close

keyboard_arrow_left

Table of Contents Expand all

play_arrow 概要
play_arrow 役割と認証方法の設定
play_arrow 管理クレデンシャルと権限の設定
- 権限のある管理者の関連パスワード規則の理解
- ネットワークデバイス保護プロファイルの設定権限のある管理者
ネットワークタイムプロトコル
play_arrow SSHおよびコンソール接続の設定
play_arrow リモート Syslog サーバーの設定
- Linux システムでの Syslog サーバ設定の例
- 外部 Syslog サーバへのログの転送
play_arrow 監査ログ・オプションの構成
- 評価された構成での監査ログオプションの構成
- サンプルコード構成変更の監査
play_arrow イベントログの構成
play_arrow MACSec の設定
- FIPS モードでの MACSec(Media Access Control Security)について
- MACsecの設定
play_arrow セキュア・ロギング・チャネルの構成
- セキュア・ロギング・チャネルの作成
play_arrow VPN の設定
- Junos OS を搭載したデバイスでの VPN の設定
play_arrow セキュリティフローポリシーの設定
- Junos OS を実行するデバイスのセキュリティフローポリシーについて
play_arrow トラフィックフィルタリングルールの設定
play_arrow ネットワーク攻撃の構成
play_arrow IDP 拡張パッケージの設定
- IDP 拡張パッケージ構成の概要
play_arrow クラスタモードの設定
play_arrow デバイスでのセルフテストの実行
- FIPSセルフテストの理解
- 例:FIPS セルフテストの設定
play_arrow 設定ステートメント

list Table of Contents

keyboard_arrow_right

この機械翻訳はお役に立ちましたでしょうか?

Go to English page

免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

Junos OSを搭載したデバイスでのVPNの設定

date_range 01-Jun-22

arrow_backward

arrow_forward

このセクションでは、以下のIKE認証方法を使用したJunos OSデバイス上のIPsec VPNの構成例について説明します。

Junos OS を実行しているデバイスでの VPN の設定の概要

このセクションでは、以下のIKE認証方法を使用したJunos OSデバイス上のIPsec VPNの構成例について説明します。

IKE認証用の事前共有鍵を使用したIPsec VPNの設定
IKE認証用のRSA署名を使用したIPsec VPNの設定
IKE認証用のECDSA署名を使用したIPsec VPNの設定

図 1 は、このセクションで説明するすべての例で使用されている VPN トポロジーを示しています。ここでは、H0 と H1 はホスト PC、R0 と R2 は IPsec VPN トンネルの 2 つのエンドポイント、R1 は 2 つの異なるネットワーク間でトラフィックをルーティングするルーターです。

メモ：

ルーターR1は、Linuxベースのルーター、ジュニパーネットワークスのデバイス、またはその他のベンダーのルーターです。

図 1: VPNトポロジ VPN Topology

表 1 は、サポートされている IKE プロトコル、トンネルモード、フェーズ 1 ネゴシエーションモード、認証方法またはアルゴリズム、暗号化アルゴリズム、IKE 認証と暗号化(フェーズ 1、IKE プロポーザル)および IPsec 認証と暗号化(フェーズ 2、IPsec プロポーザル)でサポートされる DH グループの完全なリストを示しています。記載されているプロトコル、モード、アルゴリズムは、22.2 R1 S1 コモンクライテリアでサポートされ、必要です。

表 1: VPN の組み合わせマトリックス
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	フェーズ 1 プロポーザル(P1、IKE)
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	認証方法	認証アルゴリズム	DH グループ	暗号化アルゴリズム
IKEv1	メイン	ルート	事前共有キー	SHA-256	グループ14
IKEv2			RSAシグネチャ-2048	SHA-384	グループ19	AES-128-CBC
			ECDSA-シグネチャ-256		グループ20	AES-128-GCM
			ECDSA-シグネチャ-384		グループ24	AES-192-CBC
						AES-256-CBC
						AES-256-GCM

IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	フェーズ 2 プロポーザル(P2、IPsec)
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	認証アルゴリズム	DH グループ(PFS)	暗号化方式	暗号化アルゴリズム
IKEv1	メイン	ルート	hmac-sha1-96	グループ14	特に	3des-cbc
IKEv2			hmac-sha-256-128	グループ19		AES-128-CBC
				グループ20		AES-128-GCM
				グループ24		AES-192-CBC
						AES-192-GCM
						AES-256-CBC
						AES-256-GCM

メモ：

以下のセクションでは、選択したアルゴリズムに対する IKEv1 IPsec VPN の設定例を示します。認証および暗号化アルゴリズムを構成内で置き換えて、ユーザーの望ましい構成を実現できます。IKEv2 IPsec VPN にはコマンドを使用します set security ike gateway <gw-name> version v2-only 。

IKE認証用の事前共有鍵を使用したIPsec VPNの設定
IKE認証用のRSA署名を使用したIPsec VPNの設定
IKE認証用のECDSA署名を使用したIPsec VPNの設定

IKE認証用の事前共有鍵を使用したIPsec VPNの設定

このセクションでは、IKE 認証方法として事前共有キーを使用して、IPsec VPN 向けに Junos OS を実行するデバイスを構成します。IKE または IPsec 認証または暗号化で使用されるアルゴリズムを表 2 に示します

表 2: IKE または IPsec 認証と暗号化
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	フェーズ 1 プロポーザル(P1、IKE)
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	認証方法	認証アルゴリズム	DH グループ	暗号化アルゴリズム
IKEv1	メイン	ルート	事前共有キー	SHA-256	グループ14	AES-256-CBC

IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	フェーズ 2 プロポーザル(P2、IPsec)
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	認証アルゴリズム	DH グループ(PFS)	暗号化方式	暗号化アルゴリズム
IKEv1	メイン	ルート	hmac-sha-256-128	グループ14	特に	AES-256-CBC

メモ：

Junos OS を実行するデバイスでは、IPsec に証明書ベースの認証または事前共有キーが使用されます。TOE では、大文字と小文字、数字、特殊文字を含む最大 255 文字(およびそれに相当するバイナリ)の ASCII 事前共有キーまたはビットベースのキーを使用できます。これらのキーには、!、@、#、$、%、^、&、*、(、および)などの特殊文字が含まれます。デバイスは事前共有テキストキーを受け入れ、IKE交換のハッシュアルゴリズムとして設定されたPRFを使用して、IKEv1のRFC 2409またはIKEv2のRFC 4306に従って、テキスト文字列を認証値に変換します。Junos OS では、事前共有鍵に最低限の複雑さの要件は課されません。したがって、ユーザーは、十分な複雑さの長い事前共有キーを慎重に選択することをお勧めします。

イニシエーターでのIKE認証としての事前共有キーを使用したIPsec VPNの設定
レスポンダーでのIKE認証としての事前共有キーを使用したIPsec VPNの設定

イニシエーターでのIKE認証としての事前共有キーを使用したIPsec VPNの設定

イニシエーターで事前共有キーIKE認証を使用してIPsec VPNを構成するには:

IKEプロポーザルを設定します。

content_copy zoom_out_map
[edit security ike]
user@host# set proposal ike-proposal1 authentication-method pre-shared-keys
user@host# set proposal ike-proposal1 dh-group group14
user@host# set proposal ike-proposal1 authentication-algorithm sha256
user@host# set proposal ike-proposal1 encryption-algorithm aes-256-cbc

ここでは、 ike-proposal1 権限のある管理者によって与えられたIKEプロポーザル名です。

IKEポリシーを設定します。
```
[edit]
user@host# set security ike policy ike-policy1 mode main
user@host# set security ike policy ike-policy1 proposals ike-proposal1
user@host# prompt security ike policy ike-policy1 pre-shared-key ascii-text 
New ascii-text (secret):
Retype new ascii-text (secret):
```
ここで、は IKE ポリシー名でありike-proposal1、 ike-policy1 は承認された管理者によって与えられた IKE プロポーザル名です。プロンプトが表示されたら、事前共有キーを入力して再入力する必要があります。たとえば、事前共有キーCertSqa@jnpr2014はになります。

