IPsec

コマンド一覧

コマンド	コマンドの機能
ipsec anti-replay	Replay 攻撃防御の設定
ipsec autokey-map	自動鍵ポリシーマップの登録
ipsec autokey-proposal	自動鍵プロポーザルの作成
ipsec commit-bit	IPsec コミットビットの設定
ipsec dynamic-map	自動鍵ダイナミックポリシーマップの登録
ipsec interoperability deny-pfs-missmatch	Ph2 ネゴシエーション PFS 不一致拒否
ipsec local-id	自装置側の IPsec ID の設定
ipsec policy	IPsec ポリシーの設定
ipsec rekey remaining-lifetime default	IPsec SA のリキー値 (グローバル) 設定
ipsec rekey remaining-lifetime policy	IPsec SA のリキー値 (ポリシー) 設定
ipsec rekey unconditional-rekeying	IPsec Traffic なし Rekey 設定
ipsec remote-id	相手装置側の IPsec ID の設定
ipsec sa-autorefresh	SA の自動更新 on/off 設定
ipsec source-address	ソースアドレスの設定
show ipsec autokey-map	自動鍵ポリシーマップの表示
show ipsec autokey-proposal	自動鍵プロポーザルの表示
show ipsec dynamic-map	自動鍵ダイナミックポリシーマップの表示
show ipsec identity	IPsec ID 情報の表示
show ipsec policy	IPsec ポリシー設定の表示
show ipsec sa	IPsec SA の表示
show ipsec sa-autorefresh	SA の自動更新 on/off 設定の表示
show ipsec statistics	IPsec 統計情報の表示
clear ipsec sa	IPsec SA の削除
clear ipsec statistics	IPsec 統計カウンタのリセット

Replay 攻撃防御の設定

[入力形式]

ipsec anti-replay [ MAP-NAME ]

no ipsec anti-replay [ MAP-NAME ]

[パラメータ]

MAP-NAME．．．ポリシーマップ名

• 自動鍵ポリシーマップ名

• 自動鍵ダイナミックポリシーマップ名

[説明]

Replay攻撃防御機能を有効／無効にするコマンドです。

[デフォルト値]

有効

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec anti-replay map1

no ipsec anti-replay map1

[ノート]

なし

自動鍵ポリシーマップの登録

[入力形式]

ipsec autokey-map MAP-NAME

{ ipv4 | ipv6 }

{ peer PEER-ADDRESS | peer-fqdn-ipv4 DOMAIN-NAME | peer-fqdn-ipv6 DOMAIN-NAME }

[ pfs { off | 768-bit | 1024-bit | 1536-bit | 2048-bit | 3072-bit } ]

[ PROPOSAL ]

no ipsec autokey-map [ MAP-NAME ]

[パラメータ]

MAP-NAME．．．自動鍵ポリシーマップ名

• 30文字以内の文字列

• 使用可能文字：半角英数字、 - (ハイフン)、 _ (アンダーバー)

• 自動鍵ダイナミックポリシーマップ名との重複はできません。

• 削除時にこのパラメータが省略された場合はすべての自動鍵ポリシーマップを削除します。

peer．．．SAを張る相手のアドレスの設定

• SA区間のエンドポイントのアドレスを設定します。

PEER-ADDRESS．．．SAを張る相手のアドレス

• IPv4アドレス

• IPv6グローバルアドレス

• IPv6リンクローカルアドレス%インタフェース名

peer-fqdn-ipv4．．． SAを張る相手のFQDNの設定(IPv4使用時)

peer-fqdn-ipv6．．． SAを張る相手のFQDNの設定(IPv6使用時)

