IPsec¶
コマンド一覧
コマンド | コマンドの機能 |
---|---|
ipsec anti-replay | Replay 攻撃防御の設定 |
ipsec autokey-map | 自動鍵ポリシーマップの登録 |
ipsec autokey-proposal | 自動鍵プロポーザルの作成 |
ipsec commit-bit | IPsec コミットビットの設定 |
ipsec dynamic-map | 自動鍵ダイナミックポリシーマップの登録 |
ipsec interoperability deny-pfs-missmatch | Ph2 ネゴシエーション PFS 不一致拒否 |
ipsec local-id | 自装置側の IPsec ID の設定 |
ipsec policy | IPsec ポリシーの設定 |
ipsec rekey remaining-lifetime default | IPsec SA のリキー値 (グローバル) 設定 |
ipsec rekey remaining-lifetime policy | IPsec SA のリキー値 (ポリシー) 設定 |
ipsec rekey unconditional-rekeying | IPsec Traffic なし Rekey 設定 |
ipsec remote-id | 相手装置側の IPsec ID の設定 |
ipsec sa-autorefresh | SA の自動更新 on/off 設定 |
ipsec source-address | ソースアドレスの設定 |
show ipsec autokey-map | 自動鍵ポリシーマップの表示 |
show ipsec autokey-proposal | 自動鍵プロポーザルの表示 |
show ipsec dynamic-map | 自動鍵ダイナミックポリシーマップの表示 |
show ipsec identity | IPsec ID 情報の表示 |
show ipsec policy | IPsec ポリシー設定の表示 |
show ipsec sa | IPsec SA の表示 |
show ipsec sa-autorefresh | SA の自動更新 on/off 設定の表示 |
show ipsec statistics | IPsec 統計情報の表示 |
clear ipsec sa | IPsec SA の削除 |
clear ipsec statistics | IPsec 統計カウンタのリセット |
Replay 攻撃防御の設定¶
- [入力形式]
- ipsec anti-replay [ MAP-NAME ]no ipsec anti-replay [ MAP-NAME ]
- [パラメータ]
MAP-NAME...ポリシーマップ名
- 自動鍵ポリシーマップ名
- 自動鍵ダイナミックポリシーマップ名
- [説明]
- Replay攻撃防御機能を有効/無効にするコマンドです。
- [デフォルト値]
- 有効
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec anti-replay map1no ipsec anti-replay map1
- [ノート]
- なし
自動鍵ポリシーマップの登録¶
- [入力形式]
- ipsec autokey-map MAP-NAME{ ipv4 | ipv6 }{ peer PEER-ADDRESS | peer-fqdn-ipv4 DOMAIN-NAME | peer-fqdn-ipv6 DOMAIN-NAME }[ pfs { off | 768-bit | 1024-bit | 1536-bit | 2048-bit | 3072-bit } ][ PROPOSAL ]no ipsec autokey-map [ MAP-NAME ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名
- 30文字以内の文字列
- 使用可能文字:半角英数字、 - (ハイフン)、 _ (アンダーバー)
- 自動鍵ダイナミックポリシーマップ名との重複はできません。
- 削除時にこのパラメータが省略された場合はすべての自動鍵ポリシーマップを削除します。
peer...SAを張る相手のアドレスの設定
- SA区間のエンドポイントのアドレスを設定します。
PEER-ADDRESS...SAを張る相手のアドレス
- IPv4アドレス
- IPv6グローバルアドレス
- IPv6リンクローカルアドレス%インタフェース名
peer-fqdn-ipv4... SAを張る相手のFQDNの設定(IPv4使用時)
peer-fqdn-ipv6... SAを張る相手のFQDNの設定(IPv6使用時)
DOMAIN-NAME... SAを張る相手のFQDN
pfs... PFS(Perfect Forward Secrecy)の有効/無効設定
- off : PFSを保証しません。
- 768-bit : DH Group 1を用いてPFSを保証します。
- 1024-bit : DH Group 2を用いてPFSを保証します。
- 1536-bit : DH Group 5を用いてPFSを保証します。
- 2048-bit : DH Group 14を用いてPFSを保証します。
- 3072-bit : DH Group 15を用いてPFSを保証します。
- デフォルト値: off
PROPOSAL...自動鍵プロポーザル名
自動鍵プロポーザル名をコンマ(,)で区切って複数入力可
最大登録数 8
プロポーザル指定を省略することも可能。
省略した場合、自動鍵プロポーザルはデフォルト値が設定されます。デフォルト値: - SA提案アルゴリズム esp-aes-256、esp-sha2-512 - ライフタイム 28800秒
- [説明]