事前共有鍵は、16 進形式で入力することもできます。例えば：
```
[edit]
user@host# prompt security ike policy ike-policy1 pre-shared-key hexadecimal
New hexadecimal (secret):
Retype new hexadecimal (secret):
```
ここで、16 進数の事前共有鍵 cc2014bae9876543はになります。

IPsecプロポーザルを設定します。

content_copy zoom_out_map
[edit security ipsec]
user@host# set security proposal ipsec-proposal1 protocol esp 
user@host# set security proposal ipsec-proposal1 authentication-algorithm hmac-sha-256-128
user@host# set security proposal ipsec-proposal1 encryption-algorithm aes-256-cbc

ここでは、 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。

IPsecポリシーを設定します。
```
[edit security ipsec]
user@host# set security policy ipsec-policy1 perfect-forward-secrecy keys group14
user@host# set security policy ipsec-policy1 proposals ipsec-proposal1
```
ここで、は IPsec ポリシー名であり、 ipsec-policy1 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。
IKEを設定します。
```
[edit security ike]
user@host# set gateway gw1 ike-policy ike-policy1
user@host# set gateway gw1 address 192.0.2.8
user@host# set gateway gw1 local-identity inet 192.0.2.5
user@host# set gateway gw1 external-interface ge-0/0/2
```
ここで、は IKE ゲートウェイ名、 gw1 192.0.2.8 はピア VPN エンドポイント IP、はローカル VPN エンドポイント IP、 192.0.2.5 ge-0/0/2 は VPN エンドポイントとしてのローカルアウトバウンドインターフェイスです。IKEv2 の場合は、以下の追加構成も必要です

VPN を構成します。

content_copy zoom_out_map
[edit]
user@host# set security ipsec vpn vpn1 ike gateway gw1
user@host# set security ipsec vpn vpn1 ike ipsec-policy ipsec-policy1
user@host# set security ipsec vpn vpn1 bind-interface st0.0
user@host# set routing-options static route 192.0.2.10/24 qualified-next-hop st0.0 preference 1

ここでは、 vpn1 は許可された管理者によって与えられたVPNトンネル名です。

アウトバウンドフローポリシーを設定します。

content_copy zoom_out_map
[edit security policies]
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit 
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then session-close 

ここで、とは事前設定されたセキュリティゾーンであり、 trustZone trustLan と untrustZone はuntrustLan事前設定されたネットワークアドレスである。

インバウンドフローポリシーを設定します。

content_copy zoom_out_map
[edit security policies]
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application any
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then permit
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init 
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-close 

ここで、とは事前設定されたセキュリティゾーンであり、 trustZone trustLan と untrustZone はuntrustLan事前設定されたネットワークアドレスである。

設定をコミットします。
```
user@host# commit
```

レスポンダーでのIKE認証としての事前共有キーを使用したIPsec VPNの設定

レスポンダーで事前共有キーIKE認証を使用してIPsec VPNを構成するには:

IKEプロポーザルを設定します。

content_copy zoom_out_map
[edit security ike]
user@host# set proposal ike-proposal1 authentication-method pre-shared-keys
user@host# set proposal ike-proposal1 dh-group group14
user@host# set proposal ike-proposal1 authentication-algorithm sha256
user@host# set proposal ike-proposal1 encryption-algorithm 3des-cbc

