IPsec
コマンド一覧
コマンド |
コマンドの機能 |
---|---|
ipsec anti-replay |
|
ipsec autokey-map |
|
ipsec autokey-proposal |
|
ipsec commit-bit |
|
ipsec dynamic-map |
|
ipsec interoperability deny-pfs-missmatch |
|
ipsec local-id |
|
ipsec policy |
|
ipsec rekey remaining-lifetime default |
|
ipsec rekey remaining-lifetime policy |
|
ipsec rekey unconditional-rekeying |
|
ipsec remote-id |
|
ipsec sa-autorefresh |
|
ipsec source-address |
|
show ipsec autokey-map |
|
show ipsec autokey-proposal |
|
show ipsec dynamic-map |
|
show ipsec identity |
|
show ipsec policy |
|
show ipsec sa |
|
show ipsec sa-autorefresh |
|
show ipsec statistics |
|
clear ipsec sa |
|
clear ipsec statistics |
Replay 攻撃防御の設定
- [入力形式]
- ipsec anti-replay [ MAP-NAME ]no ipsec anti-replay [ MAP-NAME ]
- [パラメータ]
MAP-NAME...ポリシーマップ名
自動鍵ポリシーマップ名
自動鍵ダイナミックポリシーマップ名
- [説明]
Replay攻撃防御機能を有効/無効にするコマンドです。
- [デフォルト値]
有効
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec anti-replay map1no ipsec anti-replay map1
- [ノート]
なし
自動鍵ポリシーマップの登録
- [入力形式]
- ipsec autokey-map MAP-NAME{ ipv4 | ipv6 }{ peer PEER-ADDRESS | peer-fqdn-ipv4 DOMAIN-NAME | peer-fqdn-ipv6 DOMAIN-NAME }[ pfs { off | 768-bit | 1024-bit | 1536-bit | 2048-bit | 3072-bit } ][ PROPOSAL ]no ipsec autokey-map [ MAP-NAME ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名
範囲: 最大30文字。使用可能文字は、半角英数字、 - (ハイフン) 、 _ (アンダーバー) 。
自動鍵ダイナミックポリシーマップ名との重複はできません。
削除時にこのパラメータが省略された場合はすべての自動鍵ポリシーマップを削除します。
peer...SAを張る相手のアドレスの設定
SA区間のエンドポイントのアドレスを設定します。
PEER-ADDRESS...SAを張る相手のアドレス
IPv4アドレス
IPv6グローバルアドレス
IPv6リンクローカルアドレス%インタフェース名
peer-fqdn-ipv4... SAを張る相手のFQDNの設定(IPv4使用時)
peer-fqdn-ipv6... SAを張る相手のFQDNの設定(IPv6使用時)
DOMAIN-NAME... SAを張る相手のFQDN
pfs... PFS(Perfect Forward Secrecy)の有効/無効設定
off : PFSを保証しません。
768-bit : DH Group 1を用いてPFSを保証します。
1024-bit : DH Group 2を用いてPFSを保証します。
1536-bit : DH Group 5を用いてPFSを保証します。
2048-bit : DH Group 14を用いてPFSを保証します。
3072-bit : DH Group 15を用いてPFSを保証します。
デフォルト値: off
PROPOSAL...自動鍵プロポーザル名
自動鍵プロポーザル名をコンマ(,)で区切って複数入力可
最大登録数 8
プロポーザル指定を省略することも可能。
省略した場合、自動鍵プロポーザルはデフォルト値が設定されます。デフォルト値: - SA提案アルゴリズム esp-aes-256、esp-sha2-512 - ライフタイム 28800秒
- [説明]
- 自動鍵ポリシーマップに、自動鍵プロポーザル、PFS有無を登録するためのコマンドです。利用する自動鍵プロポーザルは、 ipsec autokey-proposalコマンドで事前に作成する必要があります。本コマンドで作成した自動鍵ポリシーマップをIPsecポリシー(ipsec policy) に適用します。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec autokey-map auto1 ipv4 peer 10.1.1.2 prop1ipsec autokey-map auto2 ipv4 peer 10.2.2.2 pfs 1024-bit prop1,prop2,prop3ipsec autokey-map auto3 ipv4 peer-fqdn-ipv4 pfs 768-bit prop4no ipsec autokey-map
- [ノート]
なし
- [IX2000/IX3000シリーズ差分]