- 自動鍵ポリシーマップに、自動鍵プロポーザル、PFS有無を登録するためのコマンドです。利用する自動鍵プロポーザルは、 ipsec autokey-proposalコマンドで事前に作成する必要があります。本コマンドで作成した自動鍵ポリシーマップをIPsecポリシー(ipsec policy) に適用します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec autokey-map auto1 ipv4 peer 10.1.1.2 prop1ipsec autokey-map auto2 ipv4 peer 10.2.2.2 pfs 1024-bit prop1,prop2,prop3ipsec autokey-map auto3 ipv4 peer-fqdn-ipv4 pfs 768-bit prop4no ipsec autokey-map
- [ノート]
- なし
- [IX2000/IX3000シリーズ差分]
- パラメータの ACCESSLIST-NAME を削除し、IP種別(ipv4/ipv6の2択)に変更
- PFSパラメータに ”3072-bit” を追加
- LEVELパラメータ (use/require) を削除
自動鍵プロポーザルの作成¶
- [入力形式]
- ipsec autokey-proposal PROPOSAL[ ESP-ENCRYPT-ALG ] [ ESP-HASH-ALG ][ lifetime [ time SECONDS | both SECONDS BYTES ] ]no ipsec autokey-proposal [ PROPOSAL ]
- [パラメータ]
PROPOSAL...自動鍵プロポーザル名
- 30文字以内の文字列
- 使用可能文字:半角英数字、 - (ハイフン)、 _ (アンダーバー)
- 削除時に省略された場合は全自動鍵プロポーザルを削除します。
ESP-ENCRYPT-ALG ... ESP暗号アルゴリズム
- esp-aes : ESP AES-CBC (128 bits)
- esp-aes-192 : ESP AES-CBC (192 bits)
- esp-aes-256 : ESP AES-CBC (256 bits)
- esp-3des : ESP Triple DES-CBC
- esp-null : ESP NULL Algorithm
ESP-HASH-ALG ... ESP認証アルゴリズム
- esp-sha : ESP HMAC-SHA1-96
- esp-sha2-256 : ESP HMAC-SHA2-256-128
- esp-sha2-384 : ESP HMAC-SHA2-384-192
- esp-sha2-512 : ESP HMAC-SHA2-512-256
注: アルゴリズムが何も指定されない場合は、ESP AES-CBC (256 bits)、ESP MAC-SHA2-512-256が選択されます。
lifetime...SA有効期間の設定
time... SA有効時間のみ設定
both... SA有効期間を時間とキロバイトで規制する場合の設定
SECONDS...SAが有効である時間(秒)
- 範囲: 300〜691200
- デフォルト値: 28800
BYTES...SAが有効であるバイト規制(キロバイト)
- 範囲: 1000〜4000000
- デフォルト値: 1000000
- [説明]
- IPsec自動鍵交換時における自動鍵プロポーザル(アルゴリズム、ライフタイム)を作成するためのコマンドです。本コマンドで作成した自動鍵プロポーザルを自動鍵ポリシーマップ(ipsec autokey-map)または、自動鍵ダイナミックポリシーマップ(ipsec dynamic-map)に登録します。自動鍵交換を実行するには、ike proposal、ike policy コマンドで IKE(Internet Key Exchange Security Protocol)のポリシー設定を同時に行う必要があります。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec autokey-proposal prop1ipsec autokey-proposal prop2 esp-3des esp-sha lifetime time 300ipsec autokey-proposal prop3 esp-sha lifetime both 3600 10000no ipsec autokey-proposal prop2 esp-3des esp-sha lifetime time 300no ipsec autokey-proposal prop2no ipsec autokey-proposal
- [ノート]
- IX-V100ではNULL Algorithmは未対応です。
- [IX2000/IX3000シリーズ差分]
- パラメータ ESP-ENCRYPT-ALG から ”esp-des” を削除
- パラメータ ESP-HASH-ALG から ”esp-md5” を削除
- パラメータ AH-HASH-ALG を削除
IPsec コミットビットの設定¶
- [入力形式]
- ipsec commit-bit [ MAP-NAME [ quick-mode ] ]no ipsec commit-bit [ MAP-NAME ]
- [パラメータ]
- MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
- [説明]
- IKEフェーズ2でのコミットビット機能を有効にするコマンドです。quick-modeが指定された場合はクイック交換、指定されなかった場合はインフォメーショナル交換を用いて、CONNECTED通知ペイロードが送信されます。本設定はレスポンダにのみ適用されます。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec commit-bit map1ipsec commit-bit map2 quick-modeno ipsec commit-bit map1no ipsec commit-bit map2 quick-mode
- [ノート]
- なし
自動鍵ダイナミックポリシーマップの登録¶
