IKEv2
コマンド一覧
コマンド |
コマンドの機能 |
|---|---|
anti-replay
ikev2 anti-replay
|
|
cert cacert
ikev2 cert cacert
|
|
cert ignore signature
ikev2 cert ignore signature
|
|
cert ignore subject-alt-name
ikev2 cert ignore subject-alt-name
|
|
cert ignore validity
ikev2 cert ignore validity
|
|
cert mycert
ikev2 cert mycert
|
|
child-lifetime
ikev2 child-lifetime
|
|
child-pfs
ikev2 child-pfs
|
|
child-proposal enc
ikev2 child-proposal enc
|
|
child-proposal integrity
ikev2 child-proposal integrity
|
|
dpd
ikev2 dpd
|
|
ipsec-mode
ikev2 ipsec-mode
|
|
local-authentication
ikev2 local-authentication
|
|
local-ts
ikev2 local-ts
|
|
nat-traversal
ikev2 nat-traversal
|
|
negotiation-direction
ikev2 negotiation-direction
|
|
nonce-size
ikev2 nonce-size
|
|
outgoing-interface
ikev2 outgoing-interface
|
|
remote-ts
ikev2 remote-ts
|
|
retransmit
ikev2 retransmit
|
|
sa-lifetime
ikev2 sa-lifetime
|
|
sa-proposal dh
ikev2 sa-proposal dh
|
|
sa-proposal enc
ikev2 sa-proposal enc
|
|
sa-proposal integrity
ikev2 sa-proposal integrity
|
|
sa-proposal prf
ikev2 sa-proposal prf
|
|
source-address
ikev2 source-address
|
|
suppress
ikev2 suppress
|
|
ikev2 authentication |
|
ikev2 binding |
|
ikev2 connect-type |
|
ikev2 default-profile |
|
ikev2 ipsec mtu ignore |
|
ikev2 ipsec pre-fragment |
|
ikev2 peer |
|
ikev2 peer-fqdn-ipv4 |
|
ikev2 peer-fqdn-ipv6 |
|
ikev2 profile |
|
show ikev2 child-sa |
|
show ikev2 sa |
|
show ikev2 statistics |
|
clear ikev2 child-sa |
|
clear ikev2 history |
|
clear ikev2 sa |
|
clear ikev2 statistics |
リプレイ検出設定
- [入力形式]
- anti-replay [ off ]no anti-replayikev2 anti-replay [ off ]no ikev2 anti-replay
- [パラメータ]
off... リプレイ検出を無効にします。
- [説明]
- リプレイ攻撃防御機能の有効・無効を設定します。off を指定した場合、リプレイ検出が無効になります。パラメータを指定しない場合、または no を実行した場合、リプレイ検出が有効になります。
- [デフォルト値]
有効
- [実行モード]
IKEv2 プロファイルコンフィグモード
anti-replay
no anti-replay
インタフェースコンフィグモード
ikev2 anti-replay
no ikev2 anti-replay
- [ユーザー権限]
Administrator
- [入力例]
- anti-replayikev2 anti-replay offno anti-replay
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。パラメータなしの場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。
CA証明書設定
- [入力形式]
- cert cacert name NAMEno cert cacertikev2 cert cacert name NAMEno ikev2 cert cacert
- [パラメータ]
NAME...装置に格納されている証明書ファイルの識別名
127文字以内の文字列
大文字/小文字は区別されます。
空白および「/」を含まない。
- [説明]
指定した証明書をデジタル署名認証時のCA証明書として使用します。
- [デフォルト値]
なし
- [実行モード]
IKEv2 プロファイルコンフィグモード
cert cacert name
no cert cacert
インタフェースコンフィグモード
ikev2 cert cacert name NAME
no ikev2 cert cacert
- [ユーザー権限]
Administrator
- [入力例]
- cert cacert name cacert1ikev2 cert cacert name cacert1no cert cacert
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。
注釈
Ver1.2.15ではIKEv2デジタル署名認証の使用制限により、本コマンドは使用できません。
証明書の署名検証設定
- [入力形式]
- cert ignore signature [ off ]no cert ignore signatureikev2 cert ignore signature [ off ]no ikev2 cert ignore signature
- [パラメータ]
off...署名を検証する
- [説明]
- デジタル署名認証時に受信した証明書の署名の検証の有無を設定します。パラメータを指定しない場合、署名を検証しません。off を指定した場合、または no を設定した場合、署名を検証します。
- [デフォルト値]
検証する
- [実行モード]
IKEv2 プロファイルコンフィグモード
cert ignore signature
no cert ignore signature
インタフェースコンフィグモード
ikev2 cert ignore signature
no ikev2 cert ignore signature
- [ユーザー権限]
Administrator
- [入力例]
- cert ignore signatureikev2 cert ignore signature offno cert ignore signature
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。パラメータがoffの場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。
注釈
Ver1.2.15ではIKEv2デジタル署名認証の使用制限により、本コマンドは使用できません。
証明書の SubjectAltName 検証設定
- [入力形式]
- cert ignore subject-alt-name [ off ]no cert ignore subject-alt-nameikev2 cert ignore subject-alt-name [ off ]no ikev2 cert ignore subject-alt-name
- [パラメータ]
off... SubjectAltNameを検証する
- [説明]
- デジタル署名認証時に受信した証明書のSubjectAltNameの検証の有無を設定します。パラメータを指定しない場合、SubjectAltNameを検証しません。off を指定した場合、または no を設定した場合、SubjectAltName を検証します。
- [デフォルト値]
検証する
- [実行モード]
IKEv2 プロファイルコンフィグモード
cert ignore subject-alt-name
no cert ignore subject-alt-name
インタフェースコンフィグモード
ikev2 cert ignore subject-alt-name
no ikev2 cert ignore subject-alt-name
- [ユーザー権限]
Administrator
- [入力例]
- cert ignore subject-alt-namecert ignore subject-alt-name offno cert ignore subject-alt-name
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。パラメータがoffの場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。
注釈
Ver1.2.15ではIKEv2デジタル署名認証の使用制限により、本コマンドは使用できません。
証明書の有効期間検証設定
- [入力形式]
- cert ignore validity [ off ]no cert ignore validityikev2 cert ignore validity [ off ]no ikev2 cert ignore validity
