[index] CentreCOM AR300/AR700 シリーズ コマンドリファレンス 2.3

CREATE IPSEC BUNDLESPECIFICATION

カテゴリー:IPsec / SAバンドルスペック
対象機種:AR300 V2、AR300L V2、AR720、AR740


CREATE IPSEC BUNDLESPECIFICATION=bspec-id KEYMANAGEMENT={ISAKMP|MANUAL} STRING="bundle-string" [EXPIRYKBYTES=1..2000000000] [EXPIRYSECONDS=300..31449600]

bspec-id: SAバンドルスペック番号(0〜255)
bundle-string: SAスペック指定文字列(1〜100文字。SAスペック番号(0〜255)をセパレーター(AND、OR、カンマ)で区切って並べたもの)


SAバンドルスペックを作成する。

SAバンドルスペックは、IPsec通信で使用するSAスペック(プロトコル等)の組み合わせを指定するもの。これにより、あるトラフィックには暗号化(ESP)と認証(AH)を施し、別のトラフィックには圧縮(IPComp)と暗号化(ESP)を適用するといった設定が可能になる。



パラメーター

BUNDLESPECIFICATION: SAバンドルスペック番号

KEYMANAGEMENT: 鍵管理方式。SAバンドルの作成を手動で行うか(MANUAL=手動鍵管理)、ISAKMP/IKEのネゴシエーションによって自動的に行うか(ISAKMP=自動鍵管理)を指定する。

STRING: バンドルを構成するSAスペックの組み合わせ。SAスペック番号をAND、OR、カンマで区切って記述する。手動鍵管理の場合は、最大3個のSAスペックをANDで区切って指定する。各SAスペックは、それぞれ別のIPsecプロトコル(ESP、AH、IPComp)でなくてはならない。たとえば、SAスペック「1」(IPComp)と「3」(ESP)からなるSAバンドルは「1 AND 3」のように指定する。この場合、パケットに対してIPComp、ESPの順に処理が行われる。自動鍵管理の場合は、SAスペックの組み合わせをカンマ区切りで複数候補指定できる。実際にどのバンドル構成が使用されるかは、ISAKMP/IKEのネゴシエーションによって決まる。SAスペック「1」と「2」なら「1 AND 2」、「1」か「2」のどちらかのみなら「1 OR 2」、「1」と「2」が第一候補で「1」と「3」が第二候補なら、「1 AND 2, 1 AND 3」のように記述する。「AND」は併用するプロトコルを指定するものでそれぞれが異なるプロトコルでなくてはならない。「OR」はアルゴリズムの選択肢を示すもので同じプロトコルでなくてはならない。また、「AND」によるプロトコルの適用順序は、通常IPComp、ESP、AHの順とする。IPCompは必ず先頭でなくてはならない。

EXPIRYKBYTES: バンドル内SAの有効期限(Kbyte)。通信データ量がここで指定した量に達すると、該当SAバンドルは再ネゴシエートされる。KEYMANAGEMENTパラメーターにISAKMPを指定したときだけ有効。デフォルトは無期限。

EXPIRYSECONDS: バンドル内SAの有効期限(秒)。バンドル作成後ここで指定した時間が経過すると、該当SAバンドルは再ネゴシエートされる。KEYMANAGEMENTパラメーターにISAKMPを指定したときだけ有効。デフォルトは28800秒(8時間)。



手動鍵管理用のSAバンドルスペック「1」を作成する。SAスペックは「1」と「2」を使用する。
CREATE IPSEC BUNDLE=1 KEYMAN=MANUAL STRING="1 AND 2"

自動鍵管理用のSAバンドルスペック「2」を作成する。SAスペックの組み合わせは、3つの候補を指定する。
CREATE IPSEC BUNDLE=2 KEYMAN=ISAKMP STR="1 OR 2 AND 4, 1 OR 2, 3 AND 4"



備考・注意事項

IPsecを使用するには、通信データの暗号化と復号化を行うすべてのルーターに暗号ボード(AR010)または暗号・圧縮ボード(AR011)を装着する必要がある。



関連コマンド

DESTROY IPSEC BUNDLESPECIFICATION
SET IPSEC BUNDLESPECIFICATION
SHOW IPSEC BUNDLESPECIFICATION



参考

RFC2401, Security Architecture for the Internet Protocol
RFC2402, IP Authentication Header
RFC2403, The Use of HMAC-MD5-96 within ESP and AH
RFC2404, The Use of HMAC-SHA-1-96 within ESP and AH
RFC2405, The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC2406, IP Encapsulating Security Payload (ESP)
RFC2407, The Internet IP Security Domain of Interpretation for ISAKMP
RFC2408, Internet Security Association and Key Management Protocol (ISAKMP)
RFC2409, The Internet Key Exchange (IKE)
RFC2410, The NULL Encryption Algorithm and Its Use With IPsec
RFC2411, IP Security Document Roadmap
RFC2412, The OAKLEY Key Determination Protocol
RFC2451, The ESP CBC-Mode Cipher Algorithms
RFC2104, HMAC: Keyed-Hashing for Message Authentication
RFC2393, IP Payload Compression Protocol (IPComp)
RFC2395, IP Payload Compression Using LZS


(C) 1997 - 2005 アライドテレシスホールディングス株式会社

PN: J613-M0274-00 Rev.K