IKEv2¶

コマンド一覧

コマンド	コマンドの機能
anti-replay ikev2 anti-replay	リプレイ検出設定
cert cacert ikev2 cert cacert	CA証明書設定
cert ignore signature ikev2 cert ignore signature	証明書の署名検証設定
cert ignore subject-alt-name ikev2 cert ignore subject-alt-name	証明書の SubjectAltName 検証設定
cert ignore validity ikev2 cert ignore validity	証明書の有効期間検証設定
cert mycert ikev2 cert mycert	自装置証明書設定
child-lifetime ikev2 child-lifetime	Child SA ライフタイム設定
child-pfs ikev2 child-pfs	Child PFS 設定
child-proposal enc ikev2 child-proposal enc	Child プロポーザル暗号化アルゴリズム設定
child-proposal integrity ikev2 child-proposal integrity	Child プロポーザル認証アルゴリズム設定
dpd ikev2 dpd	DPD 有効/無効設定
ipsec-mode ikev2 ipsec-mode	IPsec の通信モード設定
local-authentication ikev2 local-authentication	IKEv2 自装置情報設定
local-ts ikev2 local-ts	ローカル側トラフィックセレクタ設定
nat-traversal ikev2 nat-traversal	NAT-T 機能の有効化設定
negotiation-direction ikev2 negotiation-direction	ネゴシエーション方向限定
nonce-size ikev2 nonce-size	Nonce ペイロードデータサイズ設定
outgoing-interface ikev2 outgoing-interface	出力先登録
remote-ts ikev2 remote-ts	リモート側トラフィックセレクタ設定
retransmit ikev2 retransmit	再送設定
sa-lifetime ikev2 sa-lifetime	IKEv2 SA ライフタイム設定
sa-proposal dh ikev2 sa-proposal dh	IKEv2 プロポーザルDH グループ設定
sa-proposal enc ikev2 sa-proposal enc	IKEv2 プロポーザル暗号化アルゴリズム設定
sa-proposal integrity ikev2 sa-proposal integrity	IKEv2 プロポーザル認証アルゴリズム設定
sa-proposal prf ikev2 sa-proposal prf	IKEv2 プロポーザル PRF アルゴリズム設定
source-address ikev2 source-address	ソースアドレスの設定
suppress ikev2 suppress	rekey/delete メッセージ抑制設定
ikev2 authentication	認証情報の設定
ikev2 binding	IKEv2 プロファイルの割り当て
ikev2 connect-type	SA生成タイプ設定
ikev2 default-profile	IKEv2 デフォルトプロファイルの作成・変更
ikev2 ipsec mtu ignore	MTU 無視設定
ikev2 ipsec pre-fragment	プリフラグメント動作設定
ikev2 peer	接続先登録
ikev2 peer-fqdn-ipv4	IPv4 アドレスを持つ FQDN 宛の接続先登録
ikev2 peer-fqdn-ipv6	IPv6 アドレスを持つ FQDN 宛の接続先登録
ikev2 profile	IKEv2 プロファイルの作成・変更
show ikev2 child-sa	Child SA の表示
show ikev2 sa	IKEv2 SA の表示
show ikev2 statistics	IKEv2 統計情報の表示
clear ikev2 child-sa	Child SA の削除
clear ikev2 history	履歴情報の削除
clear ikev2 sa	IKEv2 SA の削除
clear ikev2 statistics	IKEv2 統計情報のリセット

リプレイ検出設定¶

[入力形式]

anti-replay [ off ]
no anti-replay
ikev2 anti-replay [ off ]
no ikev2 anti-replay

[パラメータ]

off．．．リプレイ検出を無効にします。

[説明]

リプレイ攻撃防御機能の有効・無効を設定します。
off を指定した場合、リプレイ検出が無効になります。
パラメータを指定しない場合、または no を実行した場合、リプレイ検出が有効になります。

[デフォルト値]

有効

[実行モード]

IKEv2 プロファイルコンフィグモード

anti-replay

no anti-replay

インタフェースコンフィグモード

ikev2 anti-replay

no ikev2 anti-replay

[ユーザー権限]

Administrator

[入力例]

anti-replay
ikev2 anti-replay off
no anti-replay

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

パラメータなしの場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。

CA証明書設定¶

[入力形式]

cert cacert name NAME
no cert cacert
ikev2 cert cacert name NAME
no ikev2 cert cacert

[パラメータ]

NAME．．．装置に格納されている証明書ファイルの識別名

127文字以内の文字列

大文字／小文字は区別されます。

空白および「/」を含まない。

[説明]

指定した証明書をデジタル署名認証時のCA証明書として使用します。

[デフォルト値]

なし

[実行モード]

IKEv2 プロファイルコンフィグモード

cert cacert name

no cert cacert

インタフェースコンフィグモード

ikev2 cert cacert name NAME

no ikev2 cert cacert

[ユーザー権限]

Administrator

[入力例]

cert cacert name cacert1
ikev2 cert cacert name cacert1
no cert cacert

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

注釈

Ver1.2.15以前ではIKEv2デジタル署名認証の使用制限により、本コマンドは使用できません。

証明書の署名検証設定¶

[入力形式]

cert ignore signature [ off ]
no cert ignore signature
ikev2 cert ignore signature [ off ]
no ikev2 cert ignore signature

[パラメータ]

off．．．署名を検証する

[説明]

デジタル署名認証時に受信した証明書の署名の検証の有無を設定します。
パラメータを指定しない場合、署名を検証しません。
off を指定した場合、または no を設定した場合、署名を検証します。

[デフォルト値]

検証する

[実行モード]

IKEv2 プロファイルコンフィグモード

cert ignore signature

no cert ignore signature

インタフェースコンフィグモード

ikev2 cert ignore signature

no ikev2 cert ignore signature

[ユーザー権限]

Administrator

[入力例]

cert ignore signature
ikev2 cert ignore signature off
no cert ignore signature

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

パラメータがoffの場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。

注釈

Ver1.2.15以前ではIKEv2デジタル署名認証の使用制限により、本コマンドは使用できません。

証明書の SubjectAltName 検証設定¶

[入力形式]

cert ignore subject-alt-name [ off ]
no cert ignore subject-alt-name
ikev2 cert ignore subject-alt-name [ off ]
no ikev2 cert ignore subject-alt-name

[パラメータ]

off．．． SubjectAltNameを検証する

[説明]

デジタル署名認証時に受信した証明書のSubjectAltNameの検証の有無を設定します。
パラメータを指定しない場合、SubjectAltNameを検証しません。
off を指定した場合、または no を設定した場合、SubjectAltName を検証します。

[デフォルト値]

検証する

[実行モード]

IKEv2 プロファイルコンフィグモード

cert ignore subject-alt-name

no cert ignore subject-alt-name

インタフェースコンフィグモード

ikev2 cert ignore subject-alt-name

no ikev2 cert ignore subject-alt-name

[ユーザー権限]

Administrator

[入力例]

cert ignore subject-alt-name
cert ignore subject-alt-name off
no cert ignore subject-alt-name

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

パラメータがoffの場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。

注釈

Ver1.2.15以前ではIKEv2デジタル署名認証の使用制限により、本コマンドは使用できません。

証明書の有効期間検証設定¶

[入力形式]

cert ignore validity [ off ]
no cert ignore validity
ikev2 cert ignore validity [ off ]
no ikev2 cert ignore validity

