|
◆ SRX - Route-based VPNの設定例 ( proposal-set )
proposal-setを使用することで合計7行もコンフィグを減らすことができます。SRX同士でIPsec-VPN接続を
行う場合、IKEフェーズ1、IKEフェーズ2ともにPre-definedされた basicまたはcompatibleまたはstandard
を使用すると便利です。セキュリティの観点から「basic」はお勧めできず「standard」の使用が推奨です。
【 IKEフェーズ 1 】
| コマンド |
説明 |
内容 |
| basic |
Proposal 1 : Preshared key, DH g1, DES, SHA1
Proposal 2 : Preshared key, DH g1, DES, MD5 |
pre-g1-des-sha
pre-g1-des-md5 |
| compatible |
Proposal 1 : Preshared key, DH g2, 3DES, SHA1
Proposal 2 : Preshared key, DH g2, 3DES, MD5
Proposal 3 : Preshared key, DH g2, DES, SHA1
Proposal 4 : Preshared key, DH g2, DES, MD5 |
pre-g2-3des-sha
pre-g2-3des-md5
pre-g2-des-sha
pre-g2-des-md5 |
| standard |
Proposal 1 : Preshared key, DH g2, 3DES, SHA1
Proposal 2 : Preshared key, DH g2, AES128, SHA1 |
pre-g2-3des-sha
pre-g2-aes128-sha |
【 IKEフェーズ 2 】
| コマンド |
説明 |
説明 |
| basic |
Proposal 1 : no PFS, ESP, DES, SHA1
Proposal 2 : no PFS, ESP, DES, MD5 |
nopfs-esp-des-sha
nopfs-esp-des-md5 |
| compatible |
Proposal 1 : no PFS, ESP, 3DES, SHA1
Proposal 2 : no PFS, ESP, 3DES, MD5
Proposal 3 : no PFS, ESP, DES, SHA1
Proposal 4 : no PFS, ESP, DES, MD5 |
nopfs-esp-3des-sha
nopfs-esp-3des-md5
nopfs-esp-des-sha
nopfs-esp-des-md5 |
| standard |
Proposal 1 : DH g2, ESP, 3DES, SHA1
Proposal 2 : DH g2, ESP, AES128, SHA1 |
g2-esp-3des-sha
g2-esp-aes128-md5
|
IKEフェーズ1の場合は、set security ike policy ポリシー名 proposal-set standardコマンドを使用。
IKEフェーズ2の場合は、set security ipsec policy ポリシー名 proposal-set standardコマンドを使用。
◆ IKEフェーズ 1 のステータス確認
◆ IKEフェーズ 2 のステータス確認
|