Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsecポリシーの設定

ES PIC の IPsec ポリシーの設定

IPsecポリシーは、 IPsec ネゴシエーション中に使用されるセキュリティパラメーター(IPsecプロポーザル)の組み合わせを定義します。Perfect Forward Secrecy(PFS)と接続に必要なプロポーザルを定義します。IPsec ネゴシエーション中に、IPsec は両方のピアで同じ IPsec プロポーザルを探します。ネゴシエーションを開始するピアは、すべてのポリシーをリモートピアに送信し、リモートピアが一致を見つけようとします。

2つのピアの両方のポリシーが、同じ設定された属性を含むプロポーザルを持つ場合に一致します。ライフタイムが同一でない場合は、2つのポリシー(ホストとピアから)間の短いライフタイムが使用されます。

各ピアで複数の優先度のIPsecプロポーザルを作成し、少なくとも1つのプロポーザルがリモートピアのプロポーザルと一致するようにすることができます。

まず、1つ以上のIPsecプロポーザルを設定します。その後、これらのプロポーザルをIPsecポリシーに関連付けます。リスト内のプロポーザルの優先度を設定するには、IPsec ポリシーが使用する順序(最初から最後)の順序でプロポーザルを一覧表示します。

IPsecポリシーを設定するには、 階層レベルに [edit security ipsec] ステートメントを含めpolicy、ポリシー名と、このポリシーに関連付けたい1つ以上のプロポーザルを指定します。

完全転送機密保持の設定

PFS は、 Diffie-Hellman 鍵交換 共有秘密値によってセキュリティを強化します。PFS では、1 つの鍵が侵害された場合、以前の鍵とそれ以降の鍵は以前の鍵から派生しないため、安全です。このステートメントはオプションです。

PFS を設定するには、 ステートメントを perfect-forward-secrecy 含め、 階層レベルで Diffie-Hellman グループを [edit security ipsec policy ipsec-policy-name] 指定します。

キーは、以下のいずれかです。

  • group1- 新しい Diffie-Hellman 交換を実行する際に、IKE が 768 ビットの Diffie-Hellman の主要な係数グループを使用することを指定します。

  • group2- 新しい Diffie-Hellman 交換を実行する際に、IKE が 1024 ビットの Diffie-Hellman プライム係数グループを使用することを指定します。

group2 は 、 より group1多くのセキュリティを提供しますが、より多くの処理時間が必要です。

例:IPsecポリシーの設定

以下の例では、IPsecポリシーを設定する方法を示しています。

メモ:

現在のIPsecプロポーザルとポリシー設定の更新は、現在のIPsec SAには適用されません。新しい IPsec SA に更新が適用されます。

新しい更新を即時に有効にする場合は、既存の IPsec セキュリティ アソシエーションをクリアして、変更された設定で再確立する必要があります。現在の IPsec セキュリティ アソシエーションをクリアする方法については、 CLI エクスプローラーを参照してください。