メモ：

ここでは、 ike-proposal1 権限のある管理者によって与えられたIKEプロポーザル名です。

IKEポリシーを設定します。
```
[edit]
user@host# set security ike policy ike-policy1 mode main
user@host# set security ike policy ike-policy1 proposals ike-proposal1
```
メモ：
ここで、は IKE ポリシー名でありike-proposal1、 ike-policy1 は承認された管理者によって与えられた IKE プロポーザル名です。
```
user@host# prompt security ike policy ike-policy1 pre-shared-key ascii-text 
New ascii-text (secret):
Retype new ascii-text (secret):
```
メモ：
プロンプトが表示されたら、事前共有キーを入力して再入力する必要があります。たとえば、事前共有キー CertSqa@jnpr2014はになります。
メモ：
または、事前共有キーを 16 進形式で入力することもできます。例えば
user@host# prompt security ike policy ike-policy1 pre-shared-key hexadecimal New hexadecimal (secret): Retype new hexadecimal (secret):
ここで、16 進数の事前共有鍵 cc2014bae9876543はになります。

IPsecプロポーザルを設定します。

content_copy zoom_out_map
[edit security ipsec]
user@host# set proposal ipsec-proposal1 protocol esp 
user@host# set proposal ipsec-proposal1 authentication-algorithm hmac-sha-256-128
user@host# set proposal ipsec-proposal1 encryption-algorithm 3des-cbc

メモ：

ここでは、 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。

IPsecポリシーを設定します。
```
[edit security ipsec]
user@host# set policy ipsec-policy1 perfect-forward-secrecy keys group14
user@host# set policy ipsec-policy1 proposals ipsec-proposal1
```
メモ：
ここで、は IPsec ポリシー名であり、 ipsec-policy1 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。
IKEを設定します。
```
[edit security ike]
user@host# set gateway gw1 ike-policy ike-policy1
user@host# set gateway gw1 address 192.0.2.5
user@host# set gateway gw1 local-identity inet 192.0.2.8
user@host# set gateway gw1 external-interface ge-0/0/2
```
メモ：
ここで、は IKE ゲートウェイ名、 gw1 192.0.2.5 はピア VPN エンドポイント IP、はローカル VPN エンドポイント IP、 192.0.2.8 ge-0/0/2 は VPN エンドポイントとしてのローカルアウトバウンドインターフェイスです。IKEv2 の場合も、以下の追加構成が必要です。
[edit security ike] user@host# set gateway gw1 version v2-only

VPN を構成します。

content_copy zoom_out_map
[edit]
user@host# set security ipsec vpn vpn1 ike gateway gw1
user@host# set security ipsec vpn vpn1 ike ipsec-policy ipsec-policy1
user@host# set security ipsec vpn vpn1 bind-interface st0.0
user@host# set routing-options static route 192.0.2.7/24 qualified-next-hop st0.0 preference 1

メモ：

ここでは、 vpn1 は許可された管理者によって与えられたVPNトンネル名です。

アウトバウンドフローポリシーを設定します。

content_copy zoom_out_map
[edit security policies]
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit 
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then session-close 

メモ：

ここで、とは事前設定されたセキュリティゾーンであり、 trustZone trustLan と untrustZone はuntrustLan事前設定されたネットワークアドレスである。

インバウンドフローポリシーを設定します。

content_copy zoom_out_map
[edit security policies]
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application any
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then permit
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init 
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-close 

メモ：

ここで、とは事前設定されたセキュリティゾーンであり、 trustZone trustLan と untrustZone はuntrustLan事前設定されたネットワークアドレスである。

設定をコミットします。
```
user@host# commit
```

IKE認証用のRSA署名を使用したIPsec VPNの設定

次のセクションでは、IKE 認証方法として RSA 署名を使用して IPsec VPN 用に Junos OS デバイスを設定する例を示します。IKE/IPsec 認証/暗号化で使用されるアルゴリズムは、次の表に示します。このセクションでは、IKE 認証方法として RSA 署名を使用して、IPsec VPN 向けに Junos OS を実行するデバイスを構成します。IKE または IPsec 認証または暗号化で使用されるアルゴリズムを表 3 に示します。

表 3: IKE/IPsec 認証と暗号化
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	フェーズ 1 プロポーザル(P1、IKE)
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	認証方法	認証アルゴリズム	DH グループ	暗号化アルゴリズム
IKEv1	メイン	ルート	RSAシグネチャ-2048	SHA-256	グループ19	AES-128-CBC

IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	フェーズ 2 プロポーザル(P2、IPsec)
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	認証アルゴリズム	DH グループ(PFS)	暗号化方式	暗号化アルゴリズム
IKEv1	メイン	ルート	hmac-sha-256-128	グループ19	特に	AES-128-CBC

イニシエーターまたはレスポンダーでのIKE認証としてのRSA署名を使用したIPsec VPNの設定

イニシエーターでRSA署名IKE認証を使用するIPsec VPNを設定するには、次の手順に従います。

PKI を構成します。「例:PKI の設定」を参照してください。
RSA キーペアを生成します。「例: 公開キーと秘密キーのペアの生成」を参照してください。
CA 証明書を生成して読み込みます。例: CA 証明書とローカル証明書の手動ロードを参照してください。
CRL を読み込みます。例:デバイスへのCRLの手動ロードを参照してください。
ローカル証明書を生成して読み込みます。例: CA 証明書とローカル証明書の手動ロードを参照してください。

IKEプロポーザルを設定します。

content_copy zoom_out_map
[edit security ike]
user@host# set proposal ike-proposal1 authentication-method rsa-signatures
user@host# set proposal ike-proposal1 dh-group group19
user@host# set proposal ike-proposal1 authentication-algorithm sha-256
user@host# set proposal ike-proposal1 encryption-algorithm aes-128-cbc

メモ：

ここでは、 ike-proposal1 は権限のある管理者によって与えられた名前です。

IKEポリシーを設定します。

content_copy zoom_out_map
[edit security ike]
user@host# set policy ike-policy1 mode main
user@host# set policy ike-policy1 proposals ike-proposal1
user@host# set policy ike-policy1 certificate local-certificate cert1

メモ：

ここでは、 ike-policy1 権限のある管理者によって与えられたIKEポリシー名です。

IPsecプロポーザルを設定します。

content_copy zoom_out_map
[edit security ipsec]
user@host# set proposal ipsec-proposal1 protocol esp
user@host# set proposal ipsec-proposal1 authentication-algorithm hmac-sha-256-128
user@host# set proposal ipsec-proposal1 encryption-algorithm aes-128-cbc

メモ：

ここでは、 ipsec-proposal1 は権限のある管理者によって与えられた名前です。

IPsecポリシーを設定します。
```
[edit security ipsec]
user@host# set policy ipsec-policy1 perfect-forward-secrecy keys group19
user@host# set policy ipsec-policy1 proposals ipsec-proposal1
```
メモ：
ここでは、 ipsec-policy1 は権限のある管理者によって与えられた名前です。
IKEを設定します。
```
[edit security ike]
user@host# set gateway gw1 ike-policy ike-policy1
user@host# set gateway gw1 address 192.0.2.8
user@host# set gateway gw1 local-identity inet 192.0.2.5
user@host# set gateway gw1 external-interface fe-0/0/1
```
メモ：
ここで、はピアVPNエンドポイントIP、はローカルVPNエンドポイントIP、 192.0.2.8 192.0.2.5 fe-0/0/1 はVPNエンドポイントとしてのローカルアウトバウンドインターフェイスです。IKEv2 では、以下の構成も必要です。
[edit security ike] user@host# set gateway gw1 version v2-only

VPN を構成します。

content_copy zoom_out_map
[edit security ipsec]
user@host# set vpn vpn1 ike gateway gw1
user@host# set vpn vpn1 ike ipsec-policy ipsec-policy1
user@host# set vpn vpn1 bind-interface st0.0

メモ：

ここでは、 vpn1 は許可された管理者によって与えられたVPNトンネル名です。

content_copy zoom_out_map
[edit]
user@host# set routing-options static route 192.0.2.10/24 qualified-next-hop st0.0 preference 1

アウトバウンドフローポリシーを設定します。

content_copy zoom_out_map
[edit security policies]
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-close

