Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:ES PIC IKE DYNAMIC SA 設定

図 1: ES PIC IKE DYNAMIC SAトポロジー図 ES PIC IKE Dynamic SA Topology Diagram

図 1 は、ES PIC マニュアル SA の例と同じ IPSec トポロジーを示しています。ただし、今回の構成では、ルーター 2 とルーター 3 が IKE ダイナミック SA、拡張認証、およびより強力な暗号化を使用して IPSec トンネルを確立する必要があります。ルーター 1 とルーター 4 は引き続き基本的な接続を提供し、IPSec トンネルが動作していることを確認するために使用されます。

ルーター 1 で、ルーター 2 への基本的な OSPF 接続を提供します。

ルーター1

ルーター2では、ルーター1および3に接続するための基盤となるルーティングプロトコルとしてOSPFを有効にします。[edit security ipsec security-association]階層レベルで、sa-dynamic と呼ばれる双方向 IKE ダイナミック SA を設定します。IKEポリシーとプロポーザルでは、認証方法に事前共有鍵、認証アルゴリズムにSHA-1、暗号化に3DES-CBC、Diffie-Hellmanグループにはグループ2、メインモード、ライフタイムは3600秒、初期IKEネゴシエーションにはジュニパーの事前共有鍵を使用します。IPSec ポリシーとプロポーザルでは、プロトコルに ESP、認証に HMAC-SHA1-96、暗号化に 3DES-CBC、有効期間に 28800 秒、PFS グループにグループ 2 を使用します。

トラフィックを ES PIC および IPSec トンネルに転送するには、2 つのファイアウォール フィルタを作成します。 es-traffic フィルターは、ルーター 1 からのルーター 4 宛てのインバウンド トラフィックに一致し、 es-return フィルターは、ルーター 4 からルーター 1 へのリターン パスに一致します。 es-traffic フィルターを so-0/0/0 インターフェイスに適用してから、 es-return フィルターと sa-dynamic SA の両方を es-0/3/0 インターフェイスに適用します。

ルーター2

ルーター3では、ルーター2および4に接続するための基盤となるルーティングプロトコルとしてOSPFを有効にします。[edit security ipsec security-association]階層レベルで、sa-dynamic と呼ばれる双方向 IKE ダイナミック SA を設定します。ルーター 2 で使用したものと同じポリシーとプロポーザルを使用します。

IKEポリシーとプロポーザルでは、認証方法に事前共有鍵、認証アルゴリズムにSHA-1、暗号化に3DES-CBC、Diffie-Hellmanグループにはグループ2、メインモード、ライフタイムは3600秒、初期IKEネゴシエーションには ジュニパー の事前共有鍵を使用します。IPSec ポリシーとプロポーザルでは、プロトコルに ESP、認証に HMAC-SHA1-96、暗号化に 3DES-CBC、有効期間に 28800 秒、PFS グループにグループ 2 を使用します。

トラフィックを ES PIC および IPSec トンネルに転送するには、2 つのファイアウォール フィルタを作成します。 es-traffic フィルターは、ルーター 4 からのルーター 1 へのインバウンド トラフィックに一致し、 es-return フィルターは、ルーター 1 からルーター 4 へのリターン パスに一致します。 esトラフィック フィルターを so-0/0/0インターフェイス に適用します。次に、 es-return フィルターと sa-dynamic SA の両方を es-0/3/0 インターフェイスに適用します。

ルーター3

ルーター 4 で、ルーター 3 への基本的な OSPF 接続を提供します。

ルーター4

機能の検証

ES PICでIKEベースの動的SAが正しく動作していることを確認するには、次のコマンドを使用します。

  • ピン

  • show ike security-associations (detail)

  • show ipsec security-associations (detail)

  • トレースルート

以下のセクションでは、設定例で使用されるこれらのコマンドの出力を示します。

ルーター1

ルーター1で、ルーター4のso-0/0/0インターフェイスpingコマンドを発行し、IPsecトンネルを介してトラフィックを送信します。

また、 traceroute コマンドを発行して、 10.1.56.2 へのトラフィックがルーター 2 とルーター 3 の間の IPsec トンネルを通過することを確認することもできます。2番目のホップは、ルーター3の物理インターフェイスである 10.1.15.2を参照していないことに注意してください。代わりに、ルーター 3 のループバック アドレス 10.0.0.3 が 2 番目のホップとして表示されます。これは、IPSec トンネルが正常に動作していることを示します。

3 10.1.56.2 (10.1.56.2) 0.808 ミリ秒 0.741 ミリ秒 0.716 ミリ秒

ルーター2

一致したトラフィックが双方向IPsecトンネルに迂回されていることを確認するには、ファイアウォール フィルター カウンターを表示する方法があります。ルーター1から ping コマンド(7パケット)を発行すると、 es-traffic ファイアウォールフィルターカウンターは次のようになります。

ルーター1(7パケット)とルーター4(5パケット)の両方から ping コマンドを発行すると、 es-traffic ファイアウォールフィルターカウンターは次のようになります。

ルーター 2 とルータ 3 間の IKE SA ネゴシエーションが成功したことを確認するには、 show ike security-associations detail コマンドを発行します。SA には、認証アルゴリズムの SHA-1、暗号化アルゴリズムの 3DES-CBC など、指定した設定が含まれていることに注意してください。

IPsecセキュリティアソシエーションがアクティブであることを確認するには、 show ipsec security-associations detail コマンドを発行します。SA には、プロトコルの ESP、認証アルゴリズムの HMAC-SHA1-96、暗号化アルゴリズムの 3DES-CBC など、指定した設定が含まれていることに注意してください。

ルーター3

ファイアウォール フィルター カウンターを表示して、一致したトラフィックが双方向 IPsec トンネルに迂回されていることの確認を続けます。ルーター1から ping コマンド(7パケット)を発行すると、 es-traffic ファイアウォールフィルターカウンターは次のようになります。

ルーター1(7パケット)とルーター4(5パケット)の両方から ping コマンドを発行すると、 es-traffic ファイアウォールフィルターカウンターは次のようになります。

IKEセキュリティアソシエーションの成功を確認するには、 show ike security-associations detail コマンドを発行します。ルーター 3 の SA には、ルーター 2 で指定したものと同じ設定が含まれていることに注意してください。

IPsecセキュリティアソシエーションがアクティブであることを確認するには、 show ipsec security-associations detail コマンドを発行します。ルーター 3 の SA には、ルーター 2 で指定したものと同じ設定が含まれていることに注意してください。

ルーター4

ルーター4では、ルーター1のso-0/0/0インターフェイスpingコマンドを発行して、IPsecトンネルを介してトラフィックを送信します。

また、 traceroute コマンドを発行して、 10.1.12.2 へのトラフィックがルーター 3 とルーター 2 の間の IPsec トンネルを通過することを確認することもできます。2番目のホップは 10.1.15.1(ルーター2の物理インターフェイス)を参照していないことに注意してください。代わりに、ルーター 2 のループバック アドレス 10.0.0.2 が 2 番目のホップとして表示されます。これは、IPSec トンネルが正常に動作していることを示します。