Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:ES PIC マニュアル SA 設定

図 1: ES PIC マニュアル SA トポロジー図 ES PIC Manual SA Topology Diagram

図 1 は、4 台のルーターのグループを含む IPSec トポロジを示しています。ルーター 2 および 3 は、ES PIC と手動 SA 設定を使用して IPSec トンネルを確立します。ルーター 1 とルーター 4 は基本的な接続を提供し、IPSec トンネルが動作していることを確認するために使用されます。

ルーター 1 で、ルーター 2 への基本的な OSPF 接続を提供します。

ルーター1

ルーター2では、ルーター1および3に接続するための基盤となるルーティングプロトコルとしてOSPFを有効にします。[edit security ipsec security-association]階層レベルで sa-manual と呼ばれる双方向手動 SA を設定します。プロトコルにはAH、SPI には 400、認証には HMAC-MD5-96、MD5 認証キーには 32 ビットの 16 進認証キーを使用します。(キーの長さの詳細については、「認証と暗号化キーの長さ」を参照してください)。AH を使用しているため、暗号化を構成する必要はありません。

トラフィックを ES PIC および IPSec トンネルに転送するには、2 つのファイアウォール フィルタを作成します。 es-traffic フィルターは、ルーター 1 からのルーター 4 宛てのインバウンド トラフィックに一致し、 es-return フィルターは、ルーター 4 からルーター 1 へのリターン パスに一致します。 esトラフィック フィルターを so-0/0/0インターフェイス に適用します。次に、 es-return フィルターと sa-manual SA の両方を es-0/3/0 インターフェイスに適用します。

ルーター2

ルーター3では、ルーター2および4に接続するための基盤となるルーティングプロトコルとしてOSPFを有効にします。[edit security ipsec security-association]階層レベルでsa-manualと呼ばれる双方向手動SAを設定します。ルーター 2 の SA に使用したのとまったく同じ仕様を使用します。プロトコルに AH、SPI に 400、認証に HMAC-MD5-96、MD5 認証キーに abcdef01abcdef01abcdef01 の 32 ビット 16 進認証キーを使用します。(認証キーの長さの詳細については、「認証と暗号化キーの長さ」を参照してください)。AH を使用しているため、暗号化アルゴリズムを設定する必要はありません。

トラフィックを ES PIC および IPSec トンネルに転送するには、2 つのファイアウォール フィルタを作成します。 es-traffic フィルターは、ルーター 4 からのルーター 1 へのインバウンド トラフィックに一致し、 es-return フィルターは、ルーター 1 からルーター 4 へのリターン パスに一致します。 esトラフィック フィルターを so-0/0/0インターフェイス に適用します。次に、 es-return フィルターと sa-manual SA の両方を es-0/3/0 インターフェイスに適用します。

ルーター3

 

ルーター 4 で、ルーター 3 への基本的な OSPF 接続を提供します。

ルーター4

機能の検証

ES PIC で手動 IPSec SA が正しく動作していることを確認するには、次のコマンドを使用します。

  • ピン

  • show ipsec security-associations (detail)

  • トレースルート

以下のセクションでは、設定例で使用されるこれらのコマンドの出力を示します。

ルーター1

ルーター1で、ルーター4のso-0/0/0インターフェイスpingコマンドを発行し、IPsecトンネルを介してトラフィックを送信します。

また、 traceroute コマンドを発行して、 10.1.56.2 へのトラフィックがルーター 2 とルーター 3 の間の IPsec トンネルを通過することを確認することもできます。2番目のホップは、ルーター3の物理インターフェイスである 10.1.15.2を参照していないことに注意してください。代わりに、ルーター 3 のループバック アドレス 10.0.0.3 が 2 番目のホップとして表示されます。これは、IPSec トンネルが正常に動作していることを示します。

ルーター2

一致したトラフィックが双方向IPsecトンネルに迂回されていることを確認するには、ファイアウォール フィルター カウンターを表示する方法があります。ルーター1から ping コマンド(3パケット)を発行すると、 es-traffic ファイアウォールフィルターカウンターは次のようになります。

ルーター1(3パケット)とルーター4(2パケット)の両方から ping コマンドを発行すると、 es-traffic ファイアウォールフィルターカウンターは次のようになります。

IPsecセキュリティアソシエーションがアクティブであることを確認するには、 show ipsec security-associations detail コマンドを発行します。SA には、プロトコルの AH や認証アルゴリズムの HMAC-MD5-96 など、指定した設定が含まれていることに注意してください。

ルーター3

ファイアウォール フィルター カウンターを表示して、一致したトラフィックが双方向 IPsec トンネルに迂回されていることの確認を続けます。ルーター1から ping コマンド(3パケット)を発行すると、 es-traffic ファイアウォールフィルターカウンターは次のようになります。

ルーター1(3パケット)とルーター4(2パケット)の両方から ping コマンドを発行すると、 es-traffic ファイアウォールフィルターカウンターは次のようになります。

IPsecセキュリティアソシエーションがアクティブであることを確認するには、 show ipsec security-associations detail コマンドを発行します。ルーター 3 の SA には、ルーター 2 で指定したものと同じ設定が含まれていることに注意してください。

ルーター4

ルーター4では、ルーター1のso-0/0/0インターフェイスpingコマンドを発行して、IPsecトンネルを介してトラフィックを送信します。

また、 traceroute コマンドを発行して、 10.1.12.2 へのトラフィックがルーター 3 とルーター 2 の間の IPsec トンネルを通過することを確認することもできます。2番目のホップは 10.1.15.1(ルーター2の物理インターフェイス)を参照していないことに注意してください。代わりに、ルーター 2 のループバック アドレス 10.0.0.2 が 2 番目のホップとして表示されます。これは、IPSec トンネルが正常に動作していることを示します。