IPsec

コマンド一覧

コマンド コマンドの機能
ipsec anti-replay Replay 攻撃防御の設定
ipsec autokey-map 自動鍵ポリシーマップの登録
ipsec autokey-proposal 自動鍵プロポーザルの作成
ipsec commit-bit IPsec コミットビットの設定
ipsec dynamic-map 自動鍵ダイナミックポリシーマップの登録
ipsec interoperability deny-pfs-missmatch Ph2 ネゴシエーション PFS 不一致拒否
ipsec local-id 自装置側の IPsec ID の設定
ipsec policy IPsec ポリシーの設定
ipsec rekey remaining-lifetime default IPsec SA のリキー値 (グローバル) 設定
ipsec rekey remaining-lifetime policy IPsec SA のリキー値 (ポリシー) 設定
ipsec rekey unconditional-rekeying IPsec Traffic なし Rekey 設定
ipsec remote-id 相手装置側の IPsec ID の設定
ipsec sa-autorefresh SA の自動更新 on/off 設定
ipsec source-address ソースアドレスの設定
show ipsec autokey-map 自動鍵ポリシーマップの表示
show ipsec autokey-proposal 自動鍵プロポーザルの表示
show ipsec dynamic-map 自動鍵ダイナミックポリシーマップの表示
show ipsec identity IPsec ID 情報の表示
show ipsec policy IPsec ポリシー設定の表示
show ipsec sa IPsec SA の表示
show ipsec sa-autorefresh SA の自動更新 on/off 設定の表示
show ipsec statistics IPsec 統計情報の表示
clear ipsec sa IPsec SA の削除
clear ipsec statistics IPsec 統計カウンタのリセット

Replay 攻撃防御の設定

[入力形式]
ipsec anti-replay [ MAP-NAME ]
no ipsec anti-replay [ MAP-NAME ]
[パラメータ]

MAP-NAME...ポリシーマップ名

  • 自動鍵ポリシーマップ名
  • 自動鍵ダイナミックポリシーマップ名
[説明]
Replay攻撃防御機能を有効/無効にするコマンドです。
[デフォルト値]
有効
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec anti-replay map1
no ipsec anti-replay map1
[ノート]
なし

自動鍵ポリシーマップの登録

[入力形式]
ipsec autokey-map MAP-NAME
{ ipv4 | ipv6 }
{ peer PEER-ADDRESS | peer-fqdn-ipv4 DOMAIN-NAME | peer-fqdn-ipv6 DOMAIN-NAME }
[ pfs { off | 768-bit | 1024-bit | 1536-bit | 2048-bit | 3072-bit } ]
[ PROPOSAL ]
no ipsec autokey-map [ MAP-NAME ]
[パラメータ]

MAP-NAME...自動鍵ポリシーマップ名

  • 30文字以内の文字列
  • 使用可能文字:半角英数字、 - (ハイフン)、 _ (アンダーバー)
  • 自動鍵ダイナミックポリシーマップ名との重複はできません。
  • 削除時にこのパラメータが省略された場合はすべての自動鍵ポリシーマップを削除します。

peer...SAを張る相手のアドレスの設定

  • SA区間のエンドポイントのアドレスを設定します。

PEER-ADDRESS...SAを張る相手のアドレス

  • IPv4アドレス
  • IPv6グローバルアドレス
  • IPv6リンクローカルアドレス%インタフェース名

peer-fqdn-ipv4... SAを張る相手のFQDNの設定(IPv4使用時)

peer-fqdn-ipv6... SAを張る相手のFQDNの設定(IPv6使用時)

DOMAIN-NAME... SAを張る相手のFQDN

pfs... PFS(Perfect Forward Secrecy)の有効/無効設定

  • off : PFSを保証しません。
  • 768-bit : DH Group 1を用いてPFSを保証します。
  • 1024-bit : DH Group 2を用いてPFSを保証します。
  • 1536-bit : DH Group 5を用いてPFSを保証します。
  • 2048-bit : DH Group 14を用いてPFSを保証します。
  • 3072-bit : DH Group 15を用いてPFSを保証します。
  • デフォルト値: off

