Cisco Router and Security Device Manager (SDM) バージョン 2.1ユーザーズ ガイド
IP Security
IP Security
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

IP Security

IPSec

IPSec ポリシー

IPSec ポリシーの追加/編集

暗号マップの追加/編集: 全般パネル

暗号マップの追加/編集: ピア情報パネル

暗号マップの追加/編集: トランスフォーム セット パネル

暗号マップの追加/編集: IPSec ルール パネル

ダイナミック暗号マップ セット

ダイナミック暗号マップ セットの追加/編集

この IPSec ポリシーに暗号マップを関連付ける

IPSec プロファイル

IPSec プロファイルの追加/編集とダイナミック暗号マップの追加

トランスフォーム セット

トランスフォーム セットの追加/編集

IPSec ルール

IP Security

IPSec

IP Security(IPSec)は、ピア間のデータの機密性、データの整合性、およびデータ認証を提供するオープン スタンダードのフレームワークです。これらのセキュリティ サービスは IP 層で提供されます。IPSec では、IKE を使用して、ローカル ポリシーに基づいてプロトコルとアルゴリズムのネゴシエーションを処理し、IPSec で使用する暗号キーと認証キーを生成します。

SDM では、IPSec のトランスフォーム セット、ルール、およびポリシーを設定できます。

使用する IPSec 設定ウィンドウに移動するには、[IPSec]ツリーを使用します。

IPSec ポリシー

このウィンドウには、ルータに設定されている IPSec ポリシーと、各ポリシーに関連付けられている暗号マップが表示されます。IPSec ポリシーは VPN 接続の定義に使用されます。IPSec ポリシー、暗号マップ、および VPN 接続の関係の詳細については、「 VPN 接続と IPSec ポリシーに関する詳細情報」を参照してください。

アイコン

 

 

このアイコンが IPSec ポリシーの横に表示されている場合は読み取り専用なので、編集できません。IPSec ポリシーが読み取り専用になるのは、SDM でサポートされていないコマンドが含まれている場合です。

名前

この IPSec ポリシーの名前です。

タイプ

次のタイプがあります。

ISAKMP IKE を使用して、この暗号マップ エントリで指定されたトラフィックを保護するための IPSec セキュリティ アソシエーションを確立します。SDM では、ISAKMP(Internet Security Association and Key Management Protocol)の暗号マップがサポートされています。

手動 ― IKE を使用せずに、この暗号マップ エントリで指定されたトラフィックを保護するための IPSec セキュリティ アソシエーションを確立します。

SDM では、手動の暗号マップの作成はサポートされていません。CLI(コマンドライン インターフェイス)を使用して作成された手動の暗号マップは、読み取り専用とみなされます。

ダイナミック ― この暗号マップ エントリは既存のダイナミック暗号マップを参照します。ダイナミック暗号マップは、ピアの IPSec デバイスからのネゴシエーション要求を処理するときに使用されるポリシー テンプレートです。

SDM では、ダイナミック暗号マップの作成はサポートされていません。CLI を使用して作成されたダイナミック暗号マップは、読み取り専用とみなされます。

この IPSec ポリシー内の暗号マップ

名前

暗号マップが含まれている IPSec ポリシーの名前です。

シーケンス番号

IPSec ポリシーが VPN 接続で使用されている場合は、シーケンス番号と IPSec ポリシー名の組み合わせでこの接続を一意に識別します。

ピア

このカラムには、暗号マップで指定されているピア デバイスの IP アドレスまたはホスト名が表示されます。複数のピアはカンマで区切られます。

トランスフォーム セット

このカラムには、暗号マップで使用されているトランスフォーム セットが表示されます。

この IPSec ポリシー内のダイナミック暗号マップ セット

ダイナミック暗号マップ セット名

このダイナミック暗号マップ セットの名前です。管理者は、この名前によって暗号マップ セットの用途を把握できます。

シーケンス番号

このダイナミック暗号マップ セットのシーケンス番号です。

タイプ

タイプは常に[ダイナミック]です。

実行する操作

 

目的
手順

IPSec ポリシーを設定に追加する。

[追加] をクリックする。

既存の IPSec ポリシーを編集する。

ポリシーを選択して[ 編集] をクリックする。

ポリシーから暗号マップ エントリを削除する。

ポリシーを選択して[ 編集] をクリックする。ウィンドウで、削除する暗号マップを選択して[ 削除] をクリックする。次に、 [OK] をクリックしてこのウィンドウに戻る。

