Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsecルールとルールセット

例:IKE ダイナミック SA の設定

この例は、IKE ダイナミック SA の設定方法を示しています。これは、以下のセクションで構成されています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • マルチサービスインターフェイスがインストールされたMシリーズ、MXシリーズ、またはTシリーズルーター 4台。

  • Junos OS リリース 9.4 以降。

この機能を設定する前に、デバイスの開始以降の特別な設定は必要ありません。

概要とトポロジー

SA(セキュリティ アソシエーション)は、2 つのホストが IPsec によって相互に安全に通信できるようにするシンプレックス接続です。

動的 SA は、鍵の手動による配布、保守、追跡が困難な大規模な、地理的に分散したネットワークに最適です。動的 SA は、セキュリティ ゲートウェイによってネゴシエートされた一連のプロポーザルを使用して構成されます。キーはネゴシエーションの一部として生成され、構成で指定する必要はありません。動的 SA には、ピアとネゴシエートするプロトコルとアルゴリズムのリストに優先順位を付けることができる 1 つ以上のプロポーザルが含まれます。

トポロジ

図 1 は、4 台のルーターのグループを含む IPsec トポロジーを示しています。この設定では、ルーター2および3が、IKE動的SA、拡張認証、および暗号化を使用してIPsecトンネルを確立する必要があります。ルーター 1 および 4 は基本的な接続を提供し、IPsec トンネルが動作していることを確認するために使用されます。

図 1: IKE ダイナミック SA IKE Dynamic SAs
メモ:

マルチサービスPICでIKEプロポーザル、IPsecプロポーザル、IPsecポリシーを指定しない場合、Junos OSはデフォルトで最高レベルの暗号化と認証を使用します。その結果、デフォルトの認証プロトコルは ESP、デフォルトの認証モードは HMAC-SHA1-96、デフォルトの暗号化モードは 3DES-CBC になります。

構成

IKEダイナミックSAを設定するには、以下のタスクを実行します。

メモ:

この例で示すインターフェイス タイプは、あくまでも参考にしています。例えば、 の代わりに および の代わりにsp-ms-インターフェイスge-を使用できますso-

ルーター1の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター1の[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。

ルーター 2 との OSPF 接続用にルーター 1 を設定するには、次のようにします。

  1. イーサネットインターフェイスとループバックインターフェイスを設定します。

  2. OSPF エリアを指定し、インターフェイスを OSPF エリアに関連付けます。

  3. ルーターIDを設定します。

  4. 設定をコミットします。

結果

コンフィギュレーションモードから、、show protocols ospfshow routing-options、およびの各show interfacesコマ ンドを入力し 、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します

ルーター2の設定

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター2の[edit]階層レベルのCLIにコマンドをコピーして貼り付けてください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。

ルーター2でOSPF接続とIPsecトンネルパラメータを設定するには、次の手順に従います。

  1. インターフェイスのプロパティを設定します。このステップでは、2つのイーサネットインターフェイス(ge-1/0/0とge-1/0/1)、ループバックインターフェイス、マルチサービスインターフェイス(ms-1/2/0)を設定します。

  2. OSPF エリアを指定し、インターフェイスを OSPF エリアに関連付けます。

  3. ルーターIDを設定します。

  4. IPsec 規則を構成します。この手順では、IPsec ルールを構成し、リモート ゲートウェイ アドレス、認証および暗号化のプロパティなどの手動 SA パラメーターを指定します。

    メモ:

    デフォルトでは、Junos OSはIKEポリシーバージョン1.0を使用します。Junos OS リリース 11.4 以降では、 で [edit services ipsec-vpn ike policy policy-name pre-shared]設定する必要がある IKE ポリシー バージョン 2.0 もサポートされています。

  5. ネクストホップスタイルのサービスセットを設定し、ローカルゲートウェイアドレスを指定して、IPsec VPNルールをサービスセットに関連付けます。

  6. 設定をコミットします。

結果

設定モードから、 、 、 show protocols ospfshow routing-options、および show services のコマンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します

ルーター3の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター3の[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。

ルーター 3 で OSPF 接続と IPsec トンネル パラメータを設定するには、次の手順に従います。

  1. インターフェイスのプロパティを設定します。このステップでは、2つのイーサネットインターフェイス(ge-1/0/0とge-1/0/1)、ループバックインターフェイス、マルチサービスインターフェイス(ms-1/2/0)を設定します。

