IPsec動的エンドポイントトンネルのIKEアクセスプロファイルの設定
すべてのダイナミック ピアに対して、サービス セットごとに 1 つのトンネル プロファイルのみを設定できます。プロファイルに設定された事前共有キーは、そのサービス セットで終端するすべての動的ピアの IKE 認証に使用されます。
IKE トンネル プロファイルは、IKE ネゴシエーションを完了するために必要なすべての情報を指定します。アクセスプロファイルの詳細については、 Junosシステムの基本設定ガイド を参照してください。
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } pre-shared-key ([ ascii-text key-string ] | [hexadecimal key-string ]); interface-id string-value; ipsec-policy ipsec-policy; } } }
動的ピアの場合、Junos OSは、事前共有鍵方式の認証を備えたIKE メイン モードのみをサポートします。このモードでは、IPv4 または IPv6 アドレスを使用してトンネルピアを特定し、事前共有鍵情報を取得します。 クライアント 値 * (ワイルドカード) は、このプロファイル内の設定が、このプロファイルにアクセスするサービス セット内で終端するすべての動的ピアに対して有効であることを意味します。
以下のステートメントは、IKE プロファイルの一部です。
allowed-proxy-pair—フェーズ2のIKEネゴシエーション中に、リモートピアはネットワークアドレス(リモート)とピアのネットワークアドレス(ローカル)を提供します。複数の動的トンネルは同じメカニズムで認証されるため、このステートメントには可能な組み合わせのリストを含める必要があります。動的ピアが有効な組み合わせを提示しない場合、フェーズ2のIKEネゴシエーションは失敗します。
デフォルトでは、値が設定されていない場合、リモート 0.0.0.0/0 ローカル 0.0.0.0/0 が使用されます。
事前共有キー—IKEフェーズ1ネゴシエーション中に動的ピアを認証するために使用される必須キー。このキーは、トンネルの両端で設定し、アウトオブバンド セキュア メカニズムを通じて配信する必要があります。キー値は、 16 進または ASCII テキスト 形式で設定できます。
interface-id - インターフェイス識別子、セッションの論理サービスインターフェイス情報を取得するのに使用される必須属性。
ipsec-policy - セッションの IPsec ポリシー情報を定義する IPsec ポリシーの名前。IPsecポリシーは、
[edit services ipsec-vpn ipsec policy policy-name]階層レベルで定義します。ポリシーが設定されていない場合は、動的ピアが提案するすべてのポリシーが受け入れられます。