DOMAIN-NAME．．． SAを張る相手のFQDN

pfs．．． PFS(Perfect Forward Secrecy)の有効／無効設定

• off ： PFSを保証しません。

• 768-bit ： DH Group 1を用いてPFSを保証します。

• 1024-bit ： DH Group 2を用いてPFSを保証します。

• 1536-bit ： DH Group 5を用いてPFSを保証します。

• 2048-bit ： DH Group 14を用いてPFSを保証します。

• 3072-bit ： DH Group 15を用いてPFSを保証します。

• デフォルト値： off

PROPOSAL．．．自動鍵プロポーザル名

• 自動鍵プロポーザル名をコンマ(,)で区切って複数入力可

• 最大登録数 8

• プロポーザル指定を省略することも可能。

  省略した場合、自動鍵プロポーザルはデフォルト値が設定されます。

  デフォルト値： - SA提案アルゴリズム esp-aes-256、esp-sha2-512 - ライフタイム 28800秒

[説明]

自動鍵ポリシーマップに、自動鍵プロポーザル、PFS有無を登録するためのコマンドです。

利用する自動鍵プロポーザルは、 ipsec autokey-proposalコマンドで事前に作成する必要があります。

本コマンドで作成した自動鍵ポリシーマップをIPsecポリシー(ipsec policy) に適用します。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec autokey-map auto1 ipv4 peer 10.1.1.2 prop1

ipsec autokey-map auto2 ipv4 peer 10.2.2.2 pfs 1024-bit prop1,prop2,prop3

ipsec autokey-map auto3 ipv4 peer-fqdn-ipv4 pfs 768-bit prop4

no ipsec autokey-map

[ノート]

なし

[IX2000/IX3000シリーズ差分]

• パラメータの ACCESSLIST-NAME を削除し、IP種別(ipv4/ipv6の2択)に変更

• PFSパラメータに ”3072-bit” を追加

• LEVELパラメータ (use/require) を削除

自動鍵プロポーザルの作成

[入力形式]

ipsec autokey-proposal PROPOSAL

[ ESP-ENCRYPT-ALG ] [ ESP-HASH-ALG ]

[ lifetime [ time SECONDS | both SECONDS BYTES ] ]

no ipsec autokey-proposal [ PROPOSAL ]

[パラメータ]

PROPOSAL．．．自動鍵プロポーザル名

• 30文字以内の文字列

• 使用可能文字：半角英数字、 - (ハイフン)、 _ (アンダーバー)

• 削除時に省略された場合は全自動鍵プロポーザルを削除します。

ESP-ENCRYPT-ALG ．．． ESP暗号アルゴリズム

• esp-aes ： ESP AES-CBC (128 bits)

• esp-aes-192 ： ESP AES-CBC (192 bits)

• esp-aes-256 ： ESP AES-CBC (256 bits)

• esp-3des ： ESP Triple DES-CBC

• esp-null ： ESP NULL Algorithm

ESP-HASH-ALG ．．． ESP認証アルゴリズム

• esp-sha ： ESP HMAC-SHA1-96

• esp-sha2-256 ： ESP HMAC-SHA2-256-128

• esp-sha2-384 ： ESP HMAC-SHA2-384-192

• esp-sha2-512 ： ESP HMAC-SHA2-512-256

注： アルゴリズムが何も指定されない場合は、ESP AES-CBC (256 bits)、ESP MAC-SHA2-512-256が選択されます。

lifetime．．．SA有効期間の設定

time．．． SA有効時間のみ設定

both．．． SA有効期間を時間とキロバイトで規制する場合の設定

SECONDS．．．SAが有効である時間（秒）

• 範囲： 300〜691200

• デフォルト値： 28800

BYTES．．．SAが有効であるバイト規制（キロバイト）

• 範囲： 1000〜4000000

• デフォルト値： 1000000

[説明]

IPsec自動鍵交換時における自動鍵プロポーザル(アルゴリズム、ライフタイム)を作成するためのコマンドです。

本コマンドで作成した自動鍵プロポーザルを自動鍵ポリシーマップ(ipsec autokey-map)または、自動鍵ダイナミックポリシーマップ(ipsec dynamic-map)に登録します。