- [パラメータ]
off... 有効期間を検証する
- [説明]
- デジタル署名認証時に証明書の有効期間の検証の有無を設定します。パラメータを指定しない場合、有効期間を検証しません。off を指定した場合、または no を設定した場合、有効期間を検証します。
- [デフォルト値]
検証する
- [実行モード]
IKEv2 プロファイルコンフィグモード
cert ignore validity
no cert ignore validity
インタフェースコンフィグモード
ikev2 cert ignore validity
no ikev2 cert ignore validity
- [ユーザー権限]
Administrator
- [入力例]
- cert ignore validityikev2 cert ignore validity offno cert ignore validity
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。パラメータがoffの場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。
注釈
Ver1.2.15ではIKEv2デジタル署名認証の使用制限により、本コマンドは使用できません。
自装置証明書設定
- [入力形式]
- cert mycert name NAMEno cert mycertikev2 cert mycert name NAMEno ikev2 cert mycert
- [パラメータ]
NAME...装置内部ストレージに格納されている証明書ファイルの識別名
127文字以内の文字列
大文字/小文字は区別されます。
空白および「/」を含まない。
- [説明]
NAMEで指定した証明書ファイルの情報を、デジタル署名認証時の自装置証明書として使用します。
- [デフォルト値]
なし
- [実行モード]
IKEv2 プロファイルコンフィグモード
cert mycert name NAME
no cert mycert
インタフェースコンフィグモード
ikev2 cert mycert name NAME
no ikev2 cert mycert
- [ユーザー権限]
Administrator
- [入力例]
- cert mycert name myCertikev2 cert mycert name myCertno cert mycert
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。
注釈
Ver1.2.15ではIKEv2デジタル署名認証の使用制限により、本コマンドは使用できません。
Child SA ライフタイム設定
- [入力形式]
- child-lifetime SECONDSno child-lifetimeikev2 child-lifetime SECONDSno ikev2 child-lifetime
- [パラメータ]
SECONDS...Child SA ライフタイム値(秒)
範囲: 90〜691200
- [説明]
Child SA の有効期間を設定します。
- [デフォルト値]
28800
- [実行モード]
IKEv2 プロファイルコンフィグモード
child-lifetime
no child-lifetime
インタフェースコンフィグモード
ikev2 child-lifetime
no ikev2 child-lifetime
- [ユーザー権限]
Administrator
- [入力例]
- child-lifetime 60000ikev2 child-lifetime 6000no child-lifetime
- [ノート]
- Child SA ライフタイム値は、設定後に生成された Child SA から反映されます。インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。デフォルト値を設定しても"show running-config"で表示されます。
Child PFS 設定
- [入力形式]
- child-pfs { off | [ 768-bit ] [ 1024-bit ] [ 1536-bit ] [ 2048-bit ] [ 3072-bit ] }no child-pfsikev2 child-pfs { off | [ 768-bit ] [ 1024-bit ] [ 1536-bit ] [ 2048-bit ] [ 3072-bit] }no ikev2 child-pfs
[パラメータ]
off...Child PFSを保証しません。
768-bit ...DH Group 1を用いてPFSを保証します。
1024-bit...DH Group 2を用いてPFSを保証します。
1536-bit...DH Group 5を用いてPFSを保証します。
2048-bit...DH Group 14を用いてPFSを保証します。
3072-bit...DH Group 15を用いてPFSを保証します。
- [説明]
- PFS (Perfect Forward Secrecy) のアルゴリズムを設定します。複数入力可能です。
- [デフォルト値]
選択可能なすべてのアルゴリズム
- [実行モード]
IKEv2 プロファイルコンフィグモード
child-pfs
no child-pfs
インタフェースコンフィグモード
ikev2 child-pfs
no ikev2 child-pfs
- [ユーザー権限]
Administrator
- [入力例]
- child-pfs 1024-bit 768-bit 1536-bitikev2 child-pfs offno child-pfs
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。デフォルト値を設定しても"show running-config"で表示されます。
- [IX2000/IX3000シリーズ差分]
パラメータに ”3072-bit” を追加
Child プロポーザル暗号化アルゴリズム設定
- [入力形式]
- child-proposal enc { [ 3des-cbc ] [ aes-cbc-128 ] [ aes-cbc-192 ] [ aes-cbc-256 ][ aes-gcm-128-16 ] [ aes-gcm-256-16 ] [ null ] }no child-proposal encikev2 child-proposal enc { [ 3des-cbc ] [ aes-cbc-128 ] [ aes-cbc-192 ] [ aes-cbc-256 ][ aes-gcm-128-16 ] [ aes-gcm-256-16 ] [ null ] }no ikev2 child-proposal enc
- [パラメータ]
3des-cbc...Triple DES-CBC
aes-cbc-128...AES-CBC (128 bits)
aes-cbc-192...AES-CBC (192 bits)
aes-cbc-256...AES-CBC (256 bits)
aes-gcm-128-16...AES-GCM (128 bits key with 16 octets ICV)
aes-gcm-256-16...AES-GCM (256 bits key with 16 octets ICV)
null...NULL Algorithm
- [説明]
- Child プロポーザルの暗号化アルゴリズムを設定します。複数アルゴリズムを指定可能です。
- [デフォルト値]
null、3des-cbc 以外の選択可能なすべてのアルゴリズム
- [実行モード]
IKEv2 プロファイルコンフィグモード
child-proposal enc
no child-proposal enc
インタフェースコンフィグモード
ikev2 child-proposal enc
no ikev2 child-proposal enc
- [ユーザー権限]
Administrator
- [入力例]
- child-proposal enc aes-cbc-256 aes-cbc-192ikev2 child-proposal enc aes-cbc-256no child-proposal enc
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。デフォルト値を設定しても"show running-config"で表示されます。IX-V100ではNULL Algorithmは未対応です。
- [IX2000/IX3000シリーズ差分]
パラメータの ”3des-cbc” をデフォルト値から削除
Child プロポーザル認証アルゴリズム設定
- [入力形式]
- child-proposal integrity { off | [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512 ] }no child-proposal integrityikev2 child-proposal integrity { off | [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512 ] }no ikev2 child-proposal integrity
- [パラメータ]
off...認証アルゴリズムを無効にします
sha1...HMAC-SHA1-96
sha2-256...HMAC-SHA2-256-128
sha2-384...HMAC-SHA2-384-192
sha2-512...HMAC-SHA2-512-256
- [説明]
- Child プロポーザルの認証アルゴリズムを設定します。複数アルゴリズムを指定可能です。