[パラメータ]

off．．．有効期間を検証する

[説明]

デジタル署名認証時に証明書の有効期間の検証の有無を設定します。
パラメータを指定しない場合、有効期間を検証しません。
off を指定した場合、または no を設定した場合、有効期間を検証します。

[デフォルト値]

検証する

[実行モード]

IKEv2 プロファイルコンフィグモード

cert ignore validity

no cert ignore validity

インタフェースコンフィグモード

ikev2 cert ignore validity

no ikev2 cert ignore validity

[ユーザー権限]

Administrator

[入力例]

cert ignore validity
ikev2 cert ignore validity off
no cert ignore validity

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

パラメータがoffの場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。

注釈

Ver1.2.15以前ではIKEv2デジタル署名認証の使用制限により、本コマンドは使用できません。

自装置証明書設定¶

[入力形式]

cert mycert name NAME
no cert mycert
ikev2 cert mycert name NAME
no ikev2 cert mycert

[パラメータ]

NAME．．．装置内部ストレージに格納されている証明書ファイルの識別名

127文字以内の文字列

大文字／小文字は区別されます。

空白および「/」を含まない。

[説明]

NAMEで指定した証明書ファイルの情報を、デジタル署名認証時の自装置証明書として使用します。

[デフォルト値]

なし

[実行モード]

IKEv2 プロファイルコンフィグモード

cert mycert name NAME

no cert mycert

インタフェースコンフィグモード

ikev2 cert mycert name NAME

no ikev2 cert mycert

[ユーザー権限]

Administrator

[入力例]

cert mycert name myCert
ikev2 cert mycert name myCert
no cert mycert

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

注釈

Ver1.2.15以前ではIKEv2デジタル署名認証の使用制限により、本コマンドは使用できません。

Child SA ライフタイム設定¶

[入力形式]

child-lifetime SECONDS
no child-lifetime
ikev2 child-lifetime SECONDS
no ikev2 child-lifetime

[パラメータ]

SECONDS．．．Child SA ライフタイム値（秒）

範囲： 90〜691200

[説明]

Child SA の有効期間を設定します。

[デフォルト値]

28800

[実行モード]

IKEv2 プロファイルコンフィグモード

child-lifetime

no child-lifetime

インタフェースコンフィグモード

ikev2 child-lifetime

no ikev2 child-lifetime

[ユーザー権限]

Administrator

[入力例]

child-lifetime 60000
ikev2 child-lifetime 6000
no child-lifetime

[ノート]

Child SA ライフタイム値は、設定後に生成された Child SA から反映されます。
インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。
デフォルト値を設定しても"show running-config"で表示されます。

Child PFS 設定¶

[入力形式]: child-pfs { off | [ 768-bit ] [ 1024-bit ] [ 1536-bit ] [ 2048-bit ] [ 3072-bit ] }

no child-pfs

ikev2 child-pfs { off | [ 768-bit ] [ 1024-bit ] [ 1536-bit ] [ 2048-bit ] [ 3072-bit] }

no ikev2 child-pfs

[パラメータ]

off．．．Child PFSを保証しません。

768-bit ．．．DH Group 1を用いてPFSを保証します。

1024-bit．．．DH Group 2を用いてPFSを保証します。

1536-bit．．．DH Group 5を用いてPFSを保証します。

2048-bit．．．DH Group 14を用いてPFSを保証します。

3072-bit．．．DH Group 15を用いてPFSを保証します。

[説明]

PFS (Perfect Forward Secrecy) のアルゴリズムを設定します。

複数入力可能です。

[デフォルト値]

選択可能なすべてのアルゴリズム

[実行モード]

IKEv2 プロファイルコンフィグモード

child-pfs

no child-pfs

インタフェースコンフィグモード

ikev2 child-pfs

no ikev2 child-pfs

[ユーザー権限]

Administrator

[入力例]

child-pfs 1024-bit 768-bit 1536-bit
ikev2 child-pfs off
no child-pfs

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

デフォルト値を設定しても"show running-config"で表示されます。

[IX2000/IX3000シリーズ差分]

パラメータに ”3072-bit” を追加

Child プロポーザル暗号化アルゴリズム設定¶

[入力形式]

child-proposal enc { [ 3des-cbc ] [ aes-cbc-128 ] [ aes-cbc-192 ] [ aes-cbc-256 ]

[ aes-gcm-128-16 ] [ aes-gcm-256-16 ] [ null ] }

no child-proposal enc

ikev2 child-proposal enc { [ 3des-cbc ] [ aes-cbc-128 ] [ aes-cbc-192 ] [ aes-cbc-256 ]

[ aes-gcm-128-16 ] [ aes-gcm-256-16 ] [ null ] }

no ikev2 child-proposal enc

[パラメータ]

3des-cbc．．．Triple DES-CBC

aes-cbc-128．．．AES-CBC (128 bits)

aes-cbc-192．．．AES-CBC (192 bits)

aes-cbc-256．．．AES-CBC (256 bits)

aes-gcm-128-16．．．AES-GCM (128 bits key with 16 octets ICV)

aes-gcm-256-16．．．AES-GCM (256 bits key with 16 octets ICV)

null．．．NULL Algorithm

[説明]

Child プロポーザルの暗号化アルゴリズムを設定します。

複数アルゴリズムを指定可能です。

[デフォルト値]

null、3des-cbc 以外の選択可能なすべてのアルゴリズム

[実行モード]

IKEv2 プロファイルコンフィグモード

child-proposal enc

no child-proposal enc

インタフェースコンフィグモード

ikev2 child-proposal enc

no ikev2 child-proposal enc

[ユーザー権限]

Administrator

[入力例]

child-proposal enc aes-cbc-256 aes-cbc-192
ikev2 child-proposal enc aes-cbc-256
no child-proposal enc

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。
デフォルト値を設定しても"show running-config"で表示されます。
IX-V100ではNULL Algorithmは未対応です。

[IX2000/IX3000シリーズ差分]

パラメータの ”3des-cbc” をデフォルト値から削除

Child プロポーザル認証アルゴリズム設定¶

[入力形式]

child-proposal integrity { off | [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512 ] }
no child-proposal integrity
ikev2 child-proposal integrity { off | [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512 ] }
no ikev2 child-proposal integrity

[パラメータ]

off．．．認証アルゴリズムを無効にします

sha1．．．HMAC-SHA1-96

sha2-256．．．HMAC-SHA2-256-128

sha2-384．．．HMAC-SHA2-384-192

sha2-512．．．HMAC-SHA2-512-256

[説明]

Child プロポーザルの認証アルゴリズムを設定します。

複数アルゴリズムを指定可能です。

[デフォルト値]

sha1以外の選択可能なすべてのアルゴリズム

[実行モード]

IKEv2 プロファイルコンフィグモード

child-proposal integrity

no child-proposal integrity

インタフェースコンフィグモード

ikev2 child-proposal integrity

no ikev2 child-proposal integrity

[ユーザー権限]

Administrator

[入力例]

child-proposal integrity off
ikev2 child-proposal integrity sha1 sha2-512
no child-proposal integrity

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

デフォルト値を設定しても"show running-config"で表示されます。

[IX2000/IX3000シリーズ差分]