PROPOSAL...自動鍵プロポーザル名

  • 自動鍵プロポーザル名をコンマ(,)で区切って複数入力可

  • 最大登録数 8

  • プロポーザル指定を省略することも可能。

    省略した場合、自動鍵プロポーザルはデフォルト値が設定されます。
    デフォルト値: - SA提案アルゴリズム esp-aes-256、esp-sha2-512 - ライフタイム 28800秒
[説明]
自動鍵ポリシーマップに、自動鍵プロポーザル、PFS有無を登録するためのコマンドです。
利用する自動鍵プロポーザルは、 ipsec autokey-proposalコマンドで事前に作成する必要があります。
本コマンドで作成した自動鍵ポリシーマップをIPsecポリシー(ipsec policy) に適用します。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec autokey-map auto1 ipv4 peer 10.1.1.2 prop1
ipsec autokey-map auto2 ipv4 peer 10.2.2.2 pfs 1024-bit prop1,prop2,prop3
ipsec autokey-map auto3 ipv4 peer-fqdn-ipv4 pfs 768-bit prop4
no ipsec autokey-map
[ノート]
なし
[IX2000/IX3000シリーズ差分]
  • パラメータの ACCESSLIST-NAME を削除し、IP種別(ipv4/ipv6の2択)に変更
  • PFSパラメータに ”3072-bit” を追加
  • LEVELパラメータ (use/require) を削除

自動鍵プロポーザルの作成

[入力形式]
ipsec autokey-proposal PROPOSAL
[ ESP-ENCRYPT-ALG ] [ ESP-HASH-ALG ]
[ lifetime [ time SECONDS | both SECONDS BYTES ] ]
no ipsec autokey-proposal [ PROPOSAL ]
[パラメータ]

PROPOSAL...自動鍵プロポーザル名

  • 30文字以内の文字列
  • 使用可能文字:半角英数字、 - (ハイフン)、 _ (アンダーバー)
  • 削除時に省略された場合は全自動鍵プロポーザルを削除します。

ESP-ENCRYPT-ALG ... ESP暗号アルゴリズム

  • esp-aes : ESP AES-CBC (128 bits)
  • esp-aes-192 : ESP AES-CBC (192 bits)
  • esp-aes-256 : ESP AES-CBC (256 bits)
  • esp-3des : ESP Triple DES-CBC
  • esp-null : ESP NULL Algorithm

ESP-HASH-ALG ... ESP認証アルゴリズム

  • esp-sha : ESP HMAC-SHA1-96
  • esp-sha2-256 : ESP HMAC-SHA2-256-128
  • esp-sha2-384 : ESP HMAC-SHA2-384-192
  • esp-sha2-512 : ESP HMAC-SHA2-512-256

注: アルゴリズムが何も指定されない場合は、ESP AES-CBC (256 bits)、ESP MAC-SHA2-512-256が選択されます。

lifetime...SA有効期間の設定

time... SA有効時間のみ設定

both... SA有効期間を時間とキロバイトで規制する場合の設定

SECONDS...SAが有効である時間(秒)

  • 範囲: 300〜691200
  • デフォルト値: 28800

BYTES...SAが有効であるバイト規制(キロバイト)