  2. OSPF エリアを指定し、インターフェイスを OSPF エリアに関連付けます。

  3. ルーターIDを設定します。

  4. IPsec 規則を構成します。この手順では、IPsec ルールを構成し、リモート ゲートウェイ アドレス、認証および暗号化のプロパティなどの手動 SA パラメーターを指定します。

  5. ネクストホップスタイルのサービスセットを設定し、ローカルゲートウェイアドレスを指定して、IPsec VPNルールをサービスセットに関連付けます。

  6. 設定をコミットします。

結果

設定モードから、 、 、 show protocols ospfshow routing-options、および show services のコマンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します

ルーター4の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター4の[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。

ルーター 4 との OSPF 接続をセットアップするには

  1. インターフェイスを設定します。このステップでは、イーサネットインターフェイス(ge-1/0/1)とループバックインターフェイスを設定します。

  2. OSPF エリアを指定し、インターフェイスを OSPF エリアに関連付けます。

  3. ルーターIDを設定します。

結果

コンフィギュレーションモードから、、show protocols ospfshow routing-options、およびの各show interfacesコマ ンドを入力し 、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します

検証

ルーター1での作業の確認

目的

ルーター 1 が正しく動作していることを確認します。

アクション

運用モードから、ルーター4のge-0/0/0インターフェイスにコマンドを入力し ping 10.1.56.2 、IPsecトンネルを介してトラフィックを送信します

意味

この出力は、ルーター1がIPsecトンネルを介してルーター4に到達できることを示しています。

ルーター2での作業の確認

目的

IKE SA ネゴシエーションが成功したことを確認します。

アクション

動作モードから コマンド show services ipsec-vpn ike security-associations を入力します。

IPsecセキュリティアソシエーションがアクティブであることを確認するには、 コマンドを発行します show services ipsec-vpn ipsec security-associations detail 。SA には、プロトコルの ESP や認証アルゴリズムの HMAC-SHA1-96 など、マルチサービス PIC に固有のデフォルト設定が含まれていることに注意してください。

動作モードから コマンド show services ipsec-vpn ipsec security-associations detail を入力します。

トラフィックが双方向IPsecトンネルを通過していることを確認するには、 コマンド show services ipsec-vpn statistics を発行します。

動作モードから コマンド show services ipsec-vpn statistics を入力します。

意味

コマンド出力は show services ipsec-vpn ipsec security-associations detail 、設定した SA プロパティを表示します。

コマンドの出力は show services ipsec-vpn ipsec statistics 、IPsec トンネル上のトラフィック フローを示しています。

ルーター 3 での作業の確認

目的

ルーター 3 で IKE SA ネゴシエーションが成功したことを確認します。

アクション

動作モードから コマンド show services ipsec-vpn ike security-associations を入力します。正常に実行するには、ルーター 3 の SA に、ルーター 2 で指定したのと同じ設定が含まれている必要があります。

IPsec SAがアクティブであることを確認するには、 コマンドを発行します show services ipsec-vpn ipsec security-associations detail 。正常に実行するには、ルーター 3 の SA に、ルーター 2 で指定したのと同じ設定が含まれている必要があります。

動作モードから コマンド show services ipsec-vpn ipsec security-associations detail を入力します。

トラフィックが双方向IPsecトンネルを通過していることを確認するには、 コマンド show services ipsec-vpn statistics を発行します。

動作モードから コマンド show services ipsec-vpn ike security-associations を入力します。

意味

コマンド出力は show services ipsec-vpn ipsec security-associations detail 、設定した SA プロパティを表示します。

コマンドの出力は show services ipsec-vpn ipsec statistics 、IPsec トンネル上のトラフィック フローを示しています。

ルーター 4 での作業の確認

目的

IKE SA ネゴシエーションが成功したことを確認します。

アクション

運用モードから、ルーター1のge-0/0/0インターフェイスにコマンドを入力し ping 10.1.12.2 、IPsecトンネルを介してトラフィックを送信します。

トラフィックがIPsecトンネルを通過することを確認するために、ルーター1のge-0/0/0インターフェイスに コマンドを発行 traceroute します。ルーター 2 とルータ 3 の間の物理インターフェイスがパスで参照されていないことに注意してください。トラフィックは、ルーター 3 のアダプティブ サービス IPsec 内部インターフェイスを経由して IPsec トンネルに入り、ルーター 2 のループバック インターフェイスを通過して、ルーター 1 の ge-0/0/0 インターフェイスで終了します。

動作モードから、 traceroute 10.1.12.2.

