IPsec ポリシー

IPsec (インターネットプロトコルセキュリティ) のポリシーには、IKE (インターネットキー交換) 用の暗号化設定および認証設定を指定します。

このポリシーは、IPsec または L2TP 接続の設定時に使用します。デフォルトのポリシーは、一般的な VPN の導入シナリオに対応しています。

  • ポリシーを複製するには、「複製」ボタン をクリックします。
ヒント IPsec VPN 接続のハードウェアアクセラレーションは、XG 125 Rev. 3、XG 135 Rev. 3、および XG 750 アプライアンスモデルで使用できます。この機能はデフォルトでオンになっています。オフにするには、コマンドラインコンソールで操作します。

全般設定

鍵交換
使用する IKE (Internet Key Exchange) のバージョン。IKEv2 は IKEv1 より帯域使用量が少ないほか、EAP 認証と NAT トラバーサルに対応しているなど、機能が向上しています。
認証モード
認証 (フェーズ 1) 情報の交換モード。
鍵のネゴシエーションの試行回数
鍵のネゴシエーションを試行する最大回数。
鍵の再入力を許可
現在の鍵が期限切れになる前にピアのいずれかが自動的にネゴシエーションを開始することを許可します。
圧縮形式でデータをパスする
スループットを増加するため、圧縮形式でデータを転送します。
SHA2 (96ビット切り捨て)
IKEv1 でのみ利用可能。SHA2 の 96 ビット切り捨てを有効にします。

フェーズ 1

鍵の有効期間
鍵の有効期間 (秒単位)。
鍵の再入力マージン
鍵の有効期間の残り時間 (秒単位)。ここで指定した秒数に達すると、ネゴシエーションプロセスが再試行されます。
鍵の再入力マージンをランダム化する割合:
鍵の再入力マージンをランダム化する因子。
DH グループ
Diffie–Hellman 暗号化に使用するグループ。
アルゴリズムの組み合わせ
暗号化アルゴリズムと認証アルゴリズムの組み合わせ。この組み合わせにより、データ交換の整合性を保ちます。

フェーズ 2

PFS グループ
各フェーズ 2 トンネルに新しい鍵交換を強制するために使用される Perfect Forward Secrecy グループ (Diffie–Hellman グループ)。
鍵の有効期間
鍵の有効期間 (秒単位)。
アルゴリズムの組み合わせ
暗号化アルゴリズムと認証アルゴリズムの組み合わせ。この組み合わせにより、データ交換の整合性を保ちます。

デッドピア検知

デッドピア検知
指定された間隔ごとに、ピアが有効かどうかを確認します。
次の後にピアを確認する:
ピアの確認を行う間隔 (秒)。
次まで応答を待つ:
ピアの応答を待機する時間 (秒)。
ピアが到達不可能な場合
ピアが非アクティブであると判定したときに実行する処理。