Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

manual (Security IPsec)

Syntax

Hierarchy Level

Description

手動 IPsec セキュリティーアソシエーション (SA) を定義します。

Options

認証アルゴリズム

パケットデータを認証するハッシュアルゴリズム。以下のいずれかの方法が可能です。

  • hmac-md5-96—128 ビットダイジェストを生成します。

  • hmac-sha-256-128:データ起点の認証と整合性の保護を提供します。このバージョンの hmac-sha-1-256 オーセンティケータは、256ビットダイジェストを生成し、128ビットに切り捨てを指定します。

  • hmac-sha1-96—パケット データを認証するハッシュ アルゴリズム。これにより、160ビットダイジェストが生成されます。認証に使用されるのは、96ビットのみです。

  • authentication key—認証キーのタイプ。以下のいずれかを指定できます。

    • ascii-text key—ASCII テキスト キー。のhmac-md5-96場合、鍵は16個の ASCII 文字になります。の hmac-sha1-96場合、鍵は20個の ASCII 文字です。

    • hexadecimal key—16 進キー。のhmac-md5-96場合、キーは16進文字32になります。の hmac-sha1-96場合、キーは40の16進数文字です。

暗号化アルゴリズム

内部ルーティングエンジンツールーティングエンジン IPsec セキュリティーアソシエーション (SA) 構成の暗号化アルゴリズムを選択します。以下のいずれかを指定できます。

  • des-cbc—8バイト(64ビット)およびキーサイズ48ビットのブロックサイズを持つ暗号化アルゴリズム。

  • 3des-cbc—ブロック サイズが 8 バイト(64 ビット)で、鍵サイズが 192 ビットの暗号化アルゴリズムです。

    3des-cbc場合、最初の8バイトは2番目の8バイトとは異なることを推奨し、2つ目の8バイトは3個目の8バイトと同じにすることをお勧めします。

  • aes-128-cbc—AES(Advanced Encryption Standard)128 ビット暗号化アルゴリズム。

  • aes-128-gcm—AES(Advanced Encryption Standard)128 ビット暗号化アルゴリズム。

  • aes-192-cbc—AES(Advanced Encryption Standard)192 ビット暗号化アルゴリズム。

  • aes-256-cbc—AES(Advanced Encryption Standard)256 ビット暗号化アルゴリズム。

  • aes-256-gcm—AES(Advanced Encryption Standard)256 ビット暗号化アルゴリズム。

  • encryption key—暗号化キーのタイプ。以下のいずれかを指定できます。

    • ascii-text key—ASCII テキスト キー。このdes-cbcオプションの場合、キーには8個の ASCII 文字が含まれています。の3des-cbc場合、キーには24個の ASCII 文字が含まれています。

    • hexadecimal key—16 進キー。このdes-cbc オプションの場合、キーには16個の16進数文字が含まれます。この3des-cbcオプションでは、キーには48の16進数文字が含まれています。

外部インターフェイス

手動セキュリティーアソシエーションのアウトゴーイングインターフェイスを指定します。

活用

手動セキュリティーアソシエーションの場合は、ピアの IPv4 または IPv6 アドレスを指定します。

protocol

手動でセキュリティーアソシエーションを行うための IPsec プロトコルを定義します。

  • 指定

    • ah— 認証ヘッダー プロトコル

    • esp— ESP プロトコル(ESP プロトコルを使用するには、 [セキュリティ ipsec セキュリティ アソシエーション sa-name モードの編集] 階層レベルでトンネル ステートメントを使用する必要があります)

spi

セキュリティーアソシエーション (SA) のセキュリティーパラメータインデックス (SPI) を設定します。受信側ホストで使用するセキュリティーアソシエーション (SA) を一意に識別する任意の値 (パケット内の宛先アドレス)。

  • 256 ~ 16639

Required Privilege Level

セキュリティ — このステートメントを設定で表示するには。

security-control—このステートメントを設定に追加します。

Release Information

文は Junos OS リリース8.5 で変更されています。Junos OS リリース11.1 で追加された IPv6 アドレスのサポート。

Junos OS リリースhmac-sha-256-128 12.1 X46-D20 の SRX5400、SRX5600、SRX5800 デバイスに追加されたサポート。認証アルゴリズムのサポート(SHA1: hmac-sha1-96 および SHA2: Junos OS リリース 19.3R1 の SRX4100、SRX4200、vSRX では、PMI(PowerMode IPsec)モードの hmac-sha-256-128)が導入されました。3.0 vSRX のサポートは、リリース リリース Junos OSで20.1R1。

Junos OS リリース 19.3R1 で、PowerMode IPsec(P vSRX MI)モードの暗号アルゴリズム aes-128-cbc、aes-192-cbc、aes-256-cbc がサポートされています。3.0 vSRX のサポートは、リリース リリース Junos OSで20.1R1。