスクを指定する。省略時は255.255.255.255

LNAME: セレクターの1つ。ローカル側システム名を指定する。本パラメーターは自アドレスが不定のときに指定するもので、ISAKMPのフェーズ2 IDとして対向装置に送信される。省略時はANY（すべて）

LPORT: セレクターの1つ。ローカル側ポート番号。省略時はANY（すべて）

RADDRESS: セレクターの1つ。ポリシーの適用対象となるパケットのリモート側IPアドレス。RMASKと組み合わせてサブネットを指定したり、ハイフンでアドレスの範囲を指定することもできる。省略時はANY（すべて）

RMASK: セレクターの1つ。RADDRESSに対するネットマスク。省略時は255.255.255.255

RNAME: セレクターの1つ。リモート側システム名を指定する。本パラメーターは対向装置のアドレスが不定のときに指定するもので、相手のISAKMPのフェーズ2 IDを指定する。省略時はANY（すべて）

RPORT: セレクターの1つ。リモート側ポート番号。省略時はANY（すべて）

TRANSPORTPROTOCOL: セレクターの1つ。ポリシーの適用対象となるパケットのIPプロトコルタイプ。ALL、TCP、UDPなどの定義済み文字列かIPプロトコル番号で指定する。省略時はANY（すべて）

DFBIT: トンネルモードSAにおいて、外側IPヘッダーのDF（Don't Fragment）ビットにどのような値を設定するかを指定する。COPYを指定した場合は、内側IPヘッダーのDFビットの値をそのまま使用する。SETを指定した場合は、常にビットをオンにする。CLEARを指定した場合は、常にビットをオフにする。インターネット上には異なるMTUを持つネットワークが混在しているため、DFビットが立っているパケットはフラグメント不可により破棄される可能性があるため、通常はCLEARを指定する。省略時はCLEAR

GROUP: IKEフェーズ2（Quickモード）でのDiffie-Hellman鍵交換に使用するOakleyグループ。PFS（Perfect Forward Secrecy）を有効にしている場合（USEPFSKEYパラメーターにTRUEを指定した場合）のみ有効。省略時はグループ1

IPROUTETEMPLATE: IPルートテンプレート名。このIPsecポリシーに基づいてIPsec SAが作成されたときに自動登録する経路エントリーのテンプレートを指定する。登録される経路の宛先アドレスは、IPsec SAのリモート側IPアドレス/マスクとなる。本パラメーターは、ACTIONがIPSECで、PEERADDRESSがANYかDYNAMICのときのみ有効。省略時はなし

ISAKMPPOLICY: ISAKMPポリシー名。ACTIONにIPSECを指定した場合のみ有効。通常指定する必要はないが、同じPEERを持つISAKMPポリシーが複数存在するときに、このIPsecポリシーで使用するISAKMPポリシーを明示的に指定したい場合に使う

SRCINTERFACE: IPsecパケットの始点インターフェース。本パラメーターを指定した場合、IPsecパケットの始点アドレスにここで指定したインターフェースのアドレスが使用される。省略時は、パケットを送出するインターフェースのアドレスが使用される。送出インターフェースがUnnumberedの場合は、本パラメーターで始点アドレスを明示的に指定するとよい

UDPHEARTBEAT: UDPハートビートを使用するかどうか。UDPハートビートは、UDPトンネリング（ESP over UDP）使用時にセッション情報がNAT機器の変換テーブルから消えてしまうことを防ぐ本製品の独自機能。TRUEを指定した場合は、対向IPsecルーターのUDPポート2746番宛てに30秒間隔でハートビートパケットを送信する。このパケットはセッション維持だけを目的としているため、受信しても特別な処理は行われない。省略時はFALSE

UDPPORT: UDPトンネリング（ESP over UDP）パケットの送信先UDPポート。デフォルトは2746番

UDPTUNNEL: UDPトンネリング（ESP over UDP）を使用するかどうか。TRUEを指定した場合は、IPsec（ESP）パケットをUDPでカプセル化して対向ルーターの2746番ポート（UDPPORTパラメーターで変更可能）宛てに送信する。これにより、IPsec装置間にNAT機器があるような環境でもIPsecを使用できる。ただし、AHは使用できない。省略時はFALSE

USEPFSKEY: PFS（Perfect Forward Secrecy）の有効・無効。PFSとは、ある鍵の解読が他の鍵の解読の手がかりにならないような性質を言う。PFSを有効にすると、IPsec SA鍵の生成・更新時にDiffie-Hellmanアルゴリズムを再実行するようになる。自動鍵管理（KEYMANAGEMENT=ISAKMP）のときのみ有効。省略時はFALSE

POSITION: IPsecポリシーリスト内における本ポリシーの位置。省略時はリストの最後尾に追加される。ポリシーリストは、適用インターフェース（INTERFACE）ごとに個別管理される

備考・注意事項

ESP over UDPを使う場合は、該当するISAKMPポリシーでNAT-Traversal（NAT-T）を無効に設定すること（デフォルトは無効）。NAT-Tの有効・無効は、CREATE ISAKMP POLICYコマンド、SET ISAKMP POLICYコマンドのNATTRAVERSALパラメーターで指定する。

参考

RFC2401, Security Architecture for the Internet Protocol
RFC2402, IP Authentication Header
RFC2403, The Use of HMAC-MD5-96 within ESP and AH
RFC2404, The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2406, IP Encapsulating Security Payload (ESP)
RFC2407, The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408, Internet Security Association and Key Management Protocol (ISAKMP)
RFC2409, The Internet Key Exchange (IKE)
RFC2410, The NULL Encryption Algorithm and Its Use With IPsec
RFC2411, IP Security Document Roadmap
RFC2412, The OAKLEY Key Determination Protocol
RFC2451, The ESP CBC-Mode Cipher Algorithms
RFC2104, HMAC: Keyed-Hashing for Message Authentication

PN: J613-M3069-03 Rev.L