セキュリティ アソシエーションの設定
IPsec サービスを使用するには、ホスト間にセキュリティ アソシエーション(SA)を作成します。SA は、2 つのホストが IPsec を使用して安全に通信できるようにするシンプレックス接続です。
OSPFv2 と OSPFv3 はどちらも IPsec 認証をサポートしています。ただし、動的またはトンネル モードの IPsec SA は OSPFv3 ではサポートされていません。階層レベルで ステートメント[edit protocols ospf3 area area-number interface interface-name]
を含めて ipsec-sa
OSPFv3 に SA を追加すると、設定のコミットが失敗します。OSPF 認証およびその他の OSPF プロパティの詳細については、 Junos OS ルーティングプロトコルライブラリを参照してください。
次の 2 種類の SA を設定できます。
手動:ネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。その結果、各ピアには、通信が実行されるために同じ設定されたオプションある必要があります。
ダイナミック—トンネルピアとネゴシエートするプロポーザルを指定します。キーはネゴシエーションの一部として生成されるため、構成で指定する必要はありません。動的 SA には、ピアとネゴシエートするプロトコルとアルゴリズムのリストを優先するステートメントが 1 つ
proposal
以上含まれています。
このセクションには、以下のトピックが含まれています。
手動セキュリティアソシエーションの設定
手動 SA にはネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。その結果、各ピアには、通信が実行されるために同じ設定されたオプションある必要があります。手動 SA は、鍵の配布、保守、追跡が困難でない、小規模で静的なネットワークに最適です。
手動IPsecセキュリティアソシエーションを設定するには、 階層レベルで以下のステートメントを含めます [edit services ipsec-vpn rule rule-name term term-name then manual]
。
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha-256-128 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi auxiliary-spi-value; encryption { algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);; key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; }
手動 SA ステートメントを設定するには、次の手順を実行します。
- IPsec 処理の方向の設定
- 手動 IPsec SA のプロトコルの設定
- セキュリティ パラメータ インデックスの設定
- 補助セキュリティ パラメータ インデックスの設定
- 手動 IPsec SA の認証の設定
- 手動 IPsec SA の暗号化の設定
IPsec 処理の方向の設定
ステートメントはdirection
、インバウンドまたはアウトバウンドのIPsec処理を指定します。方向ごとに異なるアルゴリズム、キー、または SPI(セキュリティ パラメーター インデックス)値を定義する場合は、 および outbound
のオプションを設定しますinbound
。両方向に同じ属性が必要な場合は、 オプションを使用しますbidirectional
。
IPsec 処理の方向を設定するには、 階層レベルで ステートメントを含め direction
ます [edit services ipsec-vpn rule rule-name term term-name then manual]
。
[edit services ipsec-vpn rule rule-name term term-name then manual] direction (inbound | outbound | bidirectional) { ... }
次の 2 つの例は、これを示しています。
例: インバウンドとアウトバウンドのルート案内に異なる設定を使用する
方向ごとに異なるアルゴリズム、キー、およびセキュリティ パラメーターのインデックス値を定義します。
[edit services ipsec-vpn rule rule-name term term-name then manual] direction bidirectional { protocol ah; spi 20001; authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } } direction outbound { protocol esp; spi 24576; encryption { algorithm 3des-cbc; key ascii-text 12345678901234567890abcd; } }
例: インバウンドとアウトバウンドのルート案内に同じ設定を使用する
両方向に有効なアルゴリズム、キー、およびセキュリティー・パラメーター索引値の 1 つのセットを定義します。
[edit services ipsec-vpn rule rule-name term term-name then manual] direction bidirectional { protocol ah; spi 20001; authentication { algorithm hmac-md5-96; key ascii-text 123456789012abcd; } }
手動 IPsec SA のプロトコルの設定
IPsec は、カプセル化セキュリティ ペイロード(ESP)と認証ヘッダー(AH)の 2 つのプロトコルを使用して IP トラフィックを保護します。強力な認証には、AH プロトコルが使用されます。3 つ目のオプションである は、 bundle