意味

この出力は ping 10.1.12.2 、ルーター4がIPsecトンネルを介してルーター1に到達できることを示しています。

この出力は traceroute 10.1.12.2 、トラフィックが IPsec トンネルを通過することを示しています。

IPsecルールの設定

IPsecルールを設定するには、 ステートメントを含め rule[edit services ipsec-vpn] 階層レベルでルール名を指定します。

各 IPsec ルールは、ファイアウォール フィルターに似た一連の条件で構成されます。

用語は以下で構成されます。

  • from ステートメント:含めるおよび除外する一致条件とアプリケーションを指定します。

  • then statement—ルーターソフトウェアが実行するアクションとアクション修飾子を指定します。

以下のセクションでは、IPsec 規則のコンポーネントを構成する方法について説明します。

IPsecルールの一致方向の設定

各ルールには、インターフェイスの入力 match-direction 側と出力側のどちらで一致を適用するかを指定するステートメントを含める必要があります。一致を適用する場所を設定するには、 階層レベルで ステートメントを含め match-direction (input | output) ます [edit services ipsec-vpn rule rule-name]

メモ:

ACXシリーズルーターは、ASoutputをサポートしmatch-directionていません。

一致方向は、ASまたはマルチサービスPICを通過するトラフィックフローに関して使用されます。パケットがPICに送信されると、方向情報も一緒に伝送されます。

インターフェイス サービス セットでは、パケットの方向は、パケットがサービス セットが適用されているインターフェイスに入るか出るかによって決まります。

ネクストホップ サービス セットでは、パケットの方向は、AS またはマルチサービス PIC へのパケットのルーティングに使用されるインターフェイスによって決まります。内部インターフェイスを使用してパケットをルーティングする場合は、パケットの方向が入力されます。外部インターフェイスを使用してパケットをPICに誘導する場合、パケットの方向が出力されます。

ASまたはマルチサービスPICでは、フロールックアップが実行されます。フローが見つからない場合は、ルール処理が実行されます。サービス セット内のすべてのルールが考慮されます。ルールの処理中に、パケットの方向がルールの方向と比較されます。パケットの方向と一致する方向情報を持つルールのみが考慮されます。

IPsecルールでの一致条件の設定

IPsecルールに一致条件を設定するには、 階層レベルで ステートメントを含め from ます [edit services ipsec-vpn rule rule-name term term-name]

ファイアウォールフィルターを設定するのと同じ方法で、送信元アドレスまたは宛先アドレスのいずれかを一致条件として使用できます。詳細については、 Junos OS ルーティングプロトコルライブラリをご覧ください。

IPsec サービスは、IPv4 と IPv6 の両方のアドレス形式をサポートしています。送信元アドレスと宛先アドレスのどちらも特に設定しない場合は、デフォルト値 0.0.0.0/0 (IPv4 ANY)が使用されます。送信元アドレスまたは宛先アドレスとして IPv6 ANY(0::0/128)を使用するには、明示的に設定する必要があります。

メモ:

ACX シリーズの IPsec サービスは、IPv4 アドレス形式をサポートしています。送信元アドレスと宛先アドレスのどちらも特に設定しない場合は、デフォルト値 0.0.0.0/0 (IPv4 ANY)が使用されます。

ネクストホップスタイルのサービスセットの場合のみ、 ステートメントを使用して、ipsec-inside-interfaceこの一致条件の結果として確立されたトンネルに論理インターフェイスを割り当てることができます。階層レベルで設定できるステートメントではinside-service-interface、 および を内部および.2外部インターフェイスとして指定できます.1[edit services service-set name next-hop-service]ただし、 ステートメントでservice-domain inside複数の適応サービス論理インターフェイスを設定し、そのうちの1つを使用して ステートメントを設定するipsec-inside-interfaceことができます。

Junos OSは、 ステートメントで設定した基準を評価しますfrom。同じネクストホップスタイルのサービスセット内に複数のリンクタイプトンネルが設定されている場合、すべての送信元アドレスと宛先アドレス0.0.0.0/0が(ANY-ANY)であれば、ipsec-inside-interfaceルール検索モジュールは特定のトンネルを他のトンネルと区別することができます。

メモ:

ステートメントを設定する ipsec-inside-interface 場合、インターフェイススタイルのサービスセットはサポートされません。

特別な状況は、「any-any」一致条件を含む用語によって提供されます(通常、ステートメントが from 省略されているため)。トンネル内にany-any一致がある場合、このトンネル内のすべてのフローが同じSA(セキュリティ アソシエーション)を使用し、パケット セレクターは重要な役割を果たさないため、フローは必要ありません。その結果、これらのトンネルはパケットベースのIPsecを使用します。この戦略により、PICのフローリソースが節約され、フローベースのサービスを必要とする他のトンネルに使用できます。