自動鍵交換を実行するには、ike proposal、ike policy コマンドで IKE(Internet Key Exchange Security Protocol)のポリシー設定を同時に行う必要があります。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec autokey-proposal prop1

ipsec autokey-proposal prop2 esp-3des esp-sha lifetime time 300

ipsec autokey-proposal prop3 esp-sha lifetime both 3600 10000

no ipsec autokey-proposal prop2 esp-3des esp-sha lifetime time 300

no ipsec autokey-proposal prop2

no ipsec autokey-proposal

[ノート]

IX-V100ではNULL Algorithmは未対応です。

[IX2000/IX3000シリーズ差分]

• パラメータ ESP-ENCRYPT-ALG から ”esp-des” を削除

• パラメータ ESP-HASH-ALG から ”esp-md5” を削除

• パラメータ AH-HASH-ALG を削除

IPsec コミットビットの設定

[入力形式]

ipsec commit-bit [ MAP-NAME [ quick-mode ] ]

no ipsec commit-bit [ MAP-NAME ]

[パラメータ]

MAP-NAME．．．自動鍵ポリシーマップ名／自動鍵ダイナミックポリシーマップ名

[説明]

IKEフェーズ2でのコミットビット機能を有効にするコマンドです。

quick-modeが指定された場合はクイック交換、指定されなかった場合はインフォメーショナル交換を用いて、CONNECTED通知ペイロードが送信されます。

本設定はレスポンダにのみ適用されます。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec commit-bit map1

ipsec commit-bit map2 quick-mode

no ipsec commit-bit map1

no ipsec commit-bit map2 quick-mode

[ノート]

なし

自動鍵ダイナミックポリシーマップの登録

[入力形式]

ipsec dynamic-map MAP-NAME

ipv4 [ pfs { off | 768-bit | 1024-bit | 1536-bit | 2048-bit | 3072-bit } ]

[ { ike | ike-binding } IKE-POLICY ]

[ PROPOSAL ]

no ipsec dynamic-map [ MAP-NAME ]

[パラメータ]

MAP-NAME．．．ダイナミックポリシーマップ名

• 30文字以内の文字列

• 使用可能文字：半角英数字、 - (ハイフン)、 _ (アンダーバー)

• 自動鍵ポリシーマップ名との重複はできません。

• 削除時にこのパラメータが省略された場合はすべての登録を削除します。

pfs．．． PFS(Perfect Forward Secrecy)の有効／無効設定

• off ： PFSを保証しません。

• 768-bit ： DH Group 1を用いてPFSを保証します。

• 1024-bit ： DH Group 2を用いてPFSを保証します。

• 1536-bit ： DH Group 5を用いてPFSを保証します。

• 2048-bit ： DH Group 14を用いてPFSを保証します。

• 3072-bit ： DH Group 15を用いてPFSを保証します。

• デフォルト値： off

ike ．．． ダイナミックポリシー側からの指定IKEポリシーによるIPsecのRekeyを開始を許可します。

ike-binding ．．． ダイナミックポリシーのネゴシエーションを指定IKEポリシーに固定します。

IKE-POLICY ．．． IKEポリシー名

• 30文字以内の文字列

• 使用可能文字：半角英数字、 - (ハイフン)、 _ (アンダーバー)

PROPOSAL．．．自動鍵プロポーザル名

• 自動鍵プロポーザル名をコンマ(,)で区切って複数入力可。

• 最大登録数 8

• プロポーザル指定を省略することも可能。

  省略した場合、自動鍵プロポーザルはデフォルト値が設定されます。

  デフォルト値：

  • SA提案アルゴリズム esp-aes-256、esp-sha2-512

  • ライフタイム 28800秒

[説明]

接続相手が不定IPアドレスの場合に自動鍵ポリシーを設定するコマンドです。

自動鍵ポリシーマップ(ipsec autokey-map)と同様に、この自動鍵ダイナミックポリシーマップに、自動鍵プロポーザル、PFS有無を登録します。

利用する自動鍵プロポーザルは、ipsec autokey-proposalコマンドで事前に作成する必要があります。

IKEポリシーを指定した場合、該当IKE SA確立時にIKEフェーズ2を開始可能となります。

本コマンドで作成した自動鍵ダイナミックポリシーマップをIPsecポリシー (ipsec policy)に適用します。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec dynamic-map auto1 ipv4 prop1

ipsec dynamic-map auto2 ipv4 pfs 1024-bit prop1,prop2,prop3

no ipsec dynamic-map auto4 ipv4 pfs off prop4,prop5,prop6

no ipsec dynamic-map auto4

no ipsec dynamic-map

[ノート]