  • 範囲: 1000〜4000000
  • デフォルト値: 1000000
[説明]
IPsec自動鍵交換時における自動鍵プロポーザル(アルゴリズム、ライフタイム)を作成するためのコマンドです。
本コマンドで作成した自動鍵プロポーザルを自動鍵ポリシーマップ(ipsec autokey-map)または、自動鍵ダイナミックポリシーマップ(ipsec dynamic-map)に登録します。
自動鍵交換を実行するには、ike proposal、ike policy コマンドで IKE(Internet Key Exchange Security Protocol)のポリシー設定を同時に行う必要があります。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec autokey-proposal prop1
ipsec autokey-proposal prop2 esp-3des esp-sha lifetime time 300
ipsec autokey-proposal prop3 esp-sha lifetime both 3600 10000
no ipsec autokey-proposal prop2 esp-3des esp-sha lifetime time 300
no ipsec autokey-proposal prop2
no ipsec autokey-proposal
[ノート]
IX-V100ではNULL Algorithmは未対応です。
[IX2000/IX3000シリーズ差分]
  • パラメータ ESP-ENCRYPT-ALG から ”esp-des” を削除
  • パラメータ ESP-HASH-ALG から ”esp-md5” を削除
  • パラメータ AH-HASH-ALG を削除

IPsec コミットビットの設定

[入力形式]
ipsec commit-bit [ MAP-NAME [ quick-mode ] ]
no ipsec commit-bit [ MAP-NAME ]
[パラメータ]
MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
[説明]
IKEフェーズ2でのコミットビット機能を有効にするコマンドです。
quick-modeが指定された場合はクイック交換、指定されなかった場合はインフォメーショナル交換を用いて、CONNECTED通知ペイロードが送信されます。
本設定はレスポンダにのみ適用されます。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec commit-bit map1
ipsec commit-bit map2 quick-mode
no ipsec commit-bit map1
no ipsec commit-bit map2 quick-mode
[ノート]
なし

自動鍵ダイナミックポリシーマップの登録

[入力形式]
ipsec dynamic-map MAP-NAME
ipv4 [ pfs { off | 768-bit | 1024-bit | 1536-bit | 2048-bit | 3072-bit } ]
[ { ike | ike-binding } IKE-POLICY ]
[ PROPOSAL ]
no ipsec dynamic-map [ MAP-NAME ]
[パラメータ]

MAP-NAME...ダイナミックポリシーマップ名

  • 30文字以内の文字列
  • 使用可能文字:半角英数字、 - (ハイフン)、 _ (アンダーバー)
  • 自動鍵ポリシーマップ名との重複はできません。
  • 削除時にこのパラメータが省略された場合はすべての登録を削除します。

pfs... PFS(Perfect Forward Secrecy)の有効/無効設定

  • off : PFSを保証しません。
  • 768-bit : DH Group 1を用いてPFSを保証します。
  • 1024-bit : DH Group 2を用いてPFSを保証します。
  • 1536-bit : DH Group 5を用いてPFSを保証します。
  • 2048-bit : DH Group 14を用いてPFSを保証します。
  • 3072-bit : DH Group 15を用いてPFSを保証します。
  • デフォルト値: off

ike ... ダイナミックポリシー側からの指定IKEポリシーによるIPsecのRekeyを開始を許可します。

ike-binding ... ダイナミックポリシーのネゴシエーションを指定IKEポリシーに固定します。

IKE-POLICY ... IKEポリシー名

  • 30文字以内の文字列
  • 使用可能文字:半角英数字、 - (ハイフン)、 _ (アンダーバー)