パラメータから ”md5” を削除
パラメータの ”sha1” をデフォルト値から削除

DPD 有効/無効設定¶

dpd [ interval SECONDS | off ]

no dpd

ikev2 dpd [ interval SECONDS | off ]

no ikev2 dpd

[パラメータ]

SECONDS．．．送信間隔（秒）

範囲： 10〜3600

デフォルト値： 10

off．．．無効

[説明]

DPD (Dead Peer Detection) の有効／無効を設定します。
interval値を指定した場合、指定値で DPD が有効となります。
off を指定した場合、または no を設定した場合、DPD が無効となります。

[デフォルト値]

無効

[実行モード]

IKEv2 プロファイルコンフィグモード

dpd

no dpd

インタフェースコンフィグモード

ikev2 dpd

no ikev2 dpd

[ユーザー権限]

Administrator

[入力例]

dpd
ikev2 dpd interval 100
dpd off
no dpd

[ノート]

再送回数は、再送回数設定コマンド "retransmit" に準じます。
インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。
パラメータがoffの場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。

IPsec の通信モード設定¶

[入力形式]

ipsec-mode { tunnel | transport }
no ipsec-mode
ikev2 ipsec-mode { tunnel | transport }
no ikev2 ipsec-mode

[パラメータ]

なし

[説明]

IPsecの通信モードを設定します。

[デフォルト値]

tunnel

[実行モード]

IKEv2 プロファイルコンフィグモード

ipsec-mode transport

no ipsec-mode

インタフェースコンフィグモード

ikev2 ipsec-mode tunnel

no ikev2 ipsec-mode

[ユーザー権限]

Administrator

[入力例]

ipsec-mode transport
ikev2 ipsec-mode tunnel
no ipsec-mode
no ikev2 ipsec-mode

[ノート]

なし

IKEv2 自装置情報設定¶

[入力形式]

local-authentication [ eap-md5 | psk | rsa ] [ id {fqdn FQDN | keyid KEYID |

ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]

no local-authentication

ikev2 local-authentication [ eap-md5 | psk | rsa ] [ id { fqdn FQDN | keyid KEYID |

ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]

no ikev2 local-authentication

[パラメータ]

eap-md5．．．EAP MD5(Message Digest 5)方式

psk．．．Pre-Shared Key方式

rsa．．．デジタル署名方式

id．．．IDタイプと値の設定

fqdn．．． IDペイロードタイプがFQDNの設定

FQDN．．．ドメイン名(例：mydomain.co.jp)

keyid．．． IDペイロードタイプがKEYIDの設定

KEYID．．．任意の文字列

ipv4．．． IDペイロードタイプがIPV4_ADDRの設定

IPv4-ADDRESS．．． IPv4アドレス

ipv6．．． IDペイロードタイプがIPV6_ADDRの設定

IPv6-ADDRESS．．． IPv6アドレス

rfc822-addr．．． IDペイロードタイプがRFC822_ADDRの設定

MAILADDR．．．メールアドレス

[説明]

IKEv2自装置情報を設定します。

[デフォルト値]

認証方式．．．psk
id ．．．sourceアドレス

[実行モード]

IKEv2 プロファイルコンフィグモード

local-authentication

no local-authentication

インタフェースコンフィグモード

ikev2 local-authentication

no ikev2 local-authentication

[ユーザー権限]

Administrator

[入力例]

local-authentication eap-md5 id fqdn mydomain.co.jp
ikev2 local-authentication psk
no local-authentication

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

本コマンドは IX-R シリーズでのみ利用できます。

ローカル側トラフィックセレクタ設定¶

[入力形式]: local-ts { ipv4 | ipv6 } [ protocol PROTOCOL ]

[ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ]

[ port START-PORT END-PORT ]

no local-ts { ipv4 | ipv6 } [ protocol PROTOCOL ]

[ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ]

[ port START-PORT END-PORT ]

ikev2 local-ts { ipv4 | ipv6 } [ protocol PROTOCOL ]

[ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ]

[ port START-PORT END-PORT ]

no ikev2 local-ts { ipv4 | ipv6 } [ protocol PROTOCOL ]

[ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ]

[ port START-PORT END-PORT ]

[パラメータ]

ipv4．．．IPv4トラフィックセレクタ設定

ipv6．．．IPv6トラフィックセレクタ設定

PROTOCOL．．．プロトコル

範囲： 1〜255

icmp ：

ICMP(1) (ipv4設定時)

ICMPv6(58) (ipv6設定時)

tcp ： TCP(6)

udp ： UDP(17)

ADDRESS ．．．アドレス

IPv4アドレス (ipv4設定時)

IPv6アドレス (ipv6設定時)

MASKLENGTH ．．．マスク長

範囲：

0〜32 (ipv4設定時)

0〜128 (ipv6設定時)

START-ADDRESS．．．始点アドレス

IPv4アドレス (ipv4設定時)

IPv6アドレス (ipv6設定時)

END-ADDRESS ．．．終点アドレス

IPv4アドレス (ipv4設定時)

IPv6アドレス (ipv6設定時)

START-PORT．．．始点ポート番号

範囲： 0~65535

END-PORT ．．．終点ポート番号

範囲： 0~65535

[説明]

Child SA 生成の折衝時に提案するローカル側のトラフィックセレクタを設定します。

[デフォルト値]

protocol ： any．．．すべてのプロトコル

PROTOCOL ： 0
address ： any

すべてのIPv4アドレス (ipv4設定時)

すべてのIPv6アドレス (ipv6設定時)
START-ADDRESS ：

0.0.0.0 (ipv4設定時) / :: (ipv6設定時)
END-ADDRESS ：

255.255.255.255 (ipv4設定時)

ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff (ipv6設定時)
port ： any．．．すべてのポート番号

START-PORT ： 0

END-PORT ： 65535

[実行モード]

IKEv2 プロファイルコンフィグモード

local-ts

no local-ts

インタフェースコンフィグモード

ikev2 local-ts

no ikev2 local-ts

[ユーザー権限]

Administrator

[入力例]

local-ts ipv4 protocol tcp address 192.168.0.0/24 port 0 10000
local-ts ipv4 address 192.168.0.0 192.168.0.127
no local-ts ipv4 protocol 6 address 192.168.0.0/24
ikev2 local-ts ipv6

[ノート]

イニシエータ動作時のみ本設定は有効となります。
ICMP の Type/Code 指定はできません。
port を指定する場合、PROTOCOL に TCP(6) または UDP(17) の指定が必須になり、
それ以外の PROTOCOL を指定している場合は、portを指定できません。

NAT-T 機能の有効化設定¶

[入力形式]

nat-traversal [ keepalive SECOND ] [ force ] [ off ]
no nat-traversal
ikev2 nat-traversal [ keepalive SECOND ] [ force ] [ off ]
no ikev2 nat-traversal

[パラメータ]

SECOND．．．NAT-T Keepaliveペイロード送信間隔設定（秒）

範囲： 10～3600

デフォルト値： 20

force．．．インタフェースに強制的にNAT-Tを適応する

off ．．．NAT-T機能無効化

IKE_SAコンフィグ情報はデフォルトプロファイル・任意プロファイル・各インタフェースで同コマンドのコンフィグを上書きするため、コンフィグなしとは別の状態として"NAT-T機能無効"であることを指定するオプションが必要。

[説明]

IKEv2/IPsec で NAT-T 機能を有効化し、コマンド投入時に 4500番ポートを open する。

[デフォルト値]

無効

[実行モード]

