IPsec/IKEセキュリティ設定

この機能を利用できるかどうかは、現在のアカウントで有効になっているサービスクォータによって異なります。

Psec/IKEセキュリティパラメータの詳細を次の表に示します。

パラメータ 説明
暗号化アルゴリズム 転送中のデータが見えないようにするために使用される暗号化アルゴリズムです。デフォルト設定では、すべてのアルゴリズムが選択されています。各IKEフェーズを対象とするローカルゲートウェイデバイスで、選択されたアルゴリズムのうち少なくとも1つを構成する必要があります。
ハッシュアルゴリズム データのインテグリティと真正性を検証するために使用されるハッシュアルゴリズムです。デフォルト設定では、すべてのアルゴリズムが選択されています。各IKEフェーズを対象とするローカルゲートウェイデバイスで、選択されたアルゴリズムのうち少なくとも1つを構成する必要があります。
ディフィーヘルマン群数

ディフィーヘルマン群数により、インターネット鍵交換(IKE)プロセスで使用される鍵の強度を定義します。

群位数が高いほど安全ですが、鍵の算出に要する時間は長くなります。

デフォルト設定では、すべての群が選択されています。各IKEフェーズを対象とするローカルゲートウェイデバイスで、選択された群のうち少なくとも1つを構成する必要があります。

ライフタイム(秒)

ライフタイム値により、ネゴシエーションが成功してから有効期限が切れるまでの、ユーザーパケットの暗号化/認証鍵のセットを持つ接続インスタンスの持続時間を決定します。

フェーズ1の範囲:900-28800秒(デフォルトでは28800秒)。

フェーズ2の範囲:900-3600秒(デフォルトでは3600秒)。

フェーズ2のライフタイムは、フェーズ1のライフタイムより短くする必要があります。

接続は、期限が切れるまでにキー設定チャネルを通じて再ネゴシエートされます。「キー再設定のマージン時間」を参照してください。ローカルサイドとリモートサイドでライフタイムが一致しない場合、ライフタイムが長い方のサイドで優先されたコネクションのクラッタが発生します。「キー再設定のマージン時間」「キー再設定ファズ」も参照してください。

キー再設定のマージン時間(秒) VPN接続のローカル側で交換のネゴシエートを試行する際に、接続の有効期限またはキー設定チャネルの有効期限に設けられるマージン時間。キー再設定の正確な時間は、キー再設定ファズの値に基づいてランダムに選択されます。これはローカルにのみ関係します。リモート側でこれに同意する必要はありません。範囲:900-3600秒。デフォルト値は3600です。
リプレイウィンドウサイズ(パケット)

この接続に対応するIPsecのリプレイウィンドウサイズです。

デフォルトの-1にすると、strongswan.confファイルのcharon.replay_windowで設定される値を使用します。

32より大きな値は、Netlinkバックエンドを使用する際にのみサポートされます。

値を0にすると、IPsecリプレイ保護が無効になります。

キー再設定ファズ(%)

マージンバイト、マージンパケット、マージン時間をランダムに増加させて、キー再設定の間隔をランダムにする最大パーセンテージです(接続数の多いホストでは重要)。

キー再設定ファズ値は、100%を超過する場合があります。ランダムで増加させた後に、marginTYPEの値がlifeTYPEの値を超えてはいけません。TYPEには、bytes、packets、timeのいずれかが入ります。

値を0%にすると、ランダム化が無効になります。これはローカルにのみ関係します。リモート側でこれに同意する必要はありません。

DPDタイムアウト(秒) デッドピア検出(DPD)タイムアウトが発生した後の時間です。値は30より上で指定できます。デフォルト値は30です。
デッドピア検出(DPD)タイムアウトアクション

デッドピア検出(DPD)タイムアウトが発生した後に実行するアクションです。

再起動: DPDタイムアウトが発生したときに、セッションを再起動します。

クリア: DPDタイムアウトが発生したときに、セッションを終了します。

指定しない: DPDタイムアウトが発生したときのアクションを指定しません。

起動アクション

どちらの側から接続を開始してVPN接続のトンネルを確立するかを決定します。

追加: ローカルVPNゲートウェイから接続を開始します。

開始: クラウドVPNゲートウェイから接続を開始します。

ルート:ルートオプションをサポートするVPNゲートウェイに適しています。トンネルは、ローカルのVPNゲートウェイまたはクラウドのVPNゲートウェイのいずれかから開始されたトラフィックが存在する場合にのみ起動します。