- [入力形式]
- ipsec dynamic-map MAP-NAMEipv4 [ pfs { off | 768-bit | 1024-bit | 1536-bit | 2048-bit | 3072-bit } ][ { ike | ike-binding } IKE-POLICY ][ PROPOSAL ]no ipsec dynamic-map [ MAP-NAME ]
- [パラメータ]
MAP-NAME...ダイナミックポリシーマップ名
- 30文字以内の文字列
- 使用可能文字:半角英数字、 - (ハイフン)、 _ (アンダーバー)
- 自動鍵ポリシーマップ名との重複はできません。
- 削除時にこのパラメータが省略された場合はすべての登録を削除します。
pfs... PFS(Perfect Forward Secrecy)の有効/無効設定
- off : PFSを保証しません。
- 768-bit : DH Group 1を用いてPFSを保証します。
- 1024-bit : DH Group 2を用いてPFSを保証します。
- 1536-bit : DH Group 5を用いてPFSを保証します。
- 2048-bit : DH Group 14を用いてPFSを保証します。
- 3072-bit : DH Group 15を用いてPFSを保証します。
- デフォルト値: off
ike ... ダイナミックポリシー側からの指定IKEポリシーによるIPsecのRekeyを開始を許可します。
ike-binding ... ダイナミックポリシーのネゴシエーションを指定IKEポリシーに固定します。
IKE-POLICY ... IKEポリシー名
- 30文字以内の文字列
- 使用可能文字:半角英数字、 - (ハイフン)、 _ (アンダーバー)
PROPOSAL...自動鍵プロポーザル名
自動鍵プロポーザル名をコンマ(,)で区切って複数入力可。
最大登録数 8
プロポーザル指定を省略することも可能。
省略した場合、自動鍵プロポーザルはデフォルト値が設定されます。デフォルト値:- SA提案アルゴリズム esp-aes-256、esp-sha2-512
- ライフタイム 28800秒
- [説明]
- 接続相手が不定IPアドレスの場合に自動鍵ポリシーを設定するコマンドです。自動鍵ポリシーマップ(ipsec autokey-map)と同様に、この自動鍵ダイナミックポリシーマップに、自動鍵プロポーザル、PFS有無を登録します。利用する自動鍵プロポーザルは、ipsec autokey-proposalコマンドで事前に作成する必要があります。IKEポリシーを指定した場合、該当IKE SA確立時にIKEフェーズ2を開始可能となります。本コマンドで作成した自動鍵ダイナミックポリシーマップをIPsecポリシー (ipsec policy)に適用します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec dynamic-map auto1 ipv4 prop1ipsec dynamic-map auto2 ipv4 pfs 1024-bit prop1,prop2,prop3no ipsec dynamic-map auto4 ipv4 pfs off prop4,prop5,prop6no ipsec dynamic-map auto4no ipsec dynamic-map
- [ノート]
- なし
- [IX2000/IX3000シリーズ差分]
- パラメータの ACCESSLIST-NAME を削除し、IP種別 (ipv4/ipv6の2択) に変更
- PFSパラメータに ”3072-bit” を追加
- LEVELパラメータ (use/require) を削除
Ph2 ネゴシエーション PFS 不一致拒否¶
- [入力形式]
- ipsec interoperability deny-pfs-missmatchno ipsec interoperability deny-pfs-missmatch
- [パラメータ]
- なし
- [説明]
- IKEフェーズ2でのPFS不一致を検出し、拒否する機能を有効にするコマンドです。本設定はレスポンダにのみ適用されます。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec interoperability deny-pfs-missmatchno ipsec interoperability deny-pfs-missmatch
- [ノート]
- なし
自装置側の IPsec ID の設定¶
- [入力形式]
- ipsec local-id MAP-NAME LOCAL-IDno ipsec local-id [ MAP-NAME ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
LOCAL-ID...自装置側のID設定
- IPv4 アドレス
- IPv4 サブネットアドレス/マスク長(0〜32)
- IPv6 アドレス
- IPv6 サブネットアドレス/プレフィックス長(0〜128)
- [説明]
- IKEフェーズ2で送信するIDペイロード(自装置側ID)の内容を設定するコマンドです。本コマンドを設定しない場合は、ipsec autokey-map/ipsec dynamic-mapのアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec local-id map1 192.168.0.1ipsec local-id map2 192.168.0.0/24no ipsec local-id map1
- [ノート]
- IPv4指定で、マスク長を省略したときは、タイプ1(ID_IPV4_ADDR)のIDが送信されます。また、マスク長を指定したときは、タイプ4(ID_IPV4_ADDR_SUBNET)のIDが送信されます。IPv6指定で、プレフィックス長を省略したときは、タイプ5(ID_IPV6_ADDR)のIDが送信されます。また、プレフィックス長を指定したときは、タイプ6(ID_IPV6_ADDR_SUBNET)のIDが送信されます。