- [デフォルト値]
sha1以外の選択可能なすべてのアルゴリズム
- [実行モード]
IKEv2 プロファイルコンフィグモード
child-proposal integrity
no child-proposal integrity
インタフェースコンフィグモード
ikev2 child-proposal integrity
no ikev2 child-proposal integrity
- [ユーザー権限]
Administrator
- [入力例]
- child-proposal integrity offikev2 child-proposal integrity sha1 sha2-512no child-proposal integrity
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。デフォルト値を設定しても"show running-config"で表示されます。
- [IX2000/IX3000シリーズ差分]
パラメータから ”md5” を削除
パラメータの ”sha1” をデフォルト値から削除
DPD 有効/無効設定
dpd [ interval SECONDS | off ]no dpdikev2 dpd [ interval SECONDS | off ]no ikev2 dpd
- [パラメータ]
SECONDS...送信間隔(秒)
範囲: 10〜3600
デフォルト値: 10
off... 無効
- [説明]
- DPD (Dead Peer Detection) の有効/無効を設定します。interval値を指定した場合、指定値で DPD が有効となります。off を指定した場合、または no を設定した場合、DPD が無効となります。
- [デフォルト値]
無効
- [実行モード]
IKEv2 プロファイルコンフィグモード
dpd
no dpd
インタフェースコンフィグモード
ikev2 dpd
no ikev2 dpd
- [ユーザー権限]
Administrator
- [入力例]
- dpdikev2 dpd interval 100dpd offno dpd
- [ノート]
- 再送回数は、再送回数設定コマンド "retransmit" に準じます。インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。パラメータがoffの場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。
IPsec の通信モード設定
- [入力形式]
- ipsec-mode { tunnel | transport }no ipsec-modeikev2 ipsec-mode { tunnel | transport }no ikev2 ipsec-mode
- [パラメータ]
なし
- [説明]
IPsecの通信モードを設定します。
- [デフォルト値]
tunnel
- [実行モード]
IKEv2 プロファイルコンフィグモード
ipsec-mode transport
no ipsec-mode
インタフェースコンフィグモード
ikev2 ipsec-mode tunnel
no ikev2 ipsec-mode
- [ユーザー権限]
Administrator
- [入力例]
- ipsec-mode transportikev2 ipsec-mode tunnelno ipsec-modeno ikev2 ipsec-mode
- [ノート]
なし
IKEv2 自装置情報設定
- [入力形式]
- local-authentication [ eap-md5 | psk | rsa ] [ id {fqdn FQDN | keyid KEYID |ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]no local-authenticationikev2 local-authentication [ eap-md5 | psk | rsa ] [ id { fqdn FQDN | keyid KEYID |ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]no ikev2 local-authentication
- [パラメータ]
eap-md5...EAP MD5(Message Digest 5)方式
psk...Pre-Shared Key方式
rsa...デジタル署名方式
id...IDタイプと値の設定
fqdn... IDペイロードタイプがFQDNの設定
FQDN... ドメイン名(例:mydomain.co.jp)keyid... IDペイロードタイプがKEYIDの設定
KEYID... 任意の文字列ipv4... IDペイロードタイプがIPV4_ADDRの設定
IPv4-ADDRESS... IPv4アドレスipv6... IDペイロードタイプがIPV6_ADDRの設定
IPv6-ADDRESS... IPv6アドレスrfc822-addr... IDペイロードタイプがRFC822_ADDRの設定
MAILADDR... メールアドレス- [説明]
IKEv2自装置情報を設定します。
- [デフォルト値]
認証方式 ...psk
id ...sourceアドレス
- [実行モード]
IKEv2 プロファイルコンフィグモード
local-authentication
no local-authentication
インタフェースコンフィグモード
ikev2 local-authentication
no ikev2 local-authentication
- [ユーザー権限]
Administrator
- [入力例]
- local-authentication eap-md5 id fqdn mydomain.co.jpikev2 local-authentication pskno local-authentication
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。本コマンドは IX-R シリーズでのみ利用できます。
ローカル側トラフィックセレクタ設定
- [入力形式]
- local-ts { ipv4 | ipv6 } [ protocol PROTOCOL ][ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ][ port START-PORT END-PORT ]no local-ts { ipv4 | ipv6 } [ protocol PROTOCOL ][ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ][ port START-PORT END-PORT ]ikev2 local-ts { ipv4 | ipv6 } [ protocol PROTOCOL ][ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ][ port START-PORT END-PORT ]no ikev2 local-ts { ipv4 | ipv6 } [ protocol PROTOCOL ][ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ][ port START-PORT END-PORT ]
[パラメータ]
ipv4...IPv4トラフィックセレクタ設定
ipv6...IPv6トラフィックセレクタ設定
PROTOCOL...プロトコル
範囲: 1〜255
icmp :
ICMP(1) (ipv4設定時)ICMPv6(58) (ipv6設定時)tcp : TCP(6)
udp : UDP(17)
ADDRESS ...アドレス
IPv4アドレス (ipv4設定時)
IPv6アドレス (ipv6設定時)
MASKLENGTH ...マスク長
範囲:
0〜32 (ipv4設定時)0〜128 (ipv6設定時)START-ADDRESS...始点アドレス
IPv4アドレス (ipv4設定時)
IPv6アドレス (ipv6設定時)
END-ADDRESS ...終点アドレス
IPv4アドレス (ipv4設定時)
IPv6アドレス (ipv6設定時)
START-PORT...始点ポート番号
範囲: 0~65535
END-PORT ...終点ポート番号
範囲: 0~65535
- [説明]
Child SA 生成の折衝時に提案するローカル側のトラフィックセレクタを設定します。
- [デフォルト値]
protocol : any...すべてのプロトコル
PROTOCOL : 0address : any
すべてのIPv4アドレス (ipv4設定時)すべてのIPv6アドレス (ipv6設定時)START-ADDRESS :
0.0.0.0 (ipv4設定時) / :: (ipv6設定時)
END-ADDRESS :
255.255.255.255 (ipv4設定時)ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff (ipv6設定時)port : any...すべてのポート番号
START-PORT : 0END-PORT : 65535
- [実行モード]
IKEv2 プロファイルコンフィグモード
local-ts
no local-ts
インタフェースコンフィグモード
ikev2 local-ts
no ikev2 local-ts
- [ユーザー権限]
Administrator
- [入力例]
- local-ts ipv4 protocol tcp address 192.168.0.0/24 port 0 10000local-ts ipv4 address 192.168.0.0 192.168.0.127no local-ts ipv4 protocol 6 address 192.168.0.0/24ikev2 local-ts ipv6
