Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:ES PIC 手動 SA 設定

図 1:ES PIC 手動 SA トポロジー図 ES PIC Manual SA Topology Diagram

図 1 は、4 つのルーターのグループを含む IPSec トポロジーを示しています。ルーター2および3は、ES PICと手動SA設定を使用してIPSecトンネルを確立します。ルーター1および4は基本的な接続を提供し、IPSecトンネルが動作していることを確認するために使用されます。

ルーター1で、ルーター2に基本的なOSPF接続を提供します。

ルーター1

ルーター2では、基盤となるルーティングプロトコルとしてOSPFを有効にして、ルーター1 および3に 接続します。階層レベルで sa-manual と呼ばれる双方向手動SAを設定します [edit security ipsec security-association] 。プロトコルには AH、SPI には 400 、認証には HMAC-MD5-96、MD5 認証キーには 32 ビットの 16 進認証キーを使用します。(鍵長の詳細については、「 認証と暗号化鍵の長さ」を参照してください)。AH を使用しているため、暗号化を設定する必要はありません。

ES PIC と IPSec トンネルにトラフィックを誘導するには、2 つのファイアウォール フィルターを作成します。 esトラフィック フィルターは、ルーター1からルーター4に向かうインバウンドトラフィックと一致します。一方、 esリターン フィルターはルーター4からルーター1 へのリターンパスと一致します。 es-traffic フィルターを so-0/0/0 インターフェイスに 適用します。次に、 es-return フィルターと sa-manual SAの両方を es-0/3/0インターフェイスに 適用します。

ルーター2

ルーター3では、基盤となるルーティングプロトコルとしてOSPFを有効にして、ルーター2 および4に接続します。[edit security ipsec security-association] 階層レベルで sa-manual と呼ばれる双方向手動 SA を設定します。ルーター 2 の SA で使用したのとまったく同じ仕様を使用します。プロトコルの AH、SPI の場合は 400、認証には HMAC-MD5-96、MD5 認証キーには abcdef01abcdef01abcdef01abcdef01abcdef01 の 32 ビット 16 進認証キーを使用します。(認証キーの長さの詳細については、「 認証と暗号化キーの長さ」を参照してください)。AHを使用しているため、暗号化アルゴリズムを設定する必要はありません。

ES PIC と IPSec トンネルにトラフィックを誘導するには、2 つのファイアウォール フィルターを作成します。 es-traffic フィルターは、ルーター 4 からのインバウンド トラフィックをルーター 1 宛てに一致させますが、 es リターン フィルターはルーター 1 からルーター 4 へのリターン パスと一致します。 es-traffic フィルターを so-0/0/0 インターフェイスに 適用します。次に、 es-return フィルターと sa-manual SAの両方を es-0/3/0インターフェイスに 適用します。

ルーター3

 

ルーター4では、ルーター3に基本的なOSPF接続を提供します。

ルーター4

作業の検証

ES PIC で手動 IPSec SA が適切に動作していることを確認するには、以下のコマンドを使用します。

  • Ping

  • show ipsec security-associations (detail)

  • Traceroute

以下のセクションでは、設定例で使用されるこれらのコマンドの出力を示します。

ルーター1

ルーター1では、ルーター4のso-0/0/0インターフェイスにコマンドを発行pingし、IPsecトンネルを介してトラフィックを送信します。

また、 コマンドを traceroute 発行して、 10.1.56.2 へのトラフィックがルーター2とルーター3の間のIPsecトンネルを介して移動することを確認することもできます。第 2 ホップが 10.1.15.2(ルーター 3 上の物理インターフェイス)を参照していないことに注意してください。代わりに、 ルーター3の10.0.0.3 のループバックアドレスは、2番目のホップとして表示されます。これは、IPSec トンネルが正しく動作していることを示しています。

ルーター2

一致したトラフィックが双方向 IPsec トンネルに迂回していることを確認するもう 1 つの方法は、ファイアウォール フィルター カウンターを表示することです。ルーター1から コマンドを ping 発行した後(3つのパケット) 、esトラフィック ファイアウォールフィルターカウンターは次のようになります。

ルーター1(3パケット)とルーター4(2つのパケット)の両方から コマンドを発行 ping すると 、esトラフィック ファイアウォールフィルターカウンターは次のようになります。

IPsecセキュリティアソシエーションがアクティブであることを確認するには、 コマンドを show ipsec security-associations detail 発行します。SA には、プロトコルの AH や認証アルゴリズムの HMAC-MD5-96 など、指定した設定が含まれていることに注意してください。

ルーター3

ファイアウォールフィルターカウンターを表示して、一致したトラフィックが双方向IPsecトンネルに迂回していることを確認し続けます。ルーター1から コマンドを ping 発行した後(3つのパケット) 、esトラフィック ファイアウォールフィルターカウンターは次のようになります。

ルーター1(3パケット)とルーター4(2つのパケット)の両方から コマンドを発行 ping すると 、esトラフィック ファイアウォールフィルターカウンターは次のようになります。

IPsecセキュリティアソシエーションがアクティブであることを確認するには、 コマンドを show ipsec security-associations detail 発行します。ルーター3のSAには、ルーター2で指定したのと同じ設定が含まれていることに注意してください。

ルーター4

ルーター4では、ルーター1のso-0/0/0インターフェイスにコマンドを発行pingし、IPsecトンネルを介してトラフィックを送信します。

また、 コマンドを traceroute 発行して、 10.1.12.2 へのトラフィックがルーター3とルーター2の間のIPsecトンネルを介して移動することを確認することもできます。第 2 ホップが 10.1.15.1(ルーター 2 上の物理インターフェイス)を参照していないことに注意してください。代わりに、 ルーター2の10.0.0.2 のループバックアドレスは、2番目のホップとして表示されます。これは、IPSec トンネルが正しく動作していることを示しています。