IPSec ポリシーを削除する。

ポリシーを選択して[ 削除] をクリックする。

IPSec ポリシーの追加/編集

このウィンドウでは、IPSec ポリシーを追加または編集します。

名前

この IPSec ポリシーの名前です。英数字を組み合わせた名前を指定できます。ポリシー名にピア名やその他の有用な情報を含めると役に立つ場合があります。

この IPSec ポリシー内の暗号マップ

このボックスには、この IPSec ポリシー内の暗号マップのリストが表示されます。リストには、この暗号マップを設定する名前、シーケンス番号、およびトランスフォーム セットが含まれます。暗号マップを選択して、それを編集したり IPSec ポリシーから削除したりできます。

暗号マップを追加するには、[追加]をクリックします。SDM の指示に従ってプロセスを実行するには、 [追加ウィザードの使用] を選択してから[ 追加] をクリックします。

アイコン

 

暗号マップが読み取り専用の場合は、このカラムに読み取り専用アイコンが表示されます。暗号マップが読み取り専用になるのは、SDM でサポートされていないコマンドが含まれている場合です。

この IPSec ポリシー内のダイナミック暗号マップ セット

このボックスには、この IPSec ポリシー内のダイナミック暗号マップ セットのリストが表示されます。既存のダイナミック暗号マップ セットをポリシーに追加するには、 [追加] ボタンを使用します。選択したダイナミック暗号マップ セットをポリシーから削除するには、 [削除] ボタンを使用します。

実行する操作

 

目的
手順

このポリシーに暗号マップを追加する。

[追加] をクリックし、[暗号マップの追加]パネルで暗号マップを作成する。または、 [追加ウィザードの使用] を選択してから[ 追加] をクリックする。


) ウィザードでは、暗号マップに 1 つのトランスフォーム セットしか追加できない。暗号マップに複数のトランスフォーム セットを追加する必要がある場合は、ウィザードを使用しないこと。


このポリシー内の暗号マップを編集する。

暗号マップを選択し、 [編集] をクリックして、[暗号マップの編集]パネルで暗号マップを編集する。

このポリシーから暗号マップを削除する。

暗号マップを選択し、 [削除] をクリックする。

暗号マップの追加/編集: 全般パネル

このウィンドウでは、暗号マップの全般的なパラメータを変更します。このウィンドウには次のフィールドがあります。

IPSec ポリシー名

この暗号マップが使用されているポリシーの名前が入る読み取り専用フィールドです。

説明

このフィールドでは、暗号マップの説明を入力または編集します。この説明は VPN 接続リストに表示され、この暗号マップを同じ IPSec ポリシー内の別の暗号マップと識別するのに役立ちます。

シーケンス番号

IPSec ポリシー名とともに表示される番号は、接続の識別に使用されます。SDM は、自動的にシーケンス番号を生成します。手動でシーケンス番号を入力することもできます。

Security Association Lifetime(セキュリティ関連付けライフタイム)

IPSec セキュリティ アソシエーションでは、共有キーを使用します。これらのキーとセキュリティ アソシエーションは同時にタイムアウトになります。ライフタイムには、時間的なライフタイムとトラフィック ボリュームによるライフタイムがあります。セキュリティ アソシエーションは、これらのライフタイムのいずれかに到達したときに期限が切れます。

このフィールドを使用して、この暗号マップに、グローバルに指定されるライフタイムとは異なるセキュリティ アソシエーション ライフタイムを指定できます。ライフタイムは、送信されるキロバイト数か、時、分、秒か、またはその両方で指定できます。両方が指定されている場合、ライフタイムは最初の条件が満たされた時点で期限が切れます。指定できる最大キロバイト数は 4608000 で、最長時間は 1 時間です。

Perfect Forwarding Secrecy の有効化

セキュリティ キーを以前生成したキーから派生させると、1 つのキーが漏洩した場合に他のキーも同様に漏洩する可能性があるので、セキュリティの点で問題があります。Perfect Forwarding Secrecy(PFS)では、個々のキーが独立して派生されることが保証されます。したがって、PFS を有効にしていれば、1つのキーが漏洩してもそれ以外のキーが漏洩することはありません。PFS を有効にする場合は、Diffie-Hellman グループ 1、グループ 2、またはグループ 5 のどの方式を使用するか指定できます。