- [ノート]
- イニシエータ動作時のみ本設定は有効となります。ICMP の Type/Code 指定はできません。port を指定する場合、PROTOCOL に TCP(6) または UDP(17) の指定が必須になり、それ以外の PROTOCOL を指定している場合は、portを指定できません。
NAT-T 機能の有効化設定
- [入力形式]
- nat-traversal [ keepalive SECOND ] [ force ] [ off ]no nat-traversalikev2 nat-traversal [ keepalive SECOND ] [ force ] [ off ]no ikev2 nat-traversal
- [パラメータ]
SECOND...NAT-T Keepaliveペイロード送信間隔設定(秒)
範囲: 10~3600
デフォルト値: 20
force...インタフェースに強制的にNAT-Tを適応する
off ...NAT-T機能無効化
IKE_SAコンフィグ情報はデフォルトプロファイル・任意プロファイル・各インタフェースで同コマンドのコンフィグを上書きするため、コンフィグなしとは別の状態として"NAT-T機能無効"であることを指定するオプションが必要。
- [説明]
IKEv2/IPsec で NAT-T 機能を有効化し、コマンド投入時に 4500番ポートを open する。
- [デフォルト値]
無効
- [実行モード]
IKEv2 プロファイルコンフィグモード
nat-traversal
no nat-traversal
インタフェースコンフィグモード
ikev2 nat-traversal
no ikev2 nat-traversal
- [ユーザー権限]
Administrator
- [入力例]
- nat-traversalnat-traversal force keepalive 3600nat-traversal offikev2 nat-traversalno nat-traversalno ikev2 nat-traversal
- [ノート]
なし
ネゴシエーション方向限定
- [入力形式]
- negotiation-direction {initiator | responder | both}no negotiation-directionikev2 negotiation-direction {initiator | responder | both}no ikev2 negotiation-direction
- [パラメータ]
initiator...イニシエータ動作のみ
responder...レスポンダ動作のみ
both...イニシエータまたはレスポンダ動作
- [説明]
Initial Exchangeの方向を限定します。
- [デフォルト値]
both
- [実行モード]
IKEv2 プロファイルコンフィグモード
negotiation-direction
no negotiation-direction
インタフェースコンフィグモード
ikev2 negotiation-direction
no ikev2 negotiation-direction
- [ユーザー権限]
Administrator
- [入力例]
- negotiation-direction initiatorikev2 negotiation-direction initiatorno negotiation-direction
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。パラメータが both の場合、デフォルトと同じ設定となりますが"show running-config"で表示されます。
Nonce ペイロードデータサイズ設定
- [入力形式]
- nonce-size SIZEno nonce-sizeikev2 nonce-size SIZEno ikev2 nonce-size
- [パラメータ]
SIZE...データサイズ(バイト)
範囲: 16〜256
デフォルト値: 256
- [説明]
Nonceペイロードの送信データサイズを設定します。
- [デフォルト値]
256バイト
- [実行モード]
IKEv2 プロファイルコンフィグモード
nonce-size
no nonce-size
インタフェースコンフィグモード
ikev2 nonce-size
no ikev2 nonce-size
- [ユーザー権限]
Administrator
- [入力例]
- nonce-size 100ikev2 nonce-size 16no nonce-size
- [ノート]
なし
出力先登録
- [入力形式]
- outgoing-interface INTERFACE [ NEXTHOP | auto ]no outgoing-interfaceikev2 outgoing-interface INTERFACE [ NEXTHOP | auto ]no ikev2 outgoing-interface
- [パラメータ]
INTERFACE...出力先インタフェース名
NEXTHOP...ネクストホップアドレス
IPv4アドレス
IPv6アドレス
auto...ルーティングテーブルからネクストホップアドレスを取得
- [説明]
- IKEv2パケットの出力インタフェースを指定します。パケットの出力インタフェースを固定することにより、意図しないインタフェースからのパケット送信を抑制します。本コマンドを設定時は、指定した出力先インタフェースが up した場合にトンネルインタフェースがupします。
- [デフォルト値]
なし
- [実行モード]
IKEv2 プロファイルコンフィグモード
outgoing-interface
no outgoing-interface
インタフェースコンフィグモード
ikev2 outgoing-interface
no ikev2 outgoing-interface
- [ユーザー権限]
Administrator
- [入力例]
- outgoing-interface GigaEthernet0.0 192.168.0.20ikev2 outgoing-interface GigaEthernet0.0 192.168.0.20ikev2 outgoing-interface GigaEthernet0.0 autono ikev2 outgoing-interface
- [ノート]
なし
リモート側トラフィックセレクタ設定
- [入力形式]
- remote-ts { ipv4 | ipv6 } [ protocol PROTOCOL ][ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ][ port START-PORT END-PORT ]no remote-ts { ipv4 | ipv6 } [ protocol PROTOCOL ][ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ][ port START-PORT END-PORT ]ikev2 remote-ts { ipv4 | ipv6 } [ protocol PROTOCOL ][ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ][ port START-PORT END-PORT ]no ikev2 remote-ts { ipv4 | ipv6 } [ protocol PROTOCOL ][ address { ADDRESS/MASKLENGTH | START-ADDRESS END-ADDRESS } ][ port START-PORT END-PORT ]
- [パラメータ]
ipv4...IPv4トラフィックセレクタ設定
ipv6...IPv6トラフィックセレクタ設定
PROTOCOL...プロトコル
範囲: 1〜255
icmp :
ICMP(1) (ipv4設定時)ICMPv6(58) (ipv6設定時)tcp : TCP(6)
udp : UDP(17)
ADDRESS ...アドレス
MASKLENGTH ...マスク長
範囲:
0〜32 (ipv4設定時)0〜128 (ipv6設定時)
START-ADDRESS...始点アドレス
END-ADDRESS ...終点アドレス
START-PORT...始点ポート番号
範囲: 0~65535
END-PORT ...終点ポート番号
範囲: 0~65535
- [説明]
Child SA 生成の折衝時に提案するリモート側のトラフィックセレクタを設定します。
- [デフォルト値]
protocol : any...すべてのプロトコル
PROTOCOL : 0address : any
すべてのIPv4アドレス (ipv4設定時)すべてのIPv6アドレス (ipv6設定時)START-ADDRESS :
0.0.0.0 (ipv4設定時) / :: (ipv6設定時)
END-ADDRESS :
255.255.255.255 (ipv4設定時)ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff (ipv6設定時)port : any...すべてのポート番号
START-PORT : 0END-PORT : 65535
- [実行モード]
IKEv2 プロファイルコンフィグモード
remote-ts
no remote-ts
インタフェースコンフィグモード
ikev2 remote-ts
no ikev2 remote-ts
- [ユーザー権限]
Administrator
- [入力例]