なし

[IX2000/IX3000シリーズ差分]

• パラメータの ACCESSLIST-NAME を削除し、IP種別 (ipv4/ipv6の2択) に変更

• PFSパラメータに ”3072-bit” を追加

• LEVELパラメータ (use/require) を削除

Ph2 ネゴシエーション PFS 不一致拒否

[入力形式]

ipsec interoperability deny-pfs-missmatch

no ipsec interoperability deny-pfs-missmatch

[パラメータ]

なし

[説明]

IKEフェーズ2でのPFS不一致を検出し、拒否する機能を有効にするコマンドです。

本設定はレスポンダにのみ適用されます。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec interoperability deny-pfs-missmatch

no ipsec interoperability deny-pfs-missmatch

[ノート]

なし

自装置側の IPsec ID の設定

[入力形式]

ipsec local-id MAP-NAME LOCAL-ID

no ipsec local-id [ MAP-NAME ]

[パラメータ]

MAP-NAME．．．自動鍵ポリシーマップ名／自動鍵ダイナミックポリシーマップ名

LOCAL-ID．．．自装置側のID設定

• IPv4 アドレス

• IPv4 サブネットアドレス/マスク長(0〜32)

• IPv6 アドレス

• IPv6 サブネットアドレス/プレフィックス長(0〜128)

[説明]

IKEフェーズ2で送信するIDペイロード(自装置側ID)の内容を設定するコマンドです。

本コマンドを設定しない場合は、ipsec autokey-map／ipsec dynamic-mapのアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec local-id map1 192.168.0.1

ipsec local-id map2 192.168.0.0/24

no ipsec local-id map1

[ノート]

IPv4指定で、マスク長を省略したときは、タイプ1(ID_IPV4_ADDR)のIDが送信されます。

また、マスク長を指定したときは、タイプ4(ID_IPV4_ADDR_SUBNET)のIDが送信されます。

IPv6指定で、プレフィックス長を省略したときは、タイプ5(ID_IPV6_ADDR)のIDが送信されます。

また、プレフィックス長を指定したときは、タイプ6(ID_IPV6_ADDR_SUBNET)のIDが送信されます。

[IX2000/IX3000シリーズ差分]

• 本コマンドを設定しない場合の条件変更

  未設定時は ipsec autokey-map／ipsec dynamic-map のアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。

IPsec ポリシーの設定

[入力形式]

ipsec policy MODE

MAP-NAME [ mtu ignore ] [ with-id-payload ] [ without-id-payload ] [ pre-fragment ]

no ipsec policy [MODE [MAP-NAME]]

[パラメータ]

MODE．．．モードタイプ

• tunnel ： トンネルモード

• transport ： トランスポートモード

MAP-NAME．．．ポリシーマップ名

• 自動鍵ポリシーマップ名

• 自動鍵ダイナミックポリシーマップ名

mtu ignore．．． 4-over-4, 6-over-4 トンネル時のDFビットの有無

オリジナルパケットにDFビットがセットされていてもフラグメントを行います。

(この場合、トンネルパケットのDFビットは、セットしないでフラグメント送信します)

• デフォルト値： off

with-id-payload．．．IKE(鍵交換)フェーズ2 IDを使用

• トランスポートモードの場合の鍵交換において、IKEフェーズ2 IDを使用可能にします。

• トンネルモードの場合、本設定はありません。

without-id-payload．．．IKE(鍵交換)フェーズ2 IDを不使用

• トンネルモードの場合の鍵交換において、IKEフェーズ2 IDを送信しません。

• トランスポートモードの場合、本設定はありません。

pre-fragment．．．カプセル化／暗号化前フラグメント

• トンネル時にフラグメント処理を行わなければならない場合に、カプセル化処理を行う前にフラグメントします。

[説明]

