[index] CentreCOM AR560S コマンドリファレンス 2.9

暗号・圧縮/概要・基本設定

  - ユーザーモジュール
  - 暗号アルゴリズム
   - DES
   - 3DES
   - AES
   - RSA
  - 認証アルゴリズム
   - HMAC-MD5-96
   - HMAC-SHA-1-96
  - 圧縮アルゴリズム
  - 鍵交換アルゴリズム
  - 鍵作成・保存機能
   - ISAKMPの事前共有鍵（pre-shared key）
  - リンクレベル圧縮
   - PPPでSTAC LZSを使う
   - PPPでPredictorを使う
   - フレームリレーでFRF.9を使う
  - リンクレベル暗号化
   - STAR鍵交換モジュール

本製品の暗号・圧縮（ENCO = Encryption and Compression）モジュールについて説明します。

ENCOモジュールは、本製品のセキュリティーおよび圧縮機能の土台となるベースモジュールです。IPsecやSSHなどのセキュリティー機能、PPPやフレームリレーのデータリンク圧縮機能などは、すべてENCOモジュールを利用して実現されます。

ENCOモジュールが提供する機能は次のとおりです。

暗号アルゴリズム：56ビットDES、168ビット3DES、128/192/256ビットAES、RSA公開鍵暗号
認証アルゴリズム：HMAC-MD5-96、HMAC-SHA-1-96
圧縮アルゴリズム：STAC LZS、Predictor
鍵交換アルゴリズム：Diffie-Hellman
鍵作成・保存機能

ENCOモジュールが実際に提供している機能を確認するには、SHOW ENCOコマンドを使います。

Note - 暗号関連の機能を実際に使用するときは、ルーターの動作モードをセキュリティーモードに変更する必要があります。詳細は「運用・管理」/「セキュリティー」をご覧ください。

ユーザーモジュール

ENCOサービスを利用する上位モジュールを、ENCOモジュールの「ユーザーモジュール」と呼びます。ユーザーモジュールには、以下のものがあります。

■ IPsec（ISAKMP/IKE、AH、ESP）
DES、3DES、AES、HMAC-MD5-96、HMAC-SHA-1-96、Diffie-Hellmanを使用します。詳細については「IPsec」の章をご覧ください。

■ SSH
DESとRSAを使用します。詳細については「運用・管理」/「Secure Shell」をご覧ください。

■ PPP（CCP、ECP）
STAC LZS、Predictor、DESを使用します。また、鍵管理にSTARモジュールを、TCP/IPヘッダー圧縮ではIPモジュールのVJC（Van Jacobsonヘッダー圧縮）を使用します。詳細は「PPP」の章、本章の「リンクレベル暗号化」、「リンクレベル圧縮」および「IP」の章をご覧ください。

■ フレームリレー
STAC LZS、DESを使用します。また、鍵管理にはSTARモジュールを使用します。詳細は「フレームリレー」の章、および、本章の「リンクレベル暗号化」、「リンクレベル圧縮」をご覧ください。

以下、ENCOモジュールが提供する各種サービスの設定方法について説明します。ENCOモジュールは単独で使用するものではなく、より上位のプロトコルやサービスと組み合わせて使用するため、関連する他の章もご参照ください。

暗号アルゴリズム

ENCOモジュールは、共通鍵暗号DES（鍵長56ビット）、3DES（鍵長168ビット）、AES（鍵長128/192/256ビット）と公開鍵暗号RSA（鍵長256～2048ビット）をサポートしています。

DES

共通鍵暗号DES（56ビット）は、IPsec（ESP）、ISAKMP、SSH、PPPとフレームリレーのデータリンク暗号化において、セッション鍵として使用されます。

DESで使用する鍵を作成するには、CREATE ENCO KEYコマンドのTYPEパラメーターにDESを指定します。鍵は、ランダムに生成することも、他のルーターで作成した鍵の値を入力して使うこともできます。

■ DES鍵をランダムに生成するには、RANDOMオプションを使います。

CREATE ENCO KEY=1 TYPE=DES DESCRIPTION="my DES key" RANDOM ↓

Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。

Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティモードに移行して鍵が保存されるようにしてください。

Note - ルーター上で作成した鍵は、設定ファイルとは別個にフラッシュメモリー上に格納されます。鍵はセキュリティーモードでないと再起動によって消えてしまうため、再起動前にセキュリティーモードへの移行を忘れずに行ってください。

