gentun コマンド
目的
トンネル・データベースにトンネル定義を作成します。
構文
gentun -s src_host_IP_address -d dst_host_IP_address -v 4|6 [-t tun_type] [ -m pkt_mode] [-t IBM®] [-t manual] [-m tunnel] [-m transport] [-f fw_address] [-x dst_mask]] [ -e [src_esp_algo]] [-a [src_ah_algo]] [-p src_policy] [-A [dst_ah_algo] ] [-P dst_policy] [-k src_esp_key] [ -h src_ah_key] [-K dst_esp_key] [-H dst_ah_key ] [-n src_esp_spi] [-u src_ah_spi] [ -N dst_esp_spi] [-U dst_ah_spi] [-b src_enc_mac_algo] [-c src_enc_mac_key ] [-B dst_enc_mac_algo] [-C dst_enc_mac_key] [ -g] [-z] [-E]
説明
gentun コマンドは、 ローカル・ホストとトンネル・パートナー・ホスト間のトンネルの定義を作成します。 トンネルのための関連自動生成フィルター規則は、このコマンドによってオプションとして生成することができます。
フラグ
| 項目 | 説明 |
|---|---|
| -a | IP パケットの認証のために送信元ホストが使用する認証アルゴリズムです。 -a の有効な値は、ホストにインストールされている認証アルゴリズムによって異なります。ipsecstat -A コマンドを出せば、すべての認証アルゴリズムのリストを表示することができます。 デフォルト値は、manual トンネルの場合は HMAC_MD5 です。 |
| -A | (manual トンネルのみ) IP パケット認証のために宛先が使用する認証アルゴリズムです。-A の有効な値は、ホストにインストールされている認証アルゴリズムによって異なります。ipsecstat -A コマンドを出せば、すべての認証アルゴリズムのリストを表示することができます。 このフラグを使用しないと、-a フラグが使用する値が使用されます。 |
| -b | (manual トンネルのみ) 送信元 ESP の認証アルゴリズムです (新しいヘッダー・フォーマットのみ)。-b の有効な値は、ホストにインストールされている認証アルゴリズムによって異なります。 ipsecstat -A コマンドを出せば、すべての認証アルゴリズムのリストを表示することができます。 |
| -B | (manual トンネルのみ) 宛先 ESP の認証アルゴリズムです (新しいヘッダー・フォーマットのみ)。 -B の有効な値は、ホストにインストールされている認証アルゴリズムによって異なります。ipsecstat -A コマンドを出せば、すべての認証アルゴリズムのリストを表示することができます。 このフラグを使用しないと、-b フラグと同じ値に設定されます。 |
| -c | (manual トンネルのみ) 送信元 ESP の認証キーです (新しいヘッダー・フォーマットのみ)。 この値は「0x」で始まる 16 進文字列でなければなりません。このフラグを使用しないと、システムがフラグを生成します。 |
| -C | (manual トンネルのみ) 宛先 ESP の認証キーです (新しいヘッダー・フォーマットのみ)。 この値は「0x」で始まる 16 進文字列でなければなりません。このフラグを使用しないと、-c フラグと同じ値に設定されます。 |
| -d | 宛先ホストの IP アドレス。 ホスト - ホストの接続の場合、これは、トンネルが使用する宛先ホスト・インターフェースの IP アドレスです。 ホスト - ファイアウォール - ホストの接続の場合は、これはファイアウォールの後ろにある宛先ホストの IP アドレスです。ホスト名も有効であり、そのホスト名のネーム・サーバーによって戻される最初の IP アドレスが使用されます。 |
| -e | IP パケットの暗号化のために送信元が使用する暗号化アルゴリズムです。 -e の有効な値は、ホストにインストールされている暗号化アルゴリズムによって異なります。すべての暗号化アルゴリズムのリストを表示するには、ipsecstat -E コマンドを発行します。 |