パラメータの ACCESSLIST-NAME を削除し、IP種別(ipv4/ipv6の2択)に変更
PFSパラメータに ”3072-bit” を追加
LEVELパラメータ (use/require) を削除
自動鍵プロポーザルの作成
- [入力形式]
- ipsec autokey-proposal PROPOSAL[ ESP-ENCRYPT-ALG ] [ ESP-HASH-ALG ][ lifetime [ time SECONDS | both SECONDS BYTES ] ]no ipsec autokey-proposal [ PROPOSAL ]
- [パラメータ]
PROPOSAL...自動鍵プロポーザル名
範囲: 最大30文字。使用可能文字は、半角英数字、 - (ハイフン)、 _ (アンダーバー)。
削除時に省略された場合は全自動鍵プロポーザルを削除します。
ESP-ENCRYPT-ALG ... ESP暗号アルゴリズム
esp-aes : ESP AES-CBC (128 bits)
esp-aes-192 : ESP AES-CBC (192 bits)
esp-aes-256 : ESP AES-CBC (256 bits)
esp-3des : ESP Triple DES-CBC
esp-null : ESP NULL Algorithm
ESP-HASH-ALG ... ESP認証アルゴリズム
esp-sha : ESP HMAC-SHA1-96
esp-sha2-256 : ESP HMAC-SHA2-256-128
esp-sha2-384 : ESP HMAC-SHA2-384-192
esp-sha2-512 : ESP HMAC-SHA2-512-256
注: アルゴリズムが何も指定されない場合は、ESP AES-CBC (256 bits)、ESP MAC-SHA2-512-256が選択されます。
lifetime...SA有効期間の設定
time... SA有効時間のみ設定
both... SA有効期間を時間とキロバイトで規制する場合の設定
SECONDS...SAが有効である時間
範囲: 300〜691200秒
デフォルト値: 28800
BYTES...SAが有効であるバイト規制
範囲: 1000〜4000000キロバイト
デフォルト値: 1000000
- [説明]
- IPsec自動鍵交換時における自動鍵プロポーザル(アルゴリズム、ライフタイム)を作成するためのコマンドです。本コマンドで作成した自動鍵プロポーザルを自動鍵ポリシーマップ(ipsec autokey-map)または、自動鍵ダイナミックポリシーマップ(ipsec dynamic-map)に登録します。自動鍵交換を実行するには、ike proposal、ike policy コマンドで IKE(Internet Key Exchange Security Protocol)のポリシー設定を同時に行う必要があります。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec autokey-proposal prop1ipsec autokey-proposal prop2 esp-3des esp-sha lifetime time 300ipsec autokey-proposal prop3 esp-sha lifetime both 3600 10000no ipsec autokey-proposal prop2 esp-3des esp-sha lifetime time 300no ipsec autokey-proposal prop2no ipsec autokey-proposal
- [ノート]
なし
- [IX2000/IX3000シリーズ差分]
パラメータ ESP-ENCRYPT-ALG から ”esp-des” を削除
パラメータ ESP-HASH-ALG から ”esp-md5” を削除
パラメータ AH-HASH-ALG を削除
IPsec コミットビットの設定
- [入力形式]
- ipsec commit-bit [ MAP-NAME [ quick-mode ] ]no ipsec commit-bit [ MAP-NAME ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
- [説明]
- IKEフェーズ2でのコミットビット機能を有効にするコマンドです。quick-modeが指定された場合はクイック交換、指定されなかった場合はインフォメーショナル交換を用いて、CONNECTED通知ペイロードが送信されます。本設定はレスポンダにのみ適用されます。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec commit-bit map1ipsec commit-bit map2 quick-modeno ipsec commit-bit map1no ipsec commit-bit map2 quick-mode
- [ノート]
なし
自動鍵ダイナミックポリシーマップの登録
- [入力形式]
- ipsec dynamic-map MAP-NAMEipv4 [ pfs { off | 768-bit | 1024-bit | 1536-bit | 2048-bit | 3072-bit } ][ { ike | ike-binding } IKE-POLICY ][ PROPOSAL ]no ipsec dynamic-map [ MAP-NAME ]
- [パラメータ]
MAP-NAME...ダイナミックポリシーマップ名
範囲: 最大30文字。使用可能文字は、半角英数字、 - (ハイフン)、 _ (アンダーバー)。