■ 作成した鍵の値を表示するには、SHOW ENCO KEYコマンドを使います。鍵は本製品独自の5ビットASCII形式と16進数形式で表示されます。

SHOW ENCO KEY=1 ↓

SecOff > show enco key=4

  j7amxbbrhun48a
  0x4F40CB84313D1BAF


IP Address:
-

■ DES鍵は値を指定して作成することもできます。これは、他のルーターでランダムに生成した鍵を別のルーターに入力するときに使います。値の指定には、「0x」で始まる16進数で指定する方法と、本製品独自の5ビットASCII形式で指定する方法があります。

16進数で指定する場合は先頭に「0x」を付けます。長さは8バイト（64ビット）です。

CREATE ENCO KEY=1 TYPE=DES DESCRIPTION="DES key" VALUE=0xF888CAC6C66ECF52 ↓

Note - DESの鍵長は56ビットですが、パリティー情報などを含めると64ビットになります。

5ビットASCII形式は、小文字のアルファベットa～zと数字の2～9だけで構成される文字列で指定する方法です。鍵を生成したルーター上でSHOW ENCO KEYコマンドを実行したときに表示される文字列を入力してください。

CREATE ENCO KEY=1 TYPE=DES DESCRIPTION="DES key" VALUE=9cemvrwgn5hvek ↓

3DES

共通鍵暗号3DES（168ビット）は、IPsec（ESP）、ISAKMPのセッション鍵として使用されます。

3DESで使用する鍵を作成するには、CREATE ENCO KEYコマンドのTYPEパラメーターに3DESOUTERを指定します。鍵は、ランダムに生成することも、他のルーターで作成した鍵の値を入力して使うこともできます。

■ 3DES鍵をランダムに生成するには、RANDOMオプションを使います。

CREATE ENCO KEY=1 TYPE=3DESOUTER DESCRIPTION="my 3DES key" RANDOM ↓

Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。

Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティモードに移行して鍵が保存されるようにしてください。

Note - ルーター上で作成した鍵は、設定ファイルとは別個にフラッシュメモリー上に格納されます。鍵はセキュリティーモードでないと再起動によって消えてしまうため、再起動前にセキュリティーモードへの移行を忘れずに行ってください。

■ 作成した鍵の値を表示するには、SHOW ENCO KEYコマンドを使います。鍵は本製品独自の5ビットASCII形式と16進数形式で表示されます。

SHOW ENCO KEY=1 ↓

■ 3DES鍵は値を指定して作成することもできます。これは、他のルーターでランダムに生成した鍵を別のルーターに入力するときに使います。値の指定には、「0x」で始まる16進数で指定する方法と、本製品独自の5ビットASCII形式で指定する方法があります。

16進数で指定する場合は先頭に「0x」を付けます。長さは24バイト（192ビット）です。

CREATE ENCO KEY=1 TYPE=DES DESCRIPTION="DES key" VALUE=0x112233445566778811223344556677881122334455667788 ↓

Note - 3DESの鍵長は168ビットですが、パリティー情報などを含めると192ビットになります。

AES

共通鍵暗号AES（128/192/256ビット）は、IPsec（ESP）、ISAKMPのセッション鍵として使用されます。

AESで使用する鍵を作成するには、CREATE ENCO KEYコマンドのTYPEパラメーターにAES128、AES192、AES256を指定します。鍵は、ランダムに生成することも、他のルーターで作成した鍵の値を入力して使うこともできます。

■ AES鍵をランダムに生成するには、RANDOMオプションを使います。

CREATE ENCO KEY=1 TYPE=AES192 DESCRIPTION="192-bit AES key" RANDOM ↓

Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。

Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティモードに移行して鍵が保存されるようにしてください。

Note - ルーター上で作成した鍵は、設定ファイルとは別個にフラッシュメモリー上に格納されます。鍵はセキュリティーモードでないと再起動によって消えてしまうため、再起動前にセキュリティーモードへの移行を忘れずに行ってください。

■ 作成した鍵の値を表示するには、SHOW ENCO KEYコマンドを使います。AES鍵は16進数形式で表示されます。

SHOW ENCO KEY=1 ↓

■ AES鍵は値を指定して作成することもできます。これは、他のルーターでランダムに生成した鍵を別のルーターに入力するときに使います。値は「0x」で始まる16進数で指定します。