) ルータでグループ 5 がサポートされていない場合は、グループ 5 はこのリストには表示されません。


Reverse Route Injection の有効化

Reverse Route Injection(RRI)は、リモート VPN クライアントまたは LAN 間セッションで Open Shortest Path First(OSPF)プロトコルまたはルーティング情報プロトコル(RIP)を実行する内部ルータのルーティング テーブルにデータを挿入するために使用されます。

RRI は、Easy VPN サーバに接続されたクライアントにスタティック ルートをダイナミックに追加します。

暗号マップの追加/編集: ピア情報パネル

このパネルでは、暗号マップのピア情報を追加または編集します。この暗号マップに関連付けられているピアのリストが[現在のリスト]ボックスに表示されます。新しいピアの追加、ピアの削除、またはピアの編集が可能です。ピアは IP アドレスまたはホスト名を使用して指定できます。複数のピアを指定すると、ルータに提供されるルーティング パスの数が多くなります。

 

目的
手順

[現在のリスト]にピアを追加する。

[追加] をクリックして、ピアの IP アドレスまたはホスト名を入力する。

[現在のリスト]からピアを削除する。

ピアを選択して[ 削除] をクリックする。

暗号マップの追加/編集: トランスフォーム セット パネル

このウィンドウでは、暗号マップで使用するトランスフォーム セットの追加、編集、および順序付けを行います。VPN 接続の両端にあるデバイスは、同じトランスフォーム セットを使用する必要があり、ネゴシエートして使用するトランスフォーム セットを決定することができます。複数のトランスフォーム セットを設定しておくと、ネゴシエートしているピアが使用に同意したトランスフォーム セットをルータで提供できるようになります。


) 暗号マップには、最大 6 つのトランスフォーム セットを含めることができます。


使用可能なトランスフォーム セット

暗号マップで使用できる設定済みのトランスフォーム セットです。ルータにトランスフォーム セットが設定されていない場合は、このリストに SDM のデフォルト トランスフォーム セットが表示されます。


) • すべてのルータがすべてのトランスフォーム セット(暗号化タイプ)をサポートしているわけではありません。サポートされていないトランスフォーム セットは、画面に表示されません。

SDM がサポートしているすべてのトランスフォーム セットをすべての IOS イメージがサポートしているわけではありません。IOS イメージでサポートされていないトランスフォーム セットは、画面に表示されません。

ハードウェア暗号化が有効になっている場合は、ハードウェア暗号化と IOS イメージの両方でサポートされているトランスフォーム セットだけが画面に表示されます。


 

選択されたトランスフォーム セット

この暗号マップ用に選択されたトランスフォーム セットが使用される順に表示されます。VPN 接続の両端にあるデバイスは、同じトランスフォーム セットを使用する必要があり、ネゴシエートして使用するセットを決定することができます。複数のトランスフォーム セットを設定しておくと、ピアが受け入れるトランスフォーム セットをルータで提供できるようになります。ルータは、ネゴシエート時にこのリストの順番でトランスフォーム セットを提供します。リストを並べ替えるには、上矢印と下矢印ボタンを使用します。

実行する操作

 

目的
手順

[選択されたトランスフォーム セット]ボックスにトランスフォーム セットを追加する。

[使用可能なトランスフォーム セット]ボックスでトランスフォーム セットを選択し、右矢印ボタンをクリックする。

[選択されたトランスフォーム セット]ボックスからトランスフォーム セットを削除する。

削除するトランスフォーム セットを選択して左矢印ボタンをクリックする。

選択したトランスフォーム セットの優先順位を変更する。

トランスフォーム セットを選択し、上矢印または下矢印ボタンをクリックする。

[使用可能なトランスフォーム セット]リストにトランスフォーム セットを追加する。

[追加] をクリックし、[トランスフォーム セットの追加]ウィンドウでトランスフォーム セットを設定する。

[使用可能なトランスフォーム セット]リストのトランスフォーム セットを編集する。

[編集] をクリックし、[トランスフォーム セットの編集]ウィンドウでトランスフォーム セットを設定する。

暗号マップの追加/編集: IPSec ルール パネル

このパネルでは、この暗号マップで使用する IPSec ルールを追加または変更します。IPSec ルールには、暗号化するトラフィックを定義するアクセス ルール エントリが含まれています。[IPSec ルール]フィールドに、使用される IPSec ルールの名前が表示されます。