自動鍵ポリシーマップ名との重複はできません。
削除時にこのパラメータが省略された場合はすべての登録を削除します。
pfs... PFS(Perfect Forward Secrecy)の有効/無効設定
off : PFSを保証しません。
768-bit : DH Group 1を用いてPFSを保証します。
1024-bit : DH Group 2を用いてPFSを保証します。
1536-bit : DH Group 5を用いてPFSを保証します。
2048-bit : DH Group 14を用いてPFSを保証します。
3072-bit : DH Group 15を用いてPFSを保証します。
デフォルト値: off
ike ... ダイナミックポリシー側からの指定IKEポリシーによるIPsecのRekeyを開始を許可します。
ike-binding ... ダイナミックポリシーのネゴシエーションを指定IKEポリシーに固定します。
IKE-POLICY ... IKEポリシー名
範囲: 最大30文字。使用可能文字は、半角英数字、 - (ハイフン)、 _ (アンダーバー)。
PROPOSAL...自動鍵プロポーザル名
自動鍵プロポーザル名をコンマ(,)で区切って複数入力可。
最大登録数 8
プロポーザル指定を省略することも可能。
省略した場合、自動鍵プロポーザルはデフォルト値が設定されます。デフォルト値:SA提案アルゴリズム esp-aes-256、esp-sha2-512
ライフタイム 28800秒
- [説明]
- 接続相手が不定IPアドレスの場合に自動鍵ポリシーを設定するコマンドです。自動鍵ポリシーマップ(ipsec autokey-map)と同様に、この自動鍵ダイナミックポリシーマップに、自動鍵プロポーザル、PFS有無を登録します。利用する自動鍵プロポーザルは、ipsec autokey-proposalコマンドで事前に作成する必要があります。IKEポリシーを指定した場合、該当IKE SA確立時にIKEフェーズ2を開始可能となります。本コマンドで作成した自動鍵ダイナミックポリシーマップをIPsecポリシー (ipsec policy)に適用します。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec dynamic-map auto1 ipv4 prop1ipsec dynamic-map auto2 ipv4 pfs 1024-bit prop1,prop2,prop3no ipsec dynamic-map auto4 ipv4 pfs off prop4,prop5,prop6no ipsec dynamic-map auto4no ipsec dynamic-map
- [ノート]
なし
- [IX2000/IX3000シリーズ差分]
パラメータの ACCESSLIST-NAME を削除し、IP種別 (ipv4/ipv6の2択) に変更
PFSパラメータに ”3072-bit” を追加
LEVELパラメータ (use/require) を削除
Ph2 ネゴシエーション PFS 不一致拒否
- [入力形式]
- ipsec interoperability deny-pfs-missmatchno ipsec interoperability deny-pfs-missmatch
- [パラメータ]
なし
- [説明]
- IKEフェーズ2でのPFS不一致を検出し、拒否する機能を有効にするコマンドです。本設定はレスポンダにのみ適用されます。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec interoperability deny-pfs-missmatchno ipsec interoperability deny-pfs-missmatch
- [ノート]
なし
自装置側の IPsec ID の設定
- [入力形式]
- ipsec local-id MAP-NAME LOCAL-IDno ipsec local-id [ MAP-NAME ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
LOCAL-ID...自装置側のID設定
IPv4 アドレス
IPv4 サブネットアドレス/マスク長(0〜32)
IPv6 アドレス
IPv6 サブネットアドレス/プレフィックス長(0〜128)
- [説明]
- IKEフェーズ2で送信するIDペイロード(自装置側ID)の内容を設定するコマンドです。本コマンドを設定しない場合は、ipsec autokey-map/ipsec dynamic-mapのアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec local-id map1 192.168.0.1ipsec local-id map2 192.168.0.0/24no ipsec local-id map1
- [ノート]
- IPv4指定で、マスク長を省略したときは、タイプ1(ID_IPV4_ADDR)のIDが送信されます。また、マスク長を指定したときは、タイプ4(ID_IPV4_ADDR_SUBNET)のIDが送信されます。IPv6指定で、プレフィックス長を省略したときは、タイプ5(ID_IPV6_ADDR)のIDが送信されます。また、プレフィックス長を指定したときは、タイプ6(ID_IPV6_ADDR_SUBNET)のIDが送信されます。
- [IX2000/IX3000シリーズ差分]
本コマンドを設定しない場合の条件変更
未設定時は ipsec autokey-map/ipsec dynamic-map のアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。