16進数で指定する場合は先頭に「0x」を付けます。

CREATE ENCO KEY=1 TYPE=AES DESCRIPTION="His 192-bit AES key" VALUE=0x1a39dd7a7caa5523192138a5a4996347366879531329e0f8 ↓

Note - AES鍵の入力時には5ビットASCII形式は使用できません。

RSA

RSA公開鍵は、SSHのサーバー鍵、ホスト鍵、認証鍵として使われます。

■ RSA鍵ペアを作成するには、CREATE ENCO KEYコマンドのTYPEパラメーターにRSAを指定し、LENGTHで鍵の長さ（ビット）を指定します。有効範囲は256～2048ビットです。鍵は長いほど安全性が高まりますが、作成に時間がかかるようになります。現実的な鍵長は1024ビットと言われています。

CREATE ENCO KEY=2 TYPE=RSA LENGTH=1024 DESCRIPTION="my key pair" ↓

Note - RSA鍵の作成には時間がかかります。上記コマンドを入力すると「RSA Key Generation process started.」と表示されます。鍵の作成中はCPU負荷が高くなります。鍵の作成が終わると「RSA Key generation process completed.」と表示されます。

Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。

Note - CREATE ENCO KEYコマンドで作成された鍵は、ノーマルモードでは、ルーターの再起動によって消去されます。暗号鍵を使用する場合は、必ずセキュリティモードに移行して鍵が保存されるようにしてください。

Note - ルーター上で作成した鍵は、設定ファイルとは別個にフラッシュメモリー上に格納されます。鍵はセキュリティーモードでないと再起動によって消えてしまうため、再起動前にセキュリティーモードへの移行を忘れずに行ってください。

■ 作成した鍵ペアから公開鍵をファイルに書き出すには、CREATE ENCO KEYコマンドのFILEパラメーターで書き出し先のファイル名（拡張子は.key）を指定し、KEYパラメーターには作成した鍵ペアの番号を指定します。鍵ファイルのフォーマットをFORMATパラメーターで指定することもできます。

CREATE ENCO KEY=2 TYPE=RSA FILE=mypublic.key ↓

■ 鍵ファイルから公開鍵を取り込むには、CREATE ENCO KEYコマンドのFILEパラメーターに既存の鍵ファイル（拡張子は.key）を指定し、KEYパラメーターには未作成の（空いている）鍵番号を指定します。また、鍵ファイルのフォーマットをFORMATパラメーターで指定することもできます。

CREATE ENCO KEY=3 TYPE=RSA FILE=hispublc.key DESCRIPTION="His public key" ↓

■ 作成した鍵の情報はSHOW ENCO KEYコマンドで確認できます。


SHOW ENCO KEY ↓

SHOW ENCO KEY=3 ↓

Manager > show enco key

   ID  Type      Length Digest   Description              Mod   IP
   ---------------------------------------------------------------------------
    1  DES            8 1F35B264 my DES key               -     -
    2  RSA-PRIVATE 1024 EA83BD2C my key pair              -     -
    3  RSA-PUBLIC   768 0ADBE436 His public key           -     -

認証アルゴリズム

ENCOモジュールは、データ認証アルゴリズムとして、ハッシュ関数HMAC-MD5-96とHMAC-SHA-1-96をサポートしています。これらのアルゴリズムは、IPsec（AH、ESP）やISAKMPのデータ認証処理に使用されます。

ハッシュアルゴリズムはソフトウェア的に実装されています。

HMAC-MD5-96

HMAC-MD5-96では、16バイト（128ビット）の汎用鍵を使います。

■ 鍵をランダムに生成するには次のようにします。

CREATE ENCO KEY=10 TYPE=GENERAL LENGTH=16 RANDOM DESCR="My MD5 key 1" ↓

■ 鍵の値を16文字の文字列で指定することもできます。

CREATE ENCO KEY=11 TYPE=GENERAL VALUE="jogefogejogefoge" DESCR="My MD5 key 2" ↓

■ 鍵の値を16バイトの16進数で指定することもできます。

CREATE ENCO KEY=12 TYPE=GENERAL VALUE=0x000102030405060708090a0b0c0d0e0f DESCR="My MD5 key 3" ↓