本コマンドにポリシーマップを適用し IPsec を有効にします。

適用するポリシーマップは事前に、ipsec autokey-map、ipsec dynamic-map コマンドで登録しておく必要があります。

[デフォルト値]

なし

[実行モード]

インタフェースコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec policy tunnel auto1

ipsec policy tunnel auto1 without-id-payload

ipsec policy transport auto2

no ipsec policy tunnel auto1

no ipsec policy tunnel

no ipsec policy

[ノート]

なし

[IX2000/IX3000シリーズ差分]

• トンネルインタフェース以外での設定は不可に変更

• DIRECTION パラメータ（in/out）を削除。WAN 側インタフェースへ出てゆくパケットに対して IPsec を適用されます。

• “df-bit” パラメータを ”mtu” パラメータに変更し、選択肢を ignore のみとします。

• ※従来の df-bit ignore 設定と異なり IPv6 パケットもフラグメント対象となります。

IPsec SA のリキー値 (グローバル) 設定

[入力形式]

ipsec rekey remaining-lifetime default second SECONDS

no ipsec rekey remaining-lifetime default [ second SECONDS ]

[パラメータ]

SECONDS．．．lifetimeの残り時間（秒）

• 範囲： 30〜691200

[説明]

IPsec SAを更新するタイミングをグローバルに設定します。

[デフォルト値]

60秒

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec rekey remaining-lifetime default second 300

no ipsec rekey remaining-lifetime default

[ノート]

IPsec SA リキー値は設定後に生成された IPsec SA から反映されます。

IPsec SA リキー値がポリシー指定で設定 (ipsec rekey remaining-lifetime policy) された場合は、そちらが優先されます。

設定値が lifetime の 1/2 より長い場合には lifetime の 1/2 の時間でリキーします。

IPsec SA のリキー値 (ポリシー) 設定

[入力形式]

ipsec rekey remaining-lifetime policy MAP-NAME second SECONDS

no ipsec rekey remaining-lifetime policy MAP-NAME [ second SECONDS ]

[パラメータ]

MAP-NAME．．．自動鍵ポリシーマップ名／自動鍵ダイナミックポリシーマップ名

SECONDS．．．lifetimeの残り時間（秒）

• 範囲： 30〜691200

[説明]

IPsec SAを更新するタイミングをポリシー指定で設定します。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec rekey remaining-lifetime policy pol1 second 300

no ipsec rekey remaining-lifetime policy pol1

[ノート]

• IPsec リキー値は設定後に生成された IPsec SA から反映されます。

• 設定値が lifetime の 1/2 より長い場合には lifetime の 1/2 の時間でリキーします。

IPsec Traffic なし Rekey 設定

[入力形式]

ipsec rekey unconditional-rekeying [ policy MAP-NAME ]

no ipsec rekey unconditional-rekeying [ policy MAP-NAME ]

[パラメータ]

MAP-NAME．．．自動鍵ポリシーマップ名／自動鍵ダイナミックポリシーマップ名

[説明]

IPsec SAを使用する通信がない場合でもIPsec SAのRekey動作を行わせるコマンドです。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec rekey unconditional-rekeying

ipsec rekey unconditional-rekeying policy map1

no ipsec rekey unconditional-rekeying

no ipsec rekey unconditional-rekeying policy map1

[ノート]

なし

相手装置側の IPsec ID の設定

[入力形式]

ipsec remote-id MAP-NAME REMOTE-ID

no ipsec remote-id [ MAP-NAME ]

[パラメータ]

MAP-NAME．．．自動鍵ポリシーマップ名／自動鍵ダイナミックポリシーマップ名

REMOTE-ID．．．相手装置側のID設定

• IPv4 アドレス

• IPv4 サブネットアドレス/マスク長(0〜32)

• IPv6 アドレス

• IPv6 サブネットアドレス/プレフィックス長(0〜128)

[説明]