- [IX2000/IX3000シリーズ差分]
本コマンドを設定しない場合の条件変更
未設定時は ipsec autokey-map/ipsec dynamic-map のアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。
IPsec ポリシーの設定¶
- [入力形式]
- ipsec policy MODEMAP-NAME [ mtu ignore ] [ with-id-payload ] [ without-id-payload ] [ pre-fragment ]no ipsec policy [MODE [MAP-NAME]]
- [パラメータ]
MODE...モードタイプ
- tunnel : トンネルモード
- transport : トランスポートモード
MAP-NAME...ポリシーマップ名
- 自動鍵ポリシーマップ名
- 自動鍵ダイナミックポリシーマップ名
mtu ignore... 4-over-4, 6-over-4 トンネル時のDFビットの有無
オリジナルパケットにDFビットがセットされていてもフラグメントを行います。(この場合、トンネルパケットのDFビットは、セットしないでフラグメント送信します)- デフォルト値: off
with-id-payload...IKE(鍵交換)フェーズ2 IDを使用
- トランスポートモードの場合の鍵交換において、IKEフェーズ2 IDを使用可能にします。
- トンネルモードの場合、本設定はありません。
without-id-payload...IKE(鍵交換)フェーズ2 IDを不使用
- トンネルモードの場合の鍵交換において、IKEフェーズ2 IDを送信しません。
- トランスポートモードの場合、本設定はありません。
pre-fragment...カプセル化/暗号化前フラグメント
- トンネル時にフラグメント処理を行わなければならない場合に、カプセル化処理を行う前にフラグメントします。
- [説明]
- 本コマンドにポリシーマップを適用し IPsec を有効にします。適用するポリシーマップは事前に、ipsec autokey-map、ipsec dynamic-map コマンドで登録しておく必要があります。
- [デフォルト値]
- なし
- [実行モード]
- インタフェースコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec policy tunnel auto1ipsec policy tunnel auto1 without-id-payloadipsec policy transport auto2no ipsec policy tunnel auto1no ipsec policy tunnelno ipsec policy
- [ノート]
- なし
- [IX2000/IX3000シリーズ差分]
- トンネルインタフェース以外での設定は不可に変更
- DIRECTION パラメータ(in/out)を削除。WAN 側インタフェースへ出てゆくパケットに対して IPsec を適用されます。
- “df-bit” パラメータを ”mtu” パラメータに変更し、選択肢を ignore のみとします。
- ※従来の df-bit ignore 設定と異なり IPv6 パケットもフラグメント対象となります。
IPsec SA のリキー値 (グローバル) 設定¶
- [入力形式]
- ipsec rekey remaining-lifetime default second SECONDSno ipsec rekey remaining-lifetime default [ second SECONDS ]
- [パラメータ]
SECONDS...lifetimeの残り時間(秒)
- 範囲: 30〜691200
- [説明]
- IPsec SAを更新するタイミングをグローバルに設定します。
- [デフォルト値]
- 60秒
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec rekey remaining-lifetime default second 300no ipsec rekey remaining-lifetime default
- [ノート]
- IPsec SA リキー値は設定後に生成された IPsec SA から反映されます。IPsec SA リキー値がポリシー指定で設定 (ipsec rekey remaining-lifetime policy) された場合は、そちらが優先されます。設定値が lifetime の 1/2 より長い場合には lifetime の 1/2 の時間でリキーします。
IPsec SA のリキー値 (ポリシー) 設定¶
- [入力形式]
- ipsec rekey remaining-lifetime policy MAP-NAME second SECONDSno ipsec rekey remaining-lifetime policy MAP-NAME [ second SECONDS ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
SECONDS...lifetimeの残り時間(秒)
- 範囲: 30〜691200
- [説明]
- IPsec SAを更新するタイミングをポリシー指定で設定します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec rekey remaining-lifetime policy pol1 second 300no ipsec rekey remaining-lifetime policy pol1
- [ノート]
- IPsec リキー値は設定後に生成された IPsec SA から反映されます。
- 設定値が lifetime の 1/2 より長い場合には lifetime の 1/2 の時間でリキーします。