■ 作成した鍵の値を表示するには、SHOW ENCO KEYコマンドを使います。

SHOW ENCO KEY=10 ↓

SecOff > show enco key=10

0x281bd343a63e63d37b49f10c0b217dd2

IP Address:
-

HMAC-SHA-1-96

HMAC-SHA-1-96では、20バイト（160ビット）の汎用鍵を使います。

■ 鍵をランダムに生成するには次のようにします。

CREATE ENCO KEY=20 TYPE=GENERAL LENGTH=20 RANDOM DESCR="My SHA key 1" ↓

■ 鍵の値を20文字の文字列で指定することもできます。

CREATE ENCO KEY=21 TYPE=GENERAL VALUE="fugafugafugafugafuga" DESCR="My SHA key 2" ↓

■ 鍵の値を20バイトの16進数で指定することもできます。

CREATE ENCO KEY=22 TYPE=GENERAL VALUE=0x000102030405060708090a0b0c0d0e0f00010203 DESCR="My SHA key 3" ↓

■ 作成した鍵の値を表示するには、SHOW ENCO KEYコマンドを使います。

SHOW ENCO KEY=20 ↓

SecOff > show enco key=20

0xca59ba48cd4e1c8d5ed3ad62ce786758cb01dcf3

IP Address:
-

圧縮アルゴリズム

ENCOモジュールは、データ圧縮アルゴリズムとして、STAC LZSとPredictorをサポートしています。これらのアルゴリズムは、PPP、フレームリレーのデータリンク圧縮で使用されます。

■ STAC LZS、Predictorを使うときは、最初に圧縮処理用のチャンネル（具体的にはメモリー）を設定しておく必要があります。圧縮チャンネルの設定は、SET ENCO SWコマンドを使います。Predictorを使用するときはPREDCHANNELSパラメーター、STAC LZSを使うときはSTACCHANNELSパラメーターでそれぞれ圧縮チャンネルの数を指定します。PREDCHANNELS、STACCHANNELSともに最大値は4です。


SET ENCO SW PREDCHANNELS=2 ↓

SET ENCO SW STACCHANNELS=1 ↓

Note - これらのコマンドを入力したら、CREATE CONFIGコマンドで設定をファイルに保存し、SET CONFIGコマンドで起動スクリプトに指定した上でルーターを再起動してください。圧縮チャンネル用メモリーは連続した領域として確保する必要があるためです。

チャンネル数は接続先の数に応じて調整します。データリンク圧縮の場合、1拠点なら1チャンネル、2拠点なら2チャンネルとなります。デフォルトでは、圧縮チャンネルは確保されていません。

STAC LZS用のチャンネルは1つあたり約13KBのメモリーを消費します。一方、Predictor用チャンネルは1つあたり約128KBのメモリーを消費します。

鍵交換アルゴリズム

ENCOモジュールは、鍵交換のためのアルゴリズムとしてDiffie-Hellmanアルゴリズムをサポートしています。

Diffie-Hellmanアルゴリズムの処理は、大きくわけて2つの段階に分けられます。最初の段階では、鍵交換を行う両者がそれぞれ乱数を生成し、既定式との計算結果を互いに交換します。第2段階では、相手から入手した値と自分で生成した乱数値から秘密鍵の値を求めます。これら2つの段階は、内部的にはさらに細かく分割されており、ルーター本来の処理に与える影響を少なくしています。

いずれにしても、鍵の計算処理は非常にCPU時間を消費する処理です。本製品では、SET ENCO DHPRIORITYコマンドで、Diffie-Hellmanアルゴリズムの処理優先度を変更できるようになっています。優先度には、HIGH、MEDIUM、LOWの3つがあり、デフォルトはHIGHです。Diffie-Hellman処理の優先度を低くするには次のようにします。

SET ENCO DHPRIORITY=LOW ↓

ENCOモジュールでは、Diffie-Hellmanアルゴリズムで使用される公開値のうち、RFC2412で規定されているDiffie-Hellman（OAKLEY）グループ1（768ビット値）とグループ2（1024ビット値）をサポートしています。

鍵作成・保存機能

ENCOモジュールの重要な機能の1つに、各種の暗号・認証アルゴリズムで使用する鍵の作成と保存のための機能があります。

本製品上で鍵を使用するには、CREATE ENCO KEYコマンドを実行して、ENCOモジュールに鍵を登録する必要があります。鍵は、ランダムに生成して登録することも、他のルーターで生成した鍵の値を入力することによって登録することも、また、あらかじめ定められた形式のファイルから鍵を取り込んで登録することもできます。また、作成したRSA鍵ペアの公開鍵をファイルに書き出し、他者に配布することもできます。

