Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

IPsecポリシーの設定

ES PIC の IPsec ポリシーの設定

IPsec ポリシーは、IPsec ネゴシエーション時に使用されるセキュリティ パラメーター(IPsec プロポーザル)の組み合わせを定義します。完全転送機密保持(PFS)と、接続に必要なプロポーザルを定義します。IPsec ネゴシエーション中に、IPsec は両方のピアで同じ IPsec プロポーザルを探します。ネゴシエーションを開始したピアは、そのすべてのポリシーをリモートピアに送信し、リモートピアは一致を見つけようとします。

2 つのピアの両方のポリシーに、同じ設定済み属性を含むプロポーザルがある場合、一致します。ライフタイムが同じでない場合は、(ホストとピアからの)2つのポリシー間の短い方のライフタイムが使用されます。

各ピアで優先度の高いIPsecプロポーザルを複数作成し、少なくとも1つのプロポーザルがリモートピアのプロポーザルと一致するようにすることができます。

まず、1 つ以上の IPsec プロポーザルを設定します。次に、これらのプロポーザルをIPsecポリシーに関連付けます。リスト内のプロポーザルに優先順位を付けるには、IPsecポリシーが使用する順序(最初から最後へ)でプロポーザルをリストします。

IPsec ポリシーを設定するには、[edit security ipsec]階層レベルで policy ステートメントを含め、ポリシー名と、このポリシーに関連付ける 1 つ以上のプロポーザルを指定します。

完全転送機密保持の設定

PFS は、 Diffie-Hellman 鍵交換 の共有秘密値によってセキュリティを強化します。PFS では、1 つのキーが侵害されても、前後のキーは以前のキーから派生していないため、安全です。このステートメントはオプションです。

PFSを設定するには、 perfect-forward-secrecy ステートメントをインクルードし、 [edit security ipsec policy ipsec-policy-name] 階層レベルでDiffie-Hellmanグループを指定します。

キーは次のいずれかです。

  • group1—新しいDiffie-Hellman交換を実行するときに、IKEが768ビットのDiffie-Hellmanプライムモジュラスグループを使用することを指定します。

  • group2—新しいDiffie-Hellman交換を実行するときに、IKEが1024ビットのDiffie-Hellman素数係数グループを使用することを指定します。

group2group1 よりも高いセキュリティを提供しますが、より多くの処理時間を必要とします。

関連項目

例:IPsec ポリシーの設定

次に、IPsec ポリシーを設定する例を示します。

手記:

現在の IPsec プロポーザルとポリシー設定に対する更新は、現在の IPsec SA には適用されません。更新は新しいIPsec SAに適用されます。

新しい更新を直ちに有効にする場合は、既存の IPsec セキュリティ アソシエーションをクリアして、変更された構成で再確立されるようにする必要があります。現在の IPsec セキュリティ アソシエーションをクリアする方法については、 CLI Explorer を参照してください。

関連項目