[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

ipsec proposal

モード: グローバルコンフィグモード
カテゴリー: IPsec / IPsec基本設定

(config)# ipsec proposal NAME esp encryption ENCALG [hash HASHALG]

(config)# ipsec proposal NAME ah hash HASHALG

(config)# ipsec proposal NAME lifetime {0|<300-259200>} [lifebyte <0-67108863>]

(config)# no ipsec proposal NAME

IPsecプロポーザル（IPsec SAの通信仕様）の設定を行う。
no形式で実行した場合は指定したIPsecプロポーザルを削除する。

1つ目の書式（ipsec proposal NAME esp...）では、IPsec SAでESPを使う場合の暗号化・認証方式を設定する。
2つ目の書式（ipsec proposal NAME ah ...）では、IPsec SAでAHを使う場合の認証方式を設定する。
3つ目の書式（ipsec proposal NAME lifetime ...）では、IPsec SAの有効期間を設定する。

IPsecの設定では、少なくとも1つ目か2つ目の書式でIPsecプロトコル（ESPかAH）と暗号化・認証方式を設定する必要がある。3つ目の書式は省略可能（省略時は初期値3600秒が使われる）。

パラメーター

NAME IPsecプロポーザル名。最大15文字。大文字小文字を区別する。IPsecポリシーの設定時にproposalコマンドでこの名前を指定する

esp IPsecプロトコルとしてESP（暗号化と認証）を使う場合に指定する

ah IPsecプロトコルとしてAH（認証）を使う場合に指定する

ENCALG := {des|3des|aes128|aes192|aes256|null}

ESPの暗号化アルゴリズム。nullを指定した場合は暗号化を行わない。この場合は必ずHASHALGで認証用ハッシュアルゴリズムを指定する必要がある

HASHALG := {md5|sha1}

ESP/AHの認証用ハッシュアルゴリズム。ESPで指定を省略した場合は、暗号化のみで認証を行わない

lifetime {0|<300-259200>} IPsec SAの有効期間（秒）。指定時間が経過すると、IPsec SAは再ネゴシエートされる。0は無期限を示す。初期値は3600（1時間）

lifebyte <0-67108863> IPsec SAの有効期間（KByte）。送受信したデータ量がここで指定した量に達すると、IPsec SAは再ネゴシエートされる。0は無期限を示す。初期値は0（無期限）

使用例

■ ESPによる暗号化（3DES）と認証（SHA1）を行うための設定。

*Router(config)# ipsec proposal ipsec1 esp encryption 3des hash sha1 ↓

■ ESPによる暗号化（AES 256bit）だけを行う設定。

*Router(config)# ipsec proposal ipsec2 esp encryption aes256 ↓

■ AHによる認証（SHA1）だけを行う設定。

*Router(config)# ipsec proposal ipsec3 ah hash sha1 ↓

■ ESPによる認証（SHA1）だけを行う設定。

*Router(config)# ipsec proposal ipsec4 esp encryption null hash sha1 ↓

注意・補足事項

■ ESPの設定で、ENCALGにnullを指定した場合、HASHALGを省略することはできない。

■ lifetimeとlifebyteの両方を0に設定することはできない。

■ lifetimeとlifebyteの両方に0以外の値を指定した場合、どちらかの条件を満たした時点で有効期間が満了し、SAの再ネゴシエートが行われる。

■ NAT-T使用時はIPsecプロトコルとしてESPを使う必要がある（NATによってIPヘッダーが変更されるため、認証範囲に外側IPヘッダーの一部を含むAHは使用できない）。

■ プロポーザル名に使用可能な文字は、「運用・管理」/「コマンドラインインターフェース（CLI）」の「使用できる文字」を参照。

■ IPsecプロトコルの設定変更（ESPからAH、またはAHからESP）を行ったときには、設定内容をスタートアップコンフィグに保存して再起動すること。

コマンドツリー

configure terminal (特権EXECモード) | +- ipsec proposal（グローバルコンフィグモード）

`NAME`	IPsecプロポーザル名。最大15文字。大文字小文字を区別する。IPsecポリシーの設定時にproposalコマンドでこの名前を指定する
`esp`	IPsecプロトコルとしてESP（暗号化と認証）を使う場合に指定する
`ah`	IPsecプロトコルとしてAH（認証）を使う場合に指定する
`ENCALG :=`	`{des\|3des\|aes128\|aes192\|aes256\|null}`
	ESPの暗号化アルゴリズム。nullを指定した場合は暗号化を行わない。この場合は必ずHASHALGで認証用ハッシュアルゴリズムを指定する必要がある
`HASHALG :=`	`{md5\|sha1}`
	ESP/AHの認証用ハッシュアルゴリズム。ESPで指定を省略した場合は、暗号化のみで認証を行わない
`lifetime {0\|<300-259200>}`	IPsec SAの有効期間（秒）。指定時間が経過すると、IPsec SAは再ネゴシエートされる。0は無期限を示す。初期値は3600（1時間）
`lifebyte <0-67108863>`	IPsec SAの有効期間（KByte）。送受信したデータ量がここで指定した量に達すると、IPsec SAは再ネゴシエートされる。0は無期限を示す。初期値は0（無期限）

ipsec proposal

パラメーター

使用例

注意・補足事項

コマンドツリー

関連コマンド