) トンネル インターフェイスを使用する VPN 接続の IPSec ルールを追加する場合は、そのルールで、トンネル設定として同じ送信元と宛先のデータを指定する必要があります。


この暗号マップの IPSec ルールを追加または変更するには


ステップ 1 [IPSec ルール]フィールドの右にあるボタンをクリックします。

ステップ 2 作成済みのルールを使用する場合は、 [Select an existing rule(ACL)] (既存のルール(ACL)を選択する)をクリックして[ OK] を選択します。


) IPSec ルールは、標準ルールではなく拡張ルールにする必要があります。標準ルールの番号または名前を入力した場合は、[OK]をクリックすると警告メッセージが表示されます。


ステップ 3 必要なルールがまだ作成されていない場合は、 [ルールの作成] をクリックします。ルールを作成し、 [OK] をクリックします。

ステップ 4 暗号マップのウィンドウを閉じる場合は[ OK] をクリックし、別のパネルで作業する場合はそのタブをクリックします。


 

ダイナミック暗号マップ セット

このウィンドウには、ルータに設定されているダイナミック暗号マップ セットが表示されます。

[追加]/[編集]/[削除] ボタン

これらのボタンを使用して、ウィンドウに表示された暗号マップを管理します。IPSec ポリシーに関連付けられている暗号マップ セットを削除しようとしても、SDM によって許可されません。削除する前に、暗号マップとポリシーの関連付けを解除する必要があります。関連付けの解除は、[IPSec ポリシー]ウィンドウで実行できます。

名前

ダイナミック暗号マップの名前です。

タイプ

常に[ダイナミック]です。

ダイナミック暗号マップ セットの追加/編集

このウィンドウでは、ダイナミック暗号マップ セットを追加または編集します。

名前

ダイナミック暗号マップを追加する場合は、このフィールドに名前を入力します。暗号マップセットを編集する場合は、このフィールドは無効になり、名前を変更できません。

この IPSec ポリシー内の暗号マップ

このエリアには、このセットで使用される暗号マップのリストが表示されます。このリスト内の暗号マップを追加、削除、または変更するには、 [追加] [編集] 、または[ 削除] ボタンを使用します。

この IPSec ポリシーに暗号マップを関連付ける

シーケンス番号

この暗号マップ セットを識別するシーケンス番号を入力します。他の暗号マップ セットで使用されている番号は指定できません。

ダイナミック暗号マップ セットの選択

追加するダイナミック暗号マップ セットをこのリストから選択します。

この暗号マップ セット内の暗号マップ

このエリアには、選択したダイナミック暗号マップ セットに含まれている名前、シーケンス番号、およびピアのリストが表示されます。

IPSec プロファイル

このウィンドウには、ルータに設定されている IPSec プロファイルのリストが表示されます。IPSec プロファイルは、1 つ以上の設定済みトランスフォーム セットで設定されています。プロファイルは mGRE トンネルに適用され、トンネル トラフィックを暗号化する方法を定義します。

名前

IPSec プロファイルの名前です。

トランスフォーム セット

このプロファイルで使用されるトランスフォーム セットです。

説明

IPSec プロファイルに関する説明です。

追加

新しい IPSec プロファイルを追加する場合にクリックします。

削除

選択した IPSec プロファイルを削除する場合にクリックします。削除するプロファイルが現在 DMVPN トンネルで使用されている場合は、別の IPSec プロファイルを使用するように DMVPN トンネルを設定する必要があります。

IPSec プロファイルの追加/編集とダイナミック暗号マップの追加

このウィンドウでは、IPSec プロファイルの追加と編集、またはダイナミック暗号マップの追加を行います。

名前

このプロファイルの名前を入力します。

使用可能なトランスフォーム セット

このカラムには、このルータに設定されているトランスフォーム セットが表示されます。このリスト内のトランスフォーム セットを[選択されたトランスフォーム セット]カラムに追加するには、トランスフォーム セットを選択して右矢印(>>)ボタンをクリックします。

新しいトランスフォーム セットを設定する必要がある場合は、[IPSec]ツリーの[ トランスフォーム セット] ノードをクリックして[トランスフォーム セット]ウィンドウに移動します。そのウィンドウで[ 追加] をクリックし、新しいトランスフォーム セットを作成します。

