IKE アクセス プロファイル
インターネット鍵交換(IKE)アクセスプロファイルは、IKEおよび IPsec セキュリティアソシエーションを 動的ピアとネゴシエートするために使用されます。すべてのダイナミック ピアに対して、サービス セットごとに 1 つのトンネル プロファイルのみを設定できます。プロファイルに設定された 事前共有キー は、そのサービス セットで終端するすべての動的ピアの IKE 認証に使用されます。また、動的ピアとの IKE 認証にデジタル証明書方式を使用することもできます。 ike-policy policy-name 階層レベルに ステートメントを含めます [edit access profile profile-name client * ike] 。 policy-name は、階層レベルで定義 [edit services ipsec-vpn ike policy policy-name] する IKE ポリシーの名前です。
IKE トンネル プロファイルは、IKE ネゴシエーションを完了するために必要なすべての情報を指定します。各プロトコルには、プロトコル固有の属性値のペアを設定するための独自のステートメント階層が client ステートメント内にありますが、各プロファイルに許可されるクライアント設定は 1 つだけです。次に、その構成階層を示します。
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } dead-peer-detection{ interval seconds threshold number } ike-policy policy-name; initiate-dead-peer-detection; interface-id string-value; ipsec-policy ipsec-policy; pre-shared-key (ascii-text character-string | hexadecimal hexadecimal-digits); reverse-route } } }
動的ピアの場合、Junos OSは、事前共有鍵とデジタル証明書の両方の方法を備えたIKEメインモードのみをサポートします。このモードでは、IPv6 または IPv4 アドレスを使用してトンネルピアを特定し、事前共有鍵またはデジタル証明書情報を取得します。クライアント値 * (ワイルドカード)は、このプロファイル内の設定が、このプロファイルにアクセスするサービスセット内で終端するすべての動的ピアに対して有効であることを意味します。
IKE プロファイルを構成するステートメントは次のとおりです。
allowed-proxy-pair- フェーズ2のIKEネゴシエーション時に、リモートピアはネットワークアドレス(remote)とピアのネットワークアドレス(local)を提供します。複数の動的トンネルは同じメカニズムで認証されるため、このステートメントには可能な組み合わせのリストを含める必要があります。動的ピアが有効な組み合わせを提示しない場合、フェーズ2のIKEネゴシエーションは失敗します。
デフォルトでは、 remote 0.0.0.0/0 local 0.0.0.0/0 値が設定されていない場合に使用されます。
dead-peer-detection- デバイスがデッドピア検出(DPD)を使用できるようにします。DPDは、IPsecピアデバイスの現在の存在と可用性を確認するためにデバイスが使用する方法です。デバイスは、暗号化IKEフェーズ1通知ペイロード(R-U-THERE)をピアに送信し、DPD確認応答(R-U-THERE-ACK)を待つことで、この検証を実行します。オプションintervalを使用して、メッセージを送信する秒数を指定します。 オプションを使用してthreshold、送信するメッセージの最大数 (1 から 10) を指定します。ike-policy- IKE ネゴシエーション中に動的ピアを認証するために使用するローカルデジタル証明書または事前共有鍵のいずれかを定義する IKE ポリシーの名前。動的ピアとのIKE認証にデジタル証明書方式を使用するには、このステートメントを含める必要があります。階層レベルでIKEポリシー[edit services ipsec-vpn ike policy policy-name]を定義します。initiate-dead-peer-detection- 動的 IPsec トンネルでデッド ピアを検出します。interface-id- インターフェイス識別子、セッションの論理サービスインターフェイス情報を取得するのに使用される必須属性。ipsec-policy- セッションの IPsec ポリシー情報を定義する IPsec ポリシーの名前。階層レベルでIPsecポリシー[edit services ipsec-vpn ipsec policy policy-name]を定義します。ポリシーが設定されていない場合は、動的ピアが提案するすべてのポリシーが受け入れられます。pre-shared-key- IKEフェーズ1ネゴシエーション中に動的ピアを認証するために用いられるキー。この鍵は、アウトオブバンドのセキュアなメカニズムを通じて両端で認識されます。値はhexadecimal、 またはascii-textの形式で設定できます。これは必須の値です。reverse-route—(ASまたはマルチサービスPICを搭載したMシリーズおよびMXシリーズルーターのみ)動的エンドポイントIPsecトンネルのリバースルートを設定します。