ike コマンド
目的
Internet Key Exchange プロトコル (ISAKMP/Oakley) を使用して、IP セキュリティー動的トンネルを開始、停止、およびモニターします。
構文
ike cmd= Subcommand [ parameter ... ]
説明
IKE ネゴシエーションには 2 つのフェーズがあります。 最初のフェーズは両者を認証し、 ネゴシエーション中に渡されたデータを保護するためのキー管理 (フェーズ 1 としても知られる) セキュリティー関連付けを設定します。 このフェーズで、ネゴシエーション・メッセージを保護するためにキー管理ポリシーが使用されます。 2 番目のフェーズは、データ管理 (フェーズ 2 としても知られる) セキュリティー関連付けのネゴシエーションを行い、ここではデータ管理ポリシーを使用して、 データ・パケットのカプセル化とカプセル解除を行うための IP セキュリティー・トンネルをカーネル内に設定します。 2 つのホスト間の複数のデータ管理ネゴシエーションを保護するため、フェーズ 1 で設定されたセキュア・チャネルが使用できます。
ike コマンドは、ikedb コマンドを使用して既に入力されている ID およびポリシーの情報によりトンネルを活動化するために使用されます。 ネゴシエーション中に使用されるパラメーターは、ユーザーにより入力され、データベースに保管されます。 ike コマンドは、データベースに保管されたセキュリティー・パラメーターを使用して開始したトンネルを、始動、除去、およびリストすることができます。
ike コマンドの使用はほとんどの場合、起動と削除が両方のフェーズで行われますが、これらの操作を別々に行うこともできます。
サブコマンド
- activate
-
activate コマンド
項目 説明 目的 IKE トンネルのネゴシエーションを開始します。フェーズを指定しないと、フェーズ 1 トンネルとフェーズ 2 トンネルの両方が開始されます。 IP アドレスを指定すると、この IP アドレスを使用してトンネルがセットアップされます。ネゴシエーション中に使用される ID が IP アドレスでない場合は、ikedb コマンドを使用して、ローカルおよびリモートのホスト ID を入力する必要があります。 固有なトンネル番号が作成されます。トンネルは ike コマンドでトンネル番号を指定して参照し、開始する特定のトンネルを示すことができます。 構文 ike cmd=activate [ phase=1|2 ] [numlist=tunnel_num_list] [ namelist=tunnel_name_list ] [ remid=remote_id ] [ipaddr=src_addr,dst_addr] [autostart] 説明 activate サブコマンドは 2 つのフェーズ・パラダイムを使用します。フェーズ 2 トンネルを開始するには、フェーズ 1 トンネルが設定されている必要があります。 フェーズ 1 トンネルを指定すると、フェーズ 1 トンネルのネゴシエーションだけが行われます。 フェーズ 2 トンネルを指定すると、システムは対応するフェーズ 1 トンネルの存在を検査してからフェーズ 2 トンネルを作成します。フェーズ 1 ネゴシエーションが開始されていない場合は、自動的に開始されます。 フェーズ 2 トンネルが正常終了すると、トンネル定義と対応するフィルター・ルールが IP セキュリティー・カーネルに挿入され、新しいトンネルが活動開始されます。 トンネル定義で記述された、指定のエンドポイント間で引き渡されるトラフィックは、関連している IKE セキュリティー・ポリシーで指示された暗号化と認証アルゴリズムにより保護されます。
同じフェーズ 1 トンネルの下で複数のフェーズ 2 トンネルを開始することができます。 このことは、例えば 2 つのエンドポイント間の異なるタイプのトラフィックが、異なるセキュリティー保護のレベルを必要とするような場合に役立ちます。 フェーズ 1 トンネルに使用されるセキュリティー関連付けは、複数のフェーズ 2 トンネルで共有することができます。 フェーズ 2 トンネルはそれぞれトラフィックのタイプを指定し (例えば、プロトコルとポートで、またはサブネット・マスクで)、これらを保護する別のセキュリティー・ポリシーを持つことができます。