選択されたトランスフォーム セット

このカラムには、このプロファイルで使用されているトランスフォーム セットが表示されます。設定中のルータとトンネル先のルータが使用するトランスフォーム セットについてネゴシエートできるように、複数のトランスフォーム セットを選択できます。

トランスフォーム セット

この画面では、トランスフォーム セットの表示、新しいトランスフォーム セットの追加、および既存のトランスフォーム セットの編集または削除を行うことができます。トランスフォーム セットは、セキュリティ プロトコルとアルゴリズムの特定の組み合わせです。IPSec セキュリティ アソシエーションのネゴシエート時に、ピアは特定のデータ フローを保護するために使用するトランスフォーム セットについて合意します。

複数のトランスフォーム セットを作成して、1 つの暗号マップ エントリで、これらのトランスフォーム セットを 1 つ以上指定できます。暗号マップ エントリで定義されたトランスフォーム セットは、その暗号マップ エントリのアクセス リストによって指定されたデータ フローを保護するための IPSec セキュリティ アソシエーションのネゴシエーションで使用されます。

IKE との IPSec セキュリティ アソシエーションのネゴシエート時に、ピアは両方のピアに設定されているトランスフォーム セットを探します。そのようなトランスフォーム セットが見つかると、そのトランスフォーム セットが選択され、両方のピアの IPSec セキュリティ アソシエーションの要素として、保護するトラフィックに適用されます。

名前

トランスフォーム セットに付けられている名前です。

ESP 暗号化

SDM では、次の ESP 暗号化タイプが認識されます。

ESP_DES ― DES(Data Encryption Standard)を使用する ESP(Encapsulating Security Payload)。DES は、56 ビットの暗号化をサポートします。

ESP_3DES ― トリプル DES を使用する ESP。これは、DES よりも強力な暗号形式で、168 ビットの暗号化をサポートします。

ESP_AES_128 ― AES(Advanced Encryption Standard)を使用する ESP。暗号化には 128 ビットのキーが使用される。AES は、DES よりも強力なセキュリティを提供し、3DES よりも計算効率が高くなります。

ESP_AES_192 ― 192 ビット キーの AES 暗号化を使用する ESP。

ESP_AES_256 ― 256 ビット キーの AES 暗号化を使用する ESP。

ESP_NULL ― Null 暗号化アルゴリズム。ただし、暗号化トランスフォームが使用されます。

ESP_SEAL。160 ビット暗号キーに基づく Software Encryption Algorithm(SEAL)暗号化アルゴリズムを使用する ESP。SEAL(Software Encryption Algorithm)は、ソフトウェアベースの DES(Data Encryption Standard )、3DES(トリプル DES)、および AES(Advanced Encryption Standard)に代わるアルゴリズムです。SEAL 暗号化では、160 ビットの暗号キーが使用され、他のソフトウェアベースのアルゴリズムを使用する場合よりも CPU に与える影響は小さくなります。

ESP 整合性

使用されている整合性アルゴリズムを示します。このカラムに値が表示されるのは、データの整合性と暗号化の両方を提供するようにトランスフォーム セットが設定されている場合です。このカラムには、次のいずれかの値が含まれます。

ESP-MD5-HMAC ― Message Digest 5 に基づく HMAC(ハッシュベースのメッセージ認証コード)を使用する ESP

ESP-SHA-HMAC ― Security Hash Algorithm に基づく HMAC を使用する ESP

AH Integrity(AH 整合性)

使用されている整合性アルゴリズムを示します。このカラムに値が表示されるのは、データの整合性を提供して暗号化を提供しないようにトランスフォーム セットが設定されている場合です。このカラムには、次のいずれかの値が含まれます。

AH-MD5-HMAC ― Message Digest 5 を使用する AH

AH-SHA-HMAC ― Security Hash Algorithm を使用する AH

IP 圧縮

IP データ圧縮が使用されるかどうかを示します。


) ルータで IP 圧縮がサポートされていない場合は、このボックスは無効になります。


モード

このカラムには、次のいずれかの値が含まれます。

トンネル ― ヘッダとデータの両方が暗号化されます。このモードは VPN 設定で使用されます。

トランスポート ― データのみ暗号化されます。このモードは、暗号化のエンドポイントと通信のエンドポイントが同じ場合に使用されます。

タイプ

[ユーザ定義]、または[SDM デフォルト]のいずれかになります。

実行する操作

 