- remote-ts ipv4 protocol tcp address 192.168.0.0/24 port 0 10000remote-ts ipv4 address 192.168.0.0 192.168.0.127no remote-ts ipv4 protocol 6 address 192.168.0.0/24ikev2 remote-ts ipv6
- [ノート]
- イニシエータ動作時のみ本設定は有効となります。ICMP の Type/Code 指定はできません。port を指定する場合、PROTOCOL に TCP(6) または UDP(17) の指定が必須になり、それ以外の PROTOCOL を指定している場合は、port を指定できません。
再送設定
- [入力形式]
- retransmit count RETRIES interval { SECONDS | backoff }no retransmitikev2 retransmit count RETRIES interval { SECONDS | backoff }no ikev2 retransmit
- [パラメータ]
RETRIES...再送回数
範囲: 2〜10
SECONDS...再送間隔(秒)
範囲: 5〜60
backoff...2秒、4秒、8秒....と"2^n[回]"で増加する(最大間隔は60秒)
- [説明]
再送の回数と間隔を設定します。
- [デフォルト値]
count ...3
interval...backoff
- [実行モード]
IKEv2 プロファイルコンフィグモード
retransmit count
no retransmit
インタフェースコンフィグモード
ikev2 retransmit count
no ikev2 retransmit
- [ユーザー権限]
Administrator
- [入力例]
- retransmit count 10 interval backoffikev2 retransmit count 10 interval 30no retransmit
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。デフォルト値を設定しても"show running-config"で表示されます。
IKEv2 SA ライフタイム設定
- [入力形式]
- sa-lifetime SECONDSno sa-lifetimeikev2 sa-lifetime SECONDSno ikev2 sa-lifetime
- [パラメータ]
SECONDS...IKEv2 SA ライフタイム値(秒)
範囲: 90〜691200
- [説明]
IKEv2 SA の有効期間を設定します。
- [デフォルト値]
86400
- [実行モード]
IKEv2 プロファイルコンフィグモード
sa-lifetime
no sa-lifetime
インタフェースコンフィグモード
ikev2 sa-lifetime
no ikev2 sa-lifetime
- [ユーザー権限]
Administrator
- [入力例]
- sa-lifetime 60000ikev2 sa-lifetime 120000no sa-lifetime
- [ノート]
- IKEv2 SA ライフタイム値は、設定後に生成されたIKEv2 SAから反映されます。インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。デフォルト値を設定しても"show running-config"で表示されます。
IKEv2 プロポーザルDH グループ設定
- [入力形式]
- sa-proposal dh { [ 768-bit ] [ 1024-bit ] [ 1536-bit ] [ 2048-bit ] [ 3072-bit ] }no sa-proposal dhikev2 sa-proposal dh { [ 768-bit ] [ 1024-bit ] [ 1536-bit ] [ 2048-bit ] [ 3072-bit ] }no ikev2 sa-proposal dh
- [パラメータ]
768-bit...DH Group 1
1024-bit...DH Group 2
1536-bit...DH Group 5
2048-bit...DH Group 14
3072-bit...DH Group 15
- [説明]
- IKEv2 プロポーザルの DH グループを設定します。複数の DH グループを指定可能です。
- [デフォルト値]
選択可能なすべてのアルゴリズム
- [実行モード]
IKEv2 プロファイルコンフィグモード
sa-proposal dh
no sa-proposal dh
インタフェースコンフィグモード
ikev2 sa-proposal dh
no ikev2 sa-proposal dh
- [ユーザー権限]
Administrator
- [入力例]
- sa-proposal dh 768-bit 1536-bitikev2 sa-proposal dh 1024-bitno sa-proposal dh
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。デフォルト値を設定しても"show running-config"で表示されます。
- [IX2000/IX3000シリーズ差分]
パラメータに ”3072-bit” を追加
IKEv2 プロポーザル暗号化アルゴリズム設定
- [入力形式]
- sa-proposal enc { [ 3des-cbc ] [ aes-cbc-128 ] [ aes-cbc-192 ] [ aes-cbc-256 ][ aes-gcm-128-16 ] [ aes-gcm-256-16 ] }no sa-proposal encikev2 sa-proposal enc { [ 3des-cbc ] [ aes-cbc-128 ] [ aes-cbc-192 ] [ aes-cbc-256 ][ aes-gcm-128-16 ] [ aes-gcm-256-16 ] }no ikev2 sa-proposal enc
- [パラメータ]
3des-cbc...Triple DES-CBC
aes-cbc-128...AES-CBC (128 bits)
aes-cbc-192...AES-CBC (192 bits)
aes-cbc-256...AES-CBC (256 bits)
aes-gcm-128-16...AES-GCM (128 bits key with 16 octets ICV)
aes-gcm-256-16...AES-GCM (256 bits key with 16 octets ICV)
- [説明]
- IKEv2 プロポーザルの暗号化アルゴリズムを設定します。複数アルゴリズムを指定可能です。
- [デフォルト値]
3des-cbc 以外の選択可能なすべてのアルゴリズム
- [実行モード]
- IKEv2 プロファイルコンフィグモード
sa-proposal enc
no sa-proposal enc
- インタフェースコンフィグモード
ikev2 sa-proposal enc
no ikev2 sa-proposal enc
- [ユーザー権限]
Administrator
- [入力例]
- sa-proposal enc aes-cbc-128 aes-cbc-192ikev2 sa-proposal enc aes-cbc-192no sa-proposal enc
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。デフォルト値を設定しても"show running-config"で表示されます。
- [IX2000/IX3000シリーズ差分]
パラメータの ”3des-cbc” をデフォルト値から削除
IKEv2 プロポーザル認証アルゴリズム設定
- [入力形式]
- sa-proposal integrity { [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512 ] }no sa-proposal integrityikev2 sa-proposal integrity { [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512 ] }no ikev2 sa-proposal integrity
- [パラメータ]
sha1...HMAC-SHA1-96
sha2-256...HMAC-SHA2-256-128
sha2-384...HMAC-SHA2-384-192
sha2-512...HMAC-SHA2-512-256
- [説明]
- IKEv2プロポーザルの認証アルゴリズムを設定します。複数アルゴリズムを指定可能です。
- [デフォルト値]
sha1 以外の選択可能なすべてのアルゴリズム
- [実行モード]
IKEv2 プロファイルコンフィグモード
sa-proposal integrity
no sa-proposal integrity
インタフェースコンフィグモード
ikev2 sa-proposal integrity
no ikev2 sa-proposal integrity
- [ユーザー権限]
Administrator
- [入力例]
- sa-proposal integrity sha2-256 sha1ikev2 sa-proposal integrity sha1no sa-proposal integrity
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。デフォルト値を設定しても"show running-config"で表示されます。
- [IX2000/IX3000シリーズ差分]