IKEv2 プロファイルコンフィグモード

nat-traversal

no nat-traversal

インタフェースコンフィグモード

ikev2 nat-traversal

no ikev2 nat-traversal

[ユーザー権限]

Administrator

[入力例]

nat-traversal
nat-traversal force keepalive 3600
nat-traversal off
ikev2 nat-traversal
no nat-traversal
no ikev2 nat-traversal

[ノート]

なし

ネゴシエーション方向限定¶

[入力形式]

negotiation-direction {initiator | responder | both}
no negotiation-direction
ikev2 negotiation-direction {initiator | responder | both}
no ikev2 negotiation-direction

[パラメータ]

initiator．．．イニシエータ動作のみ

responder．．．レスポンダ動作のみ

both．．．イニシエータまたはレスポンダ動作

[説明]

Initial Exchangeの方向を限定します。

[デフォルト値]

both

[実行モード]

IKEv2 プロファイルコンフィグモード

negotiation-direction

no negotiation-direction

インタフェースコンフィグモード

ikev2 negotiation-direction

no ikev2 negotiation-direction

[ユーザー権限]

Administrator

[入力例]

negotiation-direction initiator
ikev2 negotiation-direction initiator
no negotiation-direction

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

パラメータが both の場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。

Nonce ペイロードデータサイズ設定¶

[入力形式]

nonce-size SIZE
no nonce-size
ikev2 nonce-size SIZE
no ikev2 nonce-size

[パラメータ]

SIZE．．．データサイズ（バイト）

範囲： 16〜256

デフォルト値： 256

[説明]

Nonceペイロードの送信データサイズを設定します。

[デフォルト値]

256バイト

[実行モード]

IKEv2 プロファイルコンフィグモード

nonce-size

no nonce-size

インタフェースコンフィグモード

ikev2 nonce-size

no ikev2 nonce-size

[ユーザー権限]

Administrator

[入力例]

nonce-size 100
ikev2 nonce-size 16
no nonce-size

[ノート]

なし

出力先登録¶

[入力形式]

outgoing-interface INTERFACE [ NEXTHOP | auto ]
no outgoing-interface
ikev2 outgoing-interface INTERFACE [ NEXTHOP | auto ]
no ikev2 outgoing-interface

[パラメータ]

INTERFACE．．．出力先インタフェース名

NEXTHOP．．．ネクストホップアドレス

IPv4アドレス

IPv6アドレス

auto．．．ルーティングテーブルからネクストホップアドレスを取得

[説明]

IKEv2パケットの出力インタフェースを指定します。
パケットの出力インタフェースを固定することにより、意図しないインタフェースからのパケット送信を抑制します。
本コマンドを設定時は、指定した出力先インタフェースが up した場合にトンネルインタフェースがupします。

[デフォルト値]

なし

[実行モード]

IKEv2 プロファイルコンフィグモード

outgoing-interface

no outgoing-interface

インタフェースコンフィグモード

ikev2 outgoing-interface

no ikev2 outgoing-interface

[ユーザー権限]

Administrator

[入力例]

outgoing-interface GigaEthernet0.0 192.168.0.20
ikev2 outgoing-interface GigaEthernet0.0 192.168.0.20
ikev2 outgoing-interface GigaEthernet0.0 auto
no ikev2 outgoing-interface

[ノート]

なし

リモート側トラフィックセレクタ設定¶

[入力形式]

remote-ts { ipv4 | ipv6 } [ protocol PROTOCOL ]

[ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ]

[ port START-PORT END-PORT ]

no remote-ts { ipv4 | ipv6 } [ protocol PROTOCOL ]

[ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ]

[ port START-PORT END-PORT ]

ikev2 remote-ts { ipv4 | ipv6 } [ protocol PROTOCOL ]

[ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ]

[ port START-PORT END-PORT ]

no ikev2 remote-ts { ipv4 | ipv6 } [ protocol PROTOCOL ]

[ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ]

[ port START-PORT END-PORT ]

[パラメータ]

ipv4．．．IPv4トラフィックセレクタ設定

ipv6．．．IPv6トラフィックセレクタ設定

PROTOCOL．．．プロトコル

範囲： 1〜255

icmp ：

ICMP(1) (ipv4設定時)

ICMPv6(58) (ipv6設定時)

tcp ： TCP(6)

udp ： UDP(17)

ADDRESS ．．．アドレス

MASKLENGTH ．．．マスク長

範囲：

0〜32 (ipv4設定時)

0〜128 (ipv6設定時)

START-ADDRESS．．．始点アドレス

END-ADDRESS ．．．終点アドレス

START-PORT．．．始点ポート番号

範囲： 0~65535

END-PORT ．．．終点ポート番号

範囲： 0~65535

[説明]

Child SA 生成の折衝時に提案するリモート側のトラフィックセレクタを設定します。

[デフォルト値]

protocol ： any．．．すべてのプロトコル

PROTOCOL ： 0
address ： any

すべてのIPv4アドレス (ipv4設定時)

すべてのIPv6アドレス (ipv6設定時)
START-ADDRESS ：

0.0.0.0 (ipv4設定時) / :: (ipv6設定時)
END-ADDRESS ：

255.255.255.255 (ipv4設定時)

ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff (ipv6設定時)
port ： any．．．すべてのポート番号

START-PORT ： 0

END-PORT ： 65535

[実行モード]

IKEv2 プロファイルコンフィグモード

remote-ts

no remote-ts

インタフェースコンフィグモード

ikev2 remote-ts

no ikev2 remote-ts

[ユーザー権限]

Administrator

[入力例]

remote-ts ipv4 protocol tcp address 192.168.0.0/24 port 0 10000
remote-ts ipv4 address 192.168.0.0 192.168.0.127
no remote-ts ipv4 protocol 6 address 192.168.0.0/24
ikev2 remote-ts ipv6

[ノート]

イニシエータ動作時のみ本設定は有効となります。
ICMP の Type/Code 指定はできません。
port を指定する場合、PROTOCOL に TCP(6) または UDP(17) の指定が必須になり、それ以外の PROTOCOL を指定している場合は、port を指定できません。

再送設定¶

[入力形式]

retransmit count RETRIES interval { SECONDS | backoff }
no retransmit
ikev2 retransmit count RETRIES interval { SECONDS | backoff }
no ikev2 retransmit

[パラメータ]

RETRIES．．．再送回数

範囲： 2〜10

SECONDS．．．再送間隔（秒）

範囲： 5〜60

backoff．．．2秒、4秒、8秒....と"2^n[回]"で増加する(最大間隔は60秒)

[説明]

再送の回数と間隔を設定します。

[デフォルト値]

count ．．．3
interval．．．backoff

[実行モード]

IKEv2 プロファイルコンフィグモード

retransmit count

no retransmit

インタフェースコンフィグモード

ikev2 retransmit count

no ikev2 retransmit

[ユーザー権限]

Administrator

[入力例]

retransmit count 10 interval backoff
ikev2 retransmit count 10 interval 30
no retransmit

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

デフォルト値を設定しても"show running-config"で表示されます。

IKEv2 SA ライフタイム設定¶

[入力形式]

sa-lifetime SECONDS
no sa-lifetime
ikev2 sa-lifetime SECONDS
no ikev2 sa-lifetime

[パラメータ]

SECONDS．．．IKEv2 SA ライフタイム値（秒）

範囲： 90〜691200

[説明]