ike コマンドは、ネゴシエーションが開始されたか、エラーが返されたか、トンネルが既に存在するかを戻します。 ネゴシエーション中にリモート・ホストと連絡する必要があり、またネゴシエーションの完了に必要な時間は不定なので、 list サブコマンドを使用して、ネゴシエーションが正常終了したかどうかを判別する必要があります。
ネゴシエーション処理中に検出されたエラーは、syslog を使用して調べることができます。
フラグ - phase
- 必要なネゴシエーションのタイプを指定します。 省略すると、activate サブコマンドはフェーズ 1 トンネルとフェーズ 2 トンネルの両方を起動します。phase フラグはオプションのフラグです。
- numlist
- ike トンネル番号を開始し、これは開始したいフェーズ 1 トンネルまたはフェーズ 2 トンネルに対応します。
, (コンマ) と - (ダッシュ) 文字は、値を区切り、範囲を示すために使用できます。
list サブコマンドにデータベース・オプション db を指定すると、特定のトンネルのトンネル番号を知るために使用できます。
トンネル番号を使用した例を次に示します。
ike cmd=activate numlist=1,3,5-7
これによりトンネル 1、3、5、6、および 7 が開始されます。
- remid
- ローカル ID から指定されたリモート ID
にフェーズ 1 トンネルまたはフェーズ 2 トンネル (複数可) を開始します。
remid には、フェーズ 1 ID (IP アドレス、FQDN、ユーザー FQDN および X500DN
など)、フェーズ 2 ID (IP アドレス、サブネットおよび IP アドレス範囲など) またはグループ ID
を指定できます。サブネット ID とサブネット・マスクの区切り、および IP
アドレスの開始と終了には , (コンマ) を使用します。
remid がグループ名の場合には、それぞれのグループ・メンバーごとにトンネルが開始されます。
remid は、オプショナル・フラグであり、activate
サブコマンドと併用の場合のみ使用できます。これは、ipaddr フラグ、numlist
フラグ、または namelist フラグと共に使用することはできません。
- リモート IP アドレス 9.3.97.100 へのフェーズ 1 トンネルを活動化するには、次のように入力します。
ike cmd=activate phase=1 remid=9.3.97.100
- リモート・サブネット ID 9.3.97.100,255.255.255.0 へのフェーズ 2 トンネルを活動化するには、次のように入力します。
ike cmd=activate phase=2 remid=9.3.97.100,255.255.255.0
- リモート IP アドレス 9.3.97.100 へのフェーズ 1 トンネルを活動化するには、次のように入力します。
- ipaddr
- 指定された IP アドレス間のフェーズ 1 トンネルまたはフェーズ 2 トンネルを開始します。
- autostart
- autostart パラメーター・セットを使用して作成された、すべてのフェーズ 1 トンネルとフェーズ 2 トンネルのデータベース・エントリーを起動します。 autostart フラグは、activate サブコマンドに関連した他のすべてのフラグとは一緒に働きません。
- namelist
- アクティブにするトンネル名またはコンマで区切られたトンネル名のリストを指定します。 このフラグを使用するには、phase フラグを使用する必要があります。
例 - 送信元 IP アドレス x.x.x.x と宛先 IP アドレス y.y.y.y の間のフェーズ 2 トンネルを起動するには、次のように入力します。
ike cmd=activate phase=2 ipaddr=x.x.x.x,y.y.y.y
IP アドレス x.x.x.x と y.y.y.y 用のデータベースに指定されたセキュリティー・ポリシーが、トンネルをアクティブにするために使用されます。
- トンネル 1 と 2 のフェーズ 1 トンネルをアクティブにするには、次のように入力します。
ike cmd=activate phase=1 numlist=1,2
- データベース内の AIXFW1_DM および remote_office
という名前の非活動状態のトンネルのフェーズ 2 トンネルを活動化するには、次のように入力します。
ike cmd=activate phase=2 namelist=AIXFW1_DM,remote_office