メモ：

ここで、と untrustZone は事前設定されたセキュリティゾーンであり、 trustZone trustLan とはuntrustLan事前設定されたネットワークアドレスである。

インバウンドフローポリシーを設定します。

content_copy zoom_out_map
[edit security policies]
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application any
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then permit
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init 
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-close 

メモ：

ここで、とは事前設定されたセキュリティゾーンであり、 trustZone trustLan と untrustZone はuntrustLan事前設定されたネットワークアドレスである。

設定をコミットします。
```
[edit]
user@host# commit
```

IKE認証用のECDSA署名を使用したIPsec VPNの設定

このセクションでは、IKE 認証方法として ECDSA 署名を使用して、IPsec VPN 向けに Junos OS を実行するデバイスを構成します。IKE または IPsec 認証または暗号化で使用されるアルゴリズムを表 4 に示します。

表 4: IKE または IPsec の認証と暗号化
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	フェーズ 1 プロポーザル(P1、IKE)
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	認証方法	認証アルゴリズム	DH グループ	暗号化アルゴリズム
IKEv1	メイン	ルート	ECDSA-シグネチャ-256	SHA-384	グループ14	AES-256-CBC

IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	フェーズ 2 プロポーザル(P2、IPsec)
IKE プロトコル	トンネルモード	フェーズ 1 ネゴシエーションモード	認証アルゴリズム	DH グループ(PFS)	暗号化方式	暗号化アルゴリズム
IKEv1	メイン	ルート	アルゴリズムなし	グループ14	特に	AES-256-GCM

イニシエーターでのECDSA署名IKE認証を使用したIPsec VPNの設定
レスポンダーでのECDSA署名IKE認証を使用したIPsec VPNの設定

イニシエーターでのECDSA署名IKE認証を使用したIPsec VPNの設定

イニシエーターでECDSA署名IKE認証を使用するIPsec VPNを設定するには、次の手順に従います。

PKI を構成します。「例:PKI の設定」を参照してください。
RSA キーペアを生成します。「例: 公開キーと秘密キーのペアの生成」を参照してください。
CA 証明書を生成して読み込みます。例: CA 証明書とローカル証明書の手動ロードを参照してください。
CRL を読み込みます。例:デバイスへのCRLの手動ロードを参照してください。
ローカル証明書を生成して読み込みます。例: CA 証明書とローカル証明書の手動ロードを参照してください。

IKEプロポーザルを設定します。

content_copy zoom_out_map
[edit security ike]
user@host# set proposal ike-proposal1 authentication-method ecdsa-signatures-256
user@host# set proposal ike-proposal1 dh-group group14
user@host# set proposal ike-proposal1 authentication-algorithm sha-384
user@host# set proposal ike-proposal1 encryption-algorithm aes-256-cbc

メモ：

ここでは、 ike-proposal1 権限のある管理者によって与えられたIKEプロポーザル名です。

IKEポリシーを設定します。

content_copy zoom_out_map
[edit security ike]
user@host# set policy ike-policy1 mode main
user@host# set policy ike-policy1 proposals ike-proposal1
user@host# set policy ike-policy1 certificate local-certificate cert1

IPsecプロポーザルを設定します。
```
[edit security ipsec]
user@host# set proposal ipsec-proposal1 protocol esp 
user@host# set proposal ipsec-proposal1 encryption-algorithm aes-256-gcm
```
メモ：
ここでは、 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。
IPsecポリシーを設定します。
```
[edit security ipsec]
user@host# set policy ipsec-policy1 perfect-forward-secrecy keys group14
user@host# set policy ipsec-policy1 proposals ipsec-proposal1
```
メモ：
ここで、は IPsec ポリシー名であり、 ipsec-policy1 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。
IKEを設定します。
```
[edit security ike]
user@host# set gateway gw1 ike-policy ike-policy1
user@host# set gateway gw1 address 192.0.2.8
user@host# set gateway gw1 local-identity inet 192.0.2.5
user@host# set gateway gw1 external-interface ge-0/0/2
```
メモ：
ここで、は IKE ゲートウェイ名、 gw1 192.0.2.8 はピア VPN エンドポイント IP、はローカル VPN エンドポイント IP、 192.0.2.5 ge-0/0/2 は VPN エンドポイントとしてのローカルアウトバウンドインターフェイスです。IKEv2 では、以下の構成も必要です。
[edit security ike] user@host# set gateway gw1 version v2-only

