Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:AS PIC 手動 SA 設定

図1: AS PIC手動SAトポロジ図 AS PIC Manual SA Topology Diagram

図 1 は、ES PIC マニュアル SA の例で使用されているものと同様の IPSec トポロジーを示しています。違いは、ルーター 2 とルーター 3 は AS PIC を使用して IPSec トンネルを確立し、わずかに変更された手動 SA 設定を使用する点です。ルーター 1 とルーター 4 はここでも基本的な接続を提供し、IPSec トンネルが動作していることを確認するために使用されます。

ルーター 1 で、ルーター 2 への基本的な OSPF 接続を提供します。

ルーター1

ルーター2では、ルーター1および3に接続するための基盤となるルーティングプロトコルとしてOSPFを有効にします。 [edit ipsec-vpn rule] 階層レベルで、rule-manual-SA-BiEspshades と呼ばれるルールで双方向手動 SA を設定します。 [edit services service-set] 階層レベルの service-set-manual-BiEspshades というサービス セットでこのルールを参照します。

手動SAのすべての仕様を設定します。プロトコルには ESP、SPI には 261 、認証には HMAC-SHA1-96、暗号化には DES-CBC、SHA-1 認証鍵には 20 ビット ASCII 認証鍵、DES-CBC 認証鍵には 8 ビット ASCII 暗号鍵を使用します。(キーの長さの詳細については、「 認証と暗号化キーの長さ」を参照してください)。

AS PIC および IPSec トンネルにトラフィックを転送するには、ネクストホップ スタイルのサービス セットを設定し、IPSec 内部インターフェイスとして使用されるアダプティブ サービス論理インターフェイスを OSPF 設定に追加します。

ルーター2

ルーター3では、ルーター2および4に接続するための基盤となるルーティングプロトコルとしてOSPFを有効にします。 [edit ipsec-vpn rule] 階層レベルで、rule-manual-SA-BiEspshades と呼ばれるルールで双方向手動 SA を設定します。 [edit services service-set] 階層レベルの service-set-manual-BiEspshades というサービス セットでこのルールを参照します。

ルーター2で指定したのと同じ仕様を手動SAに設定します。プロトコルには ESP、SPI には 261 、認証には HMAC-SHA1-96、暗号化には DES-CBC、SHA-1 認証鍵には 20 ビット ASCII 認証鍵、DES-CBC 認証鍵には 8 ビット ASCII 暗号鍵を使用します。(キーの長さの詳細については、「 認証と暗号化キーの長さ」を参照してください)。

AS PIC および IPSec トンネルにトラフィックを転送するには、ネクストホップ スタイルのサービス セットを設定し、IPSec 内部インターフェイスとして使用されるアダプティブ サービス論理インターフェイスを OSPF 設定に追加します。

ルーター3

ルーター 4 で、ルーター 3 への基本的な OSPF 接続を提供します。

ルーター4

機能の検証

AS PIC で手動 IPSec SA が正しく動作していることを確認するには、次のコマンドを使用します。

  • ピン

  • show services ipsec-vpn ipsec security-associations (詳細)

  • show services ipsec-vpn ipsec statistics

以下のセクションでは、設定例で使用されるこれらのコマンドの出力を示します。

ルーター1

ルーター 1 で、ルーター 4 の lo0 インターフェイスに ping コマンドを発行し、IPsec トンネルを介してトラフィックを送信します。

ルーター2

IPSec セキュリティ アソシエーションがアクティブであることを確認するには、 show services ipsec-vpn ipsec security-associations detail コマンドを発行します。SA には、プロトコルの ESP や認証アルゴリズムの HMAC-SHA1-96 など、指定した設定が含まれていることに注意してください。

トラフィックが双方向IPsecトンネル上を移動していることを確認するには、 show services ipsec-vpn statistics コマンドを発行します。

ルーター3

IPsecセキュリティアソシエーションがアクティブであることを確認するには、 show services ipsec-vpn ipsec security-associations detail コマンドを発行します。正常に実行するには、ルーター 3 の SA に、ルーター 2 で指定したのと同じ設定が含まれている必要があります。

トラフィックが双方向IPsecトンネル上を移動していることを確認するには、 show services ipsec-vpn statistics コマンドを発行します。