構成 3: 2 つのローカル リンク ホスト間での IPsec の使用
この構成では、認証ヘッダー (AH) とメッセージ ダイジェスト 5 (MD5) ハッシュ アルゴリズムを使用して認証を実行するために、同じサブネット上の 2 つのホスト間に IPsec セキュリティ アソシエーション (SA) を作成します。 この例では、次に示す構成では、2 つの隣接するホスト間のすべてのトラフィックをセキュリティで保護します。ホスト 1 はリンクローカル アドレス FE80::2AA:FF:FE53:A92C、ホスト 2 はリンクローカル アドレス FE80::2AA:FF:FE92:D0F1 です。
2 つのローカル リンク ホスト間で IPsec を使用するには
ホスト 1 で、ipsec6 c コマンドを使用して、空のセキュリティ関連付け (SAD) ファイルとセキュリティ ポリシー (SPD) ファイルを作成します。 この例では、Ipsec6.exe コマンドは ipsec6 c テストです。 これにより、セキュリティ 関連付け (Test.sad) とセキュリティ ポリシー (Test.spd) を手動で構成する 2 つのファイルが作成されます