IKEフェーズ2で送信するIDペイロード(相手装置側ID)の内容を設定するコマンドです。

本コマンドを設定しない場合は、アクセスリストにおけるdestの設定条件が相手装置側のIDデータとして使用されます。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec remote-id map1 192.168.0.1

ipsec remote-id map2 192.168.0.0/24

no ipsec remote-id map1

[ノート]

IPv4指定で、マスク長を省略したときは、タイプ1 (ID_IPV4_ADDR) のIDが送信されます。

また、マスク長を指定したときは、タイプ4 (ID_IPV4_ADDR_SUBNET) のIDが送信されます。

IPv6指定で、プレフィックス長を省略したときは、タイプ5 (ID_IPV6_ADDR) のIDが送信されます。

また、プレフィックス長を指定したときは、タイプ6 (ID_IPV6_ADDR_SUBNET) のIDが送信されます。

[IX2000/IX3000シリーズ差分]

• 本コマンドを設定しない場合の条件変更

  未設定時は ipsec autokey-map／ipsec dynamic-map のアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。

SA の自動更新 on/off 設定

[入力形式]

ipsec sa-autorefresh

no ipsec sa-autorefresh

[パラメータ]

なし

[説明]

自動鍵交換により、SAの自動更新を実行するためのコマンドです。

no設定時は、IKE-SA,IPSec-SAともに自動更新を行いません。

[デフォルト値]

自動更新する

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec sa-autorefresh

no ipsec sa-autorefresh

[ノート]

なし

ソースアドレスの設定

[入力形式]

ipsec source-address MAP-NAME { SOURCE-ADDRESS | INTERFACE }

no ipsec source-address [ MAP-NAME ]

[パラメータ]

MAP-NAME ．．． ポリシーマップ名

• 自動鍵ポリシーマップ名

• 自動鍵ダイナミックポリシーマップ名

SOURCE-ADDRESS ．．． ソースアドレス

• IPv4アドレス

• IPv6アドレス

INTERFACE ．．． インタフェース名

[説明]

初期設定では、SAの始点やトンネルカプセル化のソースアドレスはIPsec パケットが送信されるインタフェースのアドレスが自動的に使用されます。

本コマンドを設定することにより、任意なソースアドレス設定が可能になります。

ただし、使用するアドレスは、インタフェースに振られている必要があります。

インタフェース名を指定した場合は、そのインタフェースに振られているアドレスが使用されます。

[デフォルト値]

なし

[実行モード]

インタフェースコンフィグモード

[ユーザー権限]

Administrator

[入力例]

ipsec source-address auto1 GigaEthernet0.0

no ipsec source-address

[ノート]

なし

自動鍵ポリシーマップの表示

[入力形式]

show ipsec autokey-map [ MAP-NAME ]

[パラメータ]

MAP-NAME．．．自動鍵ポリシーマップ名

• 省略時はすべての自動鍵ポリシーマップを表示します。

[説明]

自動鍵ポリシーマップの登録設定を表示するためのコマンドです。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

show ipsec autokey-map

show ipsec autokey-map auto1

[ノート]

なし

自動鍵プロポーザルの表示

[入力形式]

show ipsec autokey-proposal [ PROPOSAL ]

[パラメータ]

PROPOSAL．．．自動鍵プロポーザル名

• 省略時は全自動鍵プロポーザルを表示します。

[説明]

自動鍵プロポーザルの設定を表示するためのコマンドです。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

show ipsec autokey-proposal

show ipsec autokey-proposal prop1

[ノート]

なし

自動鍵ダイナミックポリシーマップの表示

[入力形式]

show ipsec dynamic-map [ MAP-NAME ]

[パラメータ]

MAP-NAME．．．ダイナミックポリシーマップ名

• 省略時は全自動鍵ダイナミックポリシーマップを表示します。

[説明]

自動鍵ダイナミックポリシーマップの登録を表示するためのコマンドです。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

show ipsec dynamic-map

show ipsec dynamic-map dyna1

[ノート]

なし

IPsec ID 情報の表示

[入力形式]

show ipsec identity

[パラメータ]