IPsec Traffic なし Rekey 設定¶
- [入力形式]
- ipsec rekey unconditional-rekeying [ policy MAP-NAME ]no ipsec rekey unconditional-rekeying [ policy MAP-NAME ]
- [パラメータ]
- MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
- [説明]
- IPsec SAを使用する通信がない場合でもIPsec SAのRekey動作を行わせるコマンドです。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec rekey unconditional-rekeyingipsec rekey unconditional-rekeying policy map1no ipsec rekey unconditional-rekeyingno ipsec rekey unconditional-rekeying policy map1
- [ノート]
- なし
相手装置側の IPsec ID の設定¶
- [入力形式]
- ipsec remote-id MAP-NAME REMOTE-IDno ipsec remote-id [ MAP-NAME ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
REMOTE-ID...相手装置側のID設定
- IPv4 アドレス
- IPv4 サブネットアドレス/マスク長(0〜32)
- IPv6 アドレス
- IPv6 サブネットアドレス/プレフィックス長(0〜128)
- [説明]
- IKEフェーズ2で送信するIDペイロード(相手装置側ID)の内容を設定するコマンドです。本コマンドを設定しない場合は、アクセスリストにおけるdestの設定条件が相手装置側のIDデータとして使用されます。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec remote-id map1 192.168.0.1ipsec remote-id map2 192.168.0.0/24no ipsec remote-id map1
- [ノート]
- IPv4指定で、マスク長を省略したときは、タイプ1 (ID_IPV4_ADDR) のIDが送信されます。また、マスク長を指定したときは、タイプ4 (ID_IPV4_ADDR_SUBNET) のIDが送信されます。IPv6指定で、プレフィックス長を省略したときは、タイプ5 (ID_IPV6_ADDR) のIDが送信されます。また、プレフィックス長を指定したときは、タイプ6 (ID_IPV6_ADDR_SUBNET) のIDが送信されます。
- [IX2000/IX3000シリーズ差分]
本コマンドを設定しない場合の条件変更
未設定時は ipsec autokey-map/ipsec dynamic-map のアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。
SA の自動更新 on/off 設定¶
- [入力形式]
- ipsec sa-autorefreshno ipsec sa-autorefresh
- [パラメータ]
- なし
- [説明]
- 自動鍵交換により、SAの自動更新を実行するためのコマンドです。no設定時は、IKE-SA,IPSec-SAともに自動更新を行いません。
- [デフォルト値]
- 自動更新する
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec sa-autorefreshno ipsec sa-autorefresh
- [ノート]
- なし
ソースアドレスの設定¶
- [入力形式]
- ipsec source-address MAP-NAME { SOURCE-ADDRESS | INTERFACE }no ipsec source-address [ MAP-NAME ]
- [パラメータ]
MAP-NAME ... ポリシーマップ名
- 自動鍵ポリシーマップ名
- 自動鍵ダイナミックポリシーマップ名
SOURCE-ADDRESS ... ソースアドレス
- IPv4アドレス
- IPv6アドレス
INTERFACE ... インタフェース名
- [説明]
- 初期設定では、SAの始点やトンネルカプセル化のソースアドレスはIPsec パケットが送信されるインタフェースのアドレスが自動的に使用されます。本コマンドを設定することにより、任意なソースアドレス設定が可能になります。ただし、使用するアドレスは、インタフェースに振られている必要があります。インタフェース名を指定した場合は、そのインタフェースに振られているアドレスが使用されます。
- [デフォルト値]
- なし
- [実行モード]
- インタフェースコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- ipsec source-address auto1 GigaEthernet0.0no ipsec source-address
- [ノート]
- なし
自動鍵ポリシーマップの表示¶
- [入力形式]
- show ipsec autokey-map [ MAP-NAME ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名
- 省略時はすべての自動鍵ポリシーマップを表示します。
- [説明]
- 自動鍵ポリシーマップの登録設定を表示するためのコマンドです。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ipsec autokey-mapshow ipsec autokey-map auto1
- [ノート]
- なし
自動鍵プロポーザルの表示¶
- [入力形式]