PROPOSAL...自動鍵プロポーザル名

  • 自動鍵プロポーザル名をコンマ(,)で区切って複数入力可。

  • 最大登録数 8

  • プロポーザル指定を省略することも可能。

    省略した場合、自動鍵プロポーザルはデフォルト値が設定されます。
    デフォルト値:
    • SA提案アルゴリズム esp-aes-256、esp-sha2-512
    • ライフタイム 28800秒
[説明]
接続相手が不定IPアドレスの場合に自動鍵ポリシーを設定するコマンドです。
自動鍵ポリシーマップ(ipsec autokey-map)と同様に、この自動鍵ダイナミックポリシーマップに、自動鍵プロポーザル、PFS有無を登録します。
利用する自動鍵プロポーザルは、ipsec autokey-proposalコマンドで事前に作成する必要があります。
IKEポリシーを指定した場合、該当IKE SA確立時にIKEフェーズ2を開始可能となります。
本コマンドで作成した自動鍵ダイナミックポリシーマップをIPsecポリシー (ipsec policy)に適用します。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec dynamic-map auto1 ipv4 prop1
ipsec dynamic-map auto2 ipv4 pfs 1024-bit prop1,prop2,prop3
no ipsec dynamic-map auto4 ipv4 pfs off prop4,prop5,prop6
no ipsec dynamic-map auto4
no ipsec dynamic-map
[ノート]
なし
[IX2000/IX3000シリーズ差分]
  • パラメータの ACCESSLIST-NAME を削除し、IP種別 (ipv4/ipv6の2択) に変更
  • PFSパラメータに ”3072-bit” を追加
  • LEVELパラメータ (use/require) を削除

Ph2 ネゴシエーション PFS 不一致拒否

[入力形式]
ipsec interoperability deny-pfs-missmatch
no ipsec interoperability deny-pfs-missmatch
[パラメータ]
なし
[説明]
IKEフェーズ2でのPFS不一致を検出し、拒否する機能を有効にするコマンドです。
本設定はレスポンダにのみ適用されます。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec interoperability deny-pfs-missmatch
no ipsec interoperability deny-pfs-missmatch
[ノート]
なし

自装置側の IPsec ID の設定

[入力形式]
ipsec local-id MAP-NAME LOCAL-ID
no ipsec local-id [ MAP-NAME ]
[パラメータ]

MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名

LOCAL-ID...自装置側のID設定

  • IPv4 アドレス
  • IPv4 サブネットアドレス/マスク長(0〜32)
  • IPv6 アドレス
  • IPv6 サブネットアドレス/プレフィックス長(0〜128)
[説明]
IKEフェーズ2で送信するIDペイロード(自装置側ID)の内容を設定するコマンドです。
本コマンドを設定しない場合は、ipsec autokey-map/ipsec dynamic-mapのアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec local-id map1 192.168.0.1
ipsec local-id map2 192.168.0.0/24
no ipsec local-id map1
[ノート]
IPv4指定で、マスク長を省略したときは、タイプ1(ID_IPV4_ADDR)のIDが送信されます。
また、マスク長を指定したときは、タイプ4(ID_IPV4_ADDR_SUBNET)のIDが送信されます。
IPv6指定で、プレフィックス長を省略したときは、タイプ5(ID_IPV6_ADDR)のIDが送信されます。
また、プレフィックス長を指定したときは、タイプ6(ID_IPV6_ADDR_SUBNET)のIDが送信されます。
[IX2000/IX3000シリーズ差分]
  • 本コマンドを設定しない場合の条件変更

    未設定時は ipsec autokey-map/ipsec dynamic-map のアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。

IPsec ポリシーの設定

[入力形式]
ipsec policy MODE
MAP-NAME [ mtu ignore ] [ with-id-payload ] [ without-id-payload ] [ pre-fragment ]
no ipsec policy [MODE [MAP-NAME]]
[パラメータ]

MODE...モードタイプ

  • tunnel : トンネルモード
  • transport : トランスポートモード

MAP-NAME...ポリシーマップ名

  • 自動鍵ポリシーマップ名
  • 自動鍵ダイナミックポリシーマップ名

mtu ignore... 4-over-4, 6-over-4 トンネル時のDFビットの有無

オリジナルパケットにDFビットがセットされていてもフラグメントを行います。
(この場合、トンネルパケットのDFビットは、セットしないでフラグメント送信します)
  • デフォルト値: off