登録された鍵は、CREATE CONFIGコマンドで作成する設定スクリプトは別個にフラッシュメモリー上に格納されます。ただし、セキュリティーモードでない場合は、ルーターの再起動によって消去されてしまうため、鍵を使用する場合は必ずセキュリティーモードに移行するようにしてください。

鍵の作成方法は、使用するアルゴリズムによって異なります。DES、3DES、AES、RSA、MD5、SHAで使用する鍵の作成方法については、各アルゴリズムの設定手順をご覧ください。ここでは、これらに当てはまらないISAKMPの事前共有鍵の作成方法についてのみ解説します。

ISAKMPの事前共有鍵（pre-shared key）

ISAKMPで使用する事前共有鍵は、任意の長さの汎用鍵（パスフレーズ）です。次のようにして作成してください。

CREATE ENCO KEY=30 TYPE=GENERAL VALUE="onetwothree" DESCRIPTION="ISAKMP pre-shared key" ↓

リンクレベル圧縮

本製品は、フレームリレーとPPPでデータリンク層の圧縮をサポートしています。圧縮方式等のネゴシエーションには、RFC1962とRFC1978で規定されているCCP（Compression Control Protocol）を使います。

圧縮アルゴリズムとしては、PPPではSTAC LZSかPredictor、フレームリレーではFRF.9（STAC LZS）を使用できます。

以下、各圧縮方式を使う場合の基本設定について解説します。

PPPでSTAC LZSを使う

PPPリンクでSTAC LZSを使う場合は、次のようにします。

SET ENCO SWコマンドでソフトウェア圧縮チャンネルを確保します。接続先の数に応じて、チャンネル数を指定してください。1拠点なら1チャンネルです。
圧縮チャンネルの設定を有効にするため、いったん設定を保存してからルーターを再起動します。
PPPインターフェースの設定で圧縮を有効にし、アルゴリズムとしてSTACLZSを指定します。

PPPでPredictorを使う

PPPリンクでPredictorを使う場合は、次のようにします。

SET ENCO SWコマンドでソフトウェア圧縮チャンネルを確保します。接続先の数に応じて、チャンネル数を指定してください。1拠点なら1チャンネルです。
圧縮チャンネルの設定を有効にするため、いったん設定を保存してからルーターを再起動します。
PPPインターフェースの設定で圧縮を有効にし、アルゴリズムとしてPredictorを指定します。

フレームリレーでFRF.9を使う

フレームリレーでFRF.9圧縮を使う場合は、次のようにします。

SET ENCO SWコマンドでソフトウェア圧縮チャンネルを確保します。接続先の数に応じて、チャンネル数を指定してください。1拠点なら1チャンネルです。
圧縮チャンネルの設定を有効にするため、いったん設定を保存してからルーターを再起動します。
フレームリレーインターフェースの設定で圧縮を有効にします。この場合は、同インターフェース上のすべての論理パス（DLC）で圧縮が有効になります。

リンクレベル暗号化

本製品は、フレームリレーとPPPでDESによるデータリンクレベルの暗号化をサポートしています。

データリンクの暗号化に使う鍵は、本製品の独自方式（STARモジュール）を使って管理します。

STAR鍵交換モジュール

STAR鍵交換モジュールは、データリンクの暗号化で使用する鍵を管理する本製品独自のメカニズムです。STAR鍵交換では以下の役割を持つルーターが必要です。

マスタールーター（1台）：鍵を生成し、他のルーターに配布する役割を持つルーター
スタンバイルーター（オプション。1台）：マスタールーターに障害が発生したときに役割を引き継ぐルーター
スレーブルーター（1台以上）：マスタールーターから鍵の配布を受けるその他のルーター

また、STARモジュールでは以下に示す複数の鍵を使います。

セッションキー：リンク上を流れる通信データを暗号化するための共通鍵。マスタールーター上で自動的に生成され、スレーブルーターに配布される。このとき、マスターキーによって暗号化が施される。ランダムな間隔で再生成されるほか、データリンクの確立時やリンクエラー発生時にも新しく作り直される。
マスターキー（テーブル）：マスタールーターからスレーブルーターにセッションキーを転送するときに使う共通鍵。マスターキーテーブルは160個のマスターキーをセットにしたもので、マスタールーター上で管理者が生成し、手動でスレーブルーターに転送する。データリンク暗号化を利用するためには、リンク上のすべてのルーターに同じマスターキーテーブルがインストールされている必要がある。
ネットワークキー：マスタールーターからスレーブルーターにマスターキーテーブルを転送するときに使う共通鍵。管理者があらかじめマスタールーター上でネットワークキー生成し、これを安全な方法で（コンソールから）スレーブルーターに入力しておく必要がある。

