Junos OS EvolvedでのホストIPSec
Junos OS Evolvedは、コントロールプレーンIPSec(ホストIPSecとも呼ばれる)をサポートします。これは、ルーティング エンジンと外部デバイス間のセキュアな接続です。IPSec を使用するようにルーターを設定し、ルーターを通過する加入者トラフィックに影響を与えずに、ルーティング プロトコル(BGP など)や管理機能(Telnet など)を保護することができます。
Junos OS Evolved向けのホストIPSecは、[edit security]階層レベルのhost-vpn設定ステートメントを使用して設定します。
次に、10.92.240.158 のルーターと 10.92.243.153 のピア間の接続に対して、すべてのトラフィックが保護されたホスト IPSec 設定の例を示します。
# IKE details set security host-vpn connections toMyServer local-address ipv4 10.92.240.158 set security host-vpn connections toMyServer remote-address ipv4 10.92.243.153 set security host-vpn connections toMyServer rekey-time 3600 set security host-vpn connections toMyServer ike-proposal 3des-sha1-modp1536 set security host-vpn connections toMyServer local id "vm1" # Child details - any traffic between the hosts set security host-vpn connections toMyServer children aes_all rekey-time 3600 set security host-vpn connections toMyServer children aes_all local-traffic-selector ipv4-prefix 10.92.240.158/32 set security host-vpn connections toMyServer children aes_all remote-traffic-selector ipv4-prefix 10.92.243.153/32 set security host-vpn connections toMyServer children aes_all esp-proposal aes256gcm128-ecp384 # IKE shared secret set security host-vpn ike-secrets ike-me id "vm1" set security host-vpn ike-secrets ike-me secret ascii-text sample_15671_Mn22 set security host-vpn ike-secrets ike-peer id "myserver" set security host-vpn ike-secrets ike-peer secret ascii-text sample_15671_Mn22
user@device# show host-vpn
connections {
toMyServer {
local-address {
ipv4 10.92.240.158;
}
remote-address {
ipv4 10.92.243.153;
}
rekey-time 3600;
ike-proposal 3des-sha1-modp1536;
local {
id vm1;
}
children {
aes_all {
rekey-time 3600;
esp-proposal aes256gcm128-ecp384;
local-traffic-selector {
ipv4-prefix 10.92.240.158/32;
}
remote-traffic-selector {
ipv4-prefix 10.92.243.153/32;
}
}
}
}
}
ike-secrets {
ike-me {
id vm1;
secret ascii-text "$9$opGHmf5FCtO5Q0IEcvMPfTz/CO1RlvWcSbs4ZHk/9Au1hylKWX7"; ## SECRET-DATA
}
ike-peer {
id myserver;
secret ascii-text "$9$U6HPQF390BE36RSreXxzFn/p0EcyWX7eKgoGiPfpuOIclvWL7db"; ## SECRET-DATA
}
}