VPN を構成します。

content_copy zoom_out_map
[edit]
user@host# set security ipsec vpn vpn1 ike gateway gw1
user@host# set security ipsec vpn vpn1 ike ipsec-policy ipsec-policy1
user@host# set security ipsec vpn vpn1 bind-interface st0.0
user@host# set routing-options static route 192.0.2.10/24 qualified-next-hop st0.0 preference 1

メモ：

ここでは、 vpn1 は許可された管理者によって与えられたVPNトンネル名です。

アウトバウンドフローポリシーを設定します。

content_copy zoom_out_map
[edit security policies]
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit 
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-close 

メモ：

ここで、とは事前設定されたセキュリティゾーンであり、 trustZone trustLan と untrustZone はuntrustLan事前設定されたネットワークアドレスである。

インバウンドフローポリシーを設定します。

content_copy zoom_out_map
[edit security policies]
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application any
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then permit
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init 
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-close 

メモ：

ここで、とは事前設定されたセキュリティゾーンであり、 trustZone trustLan と untrustZone はuntrustLan事前設定されたネットワークアドレスである。

設定をコミットします。
```
user@host# commit
```

レスポンダーでのECDSA署名IKE認証を使用したIPsec VPNの設定

レスポンダーでECDSA署名IKE認証を使用するIPsec VPNを設定するには、次の手順に従います。

PKI を構成します。「例:PKI の設定」を参照してください。
ECDSA キーペアを生成します。「例: 公開キーと秘密キーのペアの生成」を参照してください。
CA 証明書を生成して読み込みます。例: CA 証明書とローカル証明書の手動ロードを参照してください。
CRL を読み込みます。例:デバイスへのCRLの手動ロードを参照してください。

IKEプロポーザルを設定します。

content_copy zoom_out_map
[edit security ike]
user@host# set proposal ike-proposal1 authentication-method ecdsa-signatures-256
user@host# set proposal ike-proposal1 dh-group group14
user@host# set proposal ike-proposal1 authentication-algorithm sha-384
user@host# set proposal ike-proposal1 encryption-algorithm aes-256-cbc

メモ：

ここでは、 ike-proposal1 権限のある管理者によって与えられたIKEプロポーザル名です。

IKEポリシーを設定します。

content_copy zoom_out_map
[edit security ike]
user@host# set policy ike-policy1 mode main
user@host# set policy ike-policy1 proposals ike-proposal1
user@host# set policy ike-policy1 certificate local-certificate cert1

IPsecプロポーザルを設定します。
```
[edit security ipsec]
user@host# set proposal ipsec-proposal1 protocol esp 
user@host# set proposal ipsec-proposal1 encryption-algorithm aes-256-gcm
```
メモ：
ここでは、 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。
IPsecポリシーを設定します。
```
[edit security ipsec]
user@host# set policy ipsec-policy1 perfect-forward-secrecy keys group14
user@host# set policy ipsec-policy1 proposals ipsec-proposal1
```
メモ：
ここで、は IPsec ポリシー名であり、 ipsec-policy1 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。
IKEを設定します。
```
[edit security ike]
user@host# set gateway gw1 ike-policy ike-policy1
user@host# set gateway gw1 address 192.0.2.5
user@host# set gateway gw1 local-identity inet 192.0.2.8
user@host# set gateway gw1 external-interface ge-0/0/1
```
メモ：
ここで、は IKE ゲートウェイ名、 gw1 192.0.2.5 はピア VPN エンドポイント IP、はローカル VPN エンドポイント IP、 192.0.2.8 ge-0/0/1 は VPN エンドポイントとしてのローカルアウトバウンドインターフェイスです。IKEv2 では、以下の構成も必要です。
[edit security ike] user@host# set gateway gw1 version v2-only

