このページの目次
ES PIC での IPsec のセキュリティ アソシエーションの設定
IPsec セキュリティ サービスを使用するには、ホスト間に SA を作成します。SA は、2 つのホストが IPsec によって安全に相互に通信できるようにするシンプレックス接続です。次の 2 種類の SA を設定できます。
手動:ネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。その結果、各ピアには、通信が実行されるために同じ設定されたオプションある必要があります。手動SAを設定する方法については、 ES PICの手動IPsecセキュリティアソシエーションの設定を参照してください。
ダイナミック:トンネルピアとネゴシエートするプロポーザルを指定します。キーはネゴシエーションの一部として生成されるため、構成で指定する必要はありません。動的 SA には 1 つ以上の プロポーザル ステートメントが含まれており、ピアとネゴシエートするプロトコルとアルゴリズムのリストに優先順位を付けることができます。動的 SA の設定方法については、 設定されたセキュリティ アソシエーションと論理インターフェイスの関連付けを参照してください。
手記:ボーダーゲートウェイプロトコル(BGPプロトコル)セクションで参照されているSA名が [セキュリティipsecの編集] 階層レベルで設定されていない場合、Junos OSはコミットチェックを行いません。
ES 物理インターフェイス カード(PIC)ごとに 512 個以下の動的セキュリティ アソシエーションを設定することをお勧めします。
ES PICのIPsec向けSAを設定するには、[edit security ipsec]階層レベルで security-associationステートメントを含めます。
[edit security ipsec] security-associationsa-name;
ASおよびマルチサービスPICの動的SAは、[ 編集サービスipsec-vpnルール rule-name 条件 term-name 動的]、[ 編集サービスipsec-vpn ike]、および [編集サービスipsec-vpn ipsec] 階層レベルで設定します。
詳細については、 ルーティングデバイス用 Junos OS サービスインターフェイスライブラリの「IPsec サービス設定ガイドライン」の章を参照してください。
ES PIC の IPsec 用に SA を設定するタスクは、以下のとおりです。
SA の記述の設定
IPsec SAの説明を指定するには、編集セキュリティipsecセキュリティアソシエーションsa-name]階層レベルで説明ステートメントを含めます。
[edit security ipsec security-association sa-name] descriptiondescription;
IPsec トランスポート モードの設定
トランスポート モードでは、IP パケットのデータ部分は暗号化されますが、IP ヘッダーは暗号化されません。トランスポート・モードは、通信エンドポイントと暗号エンドポイントが同じ場合にのみ使用できます。保護されたホストに暗号化および復号化サービスを提供する仮想プライベート ネットワーク (VPN) ゲートウェイは、保護された VPN 通信にトランスポート モードを使用できません。手動 SA を設定し、SA の両端で静的値を設定する必要があります。
トランスポート モードを使用する場合、Junos OS は手動 SA 向けに BGP と OSPFv3 の両方をサポートします。
トランスポート モードに IPsec セキュリティを設定するには、edit security ipsec セキュリティアソシエーション sa-name] 階層レベルで transport オプションとともに mode ステートメントを含めます。
[edit security ipsec security-association sa-name] mode transport;
トンネル モードを適用するには、トランスポート モードで手動 SA を設定し、[edit protocols bgp] 階層レベルで SA を名前で参照して、特定のピアとのセッションを保護します。
BGP を設定して、暗号化されたトンネルを介してピア関係を確立することができます。
IPsecトンネルモードの設定
IKE で事前共有鍵を使用してピアを認証する場合、または IKE でデジタル証明書を使用してピアを認証する場合は、トンネル モードを使用します。
事前共有キーを使用する場合は、ピアの事前共有キーと一致する必要がある事前共有キーを手動で設定します。デジタル証明書を使用すると、各ルーターは動的に、または手動で認証機関(CA)に登録されます。トンネルが確立されると、IPsec に使用される公開キーが IKE を介して動的に取得され、CA 証明書と照合されます。これにより、トポロジー内のルーターでの鍵の手動設定を回避できます。トポロジに新しいルーターを追加する場合、既存のルーターのセキュリティ設定を変更する必要はありません。
トンネル モードで IPsec を設定するには、edit security ipsec セキュリティアソシエーション sa-name)] 階層レベルで、トンネル オプションとともに モード ステートメントを含めます。
[edit security ipsec security-association sa-name] mode tunnel;
Junos OS は、トランスポート モードで BGP と OSPFv3 の両方をサポートします。
トンネル モードを有効にするには、次のセクションの手順に従います。