| -E | (manual トンネルのみ) IP パケット暗号化のために宛先が使用する暗号化アルゴリズムです。-E の有効な値は、ホストにインストールされている暗号化アルゴリズムによって異なります。すべての暗号化アルゴリズムのリストを表示するには、ipsecstat -E コマンドを発行します。このフラグを使用しないと、-e フラグが使用する値が使用されます。 |
| -f | 送信元ホストと宛先ホスト間にあるファイアウォールの IP アドレスです。このホストとファイアウォール間には、トンネルが確立されます。 したがって、対応するトンネル定義はファイアウォール・ホスト上に作成しなければなりません。このフラグにはホスト名が使用される場合もあり、そのホスト名のネームサーバーにより戻される最初の IP アドレスが使用されます。 |
| -g | システム自動生成フィルター規則フラグです。 このフラグを使用しないと、コマンドはトンネルのための 2 つのフィルター規則を自動的に生成します。 自動生成フィルター規則では、トンネルの 2 つのエンドポイント間で IP トラフィックがトンネルを通過することができます。 -g フラグを指定すると、コマンドはトンネル定義を作成するだけで、トンネルを作動させるには、ユーザーがユーザー定義のフィルター規則を追加しなければなりません。 |
| -h | これは、manual トンネル用の AH キー文字列です。この入力は「0x」で始まる 16 進文字列でなければなりません。このフラグを使用しないと、システムが乱数生成プログラムを用いてキーを生成します。 |
| -H | (manual トンネルのみ) 宛先 AH 用のキー文字列です。 この入力は「0x」で始まる 16 進文字列でなければなりません。このフラグを使用しないと、システムが乱数生成プログラムを用いてキーを生成します。 |
| -k | これは、manual トンネル用の ESP キー文字列です。 これは、送信元がトンネルを作成するのに使用します。 この入力は「0x」で始まる 16 進文字列でなければなりません。このフラグを使用しないと、システムが乱数生成プログラムを用いてキーを生成します。 |
| -K | (manual トンネルのみ) 宛先 ESP 用のキー文字列です。 この入力は「0x」で始まる 16 進文字列でなければなりません。このフラグを使用しないと、システムが乱数生成プログラムを用いてキーを生成します。 |
| -l | 分単位で指定されるキー・ライフタイムです。
manual トンネルの場合は、この値は、トンネルが満了するまでの動作可能時間を示します。 manual トンネルの有効な値は 0 から 44640 です。値 0 は、manual トンネルが満了になることがないことを示します。manual トンネルのデフォルト値は 480 です。 |
| -m | セキュア・パケット・モード。
この値は、tunnel または transport として指定する必要があります。デフォルト値は tunnel です。
トンネル・モードは IP パケット全体をカプセル化しますが、トランスポート・モードは IP パケットのデータ部分しかカプセル化しません。ホスト - ファイアウォール - ホストのトンネルを生成するとき (ファイアウォールの後ろにホストがある場合) は、このフラグに tunnel の値を使用しなければなりません。
-f フラグを指定すると、-m フラグは、強制的にデフォルト値 (tunnel) を使用するようになります。 |
| -n | (manual トンネルのみ) 送信元 ESP のセキュリティー・パラメーター索引です。これは、宛先 IP アドレスと一緒になって、ESP を使用するパケットに使用するセキュリティー・アソシエーションを識別する数値です。このフラグを使用しないと、代わりにシステムが SPI を生成します。 |
| -N | (manual トンネルのみ) 宛先 ESP のセキュリティー・パラメーター索引です。 -P フラグに指定されたポリシーに ESP が含まれている場合は、 manual トンネルでこの索引を組み込まなければなりません。このフラグは、IBM トンネルには適用されません。 |
| -p | このホストが IP パケット認証または暗号化 (あるいはその両方) をどのように使用するかを識別する送信元ポリシーです。ea と指定すると、IP パケットは認証前に暗号化されます。 ae と指定された場合は IP パケットは認証後に暗号化されますが、e だけの指定もしくは a だけの指定は、IP パケットが暗号化されるだけか、あるいは認証されるだけと同じです。このフラグのデフォルト値は、-e と -a フラグが指定されたかどうかによって決まります。-e と -a フラグのどちらかが指定されたか、 どちらも指定されなかったかにより、デフォルト・ポリシーは ea になります。 それ以外では、ポリシーは -e と -a フラグのどちらが指定されたかを反映します。 |