注: 各フェーズ 2 トンネルには関連したフェーズ 1 トンネルが必要であるため、フェーズ 2 トンネルをアクティブにする前にフェーズ 1 トンネルが自動的にアクティブにされます。
- list
-
list コマンド
項目 説明 目的 IP セキュリティーのトンネルの状況をフェーズ別にモニターします。また、IKE データベース内に定義されたトンネル・エントリーを表示するためにも使用されます。 構文 ike cmd=list [phase=1|1+|2] [numlist= tunnel_num_list] [db | role=i|r] [verbose] 説明 list サブコマンドはトンネル・マネージャーを照会し、照会の結果にしたがって、フェーズ 1 トンネルとフェーズ 2 トンネルの状況と情報をリストします。 このコマンドは、トンネル定義データベース内の情報を表示するためにも使用できます。デフォルトの動作は、現在アクティブなトンネルをリストすることです。 データベース内のトンネルをリストするには、db オプションを使用する必要があります。 フラグ - phase
- リストするトンネルのタイプと順序を指定します。1 のフェーズ値を指定すると、要求したフェーズ 1 トンネル情報だけが表示されます。 2 のフェーズ値を指定すると、要求したフェーズ 2 トンネルの情報と関連フェーズ 1 トンネルの情報が表示されます。 1+ のフェーズ値は、要求したフェーズ 1 トンネルおよび、すべての関連フェーズ 2 トンネルの表示を意味します。デフォルトのフェーズ値は 1+ です。
- numlist
- 表示したいトンネル番号のリストです。省略すると、すべてのトンネルからの情報が表示されます。
, (コンマ) と - (ダッシュ) 文字は、値を区切り、範囲を示すために使用できます。
例:
ike cmd=list numlist=1,3,5-7
db と組み合わせて使用すると、IKE セキュリティー・ポリシー・データベースからトンネルが表示されます。注: アクティブなトンネル番号と、IKE トンネル定義データベースからのトンネル番号は必ずしも一致しません。 これは、データベース内の単一のトンネル・エントリーは複数のアクティブ・トンネルに対応できるからです。
- db
- データベース内のエントリーを表示します。このフラグを省略すると、アクティブなトンネルだけが表示されます。これは role と併用することはできません。 表示したいトンネル番号のリストを指定します。
- ロール
- 開始した場所でトンネルを表示できるようにします。i を指定すると、ローカル・ホストで開始されたトンネルが表示されます。 r を指定すると、ローカル・ホストが応答側として働くトンネルが表示されます。 このフラグを省略すると、起動側と応答側の両方のトンネルが表示されます。このフラグは db と併用することはできません。
- verbose
- 指定されたトンネルの拡張情報を表示します。このフラグを指定しないと、各トンネルの簡潔なエントリーだけが表示されます。
例 注: データベースからのトンネル番号と、トンネル・マネージャーからのトンネル番号は、必ずしも同じトンネルを反映していません。- トンネル・マネージャー内のエントリーを使用して、フェーズ 1 トンネルを簡潔 (短縮) フォーマットでリストするには、次のように入力します。
ike cmd=list phase=1 numlist=1,2,3
これらのトンネルは、ネゴシエーション中であるか、アクティブ状態であるか、または有効期限切れです。トンネル 1、2、3 だけがリストされます。 トンネルは起動側のロール、または応答側のロールのいずれも可能です。
- データベース内の指定されたフェーズ 2 トンネルを、その前に関連フェーズ 1 トンネルを付けて簡潔 (短縮) フォーマットでリストするには、次のように入力します。
ike cmd=list phase=2 numlist=1-3 db
これらはデータベース内で定義されているトンネルであり、現在トンネル・マネージャー内でアクティブである場合も、アクティブでない場合もあります。 データベース内のすべてのトンネルは、起動側のロールでのみ使用されます。
- トンネル・マネージャーから、フェーズ 1 トンネルの後に関連するすべてのフェーズ 2 トンネルを続けて、詳細 (長いフォーマット) でリストするには、次のように入力します。
ike cmd=list phase=1+ role=r verbose
