Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティ アソシエーションの概要

IPsecセキュリティ サービスを使用するには、ホスト間で SAを作成します。SA は、2 つのホストが IPsec によって安全に相互に通信できるようにするシンプレックス接続です。SA には、手動と動的の 2 種類があります。

  • 手動 SA にはネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。手動 SA は、使用する SPI(セキュリティ パラメータ インデックス)の値、アルゴリズム、および鍵を静的に定義し、トンネルの両端で一致する設定が必要です。各ピアには、通信が実行されるために同じ設定されたオプションがある必要があります。

  • ダイナミック SA には追加の設定が必要です。ダイナミックSAでは、最初に IKE を設定してから、SAを設定します。IKE は動的なセキュリティ アソシエーションを作成します。IPsec のために SA をネゴシエートします。IKE 設定は、ピアセキュリティゲートウェイとのセキュア IKE 接続を確立するのに使用するアルゴリズムと鍵を定義します。この接続は、動的IPsec SAで使用されるキーやその他のデータを動的に同意するために使用されます。IKE SA は、最初にネゴシエートされ、次に動的 IPsec SA を決定するネゴシエーションを保護するために使用されます。

  • トンネル属性のネゴシエーションや鍵管理など、ユーザーレベルのトンネルまたは SA を設定します。これらのトンネルは、同じセキュア チャネル上で更新および終了することもできます。

Junos OS の IPsec の実装は、2 つのセキュリティ モード(トランスポート モードトンネル モード)をサポートします。

関連ドキュメント