以下の設定例は、 にterm-1ステートメントがないfromany-anyトンネル設定を示しています。句にfromセレクターがないと、パケットベースの IPsec サービスになります。

フローレスIPsecサービスは、専用モードと共有モードの両方で、any-anyマッチングを持つリンクタイプトンネルと、any-anyマッチングを持つ動的トンネルに提供されます。

リンクタイプ トンネルの場合、サービス セット内でフローレス IPsec とフローベースの IPsec の混在がサポートされます。サービス セットに、句に from any-any が一致する項とセレクターを含む項が含まれている場合、any-any トンネルにはパケットベース サービスが提供され、セレクターを持つ他のトンネルにはフローベース サービスが提供されます。

リンクタイプ以外のトンネルの場合、サービス セットに any-any 条件とセレクターベース条件の両方が含まれている場合、フローベース サービスがすべてのトンネルに提供されます。

IPsecルールでのアクションの設定

IPsecルールでアクションを設定するには、階層レベルでステートメントを含め then ます [edit services ipsec-vpn rule rule-name term term-name]

主な IPsec アクションは、動的または手動 SA の設定です。

  • 動的SA dynamic を設定するには、 階層レベルで ステートメント [edit services ipsec-vpn rule rule-name term term-name then] を含め、 [edit services ipsec-vpn ipsec] および [edit services ipsec-vpn ike] 階層レベルで設定したポリシーを参照します。

  • 手動SAを設定するには、 階層レベルで ステートメントを含め manual ます [edit services ipsec-vpn rule rule-name term term-name then]

次の追加プロパティを構成できます。

IPsecパケットフラグメント化の有効化

IPsecトンネルでIPバージョン4(IPv4)パケットのフラグメント化を有効にするには、 階層レベルに [edit services ipsec-vpn rule rule-name term term-name then] ステートメントを含めclear-dont-fragment-bitます。

clear-dont-fragment-bitステートメントを設定すると、パケットサイズに関係なく、パケットヘッダーのDF(Don't Fragment)ビットがクリアされます。パケット サイズがトンネルの最大送信単位 (MTU) 値を超えると、パケットはカプセル化前にフラグメント化されます。IPsec トンネルの場合、インターフェイスの MTU 設定に関係なく、デフォルトの MTU 値は 1500 です。

デッドピア検出の宛先アドレスの設定

IPsecトラフィックの送信先となるリモートアドレスを指定するには、 階層レベルに [edit services ipsec-vpn rule rule-name term term-name then] ステートメントを含めremote-gatewayます。

バックアップ・リモート・アドレスを指定するには、 階層レベルで ステートメントを含め backup-remote-gateway ます [edit services ipsec-vpn rule rule-name term term-name then]

これら 2 つのステートメントは、IPv4 と IPv6 の両方のアドレス形式をサポートしています。

backup-remote-gatewayステートメントを設定すると、トンネルの状態とリモートピアの可用性を監視するデッドピア検出(DPD)プロトコルが有効になります。ステートメントでremote-gateway定義されたプライマリ トンネルがアクティブな場合、バックアップ トンネルはスタンバイ モードになります。DPD プロトコルがプライマリ リモート ゲートウェイ アドレスに到達できなくなったと判断した場合、バックアップ アドレスへの新しいトンネルが確立されます。

定義された 10 秒間にピアからの着信トラフィックがない場合、ルーターはトンネルを非アクティブとして検出します。グローバルタイマーは10秒ごとにすべてのトンネルをポーリングし、アダプティブサービス(AS)またはマルチサービス物理インターフェイスカード(PIC)は、非アクティブなトンネルをリストしたメッセージを送信します。トンネルが非アクティブになると、ルーターは以下のステップを実行してバックアップアドレスにフェイルオーバーします。

  1. 適応サービス メッセージは、ピアに Hello メッセージを送信するDPD プロトコルをトリガーします。

  2. 確認応答を受信しない場合、2 秒間隔で 2 回の再試行が行われ、その後、トンネルは停止と宣言されます。

  3. フェイルオーバーは、トンネルが停止したと宣言された場合、またはIPsecフェーズ1のネゴシエーションタイムアウトが発生した場合に発生します。プライマリ トンネルがスタンバイ モードになり、バックアップがアクティブになります。

  4. バックアップ トンネルへのネゴシエーションがタイムアウトすると、ルーターはプライマリ トンネルに戻ります。両方のピアがダウンした場合、フェイルオーバーを 6 回試行します。その後、フェイルオーバーを停止し、プライマリトンネルがアクティブでバックアップがスタンバイモードの元の設定に戻ります。

