Web Assistance ヘルプ

ヘルプメニュー
spacer
ヘルプの使い方
トップページ
管理者向けトップページ
ハードウェア
インターフェース
NAT
IPsec
ファイアウォール
状態メール通知
Copyright © 1994 - 2012
Yamaha Corporation.
All Rights Reserved.

IPsecの設定・状態表示 ヘルプ

1. 概要

IPsecの設定は、 共通項目の設定と接続先の設定に分かれています。 前者はIPsecの全体的な動作を規定し、 後者はVPNの接続先を登録するものです。 接続先の設定は簡単設定詳細設定 という2つのモードに分かれています。簡単設定を使うと、 基本的な項目を入力するだけで設定が完了します。 一方の詳細設定では、 オプションを含めたほとんどの項目を設定することができます。

接続先の設定があれば、その状態を確認することができます。 確認できる情報としては、接続先向けに流れたトラフィックの流量、 SA(Security Assosiation)の状態、接続と切断の履歴などがあります。

また、GUIに固有の機能として、 接続先の設定を検証する機能があります。 この機能は、接続先の設定を中心として、 フィルターやNATやルーティングの設定を自動的に検証し、 設定の不備を指摘します。 すべてのトラブルシューティングが可能になるわけではありませんが、 基本的な設定ミスであれば回避できます。

▲ 先頭に戻る

2. 操作の流れ

2.1. 接続先の一覧を確認する

左のメニューから"IPsec"を選択すると"メイン画面"に切り替わります。 "メイン画面"には、接続先の一覧が表示されます。 一覧で表示する項目は次の通りです。

  • 番号 ... 接続先の登録番号です。
  • トンネル名 ... 接続先の名前です。【tunnel name】
  • 状態 ... 接続中には"Up"、切断中には"Down"と表示します。
  • 接続先の情報 ... 接続先を識別する情報です。設定によって、 次のいずれかの情報を表示します。
    • 接続先のIPアドレスかドメイン名 【ipsec ike remote address】
    • 接続先の名前 【ipsec ike remote name】
  • 自分の名前 ... IKEで相手に通知する名前です。 【ipsec ike local name】

接続している接続先については、全体を青色で表示します。 また、設定に不備があるときには、 "接続先の情報"としてエラーメッセージを表示します。

2.2. 共通項目を設定する

共通項目では、次の項目を設定できます。

  • SAの自動更新の有無 【ipsec auto refresh】
  • 鍵交換の再送回数と間隔【ipsec ike retry】

設定は次の手順で行います。

  1. "メイン画面"の"共通項目"にある"修正"ボタンを押します。
  2. ウィンドウの各項目を希望の値に変更して"確認"ボタンを押します。
  3. 内容に間違いがなければ再び"登録"ボタンを押します。
  4. 「正常に反映されました」というメッセージの表示を待ちます。

2.3. 新しい接続先を追加する

次の手順で新しい接続先を追加できます。 ここでは簡単設定のケースを説明します。より詳細な設定をするときには、 2.7.を参照してください。

  1. "メイン画面"の"新しい接続先の登録"で"新規登録"ボタンを押します。 既存の設定があれば、その設定をコピーして使うことができます。 この場合には"コピーして使う" チェックボックスにチェックを入れておきます。
  2. 設定項目を入力します。項目については後述します。
  3. 設定項目を入力したら"設定"ボタンを押します。
  4. 内容に間違いがなければ"登録"を押します。
  5. 「正常に反映されました」というメッセージの表示を待ちます。

この設定で入力する項目は次の通りです。

  • トンネル名 ... 接続先を識別する名前を32文字以内の英数字で 記入してください。【tunnel name】
  • 認証パスワード(pre-shared key) ... 32文字以内の英数字で入力してください。 【ipsec ike pre-shared-key】
  • 相手先の識別方法 ... 2通りの識別方法がありますので運用方法に合わせて選んでください。
    • アドレスで識別する場合 ... 相手のIPアドレスドメイン名を設定します。【ipsec ike remote address】 なお、 設定しているルーターに固定のアドレスが割り当てられないケースでは、 自分の名前も設定します。【ipsec ike local name】
    • 名前で識別する場合 ... 相手の名前を32文字以内の英数字で設定します。 【ipsec ike remote name】
  • 自分のIPアドレス ... このルーターに設定されているIPアドレスを入力します。 すでに設定があれば、自動的にIPアドレスが記入されます。 【ipsec ike local address】
  • アルゴリズム ... 接続先のルーターと同じになるように 認証アルゴリズム暗号アルゴリズムを選択します。 この設定はIKEのフェーズ2で使われます。【ipsec sa policy】 フェーズ1の設定が必要であれば2.7. を参照してください。
  • IKEキープアライブ ... IKEキープアライブの動作を設定します。【ipsec ike keepalive use】
  • 静的経路の追加 ... 接続先に向けた静的経路を1つだけ登録することができます。 2つ以上の経路を設定するときには、IPsecの設定を終了してから、 "インターフェース"の設定に進んでください。

2.4. 接続先の設定を修正する

"メイン画面"に表示される接続先の"修正"ボタンを押すと、 設定画面が開きますので、必要な項目を修正し"登録"ボタンを押します。 後は2.3.と同じように画面の説明にしたがってください。