with-id-payload...IKE(鍵交換)フェーズ2 IDを使用

  • トランスポートモードの場合の鍵交換において、IKEフェーズ2 IDを使用可能にします。
  • トンネルモードの場合、本設定はありません。

without-id-payload...IKE(鍵交換)フェーズ2 IDを不使用

  • トンネルモードの場合の鍵交換において、IKEフェーズ2 IDを送信しません。
  • トランスポートモードの場合、本設定はありません。

pre-fragment...カプセル化/暗号化前フラグメント

  • トンネル時にフラグメント処理を行わなければならない場合に、カプセル化処理を行う前にフラグメントします。
[説明]
本コマンドにポリシーマップを適用し IPsec を有効にします。
適用するポリシーマップは事前に、ipsec autokey-map、ipsec dynamic-map コマンドで登録しておく必要があります。
[デフォルト値]
なし
[実行モード]
インタフェースコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec policy tunnel auto1
ipsec policy tunnel auto1 without-id-payload
ipsec policy transport auto2
no ipsec policy tunnel auto1
no ipsec policy tunnel
no ipsec policy
[ノート]
なし
[IX2000/IX3000シリーズ差分]
  • トンネルインタフェース以外での設定は不可に変更
  • DIRECTION パラメータ(in/out)を削除。WAN 側インタフェースへ出てゆくパケットに対して IPsec を適用されます。
  • “df-bit” パラメータを ”mtu” パラメータに変更し、選択肢を ignore のみとします。
  • ※従来の df-bit ignore 設定と異なり IPv6 パケットもフラグメント対象となります。

IPsec SA のリキー値 (グローバル) 設定

[入力形式]
ipsec rekey remaining-lifetime default second SECONDS
no ipsec rekey remaining-lifetime default [ second SECONDS ]
[パラメータ]

SECONDS...lifetimeの残り時間(秒)

  • 範囲: 30〜691200
[説明]
IPsec SAを更新するタイミングをグローバルに設定します。
[デフォルト値]
60秒
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec rekey remaining-lifetime default second 300
no ipsec rekey remaining-lifetime default
[ノート]
IPsec SA リキー値は設定後に生成された IPsec SA から反映されます。
IPsec SA リキー値がポリシー指定で設定 (ipsec rekey remaining-lifetime policy) された場合は、そちらが優先されます。
設定値が lifetime の 1/2 より長い場合には lifetime の 1/2 の時間でリキーします。

IPsec SA のリキー値 (ポリシー) 設定

[入力形式]
ipsec rekey remaining-lifetime policy MAP-NAME second SECONDS
no ipsec rekey remaining-lifetime policy MAP-NAME [ second SECONDS ]
[パラメータ]

MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名

SECONDS...lifetimeの残り時間(秒)

  • 範囲: 30〜691200
[説明]
IPsec SAを更新するタイミングをポリシー指定で設定します。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec rekey remaining-lifetime policy pol1 second 300
no ipsec rekey remaining-lifetime policy pol1
[ノート]
  • IPsec リキー値は設定後に生成された IPsec SA から反映されます。
  • 設定値が lifetime の 1/2 より長い場合には lifetime の 1/2 の時間でリキーします。

IPsec Traffic なし Rekey 設定

[入力形式]
ipsec rekey unconditional-rekeying [ policy MAP-NAME ]
no ipsec rekey unconditional-rekeying [ policy MAP-NAME ]
[パラメータ]
MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名
[説明]
IPsec SAを使用する通信がない場合でもIPsec SAのRekey動作を行わせるコマンドです。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec rekey unconditional-rekeying
ipsec rekey unconditional-rekeying policy map1
no ipsec rekey unconditional-rekeying
no ipsec rekey unconditional-rekeying policy map1
[ノート]
なし

相手装置側の IPsec ID の設定

[入力形式]
ipsec remote-id MAP-NAME REMOTE-ID
no ipsec remote-id [ MAP-NAME ]
[パラメータ]