パラメータから ”md5” を削除
パラメータの ”sha1” をデフォルト値から削除
IKEv2 プロポーザル PRF アルゴリズム設定
- [入力形式]
- sa-proposal prf { [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512] }no sa-proposal prfikev2 sa-proposal prf { [ sha1 ] [ sha2-256 ] [ sha2-384 ] [ sha2-512 ] }no ikev2 sa-proposal prf
- [パラメータ]
sha1...HMAC-SHA1
sha2-256...HMAC-SHA2-256
sha2-384...HMAC-SHA2-384
sha2-512...HMAC-SHA2-512
- [説明]
- IKEv2プロポーザルのPRFアルゴリズムを設定します。複数アルゴリズムを指定可能です。
- [デフォルト値]
sha1 以外の選択可能なすべてのアルゴリズム
- [実行モード]
IKEv2 プロファイルコンフィグモード
sa-proposal prf
no sa-proposal prf
インタフェースコンフィグモード
ikev2 sa-proposal prf
no ikev2 sa-proposal prf
- [ユーザー権限]
Administrator
- [入力例]
- sa-proposal prf sha2-256 sha1ikev2 sa-proposal prf sha1no sa-proposal prf
- [ノート]
- インタフェース、IKEv2 プロファイルで設定した場合、IKEv2 デフォルトプロファイルの設定は反映されません。デフォルト値を設定しても"show running-config"で表示されます。
- [IX2000/IX3000シリーズ差分]
パラメータから ”md5” を削除
パラメータの ”sha1” をデフォルト値から削除
ソースアドレスの設定
- [入力形式]
- source-address { [ SOURCE-ADDRESS ] [ INTERFACE ] }no source-addressikev2 source-address { [ SOURCE-ADDRESS ] [ INTERFACE ] }no ikev2 source-address
- [パラメータ]
SOURCE-ADDRESS...ソースアドレス
IPv4アドレス
IPv6アドレス
INTERFACE...インタフェース名
- [説明]
- IKEv2 パケットのソースアドレスを指定します。初期設定では、SA の始点やトンネルカプセル化のソースアドレスは、IKEv2 パケットが送信されるインタフェースのアドレスが自動的に使用されます。本コマンドを設定することにより、任意なソースアドレス設定が可能になります。ただし、使用するアドレスはインタフェースに振られている必要があります。インタフェース名を指定した場合は、そのインタフェースに振られているアドレスが使用されます。
- [デフォルト値]
なし
- [実行モード]
IKEv2 プロファイルコンフィグモード
source-address
no source-address
インタフェースコンフィグモード
ikev2 source-address
no ikev2 source-address
- [ユーザー権限]
Administrator
- [入力例]
- source-address 192.168.1.1ikev2 source-address 192.168.2.2ikev2 source-address 192.168.100.100 GigaEthernet0.0no ikev2 source-address
- [ノート]
なし
rekey/delete メッセージ抑制設定
- [入力形式]
- suppress { send-delete | send-rekey }no suppress { send-delete | send-rekey }ikev2 suppress { send-delete | send-rekey }no ikev2 suppress { send-delete | send-rekey }
- [パラメータ]
send-delete...deleteメッセージの抑制設定
send-rekey ...rekeyメッセージの抑制設定
- [説明]
- IKEv2 の delete/rekey メッセージを抑制します。本コマンドを設定することにより、delete/rekey メッセージが送信されなくなります。delete の場合メッセージの送信は行われませんが、SA/CHILD SA は消去されます。
- [デフォルト値]
なし
- [実行モード]
IKEv2 プロファイルコンフィグモード
suppress send-delete
no suppress send-delete
suppress send-rekey
no suppress send-rekey
- インタフェースコンフィグモード
ikev2 suppress send-delete
no ikev2 suppress send-delete
ikev2 suppress send-rekey
no ikev2 suppress send-rekey
- [ユーザー権限]
Administrator
- [入力例]
- suppress send-deleteno ikev2 suppress send-rekey
- [ノート]
delete を抑止した場合rekeyは利用できません。両方抑止してください。
認証情報の設定
- [入力形式]
- [パラメータ]
eap-md5...EAP MD5(Message Digest 5)方式
psk...Pre-Shared Key方式
id...IDタイプと値の設定
fqdn: IDペイロードタイプがFQDNの設定
FQDN: ドメイン名(例:mydomain.co.jp)keyid: IDペイロードタイプがKEYIDの設定
KEYID: 任意の文字列ipv4: IDペイロードタイプがIPV4_ADDRの設定
IPv4-ADDRESS: IPv4アドレスipv6: IDペイロードタイプがIPV6_ADDRの設定
IPv6-ADDRESS: IPv6アドレスrfc822-addr: IDペイロードタイプがRFC822_ADDRの設定
MAILADDR: メールアドレスkey...鍵入力タイプと値の設定
char: キャラクター入力
hex: 16進入力
secret: 暗号化済みの鍵を入力
SHARED-KEY...事前共有鍵
char を指定した場合、キャラクター表記で最大 128 文字まで。
hex を指定した場合、16 進数表記で最大 256 文字まで。
secret を指定した場合、キャラクター表記で最大 256 文字まで。
- [説明]
IKEv2 の認証情報を設定します。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ikev2 authentication eap-md5 id fqdn mydomain.co.jp key char himitsuno ikev2 authentication eap-md5 id fqdn mydomain.co.jp
- [ノート]
なし
IKEv2 プロファイルの割り当て
- [入力形式]
- ikev2 binding PROFILE-NAMEno ikev2 binding
- [パラメータ]
PROFILE-NAME...プロファイル名
31文字以内の文字列
- [説明]
IKEv2 プロファイルを割り当てます。
- [デフォルト値]
なし
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ikev2 binding group-bno ikev2 binding
- [ノート]
なし
SA生成タイプ設定
- [入力形式]
- ikev2 connect-type { auto | trigger }no ikev2 connect-type
- [パラメータ]
auto... 常時SAを生成します
trigger... トリガパケットによりSAを生成します
- [説明]
ネゴシエーションを開始し SA を生成するタイプを設定します。
- [デフォルト値]
trigger
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ikev2 connect-type autono ikev2 connect-type
- [ノート]
デフォルト値を設定しても"show running-config"で表示されます。
IKEv2 デフォルトプロファイルの作成・変更
- [入力形式]
- ikev2 default-profileno ikev2 default-profile
- [パラメータ]
なし
- [説明]
- IKEv2 デフォルトプロファイルを作成し、IKEv2 プロファイルコンフィグモードへ遷移します。IKEv2 デフォルトプロファイルの設定は IKEv2 の全インタフェースに適用されます。インタフェース個別に変更する場合は、インタフェース個別の設定を行うか、または、IKEv2 プロファイルに設定を行い、インタフェースに割り当てしてください。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ikev2 default-profileno ikev2 default-profile
- [ノート]
なし
MTU 無視設定
- [入力形式]
- ikev2 ipsec mtu ignoreno ikev2 ipsec mtu ignore
- [パラメータ]
なし
- [説明]