- show ipsec autokey-proposal [ PROPOSAL ]
- [パラメータ]
PROPOSAL...自動鍵プロポーザル名
- 省略時は全自動鍵プロポーザルを表示します。
- [説明]
- 自動鍵プロポーザルの設定を表示するためのコマンドです。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ipsec autokey-proposalshow ipsec autokey-proposal prop1
- [ノート]
- なし
自動鍵ダイナミックポリシーマップの表示¶
- [入力形式]
- show ipsec dynamic-map [ MAP-NAME ]
- [パラメータ]
MAP-NAME...ダイナミックポリシーマップ名
- 省略時は全自動鍵ダイナミックポリシーマップを表示します。
- [説明]
- 自動鍵ダイナミックポリシーマップの登録を表示するためのコマンドです。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ipsec dynamic-mapshow ipsec dynamic-map dyna1
- [ノート]
- なし
IPsec ID 情報の表示¶
- [入力形式]
- show ipsec identity
- [パラメータ]
- なし
- [説明]
- ipsec local-idコマンド, ipsec remote-idコマンドにより設定した IKEフェーズ2で送信するIDペイロードの内容を表示します。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ipsec identity
- [ノート]
- なし
IPsec ポリシー設定の表示¶
- [入力形式]
- show ipsec policy [ MODE [ INTERFACE ] ]
- [パラメータ]
MODE...モードタイプ
- tunnel: トンネルモード
- transport: トランスポートモード
- 指定時は、モードタイプ単位でIPsecポリシーを表示します。
INTERFACE...インタフェース名
- パラメータ省略時は全IPsec ポリシーを表示します。
- [説明]
- IPsecポリシーの設定を表示するためのコマンドです。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ipsec policyshow ipsec policy transport
- [ノート]
- なし
IPsec SA の表示¶
- [入力形式]
- show ipsec sa [ MODE [ INTERFACE ] | policy MAP-NAME | brief ]
- [パラメータ]
MODE...モードタイプ
- tunnel: トンネルモード
- transport: トランスポートモード
INTERFACE...インタフェース名
MAP-NAME...ポリシーマップ名
brief...要点表示
- [説明]
- 生成されたIPsec SAを表示するためのコマンドです。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ipsec sashow ipsec sa transport
- [ノート]
- なし
SA の自動更新 on/off 設定の表示¶
- [入力形式]
- show ipsec sa-autorefresh
- [パラメータ]
- なし
- [説明]
- SA自動更新の設定を表示するためのコマンドです。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ipsec sa-autorefresh
- [ノート]
- なし
IPsec 統計情報の表示¶
- [入力形式]
- show ipsec statistics [ INTERFACE ]
- [パラメータ]
INTERFACE...インタフェース名
- 指定時は、指定されたインタフェースの統計情報を表示します。
- パラメータ省略時は全インタフェースの合計した統計情報を表示します。
- [説明]
- IPsec統計情報を表示するためのコマンドです。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- show ipsec statistics
- [ノート]
- なし
IPsec SA の削除¶
- [入力形式]
- clear ipsec sa [ MODE [ INTERFACE [ MAP-NAME ] ] ]
- [パラメータ]
MODE...モードタイプ
- tunnel: トンネルモード
- transport: トランスポートモード
INTERFACE...インタフェース名
MAP-NAME...ポリシーマップ名
- 自動鍵ポリシーマップ
- 自動鍵ダイナミックポリシーマップ
- [説明]
- 生成されているIPsec SAを削除するコマンドです。ただし、本コマンドで削除できるのはIKEが作成した自動鍵IPsec SAのみです。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator
- [入力例]
- clear ipsec sa
- [ノート]
- なし
IPsec 統計カウンタのリセット¶
- [入力形式]
- clear ipsec statistics [ INTERFACE ]
- [パラメータ]
INTERFACE...インタフェース名
- 指定時は、指定されたインタフェースの統計情報を削除します。
- パラメータ省略時は全インタフェースの統計情報を削除します。
- [説明]
- IPsec統計情報のカウンタをリセットするコマンドです。
- [デフォルト値]
- なし
- [実行モード]
- グローバルコンフィグモード
- [ユーザー権限]
- Administrator/Operator/Monitor
- [入力例]
- clear ipsec statistics
- [ノート]
- なし