AH 認証と ESP 暗号化を使用します。AH は IP パケットの認証を強化するため、ESP 認証は使用しません。
IPsecプロトコルを設定するには、 ステートメントを含めprotocol
、 階層レベルで 、 、esp
または bundle
のオプション[edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
を指定しますah
。
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] protocol (ah | bundle | esp);
セキュリティ パラメータ インデックスの設定
SPI は、受信ホストで使用する SA を一意に識別する任意の値です。送信ホストは、SPI を使用して、すべてのパケットのセキュリティ保護に使用する SA を識別して選択します。受信ホストは、SPI を使用して、パケットの暗号化解除に使用される暗号化アルゴリズムと鍵を識別して選択します。
各手動SAには、固有のSPIとプロトコルの組み合わせが必要です。オプションを使用するようにbundle
ステートメントを設定するprotocol
場合は、補助SPIを使用します。
SPIを設定するには、 ステートメントを使用し spi
、階層レベルで値(256〜16,639) [edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
を指定します。
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] spi spi-value;
補助セキュリティ パラメータ インデックスの設定
オプションを使用するようにbundle
ステートメントを設定するprotocol
場合は、補助SPIを使用します。
各手動SAには、固有のSPIとプロトコルの組み合わせが必要です。
補助SPIを設定するには、 ステートメントを含め auxiliary-spi
、階層レベルで値(256〜16,639) [edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
を指定します。
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] auxiliary-spi auxiliary-spi-value;
手動 IPsec SA の認証の設定
認証アルゴリズムを設定するには、 ステートメントを含め authentication
、 階層レベルで認証アルゴリズムとキー [edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
を指定します。
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] authentication { algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128) key (ascii-text key | hexadecimal key); }
アルゴリズムは次のいずれかになります。
hmac-md5-96
- パケット データを認証するハッシュ アルゴリズム。128 ビットのオーセンティケータ値と 96 ビットのダイジェストが生成されます。hmac-sha1-96
- パケット データを認証するハッシュ アルゴリズム。160 ビットのオーセンティケーター値と 96 ビットのダイジェストが生成されます。hmac-sha-256-128
- パケット データを認証するハッシュ アルゴリズム。256 ビットのオーセンティケータ値、256 ビットのダイジェストを生成し、128 ビットに切り捨てます。
キーは次のいずれかです。
ascii-text
- ASCII テキスト キー。hmac-md5-96
オプションを使用すると、キーに 16 文字の ASCII 文字が含まれます。hmac-sha1-96
このオプションを使用すると、キーに 20 文字の ASCII 文字が含まれます。hexadecimal
- 16 進数のキー。hmac-md5-96
このオプションを使用すると、キーに 32 個の 16 進文字が含まれます。hmac-sha1-96
このオプションを使用すると、キーには 40 個の 16 進文字が含まれます。
手動 IPsec SA の暗号化の設定
IPsec暗号化を設定するには、 ステートメントを含め encryption
、 階層レベルで [edit services ipsec-vpn rule rule-name term term-name then manual direction direction]
アルゴリズムとキーを指定します。
[edit services ipsec-vpn rule rule-name term term-name then manual direction direction] encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); }
アルゴリズムは次のいずれかになります。
des-cbc
- ブロック サイズが 8 バイトの暗号化アルゴリズム。そのキー サイズは 64 ビット長です。3des-cbc
- ブロック サイズが 24 バイトの暗号化アルゴリズム。そのキー サイズは 192 ビット長です。aes-128-cbc
- 高度暗号化標準(AES)128ビット暗号化アルゴリズム。aes-192-cbc
- 高度暗号化標準(AES)192ビット暗号化アルゴリズム。aes-256-cbc
- 高度暗号化標準(AES)256ビット暗号化アルゴリズム。
データ暗号化標準 (DES) 暗号化アルゴリズムの脆弱鍵および半鍵のリストについては、RFC 2409 、 インターネット鍵交換 (IKE) を参照してください。AES 暗号化アルゴリズムは、スループットがはるかに低いソフトウェア実装を使用するため、DES は引き続き推奨されるオプションです。AES 暗号化のリファレンス情報については、RFC 3602, AES-CBC Cipher Algorithm and Its Use with IPsecを参照してください。