IKEv2 SA の有効期間を設定します。

[デフォルト値]

86400

[実行モード]

IKEv2 プロファイルコンフィグモード

sa-lifetime

no sa-lifetime

インタフェースコンフィグモード

ikev2 sa-lifetime

no ikev2 sa-lifetime

[ユーザー権限]

Administrator

[入力例]

sa-lifetime 60000
ikev2 sa-lifetime 120000
no sa-lifetime

[ノート]

IKEv2 SA ライフタイム値は、設定後に生成されたIKEv2 SAから反映されます。
インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。
デフォルト値を設定しても"show running-config"で表示されます。

IKEv2 プロポーザルDH グループ設定¶

[入力形式]

sa-proposal dh { [ 768-bit ] [ 1024-bit ] [ 1536-bit ] [ 2048-bit ] [ 3072-bit ] }
no sa-proposal dh
ikev2 sa-proposal dh { [ 768-bit ] [ 1024-bit ] [ 1536-bit ] [ 2048-bit ] [ 3072-bit ] }
no ikev2 sa-proposal dh

[パラメータ]

768-bit．．．DH Group 1

1024-bit．．．DH Group 2

1536-bit．．．DH Group 5

2048-bit．．．DH Group 14

3072-bit．．．DH Group 15

[説明]

IKEv2 プロポーザルの DH グループを設定します。

複数の DH グループを指定可能です。

[デフォルト値]

選択可能なすべてのアルゴリズム

[実行モード]

IKEv2 プロファイルコンフィグモード

sa-proposal dh

no sa-proposal dh

インタフェースコンフィグモード

ikev2 sa-proposal dh

no ikev2 sa-proposal dh

[ユーザー権限]

Administrator

[入力例]

sa-proposal dh 768-bit 1536-bit
ikev2 sa-proposal dh 1024-bit
no sa-proposal dh

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

デフォルト値を設定しても"show running-config"で表示されます。

[IX2000/IX3000シリーズ差分]

パラメータに ”3072-bit” を追加

IKEv2 プロポーザル暗号化アルゴリズム設定¶

[入力形式]

sa-proposal enc { [ 3des-cbc ] [ aes-cbc-128 ] [ aes-cbc-192 ] [ aes-cbc-256 ]

[ aes-gcm-128-16 ] [ aes-gcm-256-16 ] }

no sa-proposal enc

ikev2 sa-proposal enc { [ 3des-cbc ] [ aes-cbc-128 ] [ aes-cbc-192 ] [ aes-cbc-256 ]

[ aes-gcm-128-16 ] [ aes-gcm-256-16 ] }

no ikev2 sa-proposal enc

[パラメータ]

3des-cbc．．．Triple DES-CBC

aes-cbc-128．．．AES-CBC (128 bits)

aes-cbc-192．．．AES-CBC (192 bits)

aes-cbc-256．．．AES-CBC (256 bits)

aes-gcm-128-16．．．AES-GCM (128 bits key with 16 octets ICV)

aes-gcm-256-16．．．AES-GCM (256 bits key with 16 octets ICV)

[説明]

IKEv2 プロポーザルの暗号化アルゴリズムを設定します。

複数アルゴリズムを指定可能です。

[デフォルト値]

3des-cbc 以外の選択可能なすべてのアルゴリズム

[実行モード]

IKEv2 プロファイルコンフィグモード

sa-proposal enc
no sa-proposal enc

インタフェースコンフィグモード

ikev2 sa-proposal enc
no ikev2 sa-proposal enc

[ユーザー権限]

Administrator

[入力例]

sa-proposal enc aes-cbc-128 aes-cbc-192
ikev2 sa-proposal enc aes-cbc-192
no sa-proposal enc

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

デフォルト値を設定しても"show running-config"で表示されます。

[IX2000/IX3000シリーズ差分]

パラメータの ”3des-cbc” をデフォルト値から削除

IKEv2 プロポーザル認証アルゴリズム設定¶

[入力形式]

sa-proposal integrity { [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512 ] }
no sa-proposal integrity
ikev2 sa-proposal integrity { [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512 ] }
no ikev2 sa-proposal integrity

[パラメータ]

sha1．．．HMAC-SHA1-96

sha2-256．．．HMAC-SHA2-256-128

sha2-384．．．HMAC-SHA2-384-192

sha2-512．．．HMAC-SHA2-512-256

[説明]

IKEv2プロポーザルの認証アルゴリズムを設定します。

複数アルゴリズムを指定可能です。

[デフォルト値]

sha1 以外の選択可能なすべてのアルゴリズム

[実行モード]

IKEv2 プロファイルコンフィグモード

sa-proposal integrity

no sa-proposal integrity

インタフェースコンフィグモード

ikev2 sa-proposal integrity

no ikev2 sa-proposal integrity

[ユーザー権限]

Administrator

[入力例]

sa-proposal integrity sha2-256 sha1
ikev2 sa-proposal integrity sha1
no sa-proposal integrity

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

デフォルト値を設定しても"show running-config"で表示されます。

[IX2000/IX3000シリーズ差分]

パラメータから ”md5” を削除
パラメータの ”sha1” をデフォルト値から削除

IKEv2 プロポーザル PRF アルゴリズム設定¶

[入力形式]

sa-proposal prf { [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512] }
no sa-proposal prf
ikev2 sa-proposal prf { [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512 ] }
no ikev2 sa-proposal prf

[パラメータ]

sha1．．．HMAC-SHA1

sha2-256．．．HMAC-SHA2-256

sha2-384．．．HMAC-SHA2-384

sha2-512．．．HMAC-SHA2-512

[説明]

IKEv2プロポーザルのPRFアルゴリズムを設定します。

複数アルゴリズムを指定可能です。

[デフォルト値]

sha1 以外の選択可能なすべてのアルゴリズム

[実行モード]

IKEv2 プロファイルコンフィグモード

sa-proposal prf

no sa-proposal prf

インタフェースコンフィグモード

ikev2 sa-proposal prf

no ikev2 sa-proposal prf

[ユーザー権限]

Administrator

[入力例]

sa-proposal prf sha2-256 sha1
ikev2 sa-proposal prf sha1
no sa-proposal prf

[ノート]

インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。

デフォルト値を設定しても"show running-config"で表示されます。

[IX2000/IX3000シリーズ差分]

パラメータから ”md5” を削除
パラメータの ”sha1” をデフォルト値から削除

ソースアドレスの設定¶

[入力形式]

source-address { [ SOURCE-ADDRESS ] [ INTERFACE ] }
no source-address
ikev2 source-address { [ SOURCE-ADDRESS ] [ INTERFACE ] }
no ikev2 source-address

[パラメータ]

SOURCE-ADDRESS．．．ソースアドレス

IPv4アドレス

IPv6アドレス

INTERFACE．．．インタフェース名

[説明]

IKEv2 パケットのソースアドレスを指定します。
初期設定では、SA の始点やトンネルカプセル化のソースアドレスは、IKEv2 パケットが送信されるインタフェースのアドレスが自動的に使用されます。
本コマンドを設定することにより、任意なソースアドレス設定が可能になります。
ただし、使用するアドレスはインタフェースに振られている必要があります。
インタフェース名を指定した場合は、そのインタフェースに振られているアドレスが使用されます。

[デフォルト値]

なし

[実行モード]

