Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティ アソシエーションの設定

セキュリティ アソシエーションの設定

IPsec の最初の設定手順では、IPsec 接続のセキュリティ アソシエーション (SA) の種類を選択します。手動SAのすべての仕様を静的に設定する必要がありますが、IKE動的SAを設定する際には、一部のデフォルトに依拠できます。セキュリティ アソシエーションを設定するには、次のセクションを参照してください。

手動SAの設定

ES PICでは、 [edit security ipsec security-association name] 階層レベルで手動セキュリティアソシエーションを設定します。認証、暗号化、方向、モード、プロトコル、SPI の選択肢を含めます。これらの選択内容が、リモート IPsec ゲートウェイでまったく同じ方法で構成されていることを確認してください。

ASおよびマルチサービスPICでは、 [edit services ipsec-vpn rule rule-name] 階層レベルで手動セキュリティアソシエーションを設定します。認証、暗号化、方向、プロトコル、SPI の選択肢を含めます。これらの選択内容が、リモート IPsec ゲートウェイでまったく同じ方法で構成されていることを確認してください。

IKE ダイナミック SA の設定

ES PICでは、 [edit security ike] および [edit security ipsec] 階層レベルでIKEダイナミックSAを設定します。認証アルゴリズム、認証方法、Diffie-Hellman グループ、暗号化、IKE モード、事前共有鍵のオプションなど、IKE ポリシーとプロポーザルの選択肢を含めます。IKEポリシーでは、IPsecトンネルのリモートエンドのIPアドレスをポリシー名として使用する必要があります。また、認証、暗号化、プロトコル、完全転送機密保持(PFS)、IPsec モードのオプションなど、IPsec ポリシーとプロポーザルの選択肢を含めます。これらの選択内容が、リモート IPsec ゲートウェイでまったく同じ方法で構成されていることを確認してください。

ASおよびマルチサービスPICでは、IKE動的セキュリティアソシエーションを [edit services ipsec-vpn ike]階層、 [edit services ipsec-vpn ipsec]階層、 [edit services ipsec-vpn rule rule-name] 階層レベルで設定します。認証アルゴリズム、認証方法、Diffie-Hellman グループ、暗号化、IKE モード、事前共有鍵のオプションなど、IKE ポリシーとプロポーザルの選択肢を含めます。また、認証、暗号化、プロトコル、PFS、および IPsec モードのオプションを含む IPsec ポリシーとプロポーザルの選択肢を含めます。これらの選択内容が、リモート IPsec ゲートウェイでまったく同じ方法で構成されていることを確認してください。

ASとマルチサービスPICでIKEとIPsecのポリシーとプロポーザルを明示的に設定しないことを選択した場合、設定のデフォルト値を設定できます。これらのデフォルト値を 表 1 に示します。

表1: ASおよびマルチサービスPICのIKEおよびIPsecプロポーザルとポリシーのデフォルト値

IKEポリシーステートメント

既定値

モード

メイン

提案

デフォルト

IKE提案書

既定値

認証アルゴリズム

SHA1

認証方法

事前共有キー

dh グループ

グループ2

暗号化アルゴリズム

3des-cbc

ライフタイム秒

3600 (秒)

IPsecポリシーステートメント

既定値

完全転送機密キー

グループ2

提案

デフォルト

IPsecプロポーザルステートメント

既定値

認証アルゴリズム

hmac-sha1-96

暗号化アルゴリズム

3des-cbc

ライフタイム秒

28800 (秒)

議定書

特に

手記:

ASおよびマルチサービスPIC内であらかじめ設定されたデフォルトのIKEおよびIPsecポリシーとプロポーザル値を使用する場合は、IKEポリシーを明示的に設定し、事前共有キーを含める必要があります。これは、 事前共有キー 認証方法が、デフォルトのIKEプロポーザルの事前設定された値の1つであるためです。

手記:

Junos OS リリース 14.2 以降、ジュニパーネットワークスの MX シリーズ ルーターが Cisco ASA デバイスと相互運用されている環境では、IKE セキュリティ アソシエーション(SA)と IPsec SA は Cisco ASA デバイス上で直ちに削除されますが、MX シリーズ ルーター上では保持されます。その結果、トラフィックが MX シリーズ ルーターまたは Cisco ASA デバイスから開始された場合、MX ルーターで 100% のトラフィック損失が発生します。MX シリーズ ルータでサービス PIC が再起動された場合、MX シリーズ ルータでラインカードが再起動された場合、または Cisco ASA デバイスでシャットダウン/シャットダウンなしのコマンド シーケンスまたは速度設定の変更が実行されたときに、この過剰なトラフィック損失の問題が発生します。このような導入でIKEとIPsec SAが保持されるという問題を回避するには、 clear ipsec security-associations コマンド clear ike security-associations とIKE SAコマンドをそれぞれ入力して、IPsecとIKE SAを手動で削除する必要があります。

値を手動で設定する場合、次の情報は、完全なステートメント階層と、ASおよびマルチサービスPIC上の動的IKE SAのオプションを示しています。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

解放
形容
14.2
Junos OS リリース 14.2 以降、ジュニパーネットワークスの MX シリーズ ルーターが Cisco ASA デバイスと相互運用されている環境では、IKE セキュリティ アソシエーション(SA)と IPsec SA は Cisco ASA デバイス上で直ちに削除されますが、MX シリーズ ルーター上では保持されます。