Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

セキュリティ アソシエーションの設定

IPsec サービスを使用するには、ホスト間にセキュリティ アソシエーション(SA)を作成します。SA は、2 つのホストが IPsec を使用して安全に通信できるようにするシンプレックス接続です。

メモ:

OSPFv2 と OSPFv3 はどちらも IPsec 認証をサポートしています。ただし、動的またはトンネル モードの IPsec SA は OSPFv3 ではサポートされていません。階層レベルで ステートメント[edit protocols ospf3 area area-number interface interface-name]を含めて ipsec-sa OSPFv3 に SA を追加すると、設定のコミットが失敗します。OSPF 認証およびその他の OSPF プロパティの詳細については、 Junos OS ルーティングプロトコルライブラリを参照してください。

次の 2 種類の SA を設定できます。

  • 手動:ネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。その結果、各ピアには、通信が実行されるために同じ設定されたオプションある必要があります。

  • ダイナミック—トンネルピアとネゴシエートするプロポーザルを指定します。キーはネゴシエーションの一部として生成されるため、構成で指定する必要はありません。動的 SA には、ピアとネゴシエートするプロトコルとアルゴリズムのリストを優先するステートメントが 1 つ proposal 以上含まれています。

このセクションには、以下のトピックが含まれています。

手動セキュリティアソシエーションの設定

手動 SA にはネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。その結果、各ピアには、通信が実行されるために同じ設定されたオプションある必要があります。手動 SA は、鍵の配布、保守、追跡が困難でない、小規模で静的なネットワークに最適です。

手動IPsecセキュリティアソシエーションを設定するには、 階層レベルで以下のステートメントを含めます [edit services ipsec-vpn rule rule-name term term-name then manual]

手動 SA ステートメントを設定するには、次の手順を実行します。

IPsec 処理の方向の設定

ステートメントはdirection、インバウンドまたはアウトバウンドのIPsec処理を指定します。方向ごとに異なるアルゴリズム、キー、または SPI(セキュリティ パラメーター インデックス)値を定義する場合は、 および outbound のオプションを設定しますinbound。両方向に同じ属性が必要な場合は、 オプションを使用しますbidirectional

IPsec 処理の方向を設定するには、 階層レベルで ステートメントを含め direction ます [edit services ipsec-vpn rule rule-name term term-name then manual]

次の 2 つの例は、これを示しています。

  • 例: インバウンドとアウトバウンドのルート案内に異なる設定を使用する

    方向ごとに異なるアルゴリズム、キー、およびセキュリティ パラメーターのインデックス値を定義します。

  • 例: インバウンドとアウトバウンドのルート案内に同じ設定を使用する

    両方向に有効なアルゴリズム、キー、およびセキュリティー・パラメーター索引値の 1 つのセットを定義します。

手動 IPsec SA のプロトコルの設定

IPsec は、カプセル化セキュリティ ペイロード(ESP)と認証ヘッダー(AH)の 2 つのプロトコルを使用して IP トラフィックを保護します。強力な認証には、AH プロトコルが使用されます。3 つ目のオプションである は、 bundleAH 認証と ESP 暗号化を使用します。AH は IP パケットの認証を強化するため、ESP 認証は使用しません。

IPsecプロトコルを設定するには、 ステートメントを含めprotocol、 階層レベルで 、 、espまたは bundle のオプション[edit services ipsec-vpn rule rule-name term term-name then manual direction direction]を指定しますah

セキュリティ パラメータ インデックスの設定

SPI は、受信ホストで使用する SA を一意に識別する任意の値です。送信ホストは、SPI を使用して、すべてのパケットのセキュリティ保護に使用する SA を識別して選択します。受信ホストは、SPI を使用して、パケットの暗号化解除に使用される暗号化アルゴリズムと鍵を識別して選択します。

メモ:

各手動SAには、固有のSPIとプロトコルの組み合わせが必要です。オプションを使用するようにbundleステートメントを設定するprotocol場合は、補助SPIを使用します。