なし

[説明]

ipsec local-idコマンド, ipsec remote-idコマンドにより設定した IKEフェーズ2で送信するIDペイロードの内容を表示します。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

show ipsec identity

[ノート]

なし

IPsec ポリシー設定の表示

[入力形式]

show ipsec policy [ MODE [ INTERFACE ] ]

[パラメータ]

MODE．．．モードタイプ

• tunnel： トンネルモード

• transport： トランスポートモード

• 指定時は、モードタイプ単位でIPsecポリシーを表示します。

INTERFACE．．．インタフェース名

• パラメータ省略時は全IPsec ポリシーを表示します。

[説明]

IPsecポリシーの設定を表示するためのコマンドです。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

show ipsec policy

show ipsec policy transport

[ノート]

なし

IPsec SA の表示

[入力形式]

show ipsec sa [ MODE [ INTERFACE ] | policy MAP-NAME | brief ]

[パラメータ]

MODE．．．モードタイプ

• tunnel： トンネルモード

• transport： トランスポートモード

INTERFACE．．．インタフェース名

MAP-NAME．．．ポリシーマップ名

brief．．．要点表示

[説明]

生成されたIPsec SAを表示するためのコマンドです。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

show ipsec sa

show ipsec sa transport

[ノート]

なし

SA の自動更新 on/off 設定の表示

[入力形式]

show ipsec sa-autorefresh

[パラメータ]

なし

[説明]

SA自動更新の設定を表示するためのコマンドです。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

show ipsec sa-autorefresh

[ノート]

なし

IPsec 統計情報の表示

[入力形式]

show ipsec statistics [ INTERFACE ]

[パラメータ]

INTERFACE．．．インタフェース名

• 指定時は、指定されたインタフェースの統計情報を表示します。

• パラメータ省略時は全インタフェースの合計した統計情報を表示します。

[説明]

IPsec統計情報を表示するためのコマンドです。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

show ipsec statistics

[ノート]

なし

IPsec SA の削除

[入力形式]

clear ipsec sa [ MODE [ INTERFACE [ MAP-NAME ] ] ]

[パラメータ]

MODE．．．モードタイプ

• tunnel： トンネルモード

• transport： トランスポートモード

INTERFACE．．．インタフェース名

MAP-NAME．．．ポリシーマップ名

• 自動鍵ポリシーマップ

• 自動鍵ダイナミックポリシーマップ

[説明]

生成されているIPsec SAを削除するコマンドです。

ただし、本コマンドで削除できるのはIKEが作成した自動鍵IPsec SAのみです。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator

[入力例]

clear ipsec sa

[ノート]

なし

IPsec 統計カウンタのリセット

[入力形式]

clear ipsec statistics [ INTERFACE ]

[パラメータ]

INTERFACE．．．インタフェース名

• 指定時は、指定されたインタフェースの統計情報を削除します。

• パラメータ省略時は全インタフェースの統計情報を削除します。

[説明]

IPsec統計情報のカウンタをリセットするコマンドです。

[デフォルト値]

なし

[実行モード]

グローバルコンフィグモード

[ユーザー権限]

Administrator/Operator/Monitor

[入力例]

clear ipsec statistics

[ノート]

なし

コマンド変更情報

Ver1.0 コマンド変更情報

• 追加コマンド一覧

  ipsec anti-replay

  ipsec autokey-map

  ipsec autokey-proposal

  ipsec commit-bit

  ipsec dynamic-map

  ipsec interoperability deny-pfs-missmatch

  ipsec local-id

  ipsec policy

  ipsec rekey remaining-lifetime default

  ipsec rekey remaining-lifetime policy

  ipsec rekey unconditional-rekeying

  ipsec remote-id

  ipsec sa-autorefresh

  ipsec source-address

  show ipsec autokey-map

  show ipsec autokey-proposal

  show ipsec dynamic-map

  show ipsec identity

  show ipsec policy

  show ipsec sa

  show ipsec sa-autorefresh

  show ipsec statistics

  clear ipsec sa

  clear ipsec statistics