- 初期設定では DFビット付きの IPv4 パケットや IPv6 パケットが MTU サイズを超えた場合には、パケットを廃棄するとともにICMPエラーメッセージを送信元に返します。本コマンドを設定した場合には、これらパケットを強制的にフラグメントして送信することが可能になります。自装置で生成したパケットは常に強制的にフラグメントして送信されます。
- [デフォルト値]
フラグメント禁止
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ikev2 ipsec mtu ignoreno ikev2 ipsec mtu ignore
- [ノート]
なし
プリフラグメント動作設定
- [入力形式]
- ikev2 ipsec pre-fragmentno ikev2 ipsec pre-fragment
- [パラメータ]
なし
- [説明]
フラグメント動作をポストフラグメントからプリフラグメント動作に切り替えます。
ポストフラグメント動作 (デフォルト動作)
暗号化されたパケットをフラグメントします。
プリフラグメント動作
暗号化される前のパケットをフラグメントします。
自装置生成パケットの場合は常にプリフラグメント動作となります。
- [デフォルト値]
ポストフラグメント動作
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ikev2 ipsec pre-fragmentno ikev2 ipsec pre-fragment
- [ノート]
なし
接続先登録
- [入力形式]
- ikev2 peer PEER-ADDRESS [ authentication { [ psk | eap-md5 | rsa ][ id { fqdn FQDN | keyid KEYID | ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ] } ]no ikev2 peer
- [パラメータ]
PEER-ADDRESS...SAを張る相手のアドレス
IPv4アドレス
IPv6アドレス
any : 不定アドレス接続
authentication...認証タイプの設定
psk : Pre-Shared Key方式
eap-md5 : EAP MD5(Message Digest 5)方式
rsa : RSA暗号方式(デジタル署名)
id...IDタイプと値の設定
fqdn : IDペイロードタイプがFQDNの設定
FQDN : ドメイン名(例:mydomain.co.jp)keyid : IDペイロードタイプがKEYIDの設定
KEYID : 任意の文字列ipv4 : IDペイロードタイプがIPV4_ADDRの設定
IPv4-ADDRESS: IPv4アドレスipv6 : IDペイロードタイプがIPV6_ADDRの設定
IPv6-ADDRESS: IPv6アドレスrfc822-addr: IDペイロードタイプがRFC822_ADDRの設定
MAILADDR : メールアドレス
- [説明]
- 接続先の情報を登録します。不定アドレス接続("peer any")の場合、idは必須パラメータです。また、不定アドレス接続の場合、以下のコマンドはIKEv2 デフォルトプロファイルに設定してください。CA証明書設定 : cert cacertIKEv2 プロポーザル : sa-proposal当コマンドを実行した場合、ikev2 peer-fqdn-ipv6 コマンドまたはikev2 peer-fqdn-ipv4 コマンドの設定を上書きします。
- [デフォルト値]
authentication ...psk
id ...省略した場合、PEER-ADDRESS(ID TypeはIPv4 or IPv6)となります。
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ikev2 peer 192.168.0.1 authentication eap-md5 id fqdn mydomain.co.jpikev2 peer any authentication id fqdn mydomain.co.jpno ikev2 peer
- [ノート]
なし
IPv4 アドレスを持つ FQDN 宛の接続先登録
- [入力形式]
- ikev2 peer-fqdn-ipv4 DOMAIN-NAME [ authentication { [ psk | eap-md5 | rsa ][ id { fqdn FQDN | keyid KEYID | ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ] } ]no ikev2 peer-fqdn-ipv4
- [パラメータ]
DOMAIN-NAME...SAを張る相手のドメイン名(例:domain.co.jp)
authentication...認証タイプの設定
psk : Pre-Shared Key方式
eap-md5 : EAP MD5(Message Digest 5)方式
rsa : RSA暗号方式(デジタル署名)
id...IDタイプと値の設定
fqdn : IDペイロードタイプがFQDNの設定
FQDN : ドメイン名(例:domain.co.jp)keyid : IDペイロードタイプがKEYIDの設定
KEYID : 任意の文字列ipv4 : IDペイロードタイプがIPV4_ADDRの設定
IPv4-ADDRESS: IPv4アドレスipv6 : IDペイロードタイプがIPV6_ADDRの設定
IPv6-ADDRESS: IPv6アドレスrfc822-addr: IDペイロードタイプがRFC822_ADDRの設定
MAILADDR : メールアドレス
- [説明]
- 接続先の情報を登録します。当コマンドを実行した場合、ikev2 peer コマンドまたは ikev2 peer-fqdn-ipv6 コマンドの設定を上書きします。
- [デフォルト値]
authentication ...psk
id ...省略した場合、DOMAIN-NAME(ID TypeはFQDN)となります。
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ikev2 peer-fqdn-ipv4 domain.co.jp authentication eap-md5 id fqdn domain.co.jpno ikev2 peer-fqdn-ipv4
- [ノート]
なし
IPv6 アドレスを持つ FQDN 宛の接続先登録
- [入力形式]
- ikev2 peer-fqdn-ipv6 DOMAIN-NAME [ authentication { [ psk | eap-md5 | rsa ][ id {fqdn FQDN | keyid KEYID | ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ] } ]no ikev2 peer-fqdn-ipv6
- [パラメータ]
DOMAIN-NAME...SAを張る相手のドメイン名(例:domain.co.jp)
authentication...認証タイプの設定
psk : Pre-Shared Key方式
eap-md5 : EAP MD5(Message Digest 5)方式
rsa : RSA暗号方式(デジタル署名)
id...IDタイプと値の設定
fqdn : IDペイロードタイプがFQDNの設定
FQDN : ドメイン名(例:domain.co.jp)keyid : IDペイロードタイプがKEYIDの設定
KEYID : 任意の文字列ipv4 : IDペイロードタイプがIPV4_ADDRの設定
IPv4-ADDRESS: IPv4アドレスipv6 : IDペイロードタイプがIPV6_ADDRの設定
IPv6-ADDRESS: IPv6アドレスrfc822-addr: IDペイロードタイプがRFC822_ADDRの設定
MAILADDR : メールアドレス
- [説明]
- 接続先の情報を登録します。当コマンドを実行した場合、ikev2 peer コマンドまたは ikev2 peer-fqdn-ipv4 コマンドの設定を上書きします。
- [デフォルト値]
authentication ...psk
id ...省略した場合、DOMAIN-NAME (ID TypeはFQDN) となります。
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ikev2 peer-fqdn-ipv6 domain.co.jp authentication eap-md5 id fqdn domain.co.jpno ikev2 peer-fqdn-ipv6
- [ノート]
なし
IKEv2 プロファイルの作成・変更
- [入力形式]
- ikev2 profile PROFILE-NAMEno ikev2 profile PROFILE-NAME
- [パラメータ]
PROFILE-NAME...プロファイル名
31文字以内の文字列
- [説明]
- IKEv2 プロファイルを作成し、IKEv2 プロファイルコンフィグモードへ遷移します。IKEv2 プロファイル内の設定は、割り当てを行ったインタフェースに反映されます。インタフェースに個別で設定を行った項目は IKEv2 プロファイル内の設定は反映されません。また、IKEv2 プロファイル内で設定を行っている項目は、IKEv2 デフォルトプロファイルの設定は反映されません。IKEv2 プロファイルは複数インタフェースに割り当てることができます。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ikev2 profile group-1no ikev2 profile group-2
- [ノート]
なし
Child SA の表示
- [入力形式]