IKEv2 プロファイルコンフィグモード

source-address

no source-address

インタフェースコンフィグモード

ikev2 source-address

no ikev2 source-address

[ユーザー権限]

Administrator

[入力例]

source-address 192.168.1.1
ikev2 source-address 192.168.2.2
ikev2 source-address 192.168.100.100 GigaEthernet0.0
no ikev2 source-address

[ノート]

なし

rekey/delete メッセージ抑制設定¶

[入力形式]

suppress { send-delete | send-rekey }
no suppress { send-delete | send-rekey }
ikev2 suppress { send-delete | send-rekey }
no ikev2 suppress { send-delete | send-rekey }

[パラメータ]

send-delete．．．deleteメッセージの抑制設定

send-rekey ．．．rekeyメッセージの抑制設定

[説明]

IKEv2 の delete/rekey メッセージを抑制します。
本コマンドを設定することにより、delete/rekey メッセージが送信されなくなります。
delete の場合メッセージの送信は行われませんが、SA/CHILD SA は消去されます。

[デフォルト値]

なし

[実行モード]

IKEv2 プロファイルコンフィグモード

suppress send-delete

no suppress send-delete

suppress send-rekey

no suppress send-rekey

インタフェースコンフィグモード

ikev2 suppress send-delete
no ikev2 suppress send-delete
ikev2 suppress send-rekey
no ikev2 suppress send-rekey

[ユーザー権限]

Administrator

[入力例]

suppress send-delete

no ikev2 suppress send-rekey

[ノート]

delete を抑止した場合rekeyは利用できません。両方抑止してください。

認証情報の設定¶

[入力形式]

ikev2 authentication { eap-md5 | psk }

id { fqdn FQDN | keyid KEYID | ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR }

key { char | hex | secret } SHARED-KEY

no ikev2 authentication { eap-md5 | psk }

id { fqdn FQDN | keyid KEYID | ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR }

[パラメータ]

eap-md5．．．EAP MD5(Message Digest 5)方式

psk．．．Pre-Shared Key方式

id．．．IDタイプと値の設定

fqdn： IDペイロードタイプがFQDNの設定

FQDN：ドメイン名(例：mydomain.co.jp)

keyid： IDペイロードタイプがKEYIDの設定

KEYID：任意の文字列

ipv4： IDペイロードタイプがIPV4_ADDRの設定

IPv4-ADDRESS： IPv4アドレス

ipv6： IDペイロードタイプがIPV6_ADDRの設定

IPv6-ADDRESS： IPv6アドレス

rfc822-addr： IDペイロードタイプがRFC822_ADDRの設定

MAILADDR：メールアドレス

key．．．鍵入力タイプと値の設定

char：キャラクター入力

hex： 16進入力

secret：暗号化済みの鍵を入力

SHARED-KEY．．．事前共有鍵

char を指定した場合、キャラクター表記で最大 128 文字まで。

hex を指定した場合、16 進数表記で最大 256 文字まで。

secret を指定した場合、キャラクター表記で最大 256 文字まで。

[説明]: IKEv2 の認証情報を設定します。
[デフォルト値]: なし
[実行モード]: グローバルコンフィグモード
[ユーザー権限]: Administrator
[入力例]: ikev2 authentication eap-md5 id fqdn mydomain.co.jp key char himitsu

no ikev2 authentication eap-md5 id fqdn mydomain.co.jp
[ノート]: なし

IKEv2 プロファイルの割り当て¶

[入力形式]

ikev2 binding PROFILE-NAME

no ikev2 binding

[パラメータ]

PROFILE-NAME．．．プロファイル名

31文字以内の文字列

[説明]

IKEv2 プロファイルを割り当てます。

[デフォルト値]

なし

[実行モード]

インタフェースコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ikev2 binding group-b

no ikev2 binding

[ノート]

なし

SA生成タイプ設定¶

[入力形式]

ikev2 connect-type { auto | trigger }

no ikev2 connect-type

[パラメータ]

auto．．．常時SAを生成します

trigger．．．トリガパケットによりSAを生成します

[説明]

ネゴシエーションを開始し SA を生成するタイプを設定します。

[デフォルト値]

trigger

[実行モード]

インタフェースコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ikev2 connect-type auto

no ikev2 connect-type

[ノート]

デフォルト値を設定しても"show running-config"で表示されます。

IKEv2 デフォルトプロファイルの作成・変更¶

[入力形式]: ikev2 default-profile

no ikev2 default-profile
[パラメータ]: なし
[説明]: IKEv2 デフォルトプロファイルを作成し、IKEv2 プロファイルコンフィグモードへ遷移します。

IKEv2 デフォルトプロファイルの設定は IKEv2 の全インタフェースに適用されます。

インタフェース個別に変更する場合は、インタフェース個別の設定を行うか、または、IKEv2 プロファイルに設定を行い、インタフェースに割り当てしてください。
[デフォルト値]: なし
[実行モード]: グローバルコンフィグモード
[ユーザー権限]: Administrator
[入力例]: ikev2 default-profile

no ikev2 default-profile
[ノート]: なし

MTU 無視設定¶

[入力形式]: ikev2 ipsec mtu ignore

no ikev2 ipsec mtu ignore
[パラメータ]: なし
[説明]: 初期設定では DFビット付きの IPv4 パケットや IPv6 パケットが MTU サイズを超えた場合には、パケットを廃棄するとともにICMPエラーメッセージを送信元に返します。

本コマンドを設定した場合には、これらパケットを強制的にフラグメントして送信することが可能になります。

自装置で生成したパケットは常に強制的にフラグメントして送信されます。
[デフォルト値]: フラグメント禁止
[実行モード]: インタフェースコンフィグモード
[ユーザー権限]: Administrator
[入力例]: ikev2 ipsec mtu ignore

no ikev2 ipsec mtu ignore
[ノート]: なし

プリフラグメント動作設定¶

[入力形式]

ikev2 ipsec pre-fragment

no ikev2 ipsec pre-fragment

[パラメータ]

なし

[説明]

フラグメント動作をポストフラグメントからプリフラグメント動作に切り替えます。

ポストフラグメント動作 (デフォルト動作)

暗号化されたパケットをフラグメントします。

プリフラグメント動作

暗号化される前のパケットをフラグメントします。

自装置生成パケットの場合は常にプリフラグメント動作となります。

[デフォルト値]

ポストフラグメント動作

[実行モード]

インタフェースコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ikev2 ipsec pre-fragment

no ikev2 ipsec pre-fragment

[ノート]

なし

接続先登録¶

[入力形式]

ikev2 peer PEER-ADDRESS [ authentication { [ psk | eap-md5 | rsa ]

[ id { fqdn FQDN | keyid KEYID | ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ] } ]

no ikev2 peer

[パラメータ]

PEER-ADDRESS．．．SAを張る相手のアドレス

IPv4アドレス

IPv6アドレス

any ：不定アドレス接続

authentication．．．認証タイプの設定

psk ： Pre-Shared Key方式

eap-md5 ： EAP MD5(Message Digest 5)方式

rsa ： RSA暗号方式(デジタル署名)

id．．．IDタイプと値の設定

fqdn ： IDペイロードタイプがFQDNの設定

FQDN ：ドメイン名(例：mydomain.co.jp)

keyid ： IDペイロードタイプがKEYIDの設定

KEYID ：任意の文字列

ipv4 ： IDペイロードタイプがIPV4_ADDRの設定

IPv4-ADDRESS： IPv4アドレス

ipv6 ： IDペイロードタイプがIPV6_ADDRの設定

IPv6-ADDRESS： IPv6アドレス

rfc822-addr： IDペイロードタイプがRFC822_ADDRの設定

MAILADDR ：メールアドレス

[説明]

