[index] CentreCOM AR560S コマンドリファレンス 2.9

CREATE IPSEC POLICY

カテゴリー：IPsec / IPsecポリシー

CREATE IPSEC POLICY=policy INTERFACE=interface ACTION={DENY|IPSEC|PERMIT} [IPVERSION={4|6}] [KEYMANAGEMENT={ISAKMP|MANUAL}] [BUNDLESPECIFICATION=bspec-id] [PEERADDRESS={ipv4add|ipv6add|hostname|ANY|DYNAMIC}] [LADDRESS={ANY|ipv4add[-ipv4add]|ipv6add[/prefix-length]|ipv6add-ipv6add}] [LMASK=ipv4add] [LNAME={ANY|system-name}] [LPORT={ANY|port}] [RADDRESS={ANY|ipv4add[-ipv4add]|ipv6add[/prefix-length]|ipv6add-ipv6add}] [RMASK=ipv4add] [RNAME={ANY|system-name}] [RPORT={ANY|port}] [TRANSPORTPROTOCOL={ANY|ESP|GRE|ICMP|OSPF|RSVP|TCP|UDP|protocol}] [DFBIT={SET|COPY|CLEAR}] [GROUP={0|1|2}] [ICMPTYPE=NDALL] [IPROUTETEMPLATE=template] [ISAKMPPOLICY=isakmp-policy] [SRCINTERFACE=interface] [UDPHEARTBEAT={TRUE|FALSE}] [UDPPORT=port] [UDPTUNNEL={TRUE|FALSE}] [USEPFSKEY={TRUE|FALSE}] [POSITION=pos] [RESPONDBADSPI={TRUE|FALSE}]

policy: IPsecポリシー名（1～23文字）
interface: IPインターフェース名（eth0、ppp0など）
bspec-id: SAバンドルスペック番号（0～255）
ipv4add: IPv4アドレスまたはネットマスク
ipv6add: IPv6アドレス
hostname: ホスト名
prefix-length: プレフィックス長（0～128）
system-name: システム名（1～120文字。空白を含む場合はダブルクォートで囲む）
port: TCP/UDPポート番号（0～65535）
protocol: IPプロトコル番号（0～255）
template: ルートテンプレート名（1～31文字。大文字小文字を区別しない）
isakmp-policy: ISAKMPポリシー名（1～24文字。空白を含む場合はダブルクォートで囲む）
pos: ポリシールールの位置（1～100）

IPsecポリシーを作成する。

IPsecポリシーは、IPアドレス・IPプロトコル・ポートなどによって識別されるパケットに対し、どのような処理（IPsec適用、通過、拒否）を施すかを指定する一種のフィルタールール。

IPsecポリシーはIPインターフェースごとに管理され、作成順またはPOSITIONパラメーターで指定した順番で検索される。インターフェースに対して1つでもポリシーを作成すると、ポリシーリストの末尾にすべてのパケットを破棄（DENY）する暗黙のポリシーが作成されるので注意が必要。

IPsecポリシーが設定されているインターフェースでパケットを送受信する際、該当インターフェースに設定されているIPsecポリシーがPOSITION番号の若い順に検索され、最初にマッチしたポリシーで指定されている処理（ACTION）が実行される。

パラメーター

POLICY: IPsecポリシー名

INTERFACE: このポリシーを適用するインターフェース名。IPsecポリシーは、指定したインターフェースからパケットを送出するときと、同インターフェースでパケットを受信したときに処理される。通常はWAN側のインターフェースを指定する

ACTION: 本ポリシーの条件（LADDRESS、LMASK、LNAME、LPORT、RADDRESS、RMASK、RNAME、RPORT、TRANSPORTPROTOCOL）に適合したパケットに対する処理を指定する。IPSEC（BUNDELSPECIFICATIONパラメーターで指定したSAバンドルによって処理する）、PERMIT（IPsecを使わない通常のパケット処理を行う）、DENY（パケットを破棄する）から選択する。IPSECを指定した場合は、対向IPsec装置のIPアドレス（PEERADDRESS）、SAバンドルスペック（BUNDLESPECIFICATION）、鍵管理方式（KEYMANAGEMENT）も指定すること

IPVERSION: 使用するアドレスのIPバージョン（IPv4の場合4、IPv6の場合6）を指定する。デフォルトは4

KEYMANAGEMENT: SAバンドル作成時の鍵管理方式を指定する。手動（MANUAL）、自動（ISAKMP）から選択する。BUNDLESPECIFICATIONパラメーターで指定したSAバンドルスペックと同じ方式を指定すること。ACTIONにIPSECを指定した場合のみ有効（かつ必須）

