最小セキュリティアソシエーション設定
以下のセクションでは、IPsecサービスのSA(セキュリティアソシエーション)を設定するために必要な最小設定を示します。
手動SA構成の最小限
手動SA設定を定義するには、 [edit services ipsec-vpn rule rule-name term term-name then manual] 階層レベルで少なくとも以下のステートメントを含める必要があります。
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; }
最小動的SA設定
動的SA設定を定義するには、 [edit services ipsec-vpn] 階層レベルで少なくとも以下のステートメントを含める必要があります。
[edit services ipsec-vpn] ike { proposal proposal-name { authentication-algorithm (md5 | sha1 | sha-256); authentication-method pre-shared-keys; dh-group (group1 | group2 | group5 |group14 | group15 | group16 | group19 | group20 | group24); encryption-algorithm algorithm; } policy policy-name { proposals [ ike-proposal-names ]; pre-shared-key (ascii-text key | hexadecimal key); version (1 | 2); mode (aggressive | main); } } ipsec { policy policy-name { proposals [ ipsec-proposal-names ]; } proposal proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96); encryption-algorithm algorithm; protocol (ah | esp | bundle); } }
注:
[edit services ipsec-vpn ike policy name]階層レベルのversionステートメントでは、サポートする特定のIKEバージョンを設定することができます。[edit services ipsec-vpn ike policy name]階層レベルのmodeステートメントは、versionオプションが1に設定されている場合にのみ必要です。
また、[edit services ipsec-vpn rule rule-name term term-name then dynamic]階層レベルにipsec-policyステートメントを含める必要があります。
プラットフォーム固有の 最小セキュリティアソシエーションの設定 動作
| プラットフォーム |
違い |
|---|---|
| MXシリーズ |
IKEv1とIKEv2はどちらも、すべてのMXシリーズルーターでデフォルトでサポートされています。 |