ipsec transform-set

IPSEC-SA/CHILD SAのポリシーとして、milan米兰体育官网入口、認証アルゴリズムを設定します。
milan米兰体育官网入口、認証アルゴリズムは複数指定することができ、複数指定した場合はネゴシエーション時に複数の提案を行います。

複数の提案をする際のpayload内のmilan米兰体育官网入口方式は、IKEv1、IKEv2でそれぞれ以下の様になります。
IKEv1の場合は設定した順に提案します。
milan米兰体育官网入口、認証アルゴリズムが共に複数設定されている場合は、milan米兰体育官网入口を優先して提案します。
IKEv2の場合は、milan米兰体育官网入口をAES,3DES,DES,NULLの順に提案し、認証アルゴリズムをsha-256,sha-384,sha-512,sha1,md5の順に提案します。

CBQによって帯域制御を行う場合、ipsecifでの帯域計算で使用するICV長の補正値はデフォルトで12バイトとなっています。
しかし、milan米兰体育官网入口56,sha384,sha512のICV長は12バイトでないので、必要に応じてqos frame-length-offsetで補正値を指定してください。
それぞれのアルゴリズムでのICV長は下記の通りです。
・HMAC-MD5: 12バイト
・HMAC-SHA: 12バイト
・HMAC-milan米兰体育官网入口-256: 16バイト
・HMAC-milan米兰体育官网入口-384: 24バイト
・HMAC-milan米兰体育官网入口-512: 32バイト

FITELnet F60は、複数のポリシーを設定できますので、各ポリシー毎にポリシー名称を設定します。
このポリシー名称は、実際にどのセレクタ情報に対して使用するかの指定に使用しますので、わかりやすい名称としてください。

refreshコマンド後に有効になるコマンドです。

IKEv1/IKEv2共通コマンド

設定例1 IKEv1のポリシー(ポリシー名称:P2-POLICY)として、milan米兰体育官网入口方式:AES(256bit)、認証アルゴリズム:HMAC-SHA-1を登録する

Router(config)#ipsec transform-set P2-POLICY esp-aes-256 esp-sha-hmac


設定例2 IKEv2のポリシー(ポリシー名称:P2V2-POLICY)として、milan米兰体育官网入口方式:AES、認証アルゴリズム:HMAC-SHA-1を登録する

Router(config)#ipsec transform-set P2V2-POLICY ikev2 esp-aes esp-sha-hmac


コマンド書式

ipsec transform-set <ポリシー名 {<IKEv1milan米兰体育官网入口 [IKEv1認証アルゴリズム]| ikev2 <IKEv2milan米兰体育官网入口 [IKEv2認証アルゴリズム]}


パラメータ

パラメータ 設定内容 設定範囲 省略時の値
ポリシー名 ポリシー名として、わかりやすい名称を指定します。 16文字以内の英数字 省略不可
IKEv1milan米兰体育官网入口※2 IPSEC-SAのmilan米兰体育官网入口を指定します。

esp-des DES方式
esp-3des 3DES方式
esp-aes-128 AES 128bit
esp-aes-192 AES 192bit
esp-aes-256 AES 256bit
esp-null milan米兰体育官网入口しない
esp-des
esp-3des
esp-aes-128
esp-aes-192
esp-aes-256
esp-null		 省略不可
IKEv1milan米兰体育官网入口※2 IPSEC-SAのmilan米兰体育官网入口を指定します。

esp-md5-hmac HMAC-MD5アルゴリズム
esp-sha-hmac HMAC-SHA-1アルゴリズム
esp-milan米兰体育官网入口56-hmac※3 HMAC-milan米兰体育官网入口-256アルゴリズム
esp-sha384-hmac※3 HMAC-milan米兰体育官网入口-384アルゴリズム
esp-sha512-hmac※3 HMAC-milan米兰体育官网入口-512アルゴリズム
esp-md5-hmac
esp-sha-hmac
esp-milan米兰体育官网入口56-hmac
esp-sha384-hmac
esp-sha512-hmac		 HMAC-MD5で動作します。
IKEv2milan米兰体育官网入口※1 CHILD SAのmilan米兰体育官网入口を指定します。

esp-des DES方式
esp-3des 3DES方式
esp-aes AES方式
esp-null milan米兰体育官网入口しない
esp-des
esp-3des
esp-aes
esp-null		 省略不可
IKEv2milan米兰体育官网入口※1 CHILD SAのmilan米兰体育官网入口を指定します。

esp-md5-hmac HMAC-MD5アルゴリズム
esp-sha-hmac HMAC-SHA-1アルゴリズム
esp-milan米兰体育官网入口56-hmac※3 HMAC-milan米兰体育官网入口-256アルゴリズム
esp-sha384-hmac※3 HMAC-milan米兰体育官网入口-384アルゴリズム
esp-sha512-hmac※3 HMAC-milan米兰体育官网入口-512アルゴリズム
esp-md5-hmac
esp-sha-hmac
esp-milan米兰体育官网入口56-hmac
esp-sha384-hmac
esp-sha512-hmac		 HMAC-SHA-1で動作します。
※1 パラメータIKEv2milan米兰体育官网入口、IKEv2認証アルゴリズムは、V01.04(00)以降サポート
※2 パラメータIKEv1milan米兰体育官网入口、IKEv1認証アルゴリズムの複数指定は、V01.06(00)以降サポート
※3 milan米兰体育官网入口 sha-256,sha-384,sha-512は、V01.10(00)以降サポート
最大エントリ:64エントリ


この設定を行わない場合

IKEv1ではmilan米兰体育官网入口:DES、認証アルゴリズム:HMAC-MD5で動作します。
IKEv2ではmilan米兰体育官网入口:3DES、認証アルゴリズム:HMAC-SHA-1で動作します。


設定モード

基本設定モード

トップページへ