接続先の情報を登録します。

不定アドレス接続("peer any")の場合、idは必須パラメータです。

また、不定アドレス接続の場合、以下のコマンドはIKEv2 デフォルトプロファイルに設定してください。

CA証明書設定： cert cacert

IKEv2 プロポーザル： sa-proposal

当コマンドを実行した場合、ikev2 peer-fqdn-ipv6 コマンドまたはikev2 peer-fqdn-ipv4 コマンドの設定を上書きします。

[デフォルト値]

authentication ．．．psk
id ．．．省略した場合、PEER-ADDRESS(ID TypeはIPv4 or IPv6)となります。

[実行モード]

インタフェースコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ikev2 peer 192.168.0.1 authentication eap-md5 id fqdn mydomain.co.jp
ikev2 peer any authentication id fqdn mydomain.co.jp
no ikev2 peer

[ノート]

なし

IPv4 アドレスを持つ FQDN 宛の接続先登録¶

[入力形式]

ikev2 peer-fqdn-ipv4 DOMAIN-NAME [ authentication { [ psk | eap-md5 | rsa ]

[ id { fqdn FQDN | keyid KEYID | ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ] } ]

no ikev2 peer-fqdn-ipv4

[パラメータ]

DOMAIN-NAME．．．SAを張る相手のドメイン名(例：domain.co.jp)

authentication．．．認証タイプの設定

psk ： Pre-Shared Key方式

eap-md5 ： EAP MD5(Message Digest 5)方式

rsa ： RSA暗号方式(デジタル署名)

id．．．IDタイプと値の設定

fqdn ： IDペイロードタイプがFQDNの設定

FQDN ：ドメイン名(例：domain.co.jp)

keyid ： IDペイロードタイプがKEYIDの設定

KEYID ：任意の文字列

ipv4 ： IDペイロードタイプがIPV4_ADDRの設定

IPv4-ADDRESS： IPv4アドレス

ipv6 ： IDペイロードタイプがIPV6_ADDRの設定

IPv6-ADDRESS： IPv6アドレス

rfc822-addr： IDペイロードタイプがRFC822_ADDRの設定

MAILADDR ：メールアドレス

[説明]

接続先の情報を登録します。

当コマンドを実行した場合、ikev2 peer コマンドまたは ikev2 peer-fqdn-ipv6 コマンドの設定を上書きします。

[デフォルト値]

authentication ．．．psk
id ．．．省略した場合、DOMAIN-NAME(ID TypeはFQDN)となります。

[実行モード]

インタフェースコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ikev2 peer-fqdn-ipv4 domain.co.jp authentication eap-md5 id fqdn domain.co.jp

no ikev2 peer-fqdn-ipv4

[ノート]

なし

IPv6 アドレスを持つ FQDN 宛の接続先登録¶

[入力形式]

ikev2 peer-fqdn-ipv6 DOMAIN-NAME [ authentication { [ psk | eap-md5 | rsa ]

[ id {fqdn FQDN | keyid KEYID | ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ] } ]

no ikev2 peer-fqdn-ipv6

[パラメータ]

DOMAIN-NAME．．．SAを張る相手のドメイン名(例：domain.co.jp)

authentication．．．認証タイプの設定

psk ： Pre-Shared Key方式

eap-md5 ： EAP MD5(Message Digest 5)方式

rsa ： RSA暗号方式(デジタル署名)

id．．．IDタイプと値の設定

fqdn ： IDペイロードタイプがFQDNの設定

FQDN ：ドメイン名(例：domain.co.jp)

keyid ： IDペイロードタイプがKEYIDの設定

KEYID ：任意の文字列

ipv4 ： IDペイロードタイプがIPV4_ADDRの設定

IPv4-ADDRESS： IPv4アドレス

ipv6 ： IDペイロードタイプがIPV6_ADDRの設定

IPv6-ADDRESS： IPv6アドレス

rfc822-addr： IDペイロードタイプがRFC822_ADDRの設定

MAILADDR ：メールアドレス

[説明]

接続先の情報を登録します。

当コマンドを実行した場合、ikev2 peer コマンドまたは ikev2 peer-fqdn-ipv4 コマンドの設定を上書きします。

[デフォルト値]

authentication ．．．psk
id ．．．省略した場合、DOMAIN-NAME (ID TypeはFQDN) となります。

[実行モード]

インタフェースコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ikev2 peer-fqdn-ipv6 domain.co.jp authentication eap-md5 id fqdn domain.co.jp

no ikev2 peer-fqdn-ipv6

[ノート]

なし

IKEv2 プロファイルの作成・変更¶

[入力形式]

ikev2 profile PROFILE-NAME

no ikev2 profile PROFILE-NAME

[パラメータ]

PROFILE-NAME．．．プロファイル名

31文字以内の文字列

[説明]

IKEv2 プロファイルを作成し、IKEv2 プロファイルコンフィグモードへ遷移します。
IKEv2 プロファイル内の設定は、割り当てを行ったインタフェースに反映されます。
インタフェースに個別で設定を行った項目は IKEv2 プロファイル内の設定は反映されません。
また、IKEv2 プロファイル内で設定を行っている項目は、IKEv2 デフォルトプロファイルの設定は反映されません。
IKEv2 プロファイルは複数インタフェースに割り当てることができます。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ikev2 profile group-1

no ikev2 profile group-2

[ノート]

なし

Child SA の表示¶

[入力形式]

show ikev2 child-sa [ peer-id {fqdn FQDN | keyid KEYID |

ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]

show ikev2 child-sa [ brief ]

[パラメータ]

peer-id．．．IDタイプと値の設定

fqdn： IDペイロードタイプがFQDNの設定

FQDN：ドメイン名(例：mydomain.co.jp)

keyid： IDペイロードタイプがKEYIDの設定

KEYID：任意の文字列

ipv4： IDペイロードタイプがIPV4_ADDRの設定

IPv4-ADDRESS： IPv4アドレス

ipv6： IDペイロードタイプがIPV6_ADDRの設定

IPv6-ADDRESS： IPv6アドレス

rfc822-addr： IDペイロードタイプがRFC822_ADDRの設定

MAILADDR：メールアドレス

brief．．．簡易表示

[説明]

生成されたChild SAと履歴情報を表示します。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード
インタフェースコンフィグモード
IKEv2 プロファイルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

show ikev2 child-sa
show ikev2 child-sa peer-id ipv4 192.168.0.11
show ikev2 child-sa brief

[ノート]

"show ikev2 child-sa" と "show ikev2 child-sa brief" で、先頭に outbound SA で作られた Tunnel 数を表示します。

IKEv2 SA の表示¶

[入力形式]

show ikev2 sa [ peer-id {fqdn FQDN | keyid KEYID |

ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]

show ikev2 sa [ brief ]

