SAで使用するSPI値に対して、ANDマスクとORマスクを設定します。
マスクされたSPI値は、装置内でユニークとなるように管理されます。
SPI-AND マスクは 1 を指定したビットを16個以上、SPI-ORマスクは 1 を指定したビットが SPI-ANDマスクでは 0 となるように設定してください。
正しく設定していない場合、該当group-security policyが無効となりますのでご注意ください。
また、マルチポイントSA クライアントがFITELnet FX1の場合、以下の2つの条件にあてはまるよ う設定を行ってください。条件を満たさない場合、クライアントのFX1においてIPsecの復号化が正 常に行われないことがあります。
1:同一のクライアントに配布するSPIの下位16bit がマルチポイントSAサーバ毎に異なること
2:SPIの下位17bit目が 1 であること(00010000)
refreshコマンド後に有効になるコマンドです。
IKEv2専用コマンド
V01.10(00)以降サポート
Router(config)#crypto ipsec group-security policy MPSA1
Router(config-gr-sec)#spi mask hex 00ffffff 01000000
spi mask hex <SPI-ANDマスク> <SPI-ORマスク>
パラメータ 設定内容 設定範囲 省略時の値 SPI-ANDマスク マルチポイントSAのSPI値が特定の範囲をとるように、乱数となるビットを1、SPI-ORマスクで指定されるビットを0として、HEXで指定します。 最大8桁の16進数 省略不可 SPI-ORマスク マルチポイントSAのSPI値が特定の範囲をとるように、SPI-ORマスクで0指定されたビットに格納される値を指定します。 最大8桁の16進数 省略不可
マスクは適用されず、マルチポイントSAのSPI値の範囲が任意となります。
グループ鍵IPsec設定モード