IPsec ポリシーの設定
- [入力形式]
- ipsec policy MODEMAP-NAME [ mtu ignore ] [ with-id-payload ] [ without-id-payload ] [ pre-fragment ]no ipsec policy [MODE [MAP-NAME]]
- [パラメータ]
MODE...モードタイプ
tunnel : トンネルモード
transport : トランスポートモード
MAP-NAME...ポリシーマップ名
自動鍵ポリシーマップ名
自動鍵ダイナミックポリシーマップ名
mtu ignore... 4-over-4, 6-over-4 トンネル時のDFビットの有無
オリジナルパケットにDFビットがセットされていてもフラグメントを行います。(この場合、トンネルパケットのDFビットは、セットしないでフラグメント送信します)デフォルト値: off
with-id-payload...IKE(鍵交換)フェーズ2 IDを使用
トランスポートモードの場合の鍵交換において、IKEフェーズ2 IDを使用可能にします。
トンネルモードの場合、本設定はありません。
without-id-payload...IKE(鍵交換)フェーズ2 IDを不使用
トンネルモードの場合の鍵交換において、IKEフェーズ2 IDを送信しません。
トランスポートモードの場合、本設定はありません。
pre-fragment...カプセル化/暗号化前フラグメント
トンネル時にフラグメント処理を行わなければならない場合に、カプセル化処理を行う前にフラグメントします。
- [説明]
- 本コマンドにポリシーマップを適用し IPsec を有効にします。適用するポリシーマップは事前に、ipsec autokey-map、ipsec dynamic-map コマンドで登録しておく必要があります。
- [デフォルト値]
なし
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec policy tunnel auto1ipsec policy tunnel auto1 without-id-payloadipsec policy transport auto2no ipsec policy tunnel auto1no ipsec policy tunnelno ipsec policy
- [ノート]
なし
- [IX2000/IX3000シリーズ差分]
トンネルインタフェース以外での設定は不可に変更
DIRECTION パラメータ(in/out)を削除。WAN 側インタフェースへ出てゆくパケットに対して IPsec を適用されます。
“df-bit” パラメータを ”mtu” パラメータに変更し、選択肢を ignore のみとします。
※従来の df-bit ignore 設定と異なり IPv6 パケットもフラグメント対象となります。
IPsec SA のリキー値 (グローバル) 設定
- [入力形式]
- ipsec rekey remaining-lifetime default second SECONDSno ipsec rekey remaining-lifetime default [ second SECONDS ]
- [パラメータ]
SECONDS...lifetimeの残り時間(秒)
範囲: 30〜691200
- [説明]
IPsec SAを更新するタイミングをグローバルに設定します。
- [デフォルト値]
60秒
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec rekey remaining-lifetime default second 300no ipsec rekey remaining-lifetime default
- [ノート]
- IPsec SA リキー値は設定後に生成された IPsec SA から反映されます。IPsec SA リキー値がポリシー指定で設定 (ipsec rekey remaining-lifetime policy) された場合は、そちらが優先されます。設定値が lifetime の 1/2 より長い場合には lifetime の 1/2 の時間でリキーします。
IPsec SA のリキー値 (ポリシー) 設定
- [入力形式]
- ipsec rekey remaining-lifetime policy MAP-NAME second SECONDSno ipsec rekey remaining-lifetime policy MAP-NAME [ second SECONDS ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
SECONDS...lifetimeの残り時間(秒)
範囲: 30〜691200
- [説明]
IPsec SAを更新するタイミングをポリシー指定で設定します。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec rekey remaining-lifetime policy pol1 second 300no ipsec rekey remaining-lifetime policy pol1
- [ノート]
IPsec リキー値は設定後に生成された IPsec SA から反映されます。
設定値が lifetime の 1/2 より長い場合には lifetime の 1/2 の時間でリキーします。
IPsec Traffic なし Rekey 設定
- [入力形式]