応答側のロールで起動されたトンネルだけがリストされます。numlist が指定されていないので、すべての使用可能なトンネル番号がリストされます。
- 削除
-
remove コマンド
項目 説明 目的 指定されたフェーズ 1 トンネルまたはフェーズ 2 トンネル (複数可) を非活動化します。 構文 ike cmd=remove [phase=1|2] [numlist= tunnel_num_list ] [all] 説明 remove サブコマンドは、フェーズ 1 トンネルまたはフェーズ 2 トンネルの非活動化を要求します。 フェーズ 2 トンネルはフェーズ 1 トンネルに関連付けられているため、フェーズ 1 トンネルを非活動化すると、そのフェーズ 1 トンネルの下にあるすべてのフェーズ 2 トンネルは、フェーズ 2 トンネルのライフタイムの有効期限が切れた時にリフレッシュされません。 フラグ - phase
- 非活動化するトンネルのフェーズを示します。これは指定する必要があります。フェーズ値 1 は、フェーズ 1 トンネルを示し、フェーズ値 2 はフェーズ 2 トンネルを示します。
- numlist
- 非活動化したいトンネル番号をリストします。, (コンマ) と - (ダッシュ) 文字は、値を区切り、範囲を示すために使用できます。
例:
ike cmd=remove phase=1 numlist=1,3,5-7
numlist を省略すると、すべてのトンネルが非活動化されます。
- all
- すべてのアクティブ・トンネルを非活動化します。このパラメーターは numlist と一緒には機能しません。
例 - フェーズ 1 トンネルの番号 1、2、および 3 を非活動化するには、次のとおり入力します。
ike cmd=remove phase=1 numlist=1-3
- すべてのフェーズ 1 トンネルとフェーズ 2 トンネルを非活動化するには、次のとおり入力します。
ike cmd=remove all
- すべてのフェーズ 2 トンネルを非活動化するが、フェーズ 1
トンネルはすべて活動状態で保存するには、次のとおり入力します。
ike cmd=remove phase=2 all
- すべてのフェーズ 1 トンネルを非活動化するには (対応するフェーズ 2 トンネルはリフレッシュされない)、次のとおり入力します。
ike cmd=remove phase=1 all
- log
表 1. log 項目 説明 目的 /etc/isamkpd.conf から ISAKMP デーモン・ログのレベルを読み、 そのレベルでロギングを開始します。 構文 ike cmd=log 説明 log サブコマンドは、ISAKMP デーモンがログ・レベルを /etc/isakmpd.conf から、そしてファイル名を /etc/syslog.conf から読み取るようにします。指定したロギング・レベル が設定され、ログ出力は、その他の syslog 出力と一緒に指定したファイルに入れられます。 注:- /etc/syslog.conf ファイルのログ・レベルまたは出力ファイル名が変更されている場合は、refresh -s syslogd コマンドの実行または IKE デーモンのリフレッシュによって、
syslogd
サブシステムをリフレッシュすることができます。 IKE デーモンは、refresh -s ike コマンドでリフレッシュできます。 - ISAKMP デーモンには 4 つの有効なロギング・レベルがあります。 その 4 つとは、none、errors、events、および information です。 none はロギングを行わないことを意味し、errors は ISAKMP デーモン・エラーのみのロギングを行うことを意味し、 events はエラーとその他の ISAKMP デーモン・イベントのロギングを行うことを意味し、information は上記のすべてを含む最高水準のロギングを行うこと意味します。
- /etc/syslog.conf ファイルのログ・レベルまたは出力ファイル名が変更されている場合は、refresh -s syslogd コマンドの実行または IKE デーモンのリフレッシュによって、
セキュリティー
ファイル
項目 | 説明 |
---|---|
/usr/sbin/ike | ike admin コマンドの場所。 |
/etc/isakmpd.conf | iksakmpd デーモンの構成ファイル。 |
/etc/syslog.conf | syslogd デーモンの構成情報を提供します。 |