「 IPsec 」画面の操作について説明します。
ここでは、IPsec の接続状態の確認、設定の追加、編集等を行うことができます。
このマニュアルでは、AG10 と AC15 間で動作している IKEv2/IPsec VPN 接続について、その基本構成、暗号パラメータ、および通信パターンを整理して説明します。
● VPN 接続の全体概要
- 接続名:
sa01 - 使用プロトコル: IKEv2(フェーズ1)
- 認証方式: pre‑shared key(事前共有鍵)を双方で使用
- ローカル AG10 側 IP:
192.168.1.197 - リモート AC15 側 IP:
192.168.1.113
- ローカル AG10 側 IP:
- 子接続(子SA):
- トラフィックセレクタ:
192.168.0.0/24 === 192.168.0.0/24 - 通信モード: トンネルモード(TUNNEL)
- トラフィックセレクタ:
● 暗号化パラメータ
- IKE(Phase 1)
- 暗号化:
AES_CBC_128 - 認証:
HMAC_SHA1_96 - PRF(Pseudo-Random Function):
HMAC_SHA2_256 - Diffie‑Hellman 群:
MODP_2048
- 暗号化:
- IPsec(Phase 2/Child SA)
- 暗号化:
AES_CBC_128 - 認証:
HMAC_SHA2_256_128
- 暗号化:
サイドメニューの[ ネットワーク ]>[ IPsec ]をクリックすると、「 IPsec 」画面を開くことができます。
IPsec の接続状態 #
IPsec の接続状態を確認する #
「 ステータス 」タブをクリックすると、接続中の IPsec の接続状態を表示することができます。
IPsec の詳細情報を確認する #
「 ステータス 」タブ上の詳細情報にてラジオボタンを切り替えることで、ステータス や XFRM ステート、XFRM ポリシーを確認することができます。
IPsec 設定 #
IPsec 設定の一覧を表示する #
「 IKE 」タブ、「 SA 」タブを切り替えることで、IPsec 設定を確認することができます。
IPsec 設定を追加する #
IPsec 設定を追加します。
IKE 設定の追加
IKEのタブを選択した場合の設定方法です。
① 任意のポリシー名を入力します。例)ike01
② ローカル側のアドレスを入力します。例)192.168.1.197
③ トグルをクリックし、ローカル ID の有効 / 無効を選択します。
全アドレスを許可する場合は[全て]を選択します。
ローカル ID にチェックを入れることで、タイプの選択や ID を入力することも出来ます。
④ リモート側(接続先)のアドレスを入力します。
⑤ トグルをクリックし、リモート ID の有効 / 無効を選択します。
全アドレスを許可する場合は[全て]を選択します。
リモート ID にチェックを入れることで、タイプの選択や ID を入力することも出来ます。
⑥ IKE のバージョンを選択します。
⑦ 事前共通鍵(PSK)を設定します。
※任意の項目のため、未入力でも次の Step に進めます。
① IKE モードを指定します。このモードは、IKE のバージョン1を選択した場合のみ有効です。
② リトライ回数を、1~255 の範囲で設定します。
リトライ回数の上限なしの場合、「上限なし」を選択します。
③ IKE のライフタイムを設定します。秒、分、時間で指定することが出来ます。
④ DPD(Dead Peer Detection)で切断されたときの動作を指定します。
⑤ DPD のインターバルを設定します。秒、分、時間で指定することが出来ます。
⑥ DPD のタイムアウトを設定します。秒、分、時間で指定することが出来ます。
※任意の項目のため、未入力でも次の Step に進めます。
① トグルをクリックし、トランスフォーム限定の有効 / 無効を選択します。
トランスフォーム限定を有効にすると、指定のトランスフォームのみに限定する動作を有効にすることが出来ます。
② [ 新規追加 ]をクリックします。
③ 以下の内容を設定し、[ 設定 ]をクリックします。
・ 暗号化アルゴリズムを選択します。
・ 認証アルゴリズムを選択します。
・ PRF(Pseudo-Random Functions)を指定します。これはIKEv2 の場合にのみ有効です。
・ Diffie Hellman Groupsを選択します。
IKE の設定が完了します。
SA設定の追加
SAのタブを選択した場合の設定方法です。
① 任意のポリシー名を入力します。
② トグルをクリックして有効/無効を選択します。
③ 鍵交換で使用する IKE 名を指定します。
④ 接続動作を選択します。
⑤ 切断時動作を選択します。
⑥ 再接続の有効無効を指定します。
⑦ プロトコルタイプを選択します。
⑧ 通信モードを選択します。
⑨ ライフタイムを設定します。
⑩ 優先度を選択します。
⑪ ローカルサブネットをそれぞれ設定します。
⑫ リモートサブネットをそれぞれ設定します。
※任意の項目のため、未入力でも次の Step に進めます。
① トグルをクリックし、トランスフォーム限定の有効 / 無効を選択します。
トランスフォーム限定を有効にすると、指定のトランスフォームのみに限定する動作を有効にすることが出来ます。
② [ 新規追加 ]をクリックします。
③ 以下の内容を設定し、[ 設定 ]をクリックします。
・ 暗号化アルゴリズムを選択します。
・ 認証アルゴリズムを選択します。
・ PFS ( Perfect Forward Secrecy)を指定します。
SA の設定が完了します。
IPsec設定を編集する #
IPsec 設定を編集します。
IKE と SA のそれぞれで編集することが可能です。ここでは IKE を例に説明しています。
「IKE 設定の編集」画面が表示されます。
変更した IKE 設定の情報が更新されます。
IPsec 設定を削除する #
登録されている IPsec 設定の削除には、IPsec の操作メニューから個別に削除する方法と、削除したいIPsec 設定をすべて選択してから削除する方法があります。
IKE と SA のそれぞれで削除することが可能です。ここでは IKE を例に説明しています。
IPsec 設定を個別に削除する
IPsec 設定の操作メニューから削除を選択する方法です。
IPsec 設定が削除されます。
IPsec 設定を複数選択して削除する
削除したい IPsec 設定にチェックを付けてから削除する方法です。複数の IPsec 設定を一括で削除する際に便利です。IPsec 設定を1つだけ選択して削除することもできます。
IPsec 設定が削除されます。
