このページの目次
セキュリティ アソシエーションの最小設定
以下のセクションでは、IPsecサービスのセキュリティアソシエーション(SA)を設定するために必要な最小設定を示します。
手動 SA の最小設定
手動 SA 設定を定義するには、少なくとも以下のステートメントを [edit services ipsec-vpn rule rule-name term term-name then manual]
階層レベルに含める必要があります。
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; }
最小ダイナミック SA 設定
動的 SA コンフィギュレーションを定義するには、少なくとも以下のステートメントを [edit services ipsec-vpn]
階層レベルに含める必要があります。
[edit services ipsec-vpn] ike { proposal proposal-name { authentication-algorithm (md5 | sha1 | sha-256); authentication-method pre-shared-keys; dh-group (group1 | group2 | group5 |group14 | group15 | group16 | group19 | group20 | group24); encryption-algorithm algorithm; } policy policy-name { proposals [ ike-proposal-names ]; pre-shared-key (ascii-text key | hexadecimal key); version (1 | 2); mode (aggressive | main); } } ipsec { policy policy-name { proposals [ ipsec-proposal-names ]; } proposal proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96); encryption-algorithm algorithm; protocol (ah | esp | bundle); } }
Junos OSリリース11.4以降、IKEv1とIKEv2の両方が、すべてのM Series、MXシリーズ、T Seriesルーターでデフォルトでサポートされています。階層レベルの ステートメント
[edit services ipsec-vpn ike policy name]
によりversion
、サポート対象の特定の IKE バージョンを設定できます。mode
階層レベルの ステートメント[edit services ipsec-vpn ike policy name]
は、 オプションが 1に設定されている場合にのみversion
必要です。
また、 ipsec-policy
[edit services ipsec-vpn rule rule-name term term-name then dynamic]
階層レベルに ステートメントを含める必要があります。