ES PIC の IPsec プロポーザルの設定
IPsecプロポーザルは、リモート IPsec ピアとネゴシエートするプロトコルとアルゴリズム(セキュリティ サービス)をリストします。
IPsecプロポーザルを設定し、そのプロパティを定義するには、 [edit security ipsec] 階層レベルで以下のステートメントを含めます。
[edit security ipsec] proposal ipsec-proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96); description description ; encryption-algorithm (3des-cbc | des-cbc); lifetime-seconds seconds; protocol (ah | esp | bundle); }
ES PIC の IPsec プロポーザルを設定するタスクは、以下のとおりです。
IPsecプロポーザルの認証アルゴリズムの設定
IPsec認証アルゴリズムを設定するには、[edit security ipsec proposal ipsec-proposal-name]階層レベルで authentication-algorithm ステートメントを含めます。
[edit security ipsec proposal ipsec-proposal-name] authentication-algorithm (hmac-md5-96 | hmac-sha1-96);
認証アルゴリズムは、以下のいずれかです。
hmac-md5-96- パケット データを認証するハッシュ アルゴリズム。128 ビットのダイジェストが生成されます。認証に使用されるのは 96 ビットのみです。hmac-sha1-96- パケット データを認証するハッシュ アルゴリズム。160 ビットのダイジェストが生成されます。認証に使用されるのは 96 ビットのみです。
IPsecプロポーザルの記述の設定
IPsecプロポーザルの説明を指定するには、[edit security ipsec proposal ipsec-proposal-name]階層レベルで description ステートメントを含めます。
[edit security ike policy ipsec-proposal-name] description description;
IPsecプロポーザルの暗号化アルゴリズムの設定
IPsec暗号化アルゴリズムを設定するには、[edit security ipsec proposal ipsec-proposal-name]階層レベルで encryption-algorithm ステートメントを含めます。
[edit security ipsec proposal ipsec-proposal-name ] encryption-algorithm (3des-cbc | des-cbc);
暗号化アルゴリズムは、以下のいずれかです。
3des-cbc- ブロック サイズが 24 バイトの暗号化アルゴリズム。そのキー サイズは 192 ビット長です。des-cbc- ブロック サイズが 8 バイトの暗号化アルゴリズム。そのキーサイズは48 ビット長。
手記:トリプル DES 暗号ブロック連鎖(3DES-CBC)暗号化アルゴリズムを使用することをお勧めします。
IPsec SAのライフタイムの設定
IPsec ライフタイム オプションは、IPsec SA のライフタイムを設定します。IPsec SA は、有効期限が切れると、新しい SA(および SPI)に置き換えられるか、終了します。新しい SA には、新しい認証鍵と暗号鍵、および SPI があります。ただし、プロポーザルが変更されない場合、アルゴリズムは同じままである可能性があります。ライフタイムを設定せず、ライフタイムがレスポンダーから送信されない場合、ライフタイムは28,800秒になります。
IPsecのライフタイムを設定するには、 lifetime-seconds ステートメントを含め、 [edit security ipsec proposal ipsec-proposal-name] 階層レベルで秒数(180〜86,400)を指定します。
[edit security ipsec proposal ipsec-proposal-name] lifetime-seconds seconds;
動的 SA が作成されると、ハードとソフトの 2 種類のライフタイムが使用されます。ハードライフタイムは、SAのライフタイムを指定します。ハード ライフタイムから派生したソフト ライフタイムは、SA の有効期限が近づいていることを IPsec キー管理システムに通知します。これにより、鍵管理システムは、ハード ライフタイムが終了する前に新しい SA をネゴシエートすることができます。ライフタイムを指定する場合は、ハードライフタイムを指定します。
動的IPsec SAのプロトコルの設定
protocol ステートメントは、ダイナミック SA のプロトコルを設定します。ESP プロトコルは、認証、暗号化、またはその両方をサポートできます。強力な認証には、AH プロトコルが使用されます。AH は IP パケットも認証します。bundle オプションは、AH 認証と ESP 暗号化を使用します。AH を使用すると IP パケットの認証が強化されるため、ESP 認証は使用されません。
動的 SA のプロトコルを設定するには、[edit security ipsec proposal ipsec-proposal-name] 階層レベルで protocol ステートメントを含めます。
[edit security ipsec proposal ipsec-proposal-name ] protocol (ah | esp | bundle);