| -P | (manual トンネルのみ) 宛先ポリシー。宛先が IP パケット認証または暗号化 (あるいはその両方) をどのように使用するかを識別します。ea と指定すると、IP パケットは認証前に暗号化されます。 これを ae と指定すると、認証後に暗号化されます。ただし、e または a と指定した場合には、暗号化のみ、または、認証のみが IP パケットに対して行われます。-E と -A フラグのどちらかが指定されたか、 どちらも指定されなかったかにより、デフォルト・ポリシーは ea になります。それ以外では、ポリシーは -E と -A フラグのどちらが指定されたかを反映します。 |
| -s | 送信元ホスト IP アドレス。トンネルが使用するローカル・ホスト・インターフェースの IP アドレスです。ホスト名も有効であり、そのホスト名のネーム・サーバーによって戻される最初の IP アドレスが使用されます。 |
| -t | トンネルのタイプです。
manual と指定する必要があります。
manual トンネルを使用するときは、初期トンネル・キーとそれ以降のキー更新を手動で行う必要があります。キーを手動でインストールしたら、それを手動で変更するまで、すべてのトンネル操作に同じキーが使用されます。 manual トンネル値は、IBM 以外のセキュリティー・ホストまたは IP バージョン 6 エンドポイントでトンネルを構成したいときに選択する必要があります。この場合、IP トンネルの新しい IP セキュリティーのカプセル化フォーマットに関して、エンドポイントは RFC 1825-1829 か IETF ドラフトをサポートしています。 |
| -u | (manual トンネルのみ) 送信元 AH のセキュリティー・パラメーター索引です。AH に使用するセキュリティー・アソシエーションを決めるため、SPI と宛先 IP アドレスを使用してください。このフラグを使用しないと、-n SPI の値が使用されます。 |
| -U | (manual トンネルのみ) 宛先 AH のセキュリティー・パラメーター索引です。このフラグを使用しないと、-N spi の値が使用されます。 |
| -v | トンネルを作成する場合の IP のバージョンです。 IP バージョン 4 トンネルの場合は 4 の値を使用します。IP バージョン 6 トンネルの場合は 6 の値を使用します。 |
| -x | ファイアウォールの後ろにあるセキュア・ネットワークのネットワーク・マスクです。
宛先ホストはセキュア・ネットワークのメンバーです。-d と -x を組み合わせると、送信元ホストは、送信元とファイアウォール間のトンネルを介してセキュア・ネットワーク内の複数のホストと通信できます (ただし、セキュア・ネットワークはトンネル・モードでなければなりません)。
このフラグは、-f フラグが使用されている場合に限り有効です。 |
| -y | (manual トンネルのみ) 再生防止フラグです。 再生防止は、ESP または AH ヘッダーが新しいヘッダー・フォーマットを使用している場合に限り有効です (-z フラグを参照)。-y フラグの有効な値は、Y (はい) および N (いいえ) です。このトンネルで使用されるすべてのカプセル化 (AH、ESP、送信、および受信) は、このフラグの値が Y の場合に、再生フィールドを使用します。デフォルト値は N です。 |
| -z | (manual トンネルのみ) 新しいヘッダー・フォーマット・フラグです。 新規ヘッダー・フォーマットは、再生防止のために ESP および AH ヘッダー内にフィールドを保存し、 また、ESP 認証も許可します。再生フィールドが使用されるのは、 再生フラグ (-y) が Y に設定される 場合だけです。-z フラグの 有効な値は Y (はい) と N (いいえ) です。-z フラグが使用されないときの デフォルト値は、トンネルに選んだアルゴリズムによって 決まります。-a か -A フラグで KEYED_MD5 以外の アルゴリズムが使用されるか、あるいは -b か -B フラグが 使用される場合以外は、この値のデフォルト値は N です。 |
セキュリティー
RBAC ユーザーおよび Trusted AIX ユーザーへの注意: このコマンドは特権命令を実行できます。 特権命令を実行できるのは特権ユーザーのみです。 権限および特権についての詳細情報は、「セキュリティー
」の『特権コマンド・データベース』を参照してください。 このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。