MAP-NAME...自動鍵ポリシーマップ名/自動鍵ダイナミックポリシーマップ名

REMOTE-ID...相手装置側のID設定

  • IPv4 アドレス
  • IPv4 サブネットアドレス/マスク長(0〜32)
  • IPv6 アドレス
  • IPv6 サブネットアドレス/プレフィックス長(0〜128)
[説明]
IKEフェーズ2で送信するIDペイロード(相手装置側ID)の内容を設定するコマンドです。
本コマンドを設定しない場合は、アクセスリストにおけるdestの設定条件が相手装置側のIDデータとして使用されます。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec remote-id map1 192.168.0.1
ipsec remote-id map2 192.168.0.0/24
no ipsec remote-id map1
[ノート]
IPv4指定で、マスク長を省略したときは、タイプ1 (ID_IPV4_ADDR) のIDが送信されます。
また、マスク長を指定したときは、タイプ4 (ID_IPV4_ADDR_SUBNET) のIDが送信されます。
IPv6指定で、プレフィックス長を省略したときは、タイプ5 (ID_IPV6_ADDR) のIDが送信されます。
また、プレフィックス長を指定したときは、タイプ6 (ID_IPV6_ADDR_SUBNET) のIDが送信されます。
[IX2000/IX3000シリーズ差分]
  • 本コマンドを設定しない場合の条件変更

    未設定時は ipsec autokey-map/ipsec dynamic-map のアドレスファミリ設定により、ipv4の場合「0.0.0.0/0」、IPv6の場合「0::0/0」となります。

SA の自動更新 on/off 設定

[入力形式]
ipsec sa-autorefresh
no ipsec sa-autorefresh
[パラメータ]
なし
[説明]
自動鍵交換により、SAの自動更新を実行するためのコマンドです。
no設定時は、IKE-SA,IPSec-SAともに自動更新を行いません。
[デフォルト値]
自動更新する
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec sa-autorefresh
no ipsec sa-autorefresh
[ノート]
なし

ソースアドレスの設定

[入力形式]
ipsec source-address MAP-NAME { SOURCE-ADDRESS | INTERFACE }
no ipsec source-address [ MAP-NAME ]
[パラメータ]

MAP-NAME ... ポリシーマップ名

  • 自動鍵ポリシーマップ名
  • 自動鍵ダイナミックポリシーマップ名

SOURCE-ADDRESS ... ソースアドレス

  • IPv4アドレス
  • IPv6アドレス

INTERFACE ... インタフェース名

[説明]
初期設定では、SAの始点やトンネルカプセル化のソースアドレスはIPsec パケットが送信されるインタフェースのアドレスが自動的に使用されます。
本コマンドを設定することにより、任意なソースアドレス設定が可能になります。
ただし、使用するアドレスは、インタフェースに振られている必要があります。
インタフェース名を指定した場合は、そのインタフェースに振られているアドレスが使用されます。
[デフォルト値]
なし
[実行モード]
インタフェースコンフィグモード
[ユーザー権限]
Administrator
[入力例]
ipsec source-address auto1 GigaEthernet0.0
no ipsec source-address
[ノート]
なし

自動鍵ポリシーマップの表示

[入力形式]
show ipsec autokey-map [ MAP-NAME ]
[パラメータ]

MAP-NAME...自動鍵ポリシーマップ名

  • 省略時はすべての自動鍵ポリシーマップを表示します。
[説明]
自動鍵ポリシーマップの登録設定を表示するためのコマンドです。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator/Operator/Monitor
[入力例]
show ipsec autokey-map
show ipsec autokey-map auto1
[ノート]
なし

自動鍵プロポーザルの表示

[入力形式]
show ipsec autokey-proposal [ PROPOSAL ]
[パラメータ]

PROPOSAL...自動鍵プロポーザル名

  • 省略時は全自動鍵プロポーザルを表示します。
[説明]
自動鍵プロポーザルの設定を表示するためのコマンドです。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator/Operator/Monitor
[入力例]
show ipsec autokey-proposal
show ipsec autokey-proposal prop1
[ノート]
なし

自動鍵ダイナミックポリシーマップの表示

[入力形式]
show ipsec dynamic-map [ MAP-NAME ]
[パラメータ]