BUNDLESPECIFICATION: SAバンドル作成時に用いるSAバンドルスペックを指定する。SAバンドルは、IPsecで使用するセキュリティープロトコルやアルゴリズムの情報をひとまとめにしたもの。本パラメーターは、ACTIONにIPSECを指定した場合のみ有効（かつ必須）。なお、SAバンドルスペックの鍵管理方式が、本コマンドのKEYMANAGEMENTパラメーターと一致していること

PEERADDRESS: 対向IPsec装置のIPアドレスまたはホスト名。ダイナミックDNSのホスト名を指定可能。相手のIPアドレスまたはホスト名が不定かつ動的に変化する場合はDYNAMICを指定する。また、任意の固定IPアドレスの相手と接続する場合はANYを指定する。DYNAMICとANYは、KEYMANAGEMENTにISAKMPを指定した場合のみ有効

LADDRESS: パケット選択パラメーター（セレクター）の1つ。ポリシーの適用対象となるパケットのローカル側IPアドレスを指定する。LMASKと組み合わせてサブネットを指定したり、ハイフンでアドレスの範囲を指定したりすることもできる。省略時はANY（すべて）

LMASK: セレクターの1つ。LADDRESSに対するネットマスクを指定する。省略時は255.255.255.255

LNAME: セレクターの1つ。ローカル側システム名を指定する。本パラメーターは自アドレスが不定のときに指定するもので、ISAKMPのフェーズ2 IDとして対向装置に送信される。省略時はANY（すべて）

LPORT: セレクターの1つ。ローカル側ポート番号。省略時はANY（すべて）

RADDRESS: セレクターの1つ。ポリシーの適用対象となるパケットのリモート側IPアドレス。RMASKと組み合わせてサブネットを指定したり、ハイフンでアドレスの範囲を指定したりすることもできる。省略時はANY（すべて）

RMASK: セレクターの1つ。RADDRESSに対するネットマスク。省略時は255.255.255.255

RNAME: セレクターの1つ。リモート側システム名を指定する。本パラメーターは対向装置のアドレスが不定のときに指定するもので、相手のISAKMPのフェーズ2 IDを指定する。省略時はANY（すべて）

RPORT: セレクターの1つ。リモート側ポート番号。省略時はANY（すべて）

TRANSPORTPROTOCOL: セレクターの1つ。ポリシーの適用対象となるパケットのIPプロトコルタイプ。ALL、TCP、UDPなどの定義済み文字列かIPプロトコル番号で指定する。省略時はANY（すべて）

DFBIT: トンネルモードSAにおいて、外側IPヘッダーのDF（Don't Fragment）ビットにどのような値を設定するかを指定する。COPYを指定した場合は、内側IPヘッダーのDFビットの値をそのまま使用する。SETを指定した場合は、常にビットをオンにする。CLEARを指定した場合は、常にビットをオフにする。インターネット上には異なるMTUを持つネットワークが混在しているため、DFビットが立っているパケットはフラグメント不可により破棄される可能性があるため、通常はCLEARを指定する。省略時はCLEAR

GROUP: IKEフェーズ2（Quickモード）でのDiffie-Hellman鍵交換に使用するOakleyグループ。PFS（Perfect Forward Secrecy）を有効にしている場合（USEPFSKEYパラメーターにTRUEを指定した場合）のみ有効。省略時はグループ1

ICMPTYPE: ICMPのタイプを指定する。IPv6でのみ有効。NDALLを指定した場合、IPv6近隣探索で使用されるICMPタイプ133-136(RouterSolicitation/RouterAdvertisement/NeighborSolicitation/NeighborAdvertisement)が全て選択され、このIPsecポリシーのActionは"permit"に自動的に切り替わる。本パラメーターはIPv6ネイティブ環境などにおいて、近隣探索のためのパケットをIPsecカプセル化させたくない場合に使用する。

IPROUTETEMPLATE: IPルートテンプレート名。このIPsecポリシーに基づいてIPsec SAが作成されたときに自動登録する経路エントリーのテンプレートを指定する。登録される経路の宛先アドレスは、IPsec SAのリモート側IPアドレス/マスクとなる。本パラメーターは、ACTIONがIPSECで、PEERADDRESSがANYかDYNAMICのときのみ有効。また、ISAKMPポリシーのPEERもANYに設定する。省略時はなし

ISAKMPPOLICY: ISAKMPポリシー名。ACTIONにIPSECを指定した場合のみ有効。通常指定する必要はないが、同じPEERを持つISAKMPポリシーが複数存在するときに、このIPsecポリシーで使用するISAKMPポリシーを明示的に指定したい場合に使う

SRCINTERFACE: IPsecパケットの始点インターフェース。本パラメーターを指定した場合、IPsecパケットの始点アドレスにここで指定したインターフェースのアドレスが使用される。ローカルIPインターフェースは指定できない。省略時は、パケットを送出するインターフェースのアドレスが使用される。送出インターフェースがUnnumberedの場合は、本パラメーターで始点アドレスを明示的に指定するとよい

