このページの目次
セキュリティ アソシエーションの設定
セキュリティ アソシエーションの設定
IPsec の最初の設定手順では、IPsec 接続のセキュリティ アソシエーション (SA) の種類を選択します。手動SAのすべての仕様を静的に設定する必要がありますが、IKE動的SAを設定する際には、一部のデフォルトに依拠できます。セキュリティ アソシエーションを設定するには、次のセクションを参照してください。
手動SAの設定
ES PICでは、 [edit security ipsec security-association name] 階層レベルで手動セキュリティアソシエーションを設定します。認証、暗号化、方向、モード、プロトコル、SPI の選択肢を含めます。これらの選択内容が、リモート IPsec ゲートウェイでまったく同じ方法で構成されていることを確認してください。
[edit security]
ipsec {
security-association sa-name {
description description;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi auxiliary-spi;
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
protocol (ah | esp | bundle);
spi spi-value;
}
}
mode (tunnel | transport);
}
}
ASおよびマルチサービスPICでは、 [edit services ipsec-vpn rule rule-name] 階層レベルで手動セキュリティアソシエーションを設定します。認証、暗号化、方向、プロトコル、SPI の選択肢を含めます。これらの選択内容が、リモート IPsec ゲートウェイでまったく同じ方法で構成されていることを確認してください。
[edit services ipsec-vpn]
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi spi-value;
encryption {
algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
key (ascii-text key | hexadecimal key);
}
protocol (ah | bundle | esp);
spi spi-value;
}
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}
IKE ダイナミック SA の設定
ES PICでは、 [edit security ike] および [edit security ipsec] 階層レベルでIKEダイナミックSAを設定します。認証アルゴリズム、認証方法、Diffie-Hellman グループ、暗号化、IKE モード、事前共有鍵のオプションなど、IKE ポリシーとプロポーザルの選択肢を含めます。IKEポリシーでは、IPsecトンネルのリモートエンドのIPアドレスをポリシー名として使用する必要があります。また、認証、暗号化、プロトコル、完全転送機密保持(PFS)、IPsec モードのオプションなど、IPsec ポリシーとプロポーザルの選択肢を含めます。これらの選択内容が、リモート IPsec ゲートウェイでまったく同じ方法で構成されていることを確認してください。
[edit security]
ike {
proposal ike-proposal-name {
authentication-algorithm (md5 | sha1 |sha-256 |sha-384);
authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
}
policy ike-peer-address {
description description;
encoding (binary | pem);
identity identity-name;
local-certificate certificate-filename;
local-key-pair private-public-key-file;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
}
}
ipsec {
proposal ipsec-proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128);
description description;
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy ipsec-policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
security-association sa-name {
description description;
dynamic {
ipsec-policy policy-name;
replay-window-size (32 | 64);
}
mode (tunnel | transport);
}
}
ASおよびマルチサービスPICでは、IKE動的セキュリティアソシエーションを [edit services ipsec-vpn ike]階層、 [edit services ipsec-vpn ipsec]階層、 [edit services ipsec-vpn rule rule-name] 階層レベルで設定します。認証アルゴリズム、認証方法、Diffie-Hellman グループ、暗号化、IKE モード、事前共有鍵のオプションなど、IKE ポリシーとプロポーザルの選択肢を含めます。また、認証、暗号化、プロトコル、PFS、および IPsec モードのオプションを含む IPsec ポリシーとプロポーザルの選択肢を含めます。これらの選択内容が、リモート IPsec ゲートウェイでまったく同じ方法で構成されていることを確認してください。
ASとマルチサービスPICでIKEとIPsecのポリシーとプロポーザルを明示的に設定しないことを選択した場合、設定のデフォルト値を設定できます。これらのデフォルト値を 表 1 に示します。
IKEポリシーステートメント |
既定値 |
|---|---|
モード |
メイン |
提案 |
デフォルト |
| IKE提案書 | 既定値 |
認証アルゴリズム |
SHA1 |
認証方法 |
事前共有キー |
dh グループ |
グループ2 |
暗号化アルゴリズム |
3des-cbc |
ライフタイム秒 |
3600 (秒) |
| IPsecポリシーステートメント | 既定値 |
完全転送機密キー |
グループ2 |
提案 |
デフォルト |
| IPsecプロポーザルステートメント | 既定値 |
認証アルゴリズム |
hmac-sha1-96 |
暗号化アルゴリズム |
3des-cbc |
ライフタイム秒 |
28800 (秒) |
議定書 |
特に |
ASおよびマルチサービスPIC内であらかじめ設定されたデフォルトのIKEおよびIPsecポリシーとプロポーザル値を使用する場合は、IKEポリシーを明示的に設定し、事前共有キーを含める必要があります。これは、 事前共有キー 認証方法が、デフォルトのIKEプロポーザルの事前設定された値の1つであるためです。
Junos OS リリース 14.2 以降、ジュニパーネットワークスの MX シリーズ ルーターが Cisco ASA デバイスと相互運用されている環境では、IKE セキュリティ アソシエーション(SA)と IPsec SA は Cisco ASA デバイス上で直ちに削除されますが、MX シリーズ ルーター上では保持されます。その結果、トラフィックが MX シリーズ ルーターまたは Cisco ASA デバイスから開始された場合、MX ルーターで 100% のトラフィック損失が発生します。MX シリーズ ルータでサービス PIC が再起動された場合、MX シリーズ ルータでラインカードが再起動された場合、または Cisco ASA デバイスでシャットダウン/シャットダウンなしのコマンド シーケンスまたは速度設定の変更が実行されたときに、この過剰なトラフィック損失の問題が発生します。このような導入でIKEとIPsec SAが保持されるという問題を回避するには、 clear ipsec security-associations コマンド clear ike security-associations とIKE SAコマンドをそれぞれ入力して、IPsecとIKE SAを手動で削除する必要があります。
値を手動で設定する場合、次の情報は、完全なステートメント階層と、ASおよびマルチサービスPIC上の動的IKE SAのオプションを示しています。
[edit services ipsec-vpn]
ike {
proposal proposal-name {
authentication-algorithm (md5 | sha1 | sha256);
authentication-method (pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
}
policy policy-name {
description description;
local-id {
ipv4_addr [ values ];
key_id [ values ];
}
local-certificate certificate-id-name;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
remote-id {
ipv4_addr [ values ];
key_id [ values ];
}
}
}
ipsec {
proposal proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96);
description description;
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
}
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
dynamic {
ike-policy policy-name;
ipsec-policy policy-name;
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。