VPN を構成します。

content_copy zoom_out_map
[edit]
user@host# set security ipsec vpn vpn1 ike gateway gw1
user@host# set security ipsec vpn vpn1 ike ipsec-policy ipsec-policy1
user@host# set security ipsec vpn vpn1 bind-interface st0.0
user@host# set routing-options static route 192.0.2.1/24 qualified-next-hop st0.0 preference 1

メモ：

ここでは、 vpn1 は許可された管理者によって与えられたVPNトンネル名です。

アウトバウンドフローポリシーを設定します。

content_copy zoom_out_map
[edit security policies]
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match source-address trustLan
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match destination-address untrustLan
user@host# set from-zone trustZone to-zone untrustZone policy policy1 match application any
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then permit 
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-init
user@host# set from-zone trustZone to-zone untrustZone policy policy1 then log session-close 

メモ：

ここで、とは事前設定されたセキュリティゾーンであり、 trustZone trustLan と untrustZone はuntrustLan事前設定されたネットワークアドレスである。

インバウンドフローポリシーを設定します。

content_copy zoom_out_map
[edit security policies]
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match source-address untrustLan
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match destination-address trustLan
user@host# set from-zone untrustZone to-zone trustZone policy policy1 match application any
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then permit
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-init 
user@host# set from-zone untrustZone to-zone trustZone policy policy1 then log session-close 

メモ：

ここで、とは事前設定されたセキュリティゾーンであり、 trustZone trustLan と untrustZone はuntrustLan事前設定されたネットワークアドレスである。

設定をコミットします。
```
user@host# commit
```

arrow_backward PREVIOUS セキュア・ロギング・チャネルの作成

NEXT arrow_forward Junos OS を実行するデバイスのセキュリティフローポリシーについて

SRX380 デバイスの共通基準ガイド

この機械翻訳はお役に立ちましたでしょうか?

免責事項:

Junos OSを搭載したデバイスでのVPNの設定

Junos OS を実行しているデバイスでの VPN の設定の概要

IKE認証用の事前共有鍵を使用したIPsec VPNの設定

イニシエーターでのIKE認証としての事前共有キーを使用したIPsec VPNの設定

レスポンダーでのIKE認証としての事前共有キーを使用したIPsec VPNの設定

IKE認証用のRSA署名を使用したIPsec VPNの設定

イニシエーターまたはレスポンダーでのIKE認証としてのRSA署名を使用したIPsec VPNの設定

IKE認証用のECDSA署名を使用したIPsec VPNの設定

イニシエーターでのECDSA署名IKE認証を使用したIPsec VPNの設定

レスポンダーでのECDSA署名IKE認証を使用したIPsec VPNの設定

Stay in touch

Helped me install or use the product
Accelerated my deployment

Discuss the product with a co-worker
Make a purchase inquiry

SRX380 デバイスの共通基準ガイド

この機械翻訳はお役に立ちましたでしょうか?

免責事項:

Junos OSを搭載したデバイスでのVPNの設定

Junos OS を実行しているデバイスでの VPN の設定の概要

IKE認証用の事前共有鍵を使用したIPsec VPNの設定

イニシエーターでのIKE認証としての事前共有キーを使用したIPsec VPNの設定

レスポンダーでのIKE認証としての事前共有キーを使用したIPsec VPNの設定

IKE認証用のRSA署名を使用したIPsec VPNの設定

イニシエーターまたはレスポンダーでのIKE認証としてのRSA署名を使用したIPsec VPNの設定

IKE認証用のECDSA署名を使用したIPsec VPNの設定

イニシエーターでのECDSA署名IKE認証を使用したIPsec VPNの設定

レスポンダーでのECDSA署名IKE認証を使用したIPsec VPNの設定

関連項目

Stay in touch