- show ikev2 child-sa [ peer-id {fqdn FQDN | keyid KEYID |ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]show ikev2 child-sa [ brief ]
- [パラメータ]
peer-id...IDタイプと値の設定
fqdn: IDペイロードタイプがFQDNの設定
FQDN: ドメイン名(例:mydomain.co.jp)keyid: IDペイロードタイプがKEYIDの設定
KEYID: 任意の文字列ipv4: IDペイロードタイプがIPV4_ADDRの設定
IPv4-ADDRESS: IPv4アドレスipv6: IDペイロードタイプがIPV6_ADDRの設定
IPv6-ADDRESS: IPv6アドレスrfc822-addr: IDペイロードタイプがRFC822_ADDRの設定
MAILADDR: メールアドレス
brief...簡易表示
- [説明]
生成されたChild SAと履歴情報を表示します。
- [デフォルト値]
なし
- [実行モード]
- グローバルコンフィグモードインタフェースコンフィグモードIKEv2 プロファイルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- show ikev2 child-sashow ikev2 child-sa peer-id ipv4 192.168.0.11show ikev2 child-sa brief
- [ノート]
"show ikev2 child-sa" と "show ikev2 child-sa brief" で、先頭に outbound SA で作られた Tunnel 数を表示します。
IKEv2 SA の表示
- [入力形式]
- show ikev2 sa [ peer-id {fqdn FQDN | keyid KEYID |ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]show ikev2 sa [ brief ]
- [パラメータ]
peer-id...IDタイプと値の設定
fqdn: IDペイロードタイプがFQDNの設定
FQDN: ドメイン名(例:mydomain.co.jp)keyid: IDペイロードタイプがKEYIDの設定
KEYID: 任意の文字列ipv4: IDペイロードタイプがIPV4_ADDRの設定
IPv4-ADDRESS: IPv4アドレスipv6: IDペイロードタイプがIPV6_ADDRの設定
IPv6-ADDRESS: IPv6アドレスrfc822-addr: IDペイロードタイプがRFC822_ADDRの設定
MAILADDR: メールアドレス
brief...簡易表示
- [説明]
生成されたIKEv2 SAを表示します。
- [デフォルト値]
なし
- [実行モード]
- グローバルコンフィグモードIKEv2 プロファイルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- show ikev2 sashow ikev2 sa peer-id ipv4 192.168.0.22show ikev2 sa brief
- [ノート]
"show ikev2 sa" と "show ikev2 sa brief" で、先頭に Establish している SA 数を表示します。
IKEv2 統計情報の表示
- [入力形式]
- show ikev2 statistics [ peer-id {fqdn FQDN | keyid KEYID |ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]
- [パラメータ]
peer-id...IDタイプと値の設定
fqdn: IDペイロードタイプがFQDNの設定
FQDN: ドメイン名(例:mydomain.co.jp)keyid: IDペイロードタイプがKEYIDの設定
KEYID: 任意の文字列ipv4: IDペイロードタイプがIPV4_ADDRの設定
IPv4-ADDRESS: IPv4アドレスipv6: IDペイロードタイプがIPV6_ADDRの設定
IPv6-ADDRESS: IPv6アドレスrfc822-addr: IDペイロードタイプがRFC822_ADDRの設定
MAILADDR: メールアドレス
- [説明]
- IKEv2 統計情報を表示します。ネゴシエーション回数、Rekey回数、エラー発生回数等を表示します。
- [デフォルト値]
なし
- [実行モード]
- グローバルコンフィグモードIKEv2 プロファイルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- show ikev2 statisticsshow ikev2 statistics peer-id ipv4 192.168.0.22
- [ノート]
なし
Child SA の削除
- [入力形式]
- clear ikev2 child-sa [ peer-id {fqdn FQDN | keyid KEYID |ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]
- [パラメータ]
peer-id...IDタイプと値の設定
fqdn: IDペイロードタイプがFQDNの設定
FQDN: ドメイン名(例:mydomain.co.jp)keyid: IDペイロードタイプがKEYIDの設定
KEYID: 任意の文字列ipv4: IDペイロードタイプがIPV4_ADDRの設定
IPv4-ADDRESS: IPv4アドレスipv6: IDペイロードタイプがIPV6_ADDRの設定
IPv6-ADDRESS: IPv6アドレスrfc822-addr: IDペイロードタイプがRFC822_ADDRの設定
MAILADDR: メールアドレス
- [説明]
Child SAを削除します。
- [デフォルト値]
なし
- [実行モード]
- グローバルコンフィグモードインタフェースコンフィグモードIKEv2 プロファイルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- clear ikev2 child-saclear ikev2 child-sa peer-id ipv4 192.168.0.11
- [ノート]
なし
履歴情報の削除
- [入力形式]
- clear ikev2 history [ peer-id {fqdn FQDN | keyid KEYID |ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]
- [パラメータ]
peer-id...IDタイプと値の設定
fqdn: IDペイロードタイプがFQDNの設定
FQDN: ドメイン名(例:mydomain.co.jp)keyid: IDペイロードタイプがKEYIDの設定
KEYID: 任意の文字列ipv4: IDペイロードタイプがIPV4_ADDRの設定
IPv4-ADDRESS: IPv4アドレスipv6: IDペイロードタイプがIPV6_ADDRの設定
IPv6-ADDRESS: IPv6アドレスrfc822-addr: IDペイロードタイプがRFC822_ADDRの設定
MAILADDR: メールアドレス
- [説明]
履歴情報を削除します。
- [デフォルト値]
なし
- [実行モード]
- グローバルコンフィグモードインタフェースコンフィグモードIKEv2 プロファイルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- clear ikev2 historyclear ikev2 history peer-id ipv4 192.168.0.11
- [ノート]
なし
IKEv2 SA の削除
- [入力形式]
- clear ikev2 sa [ peer-id {fqdn FQDN | keyid KEYID |ipv4 IPv4-ADDRESS | ipv6 IPv6-ADDRESS | rfc822-addr MAILADDR } ]
- [パラメータ]
peer-id...IDタイプと値の設定
fqdn: IDペイロードタイプがFQDNの設定
FQDN: ドメイン名(例:mydomain.co.jp)keyid: IDペイロードタイプがKEYIDの設定
KEYID: 任意の文字列ipv4: IDペイロードタイプがIPV4_ADDRの設定
IPv4-ADDRESS: IPv4アドレスipv6: IDペイロードタイプがIPV6_ADDRの設定
IPv6-ADDRESS: IPv6アドレスrfc822-addr: IDペイロードタイプがRFC822_ADDRの設定
MAILADDR: メールアドレス
- [説明]
IKEv2 SAを削除します。
- [デフォルト値]
なし
- [実行モード]
- グローバルコンフィグモードインタフェースコンフィグモードIKEv2 プロファイルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- clear ikev2 sa peer-id fqdn abcclear ikev2 sa
- [ノート]
なし
IKEv2 統計情報のリセット
- [入力形式]
clear ikev2 statistics
- [パラメータ]
なし
- [説明]
IKEv2 統計情報をリセットします。
- [デフォルト値]
なし
- [実行モード]
- グローバルコンフィグモードIKEv2 プロファイルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
clear ikev2 statistics
- [ノート]
なし
コマンド変更情報
Ver1.0 コマンド変更情報
追加コマンド一覧