SPIを設定するには、 ステートメントを使用し spi 、階層レベルで値(256〜16,639) [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] を指定します。

補助セキュリティ パラメータ インデックスの設定

オプションを使用するようにbundleステートメントを設定するprotocol場合は、補助SPIを使用します。

メモ:

各手動SAには、固有のSPIとプロトコルの組み合わせが必要です。

補助SPIを設定するには、 ステートメントを含め auxiliary-spi 、階層レベルで値(256〜16,639) [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] を指定します。

手動 IPsec SA の認証の設定

認証アルゴリズムを設定するには、 ステートメントを含め authentication 、 階層レベルで認証アルゴリズムとキー [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] を指定します。

アルゴリズムは次のいずれかになります。

  • hmac-md5-96- パケット データを認証するハッシュ アルゴリズム。128 ビットのオーセンティケータ値と 96 ビットのダイジェストが生成されます。

  • hmac-sha1-96- パケット データを認証するハッシュ アルゴリズム。160 ビットのオーセンティケーター値と 96 ビットのダイジェストが生成されます。

  • hmac-sha-256-128- パケット データを認証するハッシュ アルゴリズム。256 ビットのオーセンティケータ値、256 ビットのダイジェストを生成し、128 ビットに切り捨てます。

キーは次のいずれかです。

  • ascii-text- ASCII テキスト キー。 hmac-md5-96 オプションを使用すると、キーに 16 文字の ASCII 文字が含まれます。 hmac-sha1-96 このオプションを使用すると、キーに 20 文字の ASCII 文字が含まれます。

  • hexadecimal- 16 進数のキー。 hmac-md5-96 このオプションを使用すると、キーに 32 個の 16 進文字が含まれます。 hmac-sha1-96 このオプションを使用すると、キーには 40 個の 16 進文字が含まれます。

手動 IPsec SA の暗号化の設定

IPsec暗号化を設定するには、 ステートメントを含め encryption 、 階層レベルで [edit services ipsec-vpn rule rule-name term term-name then manual direction direction] アルゴリズムとキーを指定します。

アルゴリズムは次のいずれかになります。

  • des-cbc- ブロック サイズが 8 バイトの暗号化アルゴリズム。そのキー サイズは 64 ビット長です。

  • 3des-cbc- ブロック サイズが 24 バイトの暗号化アルゴリズム。そのキー サイズは 192 ビット長です。

  • aes-128-cbc- 高度暗号化標準(AES)128ビット暗号化アルゴリズム。

  • aes-192-cbc- 高度暗号化標準(AES)192ビット暗号化アルゴリズム。

  • aes-256-cbc- 高度暗号化標準(AES)256ビット暗号化アルゴリズム。

メモ:

データ暗号化標準 (DES) 暗号化アルゴリズムの脆弱鍵および半鍵のリストについては、RFC 2409 、 インターネット鍵交換 (IKE) を参照してください。AES 暗号化アルゴリズムは、スループットがはるかに低いソフトウェア実装を使用するため、DES は引き続き推奨されるオプションです。AES 暗号化のリファレンス情報については、RFC 3602, AES-CBC Cipher Algorithm and Its Use with IPsecを参照してください。

の場合 3des-cbc、最初の 8 バイトは 2 番目の 8 バイトと異なり、2 番目の 8 バイトは 3 番目の 8 バイトと同じである必要があります。

認証プロポーザルを設定しても、 ステートメントを含めない場合、encryptionNULL 暗号化が生成されます。特定のアプリケーションでは、この結果が予想されます。特定の認証値または暗号化値を設定しない場合、Junos OSは、認証と3des-cbc暗号化に のsha1デフォルト値を使用します。

キーは次のいずれかです。

  • ascii-text- ASCII テキスト キー。 des-cbc このオプションでは、キーには 8 文字の ASCII 文字が含まれます。 3des-cbc このオプションを使用すると、キーに 24 文字の ASCII 文字が含まれます。