ここでは、PPPリンクで接続されている次のようなネットワークを例に、データリンク暗号化の設定手順を示します。ルーターAとBは専用線で接続されているものと仮定します。

ルーターA（マスタールーター）の設定

専用線とPPPの設定を行います。
STARモジュールの有効範囲を示すSTARエンティティー「0」を作成します。ルーターAは鍵を配布する側なので、MODEパラメーターにはMASTERを指定します。ENCALGORITHMには暗号アルゴリズムを指定します（現在サポートしているのはDESのみ）。
PPPインターフェースでリンク暗号化を有効にします。STARENTITYパラメーターでSTARエンティティー番号を指定してください。
ネットワークキーを生成します。これは、マスターキーテーブルの配布時に使用する共通秘密鍵です。マスタールーター上でランダムに生成した後、他のルーターに手動で入力します。
作成したネットワークキーの値を表示させます。ルーターB（スレーブルーター）にも同じ値を設定するので、安全に気を付けつつメモしておいてください。
マスターキーテーブルを作成します。これは、実際の通信の暗号化に使うセッションキーを暗号化するための鍵を複数まとめたものです。マスタールーター上で生成し、PPPリンク経由でスレーブルーターに転送します。
マスターキーテーブルは、管理者が手動で時々作成しなおしてください。鍵を再作成したときは、手順7～10を繰り返してください。
スレーブルーターにネットワークキーを入力したら、マスターキーテーブルを転送します。マスターキーテーブルの転送は、マスタールーター側だけで行う作業です。最初にPPPリンクをいったんリセットします。これにより、セッションキーの再交換が行われ、結果としてスレーブルーターがマスターキーテーブルの転送を要求してきます。

次のコマンドを実行して、スレーブルーターからのマスターキーテーブル転送要求を確認します。

SHOW STAR MKTTRANSFER LOG ↓

Manager > show star mkttransfer log

Star Master Key Table transfer request log:
Serial Number  StarID User UserID   State     Time     Date        Requests
------------------------------------------------------------------------------
41849368            0  PPP        0 RECEIVED  16:22:27 08-Nov-2001          8
------------------------------------------------------------------------------

要求を確認したら、次のコマンドを実行してマスターキーテーブルを実際に転送します。MKTTRANSFERパラメーターには、スレーブルーターのシリアル番号を指定します。

転送の進行状況はSHOW STAR MKTTRANSFER LOGコマンドで確認できます。State欄がSENDINGなら転送中、COMPLETEDなら転送完了です。

Manager > show star mkttransfer log

Star Master Key Table transfer request log:
Serial Number  StarID User UserID   State     Time     Date        Requests
------------------------------------------------------------------------------
41849368            0  PPP        0 SENDING   16:22:27 08-Nov-2001         48
------------------------------------------------------------------------------

Manager > show star mkttransfer log

Star Master Key Table transfer request log:
Serial Number  StarID User UserID   State     Time     Date        Requests
------------------------------------------------------------------------------
41849368            0  PPP        0 COMPLETED 16:22:27 08-Nov-2001         48
------------------------------------------------------------------------------

設定は以上です。SHOW PPPコマンドでリンクの状態を確認してみましょう。LCP、ECP、NCP（ここではIPCP）がすべてOPENEDになっているはずです。

Manager > show ppp=0

  Name            Enabled  ifIndex  Over                  CP           State
  -----------------------------------------------------------------------------
  ppp0              YES      04                           IPCP         OPENED
                                                          ECP          OPENED
                                    acc-remote            LCP          OPENED
  -----------------------------------------------------------------------------

マスターキーテーブルを作成しなおした場合は、手順7～10を再度繰り返してください。

ルーターB（スレーブルーター）の設定

専用線とPPPの設定を行います。
STARモジュールの有効範囲を示すSTARエンティティー「0」を作成します。ルーターBはマスタールーターから鍵の配布を受ける側なので、MODEパラメーターにはSLAVEを指定します。ENCALGORITHMには暗号アルゴリズムを指定します（現在サポートしているのはDESのみ）。
PPPインターフェースでリンク暗号化を有効にします。STARENTITYパラメーターでSTARエンティティー番号を指定してください。
マスタールーター上で生成したネットワークキーを入力します。

PN: 613-001314 Rev.G