UDPHEARTBEAT: UDPハートビートを使用するかどうか。UDPハートビートは、UDPトンネリング（ESP over UDP）使用時にセッション情報がNAT機器の変換テーブルから消えてしまうことを防ぐ本製品の独自機能。TRUEを指定した場合は、対向IPsecルーターのUDPポート2746番宛てに30秒間隔でハートビートパケットを送信する。このパケットはセッション維持だけを目的としているため、受信しても特別な処理は行われない。省略時はFALSE

UDPPORT: UDPトンネリング（ESP over UDP）パケットの送信先UDPポート。デフォルトは2746番

UDPTUNNEL: UDPトンネリング（ESP over UDP）を使用するかどうか。TRUEを指定した場合は、IPsec（ESP）パケットをUDPでカプセル化して対向ルーターの2746番ポート（UDPPORTパラメーターで変更可能）宛てに送信する。これにより、IPsec装置間にNAT機器があるような環境でもIPsecを使用できる。ただし、AHは使用できない。省略時はFALSE

USEPFSKEY: PFS（Perfect Forward Secrecy）の有効・無効。PFSとは、ある鍵の解読が他の鍵の解読の手がかりにならないような性質を言う。PFSを有効にすると、IPsec SA鍵の生成・更新時にDiffie-Hellmanアルゴリズムを再実行するようになる。自動鍵管理（KEYMANAGEMENT=ISAKMP）のときのみ有効。省略時はFALSE

POSITION: IPsecポリシーリスト内における本ポリシーの位置。省略時はリストの最後尾に追加される。ポリシーリストは、適用インターフェース（INTERFACE）ごとに個別管理される

RESPONDBADSPI: ルーターが、自身の知らない（SAを持っていない）SPI値をもったIPsecパケットを受信した場合、通知を行うかどうかを設定する。省略時はFALSE。通知が行われる場合、フェーズ1からISAKMPネゴシエーションを開始して、新たなSAを作成し、INITIAL CONTACT messageを送信する。本機能を有効にするには、SENDNOTIFYパラメーターをTRUEに設定する必要がある。本機能はAGGRESSIVEモードはサポートしない。かつ、トンネルモードのみサポートする。

例

■ 192.168.10.0/24・192.168.20.0/24間のパケットにIPsecを適用するポリシー「vpn」を作成する。対向IPsecルーターのグローバルIPアドレスは2.2.2.2、IPsec処理の内容はSAバンドルスペック「1」で指定している。
CREATE IPSEC POLICY=vpn INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=2.2.2.2 SET IPSEC POLICY=vpn LAD=192.168.10.0 LMA=255.255.255.0 RAD=192.168.20.0 RMA=255.255.255.0■ アドレス不定のVPNクライアントからLAN側ネットワーク（192.168.10.0/24）へのVPN接続を受け入れるポリシー「v1」を作成する。クライアントの識別は、相手が送ってくるフェーズ2 ID（ここでは「user1」）によって行う。
CREATE IPSEC POLICY=v1 INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC SET IPSEC POLICY=v1 LAD=192.168.10.0 LMA=255.255.255.0 RNAME=user1■ 他のIPsecポリシーにマッチしなかったパケットをすべて素通し（平文通信）させるIPsecポリシー「inet」を作成する。特定のサイトとはIPsecで通信し、その他のサイトとは平文で通信したい場合は、最後のポリシーとして「すべて許可」のポリシーを設定する必要がある（RADなどの条件を指定しなかった場合は「すべて」の意味になる）。
CREATE IPSEC POLICY=inet INT=ppp0 ACTION=PERMIT

備考・注意事項

ESP over UDPを使う場合は、該当するISAKMPポリシーでNAT-Traversal（NAT-T）を無効に設定すること（デフォルトは無効）。NAT-Tの有効・無効は、CREATE ISAKMP POLICYコマンド、SET ISAKMP POLICYコマンドのNATTRAVERSALパラメーターで指定する。

参考

RFC2401, Security Architecture for the Internet Protocol
RFC2402, IP Authentication Header
RFC2403, The Use of HMAC-MD5-96 within ESP and AH
RFC2404, The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2406, IP Encapsulating Security Payload (ESP)
RFC2407, The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408, Internet Security Association and Key Management Protocol (ISAKMP)
RFC2409, The Internet Key Exchange (IKE)
RFC2410, The NULL Encryption Algorithm and Its Use With IPsec
RFC2411, IP Security Document Roadmap
RFC2412, The OAKLEY Key Determination Protocol
RFC2451, The ESP CBC-Mode Cipher Algorithms
RFC2104, HMAC: Keyed-Hashing for Message Authentication

PN: 613-001314 Rev.G