  • hexadecimal- 16 進数のキー。 des-cbc このオプションを使用すると、キーに 16 個の 16 進文字が含まれます。 3des-cbc このオプションを使用すると、キーには 48 個の 16 進文字が含まれます。

    メモ:

    AH プロトコルを使用する場合、暗号化を設定できません。

動的セキュリティ アソシエーションの設定

動的 SA は、セキュリティー・ゲートウェイによってネゴシエーションされた一連のプロポーザルを使用して構成します。キーはネゴシエーションの一部として生成されるため、構成で指定する必要はありません。動的 SA には 1 つ以上のプロポーザルが含まれており、これによってピアとネゴシエートするプロトコルやアルゴリズムのリストに優先順位を付けることができます。

動的 SA を使用可能にするには、以下のステップに従います。

  1. インターネット鍵交換(IKE)プロポーザルと、これらのプロポーザルに関連するIKEポリシーを設定します。

  2. IPsecプロポーザルと、これらのプロポーザルに関連付けられたIPsecポリシーを設定します。

  3. ステートメントを設定して dynamic 、SA を IPsec ポリシーに関連付けます。

動的 SA を設定するには、 ステートメントを含め dynamic 、階層レベルで IPsec ポリシー名 [edit services ipsec-vpn rule rule-name term term-name then] を指定します。この ike-policy ステートメントは、事前共有鍵認証方式を使用しない限り、オプションです。

メモ:

ダイナミック SA を確立する場合、少なくとも 1 つの設定された IPsec および IKE プロポーザルの属性がピアの属性と一致する必要があります。

セキュリティ アソシエーションのクリア

対応するサービスPICが再起動したりオフラインになったりしたときに、IKEまたはIPsec SAを自動的にクリアするようにルーターソフトウェアを設定することができます。このプロパティを設定するには、 階層レベルで または clear-ipsec-sas-on-pic-restart ステートメントを含めclear-ike-sas-on-pic-restartます[edit services ipsec-vpn]

このステートメントを設定に追加すると、PIC内のトンネルに対応するすべてのIKEまたはIPsec SAが、PICが再起動またはオフラインになったときにクリアされます。

Junos OS リリース 17.2R1 以降では、IPsec トンネルのローカル ゲートウェイ IP アドレスがダウンした場合、またはトンネルのサービス セットで使用されている MS-MIC または MS-MPC がダウンした場合に、IKE トリガーと IKE および IPsec SA のクリーンアップを有効にすることができます。これにより、ドロップされたトラフィックと不要なIKEトリガーが減少します。この機能を有効にするには、階層レベルでステート メントを含め gw-interface ます [edit services service set service-set-name ipsec-vpn-options local-gateway address] 。IPsec トンネルのサービス セットのローカル ゲートウェイ IP アドレスがダウンした場合、またはサービス セットで使用されている MS-MIC または MS-MPC がダウンした場合、サービス セットは IKE トリガーを送信しなくなります。

さらに、ローカル ゲートウェイの IP アドレスがダウンすると、ネクストホップ サービス セットの場合は IKE と IPsec SA がクリアされ、インターフェイス形式のサービス セットの場合は Not Installed 状態になります。[未インストール] 状態の SA は、ローカル ゲートウェイの IP アドレスが復旧すると削除されます。ネクストホップ サービス セットでダウンするローカル ゲートウェイ IP アドレスがレスポンダ ピア用である場合、ローカル ゲートウェイ IP アドレスがアップすると IPsec トンネルがアップするように、イニシエーター ピアの IKE および IPsec SA をクリアする必要があります。イニシエータ ピアの IKE および IPsec SA を手動でクリアするか、イニシエーター ピアのデッド ピア検出を有効にすることができます。

関連ドキュメント

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

リリース
説明
17.2R1
Junos OS リリース 17.2R1 以降では、IPsec トンネルのローカル ゲートウェイ IP アドレスがダウンした場合、またはトンネルのサービス セットで使用されている MS-MIC または MS-MPC がダウンした場合に、IKE トリガーと IKE および IPsec SA のクリーンアップを有効にすることができます。