IPsec動的エンドポイントトンネルのIKEアクセスプロファイルの設定
IPsec動的エンドポイントトンネルのIKEアクセスプロファイルの設定
すべてのダイナミック ピアに対して、サービス セットごとに 1 つのトンネル プロファイルのみを設定できます。プロファイルに設定された事前共有キーは、そのサービス セットで終端するすべての動的ピアの IKE 認証に使用されます。
IKE トンネル プロファイルは、IKE ネゴシエーションを完了するために必要なすべての情報を指定します。アクセスプロファイルの詳細については、 Junosシステムの基本設定ガイド を参照してください。
[edit access] profile profile-name { client * { ike { allowed-proxy-pair { remote remote-proxy-address local local-proxy-address; } pre-shared-key ([ ascii-text key-string ] | [hexadecimal key-string ]); interface-id string-value; ipsec-policy ipsec-policy; } } }
動的ピアの場合、Junos OSは、事前共有鍵方式の認証を備えたIKE メイン モードのみをサポートします。このモードでは、IPv4 または IPv6 アドレスを使用してトンネルピアを特定し、事前共有鍵情報を取得します。 クライアント 値 * (ワイルドカード) は、このプロファイル内の設定が、このプロファイルにアクセスするサービス セット内で終端するすべての動的ピアに対して有効であることを意味します。
以下のステートメントは、IKE プロファイルの一部です。
allowed-proxy-pair—フェーズ2のIKEネゴシエーション中に、リモートピアはネットワークアドレス(リモート)とピアのネットワークアドレス(ローカル)を提供します。複数の動的トンネルは同じメカニズムで認証されるため、このステートメントには可能な組み合わせのリストを含める必要があります。動的ピアが有効な組み合わせを提示しない場合、フェーズ2のIKEネゴシエーションは失敗します。
デフォルトでは、値が設定されていない場合、リモート 0.0.0.0/0 ローカル 0.0.0.0/0 が使用されます。
事前共有キー—IKEフェーズ1ネゴシエーション中に動的ピアを認証するために使用される必須キー。このキーは、トンネルの両端で設定し、アウトオブバンド セキュア メカニズムを通じて配信する必要があります。キー値は、 16 進または ASCII テキスト 形式で設定できます。
interface-id - インターフェイス識別子、セッションの論理サービスインターフェイス情報を取得するのに使用される必須属性。
ipsec-policy - セッションの IPsec ポリシー情報を定義する IPsec ポリシーの名前。IPsecポリシーは、
[edit services ipsec-vpn ipsec policy policy-name]階層レベルで定義します。ポリシーが設定されていない場合は、動的ピアが提案するすべてのポリシーが受け入れられます。
IPsec動的エンドポイントトンネル用のサービスセットの設定
動的エンドポイントトンネルの設定を完了するには、サービスセットの[edit access]階層レベルで設定されたIKEアクセスプロファイルを参照する必要があります。これを行うには、[ipsec-vpn-optionsname編集サービスサービスセット]階層レベルで ike-access-profile ステートメントを含めます。
[edit services] service-set name { next-hop-service { inside-service-interface interface-name; outside-service-interface interface-name; } ipsec-vpn-options { local-gateway address; ike-access-profile profile-name; } }
各サービス セットで参照できるアクセス プロファイルは 1 つだけです。このプロファイルは、IKE および IPsec セキュリティ アソシエーションを動的ピアとのみネゴシエートするために使用されます。
サービスセットにIKEアクセスプロファイルを設定すると、他のサービスセットが同じ ローカルゲートウェイ アドレスを共有することはできません。
IPsec動的エンドポイントトンネルのインターフェイス識別子の設定
動的IPsecネゴシエーションに参加する適応サービス論理インターフェイスを指定する動的ピアのグループのインターフェイス識別子を設定できます。複数の論理インターフェイスに同じインターフェイス識別子を割り当てることで、そのためのインターフェイスのプールを作成できます。設定するには、[edit interfaces interface-name]階層レベルで ipsec-interface-id ステートメントを含めます。
[edit interfaces sp-fpc/pic/port] unit logical-unit-number { dial-options { ipsec-interface-id identifier; (shared | dedicated); } }