- ipsec rekey unconditional-rekeying [ policy MAP-NAME ]no ipsec rekey unconditional-rekeying [ policy MAP-NAME ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
- [説明]
IPsec SAを使用する通信がない場合でもIPsec SAのRekey動作を行わせるコマンドです。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec rekey unconditional-rekeyingipsec rekey unconditional-rekeying policy map1no ipsec rekey unconditional-rekeyingno ipsec rekey unconditional-rekeying policy map1
- [ノート]
なし
相手装置側の IPsec ID の設定
- [入力形式]
- ipsec remote-id MAP-NAME REMOTE-IDno ipsec remote-id [ MAP-NAME ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
REMOTE-ID...相手装置側のID設定
IPv4 アドレス
IPv4 サブネットアドレス/マスク長(0〜32)
IPv6 アドレス
IPv6 サブネットアドレス/プレフィックス長(0〜128)
- [説明]
- IKEフェーズ2で送信するIDペイロード(相手装置側ID)の内容を設定するコマンドです。本コマンドを設定しない場合は、アクセスリストにおけるdestの設定条件が相手装置側のIDデータとして使用されます。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec remote-id map1 192.168.0.1ipsec remote-id map2 192.168.0.0/24no ipsec remote-id map1
- [ノート]
- IPv4指定で、マスク長を省略したときは、タイプ1 (ID_IPV4_ADDR) のIDが送信されます。また、マスク長を指定したときは、タイプ4 (ID_IPV4_ADDR_SUBNET) のIDが送信されます。IPv6指定で、プレフィックス長を省略したときは、タイプ5 (ID_IPV6_ADDR) のIDが送信されます。また、プレフィックス長を指定したときは、タイプ6 (ID_IPV6_ADDR_SUBNET) のIDが送信されます。
- [IX2000/IX3000シリーズ差分]
本コマンドを設定しない場合の条件変更
未設定時は ipsec autokey-map/ipsec dynamic-map のアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。
SA の自動更新 on/off 設定
- [入力形式]
- ipsec sa-autorefreshno ipsec sa-autorefresh
- [パラメータ]
なし
- [説明]
- 自動鍵交換により、SAの自動更新を実行するためのコマンドです。no設定時は、IKE-SA,IPSec-SAともに自動更新を行いません。
- [デフォルト値]
自動更新する
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec sa-autorefreshno ipsec sa-autorefresh
- [ノート]
なし
ソースアドレスの設定
- [入力形式]
- ipsec source-address MAP-NAME { SOURCE-ADDRESS | INTERFACE }no ipsec source-address [ MAP-NAME ]
- [パラメータ]
MAP-NAME ... ポリシーマップ名
自動鍵ポリシーマップ名
自動鍵ダイナミックポリシーマップ名
SOURCE-ADDRESS ... ソースアドレス
IPv4アドレス
IPv6アドレス
INTERFACE ... インタフェース名
- [説明]
- 初期設定では、SAの始点やトンネルカプセル化のソースアドレスはIPsec パケットが送信されるインタフェースのアドレスが自動的に使用されます。本コマンドを設定することにより、任意なソースアドレス設定が可能になります。ただし、使用するアドレスは、インタフェースに振られている必要があります。インタフェース名を指定した場合は、そのインタフェースに振られているアドレスが使用されます。
- [デフォルト値]
なし
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- ipsec source-address auto1 GigaEthernet0.0no ipsec source-address
- [ノート]
なし
自動鍵ポリシーマップの表示
- [入力形式]
show ipsec autokey-map [ MAP-NAME ]
- [パラメータ]
MAP-NAME...自動鍵ポリシーマップ名
省略時はすべての自動鍵ポリシーマップを表示します。
- [説明]
自動鍵ポリシーマップの登録設定を表示するためのコマンドです。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
- show ipsec autokey-mapshow ipsec autokey-map auto1
- [ノート]
なし
自動鍵プロポーザルの表示
- [入力形式]
show ipsec autokey-proposal [ PROPOSAL ]
- [パラメータ]
PROPOSAL...自動鍵プロポーザル名
省略時は全自動鍵プロポーザルを表示します。
- [説明]