目的
手順

ルータの設定に新しいトランスフォーム セットを追加する。

[追加]をクリックし、[トランスフォーム セットの追加]ウィンドウでトランスフォーム セットを作成する。

既存のトランスフォーム セットを編集する。

トランスフォーム セットを選択し、 [編集] をクリックする。次に、[トランスフォーム セットの編集]ウィンドウでトランスフォーム セットを編集する。


) ただし、SDM デフォルト トランスフォーム セットは読み取り専用で編集できない。


既存のトランスフォーム セットを削除する。

トランスフォーム セットを選択し、 [削除] をクリックする。


) ただし、SDM デフォルト トランスフォーム セットは読み取り専用で削除できない。


トランスフォーム セットの追加/編集

このウィンドウでは、トランスフォーム セットを追加または編集します。

許容されるトランスフォームの組み合わせおよびトランスフォームの説明については、「 許容されるトランスフォームの組み合わせ 」を参照してください。


) • すべてのルータがすべてのトランスフォーム セット(暗号化タイプ)をサポートしているわけではありません。サポートされていないトランスフォーム セットは、画面に表示されません。

SDM がサポートしているすべてのトランスフォーム セットをすべての IOS イメージがサポートしているわけではありません。IOS イメージでサポートされていないトランスフォーム セットは、画面に表示されません。

ハードウェア暗号化が有効になっている場合は、ハードウェア暗号化と IOS イメージの両方でサポートされているトランスフォーム セットだけが画面に表示されます。

Easy VPN サーバでは、トンネル モードのみサポートされています。トランスポート モードはサポートされていません。

Easy VPN サーバでは、ESP 暗号化を使用するトランスフォーム セットのみサポートされています。AH アルゴリズムはサポートされていません。

Easy VPN サーバでは、ESP-SEAL 暗号化はサポートされていません。


 

Name of this transform set(このトランスフォーム セットの名前)

どのような名前でも指定できます。この名前は、ピアが使用するトランスフォーム セットの名前と一致する必要はありませんが、同じ名前にしておくと便利です。

データ整合性と暗号化(ESP)

ESP(Encapsulating Security Payload)のデータ整合性と暗号化を提供する場合に選択します。

整合性アルゴリズム

次のいずれかを選択します。

[ESP_MD5_HMACÅn。Message Digest 5 を使用する ESP です。

[ESP_SHA_HMACÅn。Security Hash Algorithm を使用する ESP です。

暗号化

SDM では、次の ESP 暗号化タイプが認識されます。

ESP_DES。DES(Data Encryption Standard)を使用する ESP(Encapsulating Security Payload)。DES は、56 ビットの暗号化をサポートします。

ESP_3DES。トリプル DES を使用する ESP。これは、DES よりも強力な暗号形式で、168 ビットの暗号化をサポートします。

ESP_AES_128。AES(Advanced Encryption Standard)を使用する ESP。暗号化には 128 ビットのキーが使用される。AES は、DES よりも強力なセキュリティを提供し、3DES よりも計算効率が高くなります。

ESP_AES_192。192 ビット キーの AES 暗号化を使用する ESP。

ESP_AES_256。256 ビット キーの AES 暗号化を使用する ESP。

ESP_SEAL。160 ビット暗号キーに基づく Software Encryption Algorithm(SEAL)暗号化アルゴリズムを使用する ESP。SEAL(Software Encryption Algorithm)は、ソフトウェアベースの DES(Data Encryption Standard )、3DES(トリプル DES)、および AES(Advanced Encryption Standard)に代わるアルゴリズムです。SEAL 暗号化では、160 ビットの暗号キーが使用され、他のソフトウェアベースのアルゴリズムを使用する場合よりも CPU に与える影響は小さくなります。

ESP_NULL。Null 暗号化アルゴリズム。ただし、暗号化トランスフォームが使用されます。


) 使用可能な ESP 暗号化タイプは、ルータによって異なります。設定するルータのタイプによっては、これらのタイプの 1 つ以上が使用できない場合があります。


暗号化なしのデータとアドレスの整合性(AH)

