Junos OS EvolvedでのホストIPSec
Junos OS Evolvedは、コントロールプレーンIPSec(ホストIPSecとも呼ばれる)をサポートします。これは、ルーティング エンジンと外部デバイス間のセキュアな接続です。IPSec を使用するようにルーターを設定し、ルーターを通過する加入者トラフィックに影響を与えずに、ルーティング プロトコル(BGP など)や管理機能(Telnet など)を保護することができます。
Junos OS Evolved向けのホストIPSecは、[edit security]
階層レベルのhost-vpn
設定ステートメントを使用して設定します。
次に、10.92.240.158 のルーターと 10.92.243.153 のピア間の接続に対して、すべてのトラフィックが保護されたホスト IPSec 設定の例を示します。
# IKE details set security host-vpn connections toMyServer local-address ipv4 10.92.240.158 set security host-vpn connections toMyServer remote-address ipv4 10.92.243.153 set security host-vpn connections toMyServer rekey-time 3600 set security host-vpn connections toMyServer ike-proposal 3des-sha1-modp1536 set security host-vpn connections toMyServer local id "vm1" # Child details - any traffic between the hosts set security host-vpn connections toMyServer children aes_all rekey-time 3600 set security host-vpn connections toMyServer children aes_all local-traffic-selector ipv4-prefix 10.92.240.158/32 set security host-vpn connections toMyServer children aes_all remote-traffic-selector ipv4-prefix 10.92.243.153/32 set security host-vpn connections toMyServer children aes_all esp-proposal aes256gcm128-ecp384 # IKE shared secret set security host-vpn ike-secrets ike-me id "vm1" set security host-vpn ike-secrets ike-me secret ascii-text sample_15671_Mn22 set security host-vpn ike-secrets ike-peer id "myserver" set security host-vpn ike-secrets ike-peer secret ascii-text sample_15671_Mn22
user@device# show host-vpn connections { toMyServer { local-address { ipv4 10.92.240.158; } remote-address { ipv4 10.92.243.153; } rekey-time 3600; ike-proposal 3des-sha1-modp1536; local { id vm1; } children { aes_all { rekey-time 3600; esp-proposal aes256gcm128-ecp384; local-traffic-selector { ipv4-prefix 10.92.240.158/32; } remote-traffic-selector { ipv4-prefix 10.92.243.153/32; } } } } } ike-secrets { ike-me { id vm1; secret ascii-text "$9$opGHmf5FCtO5Q0IEcvMPfTz/CO1RlvWcSbs4ZHk/9Au1hylKWX7"; ## SECRET-DATA } ike-peer { id myserver; secret ascii-text "$9$U6HPQF390BE36RSreXxzFn/p0EcyWX7eKgoGiPfpuOIclvWL7db"; ## SECRET-DATA } }