Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:AS PIC IKE DYNAMIC SA 設定

図 1: AS PIC IKE 動的 SA トポロジー図 AS PIC IKE Dynamic SA Topology Diagram

図 1 は、AS PIC 手動 SA の例と同じ IPSec トポロジーを示しています。ただし、この構成では、ルーター 2 および 3 が IKE ダイナミック SA、拡張認証、およびより強力な暗号化を使用して IPSec トンネルを確立する必要があります。ルーター 1 とルーター 4 は引き続き基本的な接続を提供し、IPSec トンネルが動作していることを確認するために使用されます。

手記:

AS PIC で IKE プロポーザル、IPSec プロポーザル、IPSec ポリシーを指定しない場合、Junos OS はデフォルトで最高レベルの暗号化と認証を使用します。その結果、デフォルトの認証プロトコルは ESP、デフォルトの認証モードは HMAC-SHA1-96、デフォルトの暗号化モードは 3DES-CBC になります。デフォルトのIKEおよびIPSecポリシーとAS PICでのプロポーザルの詳細については、 IKEダイナミックSAの設定を参照してください。

ルーター 1 で、ルーター 2 への基本的な OSPF 接続を提供します。

ルーター1

ルーター2では、ルーター1および3に接続するための基盤となるルーティングプロトコルとしてOSPFを有効にします。[edit ipsec-vpn rule]階層レベルの rule-ike と呼ばれるルールで双方向 IKE ダイナミック SA を設定します。[edit services service-set]階層レベルの service-set-dynamic-BiEspsha3des というサービス セットでこのルールを参照します。

AS PICでデフォルト値を使用すると、IPsecプロポーザル、IPsecポリシー、IKEプロポーザルを指定する必要はありません。ただし、IKEポリシーで、[edit services ipsec-vpn ike policy policy-name]階層レベルでpre-shared-keyステートメントを使用して事前共有キーを設定する必要があります。(デフォルトのIKEおよびIPsecポリシーとAS PICでのプロポーザルの詳細については、 IKEダイナミックSAの設定を参照してください)。

AS PIC および IPSec トンネルにトラフィックを転送するには、ネクストホップ スタイルのサービス セットを設定し、IPSec 内部インターフェイスとして使用されるアダプティブ サービス論理インターフェイスを OSPF 設定に追加します。

ルーター2

ルーター3では、ルーター2および4に接続するための基盤となるルーティングプロトコルとしてOSPFを有効にします。[edit ipsec-vpn rule]階層レベルの rule-ike と呼ばれるルールで双方向 IKE 動的 SA を設定します。[edit services service-set]階層レベルの service-set-dynamic-BiEspsha3des というサービス セットでこのルールを参照します。

ここでも、ルータ 2 で使用したのと同じデフォルトのポリシーとプロポーザルを使用します。ただし、[edit services ipsec-vpn IKEポリシーpolicy-name]階層レベルで 事前共有キーステートメントを使用してIKEポリシーで事前共有キーを設定することを忘れないでください。キーは、ルーター 2 で指定したキーと一致する必要があります。(デフォルトのIKEおよびIPSecポリシーとAS PICでのプロポーザルの詳細については、 IKEダイナミックSAの設定を参照してください)。

AS PIC および IPSec トンネルにトラフィックを転送するには、ネクストホップ スタイルのサービス セットを設定し、IPSec 内部インターフェイスとして使用されるアダプティブ サービス論理インターフェイスを OSPF 設定に追加します。

ルーター3

ルーター 4 で、ルーター 3 への基本的な OSPF 接続を提供します。

ルーター4

機能の検証

AS PICでIKEベースの動的SAが正しく動作していることを確認するには、次のコマンドを使用します。

  • ピン

  • show services ipsec-vpn ike security-associations (detail)

  • show services ipsec-vpn ipsec security-associations (detail)

  • show services ipsec-vpn ipsec statistics

  • トレースルート

以下のセクションでは、設定例で使用されるこれらのコマンドの出力を示します。

ルーター1

ルーター 1 で、ルーター 4 の so-0/0/0 インターフェイスに ping コマンドを発行して、IPSec トンネルを介してトラフィックを送信します。

ルーター2

IKE SA ネゴシエーションが成功したことを確認するには、 show services ipsec-vpn ike security-associations コマンドを発行します。

IPsecセキュリティアソシエーションがアクティブであることを確認するには、 show services ipsec-vpn ipsec security-associations detail コマンドを発行します。SA には、プロトコルの ESP や認証アルゴリズムの HMAC-SHA1-96 など、AS PIC に固有のデフォルト設定が含まれていることに注意してください。

トラフィックが双方向IPSecトンネル上を移動していることを確認するには、 show services ipsec-vpn statistics コマンドを発行します。

不正なヘッダー: 0、不正なトレーラー: 0

ルーター3

IKE SA ネゴシエーションが成功したことを確認するには、 show services ipsec-vpn ike security-associations コマンドを発行します。正常に実行するには、ルーター 3 の SA に、ルーター 2 で指定したのと同じ設定が含まれている必要があります。

IPsec SAがアクティブであることを確認するには、 show services ipsec-vpn ipsec security-associations detail コマンドを発行します。正常に実行するには、ルーター 3 の SA に、ルーター 2 で指定したのと同じ設定が含まれている必要があります。

トラフィックが双方向IPsecトンネル上を移動していることを確認するには、 show services ipsec-vpn statistics コマンドを発行します。

不正なヘッダー: 0、不正なトレーラー: 0

ルーター4

ルーター4では、ルーター1のso-0/0/0インターフェイスpingコマンドを発行して、IPsecトンネルを介してトラフィックを送信します。

トラフィックがIPsecトンネル上を移動することを確認する最後の方法は、ルーター1のso-0/0/0インターフェイスtracerouteコマンドを発行することです。ルーター 2 とルータ 3 の間の物理インターフェイスがパスで参照されていないことに注意してください。トラフィックは、ルータ 3 の適応サービス IPSec 内部インターフェイスを経由して IPSec トンネルに入り、ルータ 2 のループバック インターフェイスを通過して、ルータ 1 の so-0/0/0 インターフェイスで終了します。