[詳細の表示] をクリックすると、このチェック ボックスとその下のフィールドが表示されます。

ルータで AH(認証ヘッダ)データとアドレスの整合性を提供する場合に選択します。認証ヘッダは暗号化されません。

整合性アルゴリズム

次のいずれかを選択します。

AH_MD5_HMAC ― Message Digest 5 を使用する AH

AH_SHA_HMAC ― Security Hash Algorithm を使用する AH

モード

暗号化するトラフィック部分を選択します。

トランスポート。データのみ暗号化 ― トランスポート モードは、両方のエンドポイントが IPSec をサポートしている場合に使用され、オリジナルの IP ヘッダの後に AH または ESP を配置します。したがって、IP ペイロードだけが暗号化されます。この方法を使用すると、ユーザは Quality Of-Service(QoS)コントロールなどのネットワーク サービスを暗号化したパケットに適用できます。トランスポート モードは、データの宛先が常にリモート VPN ピアである場合のみ使用してください。

トンネル。データと IP ヘッダの暗号化 ― トンネル モードでは、トランスポート モードより強力な防御ができます。IP パケット全体を AH または ESP 内にカプセル化するので、新しい IP ヘッダを添付して、データグラム全体をカプセル化できます。トンネル モードでは、ルータなどのネットワーク デバイスを複数の VPN ユーザの IPsec プロキシとして機能させることができます。このモードはそのような設定でのみ使用してください。

IP Compression(COMP-LZS)(IP 圧縮(COMP-LZS))

データ圧縮を使用する場合に選択します。


) IP 圧縮をサポートしていないルータもあります。ルータで IP 圧縮がサポートされていない場合は、このボックスは無効になります。


IPSec ルール

このウィンドウには、このルータに設定されている IPSec ルールが表示されます。IPSec ルールでは、IPSec で暗号化するトラフィックを定義します。ウィンドウの上部には、定義されているアクセス ルールのリストが表示されます。下の部分には、ルール リストで選択されているアクセス ルールのエントリが表示されます。

IPSec ルールには、IP アドレスとサービスタイプ情報が含まれます。ルールで指定された条件に一致するパケットは暗号化されます。条件に一致しないパケットは暗号化されません。

名前/番号

このルールの名前または番号です。

使用元

このルールが使用される暗号マップです。

タイプ

IPSec ルールでは、送信元と宛先の両方を指定する必要があり、パケットに含まれているトラフィック タイプも指定できなければなりません。したがって、IPSec ルールは拡張ルールです。

説明

ルールの説明が入力されている場合はそれが表示されます。

アクション

[許可する] または[ 拒否する] のいずれかになります。 [許可する] の場合、このルールの条件に一致するパケットは暗号化によって保護されます。 [拒否する] の場合、条件に一致しないパケットは暗号化されません。詳細については、「 キーワード「許可する」と「拒否する」の意味」を参照してください。

送信元

トラフィックの送信元を示す IP アドレスまたはキーワードです。 any は、送信元がどのような IP アドレスでもよいことを示します。このカラムには、IP アドレスだけが表示されることもあれば、後ろに ワイルドカード マスクが表示されることもあります。 ワイルドカード マスク は、送信元 IP アドレスが一致しなければならない IP アドレス部分を示します。詳細については、「 IP アドレスとサブネット マスク」を参照してください。

宛先

トラフィックの宛先を示す IP アドレスまたはキーワードです。 any は、宛先がどのような IP アドレスでもよいことを示します。このカラムには、IP アドレスだけが表示されることもあれば、後ろに ワイルドカード マスクが表示されることもあります。 ワイルドカード マスク は、宛先 IP アドレスが一致しなければならない IP アドレス部分を示します。

サービス

パケットに含まれなければならないトラフィックのタイプです。

実行する操作

 

目的
手順

特定のルールのアクセス ルール エントリを表示する。

ルール リストからルールを選択する。そのルールのエントリが下のボックスに表示される。

IPSec ルールを追加する。

[追加] をクリックし、表示されたルール ウィンドウでルールを作成する。

IPSec ルールを削除する。

ルール リストでルールを選択して[ 削除] をクリックする。

特定のルール エントリを削除する。

ルール リストでルールを選択して[ 編集] をクリックする。表示されたルール ウィンドウでエントリを削除する。

インターフェイスに IPSec ルールを適用する。

[インターフェイス設定]ウィンドウでルールを適用する。