自動鍵プロポーザルの設定を表示するためのコマンドです。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
- show ipsec autokey-proposalshow ipsec autokey-proposal prop1
- [ノート]
なし
自動鍵ダイナミックポリシーマップの表示
- [入力形式]
show ipsec dynamic-map [ MAP-NAME ]
- [パラメータ]
MAP-NAME...ダイナミックポリシーマップ名
省略時は全自動鍵ダイナミックポリシーマップを表示します。
- [説明]
自動鍵ダイナミックポリシーマップの登録を表示するためのコマンドです。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
- show ipsec dynamic-mapshow ipsec dynamic-map dyna1
- [ノート]
なし
IPsec ID 情報の表示
- [入力形式]
show ipsec identity
- [パラメータ]
なし
- [説明]
ipsec local-idコマンド, ipsec remote-idコマンドにより設定した IKEフェーズ2で送信するIDペイロードの内容を表示します。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
show ipsec identity
- [ノート]
なし
IPsec ポリシー設定の表示
- [入力形式]
show ipsec policy [ MODE [ INTERFACE ] ]
- [パラメータ]
MODE...モードタイプ
tunnel: トンネルモード
transport: トランスポートモード
指定時は、モードタイプ単位でIPsecポリシーを表示します。
INTERFACE...インタフェース名
パラメータ省略時は全IPsec ポリシーを表示します。
- [説明]
IPsecポリシーの設定を表示するためのコマンドです。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
- show ipsec policyshow ipsec policy transport
- [ノート]
なし
IPsec SA の表示
- [入力形式]
show ipsec sa [ MODE [ INTERFACE ] | policy MAP-NAME | brief ]
- [パラメータ]
MODE...モードタイプ
tunnel: トンネルモード
transport: トランスポートモード
INTERFACE...インタフェース名
MAP-NAME...ポリシーマップ名
brief...要点表示
- [説明]
生成されたIPsec SAを表示するためのコマンドです。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
- show ipsec sashow ipsec sa transport
- [ノート]
なし
SA の自動更新 on/off 設定の表示
- [入力形式]
show ipsec sa-autorefresh
- [パラメータ]
なし
- [説明]
SA自動更新の設定を表示するためのコマンドです。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
show ipsec sa-autorefresh
- [ノート]
なし
IPsec 統計情報の表示
- [入力形式]
show ipsec statistics [ INTERFACE ]
- [パラメータ]
INTERFACE...インタフェース名
指定時は、指定されたインタフェースの統計情報を表示します。
パラメータ省略時は全インタフェースの合計した統計情報を表示します。
- [説明]
IPsec統計情報を表示するためのコマンドです。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
show ipsec statistics
- [ノート]
なし
IPsec SA の削除
- [入力形式]
clear ipsec sa [ MODE [ INTERFACE [ MAP-NAME ] ] ]
- [パラメータ]
MODE...モードタイプ
tunnel: トンネルモード
transport: トランスポートモード
INTERFACE...インタフェース名
MAP-NAME...ポリシーマップ名
自動鍵ポリシーマップ
自動鍵ダイナミックポリシーマップ
- [説明]
- 生成されているIPsec SAを削除するコマンドです。ただし、本コマンドで削除できるのはIKEが作成した自動鍵IPsec SAのみです。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
clear ipsec sa
- [ノート]
なし
IPsec 統計カウンタのリセット
- [入力形式]
clear ipsec statistics [ INTERFACE ]
- [パラメータ]
INTERFACE...インタフェース名
指定時は、指定されたインタフェースの統計情報を削除します。
パラメータ省略時は全インタフェースの統計情報を削除します。
- [説明]
IPsec統計情報のカウンタをリセットするコマンドです。
- [デフォルト値]
なし
- [実行モード]
グローバルコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
clear ipsec statistics
- [ノート]
なし
コマンド変更情報
Ver1.0 コマンド変更情報
追加コマンド一覧