コンテンツにスキップ

IPsec プロファイルの追加

  1. プロファイル > IPsec プロファイル」に移動し、「追加」をクリックします。
  2. 名前を入力します。

  3. 全般設定を指定します。

    オプション 説明
    鍵交換 使用する IKE (Internet Key Exchange) のバージョン。IKEv2 は IKEv1 より帯域使用量が少ないほか、EAP 認証と NAT トラバーサルに対応しているなど、機能が向上しています。
    認証モード 認証 (フェーズ 1) 情報の交換モード。メインモード: Diffie–Hellman 鍵交換を 3回の双方向交換によって実行します。アグレッシブモード: Diffie–Hellman 鍵交換を 3つのメッセージで実行します。この方法では、認証の際に交換されるメッセージ数が少なく、また、認証情報を暗号化する暗号アルゴリズムが使用されないので、メインモードよりもすばやくトンネルを確立できます。リモートピアがダイナミック IP アドレスを持つ場合は、このオプションを使用してください。

    アグレッシブモードは安全ではないので、推奨されません。
    鍵のネゴシエーションの試行回数 鍵のネゴシエーションを試行する最大回数。
    鍵の再入力を許可 鍵を再入力できるようにし、鍵の有効期限が切れる前にネゴシエーションプロセスを自動的に開始します。ネゴシエーションは、ローカルまたはリモートピアのどちらからでも開始できます。ネゴシエーションで同じ鍵を使用するか、新しい鍵を生成するかは、PFS に依存します。このオプションを有効にした場合は、フェーズ 1、2 の鍵の有効期間を設定します。無効にすると、ピアが鍵の再入力リクエストを送信したときのみ、ネゴシエーションプロセスが開始されます。ピアが鍵の再入力をしないよう設定された場合は、鍵の有効期間中、同じ鍵が使用されます。新しい鍵が生成されないため、この構成は安全ではありません。このオプションは、ピアを乗っ取った第三者がセキュリティアソシエーションを使用できる期間を制限することを目的としています。
    圧縮形式でデータをパスする スループットを増加するため、圧縮形式でデータを転送します。
    SHA2 (96ビット切り捨て) IKEv1 でのみ利用可能。SHA2 の 96 ビット切り捨てを有効にします。

  4. フェーズ 1 の設定を指定します。

    オプション 説明
    鍵の有効期間 鍵の有効期間 (秒単位)。
    鍵の再入力マージン 鍵の有効期間の残り時間 (秒単位)。ここで指定した秒数に達すると、ネゴシエーションプロセスが再試行されます。たとえば、鍵の有効期間が 8時間で鍵の再入力マージンが 10分の場合、ネゴシエーションプロセスは 7時間 50分後に開始します。
    鍵の再入力マージンをランダム化する割合: 鍵の再入力マージンをランダム化する因子。たとえば、鍵の有効期間が 8 時間、鍵の再入力マージンが 10 分、ランダム化が 20% に設定されている場合、鍵の再入力マージンは 8 ~12 分となり、ネゴシエーションプロセスはそれに従って開始・終了します。
    DH グループ 暗号化に使用する Diffie–Hellman グループ。グループには、暗号化に使用する鍵の長さを指定します。リモートピアは、同じグループを使用する必要があります。
    アルゴリズムの組み合わせ 暗号化アルゴリズムと認証アルゴリズムの組み合わせ。この組み合わせにより、データ交換の整合性を保ちます。リモートピアは、定義された組み合わせの少なくとも 1つを使用する必要があります。

    認証のアグレッシブモードでは、SA (セキュリティアソシエーション) のネゴシエーションは実行されません。最大 3つの組み合わせを設定して保存できますが、最初の組み合わせのみが保持されます。ポリシーを再度開くと、他の組み合わせは表示されません。

  5. フェーズ 2 の設定を指定します。

    オプション 説明
    PFS グループ フェーズ 2 のトンネルごとに新しい鍵交換を強制する Perfect Forward Secrecy グループ (Diffie–Hellman グループ)。PFS を使用したほうが安全ですが、鍵の更新に時間がかかることがあります。PFS をサポートしていないベンダーもあります。グループを選択する前に、ハードウェアの仕様を確認してください。
    鍵の有効期間 鍵の有効期間 (秒単位)。フェーズ 2 の鍵の有効期間はフェーズ 1 より短くしてください。
    アルゴリズムの組み合わせ 暗号化アルゴリズムと認証アルゴリズムの組み合わせ。この組み合わせにより、データ交換の整合性を保ちます。リモートピアは、定義された組み合わせの少なくとも 1つを使用する必要があります。

    認証のアグレッシブモードでは、SA (セキュリティアソシエーション) のネゴシエーションは実行されません。最大 3つの組み合わせを設定して保存できますが、最初の組み合わせのみが保持されます。ポリシーを再度開くと、他の組み合わせは表示されません。

  6. デッドピア検知の設定を指定します。

    オプション 説明
    デッドピア検知 指定された間隔ごとに、ピアが有効かどうかを確認します。スタティックエンドポイントとの接続では、トンネルは自動的に再ネゴシエートされます。ダイナミックエンドポイントへの接続では、リモート側がトンネルの再ネゴシエーションを行う必要があります。
    次の後にピアを確認する: ピアの確認を行う間隔 (秒)。
    次まで応答を待つ: ピアの応答を待機する時間 (秒)。指定間隔内に応答がない場合、ピアは非アクティブとみなされます。
    ピアが到達不可能な場合 ピアが非アクティブであると判定したときに実行する処理。

  7. 保存」をクリックします。