の場合 3des-cbc
、最初の 8 バイトは 2 番目の 8 バイトと異なり、2 番目の 8 バイトは 3 番目の 8 バイトと同じである必要があります。
認証プロポーザルを設定しても、 ステートメントを含めない場合、encryption
NULL 暗号化が生成されます。特定のアプリケーションでは、この結果が予想されます。特定の認証値または暗号化値を設定しない場合、Junos OSは、認証と3des-cbc
暗号化に のsha1
デフォルト値を使用します。
キーは次のいずれかです。
ascii-text
- ASCII テキスト キー。des-cbc
このオプションでは、キーには 8 文字の ASCII 文字が含まれます。3des-cbc
このオプションを使用すると、キーに 24 文字の ASCII 文字が含まれます。hexadecimal
- 16 進数のキー。des-cbc
このオプションを使用すると、キーに 16 個の 16 進文字が含まれます。3des-cbc
このオプションを使用すると、キーには 48 個の 16 進文字が含まれます。メモ:AH プロトコルを使用する場合、暗号化を設定できません。
動的セキュリティ アソシエーションの設定
動的 SA は、セキュリティー・ゲートウェイによってネゴシエーションされた一連のプロポーザルを使用して構成します。キーはネゴシエーションの一部として生成されるため、構成で指定する必要はありません。動的 SA には 1 つ以上のプロポーザルが含まれており、これによってピアとネゴシエートするプロトコルやアルゴリズムのリストに優先順位を付けることができます。
動的 SA を使用可能にするには、以下のステップに従います。
インターネット鍵交換(IKE)プロポーザルと、これらのプロポーザルに関連するIKEポリシーを設定します。
IPsecプロポーザルと、これらのプロポーザルに関連付けられたIPsecポリシーを設定します。
ステートメントを設定して
dynamic
、SA を IPsec ポリシーに関連付けます。
動的 SA を設定するには、 ステートメントを含め dynamic
、階層レベルで IPsec ポリシー名 [edit services ipsec-vpn rule rule-name term term-name then]
を指定します。この ike-policy
ステートメントは、事前共有鍵認証方式を使用しない限り、オプションです。
[edit services ipsec-vpn rule rule-name term term-name then] dynamic { ike-policy policy-name; ipsec-policy policy-name; }
ダイナミック SA を確立する場合、少なくとも 1 つの設定された IPsec および IKE プロポーザルの属性がピアの属性と一致する必要があります。
セキュリティ アソシエーションのクリア
対応するサービスPICが再起動したりオフラインになったりしたときに、IKEまたはIPsec SAを自動的にクリアするようにルーターソフトウェアを設定することができます。このプロパティを設定するには、 階層レベルで または clear-ipsec-sas-on-pic-restart
ステートメントを含めclear-ike-sas-on-pic-restart
ます[edit services ipsec-vpn]
。
[edit services ipsec-vpn] clear-ike-sas-on-pic-restart; clear-ipsec-sas-on-pic-restart;
このステートメントを設定に追加すると、PIC内のトンネルに対応するすべてのIKEまたはIPsec SAが、PICが再起動またはオフラインになったときにクリアされます。
Junos OS リリース 17.2R1 以降では、IPsec トンネルのローカル ゲートウェイ IP アドレスがダウンした場合、またはトンネルのサービス セットで使用されている MS-MIC または MS-MPC がダウンした場合に、IKE トリガーと IKE および IPsec SA のクリーンアップを有効にすることができます。これにより、ドロップされたトラフィックと不要なIKEトリガーが減少します。この機能を有効にするには、階層レベルでステート メントを含め gw-interface
ます [edit services service set service-set-name ipsec-vpn-options local-gateway address]
。IPsec トンネルのサービス セットのローカル ゲートウェイ IP アドレスがダウンした場合、またはサービス セットで使用されている MS-MIC または MS-MPC がダウンした場合、サービス セットは IKE トリガーを送信しなくなります。
さらに、ローカル ゲートウェイの IP アドレスがダウンすると、ネクストホップ サービス セットの場合は IKE と IPsec SA がクリアされ、インターフェイス形式のサービス セットの場合は Not Installed 状態になります。[未インストール] 状態の SA は、ローカル ゲートウェイの IP アドレスが復旧すると削除されます。ネクストホップ サービス セットでダウンするローカル ゲートウェイ IP アドレスがレスポンダ ピア用である場合、ローカル ゲートウェイ IP アドレスがアップすると IPsec トンネルがアップするように、イニシエーター ピアの IKE および IPsec SA をクリアする必要があります。イニシエータ ピアの IKE および IPsec SA を手動でクリアするか、イニシエーター ピアのデッド ピア検出を有効にすることができます。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。