MAP-NAME...ダイナミックポリシーマップ名

  • 省略時は全自動鍵ダイナミックポリシーマップを表示します。
[説明]
自動鍵ダイナミックポリシーマップの登録を表示するためのコマンドです。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator/Operator/Monitor
[入力例]
show ipsec dynamic-map
show ipsec dynamic-map dyna1
[ノート]
なし

IPsec ID 情報の表示

[入力形式]
show ipsec identity
[パラメータ]
なし
[説明]
ipsec local-idコマンド, ipsec remote-idコマンドにより設定した IKEフェーズ2で送信するIDペイロードの内容を表示します。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator/Operator/Monitor
[入力例]
show ipsec identity
[ノート]
なし

IPsec ポリシー設定の表示

[入力形式]
show ipsec policy [ MODE [ INTERFACE ] ]
[パラメータ]

MODE...モードタイプ

  • tunnel: トンネルモード
  • transport: トランスポートモード
  • 指定時は、モードタイプ単位でIPsecポリシーを表示します。

INTERFACE...インタフェース名

  • パラメータ省略時は全IPsec ポリシーを表示します。
[説明]
IPsecポリシーの設定を表示するためのコマンドです。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator/Operator/Monitor
[入力例]
show ipsec policy
show ipsec policy transport
[ノート]
なし

IPsec SA の表示

[入力形式]
show ipsec sa [ MODE [ INTERFACE ] | policy MAP-NAME | brief ]
[パラメータ]

MODE...モードタイプ

  • tunnel: トンネルモード
  • transport: トランスポートモード

INTERFACE...インタフェース名

MAP-NAME...ポリシーマップ名

brief...要点表示

[説明]
生成されたIPsec SAを表示するためのコマンドです。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator/Operator/Monitor
[入力例]
show ipsec sa
show ipsec sa transport
[ノート]
なし

SA の自動更新 on/off 設定の表示

[入力形式]
show ipsec sa-autorefresh
[パラメータ]
なし
[説明]
SA自動更新の設定を表示するためのコマンドです。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator/Operator/Monitor
[入力例]
show ipsec sa-autorefresh
[ノート]
なし

IPsec 統計情報の表示

[入力形式]
show ipsec statistics [ INTERFACE ]
[パラメータ]

INTERFACE...インタフェース名

  • 指定時は、指定されたインタフェースの統計情報を表示します。
  • パラメータ省略時は全インタフェースの合計した統計情報を表示します。
[説明]
IPsec統計情報を表示するためのコマンドです。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator/Operator/Monitor
[入力例]
show ipsec statistics
[ノート]
なし

IPsec SA の削除

[入力形式]
clear ipsec sa [ MODE [ INTERFACE [ MAP-NAME ] ] ]
[パラメータ]

MODE...モードタイプ

  • tunnel: トンネルモード
  • transport: トランスポートモード

INTERFACE...インタフェース名

MAP-NAME...ポリシーマップ名

  • 自動鍵ポリシーマップ
  • 自動鍵ダイナミックポリシーマップ
[説明]
生成されているIPsec SAを削除するコマンドです。
ただし、本コマンドで削除できるのはIKEが作成した自動鍵IPsec SAのみです。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator
[入力例]
clear ipsec sa
[ノート]
なし

IPsec 統計カウンタのリセット

[入力形式]
clear ipsec statistics [ INTERFACE ]
[パラメータ]

INTERFACE...インタフェース名

  • 指定時は、指定されたインタフェースの統計情報を削除します。
  • パラメータ省略時は全インタフェースの統計情報を削除します。
[説明]
IPsec統計情報のカウンタをリセットするコマンドです。
[デフォルト値]
なし
[実行モード]
グローバルコンフィグモード
[ユーザー権限]
Administrator/Operator/Monitor
[入力例]
clear ipsec statistics
[ノート]
なし