このページの目次
IPsecポリシーの設定
ES PIC の IPsec ポリシーの設定
IPsec ポリシーは、IPsec ネゴシエーション時に使用されるセキュリティ パラメーター(IPsec プロポーザル)の組み合わせを定義します。完全転送機密保持(PFS)と、接続に必要なプロポーザルを定義します。IPsec ネゴシエーション中に、IPsec は両方のピアで同じ IPsec プロポーザルを探します。ネゴシエーションを開始したピアは、そのすべてのポリシーをリモートピアに送信し、リモートピアは一致を見つけようとします。
2 つのピアの両方のポリシーに、同じ設定済み属性を含むプロポーザルがある場合、一致します。ライフタイムが同じでない場合は、(ホストとピアからの)2つのポリシー間の短い方のライフタイムが使用されます。
各ピアで優先度の高いIPsecプロポーザルを複数作成し、少なくとも1つのプロポーザルがリモートピアのプロポーザルと一致するようにすることができます。
まず、1 つ以上の IPsec プロポーザルを設定します。次に、これらのプロポーザルをIPsecポリシーに関連付けます。リスト内のプロポーザルに優先順位を付けるには、IPsecポリシーが使用する順序(最初から最後へ)でプロポーザルをリストします。
IPsec ポリシーを設定するには、[edit security ipsec]
階層レベルで policy
ステートメントを含め、ポリシー名と、このポリシーに関連付ける 1 つ以上のプロポーザルを指定します。
[edit security ipsec] policy ipsec-policy-name { proposals [ proposal-names ]; }
完全転送機密保持の設定
PFS は、 Diffie-Hellman 鍵交換 の共有秘密値によってセキュリティを強化します。PFS では、1 つのキーが侵害されても、前後のキーは以前のキーから派生していないため、安全です。このステートメントはオプションです。
PFSを設定するには、 perfect-forward-secrecy
ステートメントをインクルードし、 [edit security ipsec policy ipsec-policy-name]
階層レベルでDiffie-Hellmanグループを指定します。
[edit security ipsec policy ipsec-policy-name] perfect-forward-secrecy { keys (group1 | group2); }
キーは次のいずれかです。
group1
—新しいDiffie-Hellman交換を実行するときに、IKEが768ビットのDiffie-Hellmanプライムモジュラスグループを使用することを指定します。group2
—新しいDiffie-Hellman交換を実行するときに、IKEが1024ビットのDiffie-Hellman素数係数グループを使用することを指定します。
group2
group1
よりも高いセキュリティを提供しますが、より多くの処理時間を必要とします。
例:IPsec ポリシーの設定
次に、IPsec ポリシーを設定する例を示します。
[edit security ipsec] proposal dynamic-1 { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm 3des-cbc; lifetime-seconds 6000; } proposal dynamic-2 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 6000; } policy dynamic-policy-1 { perfect-forward-secrecy { keys group1; } proposals [ dynamic-1 dynamic-2 ]; } security-association dynamic-sa1 { dynamic { replay-window-size 64; ipsec-policy dynamic-policy-1; } }
現在の IPsec プロポーザルとポリシー設定に対する更新は、現在の IPsec SA には適用されません。更新は新しいIPsec SAに適用されます。
新しい更新を直ちに有効にする場合は、既存の IPsec セキュリティ アソシエーションをクリアして、変更された構成で再確立されるようにする必要があります。現在の IPsec セキュリティ アソシエーションをクリアする方法については、 CLI Explorer を参照してください。