例:ユニキャストキー更新メッセージ用のグループ VPNv2 サーバーメンバー通信の構成
この例では、サーバーからユニキャストキー更新メッセージをグループメンバーに送信できるようにして、グループメンバー間のトラフィックを暗号化するために有効なキーを使用できるようにする方法について説明します。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。
要件
開始する前に:
IKE フェーズ1ネゴシエーション用にグループサーバーとメンバーを構成します。
グループサーバーと IPsec SA のメンバーを構成します。
グループサーバー上g1のグループを構成します。
概要
この例では、グループg1に対して次のようなサーバーメンバーの通信パラメーターを指定します。
サーバーは、グループメンバーにユニキャストキー更新メッセージを送信します。
aes-128-cbc は、サーバーとメンバー間のトラフィックを暗号化するために使用されます。
sha-256 は、メンバー認証に使用されます。
デフォルト値は、KEK の有効期間と再伝送に使用されます。
構成
ステップごとの手順
次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、Using the CLI Editor in Configuration Modeを参照してください。
サーバーメンバー通信を構成するには、次のようにします。
- 通信タイプを設定します。[edit security group-vpn server group g1 server-member-communication]user@host# set communications-type unicast
- 暗号化アルゴリズムを設定します。[edit security group-vpn server group g1 server-member-communication]user@host# set encryption-algorithm aes-128-cbc
- メンバー認証を設定します。[edit security group-vpn server group g1 server-member-communication]user@host# set sig-hash-algorithm sha-256
検証
構成が正常に機能していることをshow security group-vpn server group g1 server-member-communication確認するには、コマンドを入力します。