2.5. 接続先の設定を削除する

"メイン画面"に表示される接続先の"削除"ボタンを押すと、 確認画面が開きますので、さらに"削除"ボタンを押します。

2.6. 接続先の状態を見る

"メイン画面"に表示される接続先の"状態"ボタンを押すと、 下記の状態を表示します。

  • 基本情報
    • 接続先番号 ... 接続先の登録番号
    • トンネル名 ... 接続先の名前
    • 相手先の情報 ... 相手先のIPアドレスやドメイン名、 相手先の名前のいずれか1つ
  • 現在の状態
    • 接続状態
    • SAの数
    • IKEキープアライブ
  • トラフィック情報 ... ルーターの電源を入れてから現在までに接続先向けに流れた トラフィックの流量を表します。
  • 接続/切断履歴 ... 過去10回までの接続と切断の履歴を表示します。 ルーターの電源を切るとリセットされます。
  • 各SAの詳細情報 ... SAの情報を表示します。 SAが存在しないときには、この欄の表示はありません。

状態を表示する以外に、次の操作が可能です。

  • 更新 ... "更新"ボタンを押すと、最新の情報を表示します。
  • SAの削除 ... "SAの削除"ボタンを押すと、表示しているすべてのSAを削除します。

2.7. 詳細設定を使う

接続先を設定するときには、 簡単設定と詳細設定の2つのモードを選ぶことができます。 2.3.では簡単設定について説明しましたが、ここでは詳細設定について説明します。

詳細設定を実施するには、 接続先を追加・修正する画面の右上にある"詳細設定へ" というリンクをクリックしてください。

詳細設定の手順は2.3.と同様ですので、 "詳細設定"でのみ可能な設定項目について説明します。

  • PFSの設定 ... PFS(Perfect Forward Security)の有無を設定します。 【ipsec ike pfs】
  • ESPをUDPでカプセル化するか否か ... ESP over UDPの有無を設定します。【ipsec ike esp-encapsulation】
  • 常時接続モード ... 常にSAを用意するときに常時接続モードを有効にします。 【ipsec ike always-on】
  • SAの自動更新 ... 共通項目にも同じ設定がありますが、 この項目は特定の接続先の自動更新を止めたいときに設定します。 【ipsec auto refresh gateway
  • フェーズ1のアルゴリズム ... フェーズ1で利用する認証・暗号アルゴリズムの選択です。 【ipsec ike hash, ipsec ike encryption】
  • 鍵の寿命 ... 鍵の寿命はキロバイトの単位で設定できます。 【ipsec ike duration isakmp-sa/ipsec-sa】
  • 自分側のID ... 自分側のプライベートネットワークを指定します。 【ipsec ike local id】
  • 相手側のID ... 相手側のプライベートネットワークを指定します。 【ipsec ike remote id】
  • IKEが用いるグループ ... IKEのグループを選択します。【ipsec ike group】
  • IKEキープアライブの設定 ... IKEキープアライブの動作を制御します。 【ipsec ike keepalive use】
  • IKEキープアライブのオプション ... IKEキープアライブの動作オプションです。
    • 送信間隔 ... キープアライブの送信間隔
    • 試行回数 ... 障害と判断するまでの試行回数
    この項目は、"IKEキープアライブの設定"項目で"on"を選択したときのみ、変更が反映されます。
  • IKEキープアライブのsyslog表示 ... IKEキープアライブのsyslogの出力を制御します。 【ipsec ike keepalive log】
  • ログの種類 ... IKEに関係するsyslogについて表示するsyslogの種類を選択できます。 【ipsec ike log】

▲ 先頭に戻る

3. 制限事項

3.1. サポートしないコマンド

使用頻度の少ないコマンドはサポートしていません。 サポートしていないコマンドは次の通りです。 これらのコマンドを設定するときにはCUIを利用してください。

  • ipsec ike payload type
  • ipsec ike send info
  • ipsec ike keepalive use (ipcm-echo)
  • ipsec transport
  • ipsec ike xauth
  • ipsec ike queue length
  • ipsec ike restrict-dangling-sa
  • ipsec ike negotiate-strictly

3.2. セキュリティゲートウェイの設定

GUIでは、セキュリティゲートウェイの概念を隠蔽し、 すべてを接続先(トンネルインターフェース)の設定に集約しています。 したがって、 ユーザーはセキュリティゲートウェイを気にする必要はありませんが、 その代わり、 セキュリティゲートウェイの番号を自由に選ぶことはできません。

3.3. 多重トンネルの設定

1つの拠点に対して複数のトンネルを構成する多重トンネル には対応していません。CUIで多重トンネルを設定している場合には、 設定がうまく表示できない可能性があります。

3.4. 認証パスワード(pre-shared key)の設定

CUIでは認証パスワード(pre-shared key)としてバイナリの表現を設定することが できますが、GUIでは文字列のみを設定できます。 CUIでバイナリの認証パスワードを設定している場合、 GUIの画面では何も表示されません。

3.5. 扱える文字の制限

各設定ページの下記の項目については、扱える文字に制限があります。

  • 認証鍵
  • 相手のアドレス
  • 自分の名前
  • 相手の名前

これらの項目では、日本語等の文字を入力することはできず、確認ページにてエラー表示が行われます。また、'"', '#', '<','>' 等の一部の特殊文字については、設定・表示ともに正しく扱えない場合があります。

▲ 先頭に戻る