dial-options ステートメントでインターフェイス識別子を指定すると、この論理インターフェイスは IPsec インターフェイス識別子によって識別されるプールの一部になります。
一度に指定できるインターフェースIDは1つだけです。 ipsec-interface-id ステートメントまたは l2tp-interface-id ステートメントを含めることができますが、両方を同時に使用することはできません。
sharedステートメントを使用すると、1つの論理インターフェイスを複数のトンネルで共有できます。dedicated ステートメントは、論理インターフェイスが単一のトンネルに関連付けられていることを指定します。これは、IPsec リンクタイプ トンネルを設定する場合に必要です。ipsec-interface-id 値を指定する場合、dedicated ステートメントを含める必要があります。
1つのネクストホップサービスセットへの複数のルーティングトンネルの設定
オプションで、1 つのネクストホップ サービス セット内に複数のルーティングされた IPSec トンネルを構成できます。そのためには、まず [edit interfaces sp-fpc/pic/port unit logical-unit-number] 階層レベルで service-domain inside ステートメントを含め、複数のサービス インターフェイスを内部インターフェイスとして確立します。次に、[edit services ipsec-vpn rule rule-name term term-name from]階層レベルで ipsec-inside-interface ステートメントを含めます。
IPsec および IKE の完全なプロポーザルとポリシーは、簡潔にするために以下の例では示していません。
[edit]
interfaces {
sp-3/3/0 {
unit 3 {
family inet;
service-domain inside;
}
unit 4 {
family inet;
service-domain outside;
}
unit 5 {
family inet;
service-domain inside;
}
}
}
services {
service-set link_type_ss_1 {
next-hop-service {
inside-service-interface sp-3/3/0.3;
outside-service-interface sp-3/3/0.4;
}
ipsec-vpn-options {
local-gateway 10.8.7.2;
}
ipsec-vpn-rules link_rule_1;
}
ipsec-vpn {
rule link_rule_1 {
term 1 {
from {
ipsec-inside-interface sp-3/3/0.3;
}
then {
remote-gateway 10.10.7.3;
backup-remote-gateway 10.8.7.1;
dynamic {
ike-policy main_mode_ike_policy;
ipsec-policy dynamic_ipsec_policy;
}
}
}
term 2 {
from {
ipsec-inside-interface sp-3/3/0.5;
}
then {
remote-gateway 10.12.7.5;
dynamic {
ike-policy main_mode_ike_policy;
ipsec-policy dynamic_ipsec_policy;
}
}
}
match-direction input;
}
}
}
設定が機能していることを確認するには、 show services ipsec-vpn ipsec security-associations コマンドを発行します。各 IPsec トンネルに割り当てた各 IPsec 内部インターフェイスが、このコマンドの出力に含まれていることに注意してください。
user@router> show services ipsec-vpn ipsec security-associations
Service set: link_type_ss_1
Rule: link_rule_1, Term: 1, Tunnel index: 1
Local gateway: 10.8.7.2, Remote gateway: 10.8.7.1
IPSec inside interface: sp-3/3/0.3
Direction SPI AUX-SPI Mode Type Protocol
inbound 3216392497 0 tunnel dynamic ESP
outbound 398917249 0 tunnel dynamic ESP
Rule: link_rule_1, Term: 2, Tunnel index: 2
Local gateway: 10.8.7.2, Remote gateway: 10.12.7.5
IPSec inside interface: sp-3/3/0.5
Direction SPI AUX-SPI Mode Type Protocol
inbound 762146783 0 tunnel dynamic ESP
outbound 319191515 0 tunnel dynamic ESP