また、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を含めるinitiate-dead-peer-detectionことで、バックアップ リモート ゲートウェイを設定せずに DPD Hello メッセージのトリガーを有効にすることができます。

また、IKEv1 SA では、 ステートメントを使用するinitiate-dead-peer-detection際に、 dead-peer-detection ステートメントの下で オプションthresholdを設定するintervalことができます。Junos OS リリース 17.2R1 以降、intervalIKEv2 threshold SA にも および オプションが適用されます。Junos OSリリース17.1以前では、デフォルト値を使用するIKEv2 SAには、 interval および threshold オプションは適用されません。間隔は、ピアが DPD 要求パケットを送信する前に宛先ピアからのトラフィックを待機する時間であり、しきい値は、ピアが利用不可能と見なされる前に送信される、失敗した DPD 要求の最大数です。

監視動作は、 ステートメントで backup-remote-gateway 説明したものと同じです。この設定により、バックアップIPsecゲートウェイが存在しない場合にルーターがDPD hellosを開始し、IKEピアに到達できない場合にIKEおよびIPsec SAをクリーンアップできます。

DPD プロトコルがプライマリ リモート ゲートウェイ アドレスに到達できなくなったと判断した場合、バックアップ アドレスへの新しいトンネルが確立されます。ただし、バックアップリモートゲートウェイアドレスなしで設定 initiate-dead-peer-detection し、DPDプロトコルがプライマリリモートゲートウェイアドレスに到達できなくなったと判断した場合、トンネルは停止したと宣言され、IKEおよびIPsec SAはクリーンアップされます。

DPDプロトコルの詳細については、RFC 3706、 死んだ インターネット鍵交換(IKE)ピアを検出するトラフィックベースの方法を参照してください。

IPsec アンチリプレイの設定または無効化

IPsecアンチリプレイウィンドウのサイズを設定するには、 階層レベルで ステートメントを含め anti-replay-window-size ます [edit services ipsec-vpn rule rule-name term term-name then]

anti-replay-window-size は、64 から 4096 ビットの範囲の値を取ることができます。デフォルト値は、ASPICが64ビット、マルチサービスPICおよびDPCが128ビットです。ASPICは最大1024ビットのリプレイウィンドウサイズをサポートできますが、マルチサービスPICおよびDPCは最大4096ビットのリプレイウィンドウサイズをサポートできます。ソフトウェアがIPsec設定をコミットしている場合、鍵管理プロセス(kmd)はサービスインターフェイスのタイプを区別できません。その結果、AS PICの最大アンチリプレイウィンドウサイズが1024を超えると、コミットは成功し、エラーメッセージは生成されません。ただし、 の設定値 anti-replay-window-size より大きい場合でも、ソフトウェアは内部で AS PIC のアンチリプレイ ウィンドウ サイズを 1024 ビットに設定します。

IPsecアンチリプレイ機能を無効にするには、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を含めno-anti-replayます。

デフォルトでは、アンチリプレイ サービスは有効になっています。場合によっては、これにより他のベンダーの機器との相互運用性の問題が発生する可能性があります。

IPsec トンネルの MTU の指定

IPsec トンネルに特定の最大送信単位 (MTU) 値を設定するには、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を含めtunnel-mtuます。

メモ:

この設定tunnel-mtuは、IPsec トンネルの MTU 値を設定する必要がある唯一の場所です。階層レベルでの設定[edit interfaces sp-fpc/pic/port unit logical-unit-number family inet]の組み込みmtuはサポートされていません。

IPsecルールセットの設定

ステートメントはrule-set、ルーター ソフトウェアがデータ ストリーム内のパケットに対して実行するアクションを決定する IPsec ルールのコレクションを定義します。各ルールを定義するには、ルール名を指定し、用語を設定します。次に、階層レベルの rule ステートメントと各ルールのステートメント[edit services ipsec-vpn]を含めてrule-set、ルールの順序を指定します。

ルーター ソフトウェアは、設定で指定した順序でルールを処理します。ルール内の条件がパケットに一致する場合、ルーターは対応するアクションを実行し、ルールの処理は停止します。パケットに一致するルール内の用語がない場合、ルール セット内の次のルールに処理が続行されます。パケットに一致するルールがない場合、パケットはデフォルトで破棄されます。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

リリース
説明
17.2R1
Junos OS リリース 17.2R1 以降、 interval IKEv2 threshold SA にも および オプションが適用されます。