[パラメータ]

peer-id．．．IDタイプと値の設定

fqdn： IDペイロードタイプがFQDNの設定

FQDN：ドメイン名(例：mydomain.co.jp)

keyid： IDペイロードタイプがKEYIDの設定

KEYID：任意の文字列

ipv4： IDペイロードタイプがIPV4_ADDRの設定

IPv4-ADDRESS： IPv4アドレス

ipv6： IDペイロードタイプがIPV6_ADDRの設定

IPv6-ADDRESS： IPv6アドレス

rfc822-addr： IDペイロードタイプがRFC822_ADDRの設定

MAILADDR：メールアドレス

brief．．．簡易表示

[説明]

生成されたIKEv2 SAを表示します。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード
IKEv2 プロファイルコンフィグモード
インタフェースコンフィグモード

[ユーザー権限]

Administrator

[入力例]

show ikev2 sa
show ikev2 sa peer-id ipv4 192.168.0.22
show ikev2 sa brief

[ノート]

"show ikev2 sa" と "show ikev2 sa brief" で、先頭に Establish している SA 数を表示します。

IKEv2 統計情報の表示¶

[入力形式]

show ikev2 statistics [ peer-id {fqdn FQDN | keyid KEYID |

ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]

[パラメータ]

peer-id．．．IDタイプと値の設定

fqdn： IDペイロードタイプがFQDNの設定

FQDN：ドメイン名(例：mydomain.co.jp)

keyid： IDペイロードタイプがKEYIDの設定

KEYID：任意の文字列

ipv4： IDペイロードタイプがIPV4_ADDRの設定

IPv4-ADDRESS： IPv4アドレス

ipv6： IDペイロードタイプがIPV6_ADDRの設定

IPv6-ADDRESS： IPv6アドレス

rfc822-addr： IDペイロードタイプがRFC822_ADDRの設定

MAILADDR：メールアドレス

[説明]

IKEv2 統計情報を表示します。

ネゴシエーション回数、Rekey回数、エラー発生回数等を表示します。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

IKEv2 プロファイルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

show ikev2 statistics

show ikev2 statistics peer-id ipv4 192.168.0.22

[ノート]

なし

Child SA の削除¶

[入力形式]

clear ikev2 child-sa [ peer-id {fqdn FQDN | keyid KEYID |

ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]

[パラメータ]

peer-id．．．IDタイプと値の設定

fqdn： IDペイロードタイプがFQDNの設定

FQDN：ドメイン名(例：mydomain.co.jp)

keyid： IDペイロードタイプがKEYIDの設定

KEYID：任意の文字列

ipv4： IDペイロードタイプがIPV4_ADDRの設定

IPv4-ADDRESS： IPv4アドレス

ipv6： IDペイロードタイプがIPV6_ADDRの設定

IPv6-ADDRESS： IPv6アドレス

rfc822-addr： IDペイロードタイプがRFC822_ADDRの設定

MAILADDR：メールアドレス

[説明]

Child SAを削除します。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード
インタフェースコンフィグモード
IKEv2 プロファイルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

clear ikev2 child-sa

clear ikev2 child-sa peer-id ipv4 192.168.0.11

[ノート]

なし

履歴情報の削除¶

[入力形式]

clear ikev2 history [ peer-id {fqdn FQDN | keyid KEYID |

ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]

[パラメータ]

peer-id．．．IDタイプと値の設定

fqdn： IDペイロードタイプがFQDNの設定

FQDN：ドメイン名(例：mydomain.co.jp)

keyid： IDペイロードタイプがKEYIDの設定

KEYID：任意の文字列

ipv4： IDペイロードタイプがIPV4_ADDRの設定

IPv4-ADDRESS： IPv4アドレス

ipv6： IDペイロードタイプがIPV6_ADDRの設定

IPv6-ADDRESS： IPv6アドレス

rfc822-addr： IDペイロードタイプがRFC822_ADDRの設定

MAILADDR：メールアドレス

[説明]

履歴情報を削除します。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード
インタフェースコンフィグモード
IKEv2 プロファイルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

clear ikev2 history

clear ikev2 history peer-id ipv4 192.168.0.11

[ノート]

なし

IKEv2 SA の削除¶

[入力形式]

clear ikev2 sa [ peer-id {fqdn FQDN | keyid KEYID |

ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]

[パラメータ]

peer-id．．．IDタイプと値の設定

fqdn： IDペイロードタイプがFQDNの設定

FQDN：ドメイン名(例：mydomain.co.jp)

keyid： IDペイロードタイプがKEYIDの設定

KEYID：任意の文字列

ipv4： IDペイロードタイプがIPV4_ADDRの設定

IPv4-ADDRESS： IPv4アドレス

ipv6： IDペイロードタイプがIPV6_ADDRの設定

IPv6-ADDRESS： IPv6アドレス

rfc822-addr： IDペイロードタイプがRFC822_ADDRの設定

MAILADDR：メールアドレス

[説明]

IKEv2 SAを削除します。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード
インタフェースコンフィグモード
IKEv2 プロファイルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

clear ikev2 sa peer-id fqdn abc

clear ikev2 sa

[ノート]

なし

IKEv2 統計情報のリセット¶

[入力形式]: clear ikev2 statistics
[パラメータ]: なし
[説明]: IKEv2 統計情報をリセットします。
[デフォルト値]: なし
[実行モード]: グローバルコンフィグモード

IKEv2 プロファイルコンフィグモード
[ユーザー権限]: Administrator
[入力例]: clear ikev2 statistics
[ノート]: なし

コマンド変更情報¶

Ver1.0 コマンド変更情報¶

追加コマンド一覧

anti-replay

ikev2 anti-replay

child-lifetime

ikev2 child-lifetime

child-pfs

ikev2 child-pfs

child-proposal enc

ikev2 child-proposal enc

child-proposal integrity

ikev2 child-proposal integrity

dpd

ikev2 dpd

local-authentication

ikev2 local-authentication

local-ts

ikev2 local-ts

nat-traversal

ikev2 nat-traversal

negotiation-direction

ikev2 negotiation-direction

nonce-size

ikev2 nonce-size

outgoing-interface

ikev2 outgoing-interface

remote-ts

ikev2 remote-ts

retransmit

ikev2 retransmit

sa-lifetime

ikev2 sa-lifetime

sa-proposal dh

ikev2 sa-proposal dh

sa-proposal enc

ikev2 sa-proposal enc

sa-proposal integrity

ikev2 sa-proposal integrity

sa-proposal prf

ikev2 sa-proposal prf

source-address

ikev2 source-address

suppress

ikev2 suppress

ikev2 authentication

ikev2 binding

ikev2 connect-type

ikev2 default-profile

ikev2 ipsec mtu ignore

ikev2 ipsec pre-fragment

ikev2 peer

ikev2 peer-fqdn-ipv4

ikev2 profile

show ikev2 child-sa

show ikev2 sa

show ikev2 statistics

clear ikev2 child-sa

clear ikev2 history

clear ikev2 sa

clear ikev2 statistics

Ver1.1 コマンド変更情報¶

追加コマンド一覧

ipsec-mode

ikev2 ipsec-mode

ikev2 peer-fqdn-ipv6

Ver1.2 コマンド変更情報¶

追加コマンド一覧

cert cacert

ikev2 cert cacert

cert ignore signature

ikev2 cert ignore signature

cert ignore subject-alt-name

ikev2 cert ignore subject-alt-name

cert ignore validity

ikev2 cert ignore validity

cert mycert

ikev2 cert mycert

変更コマンド一覧

ikev2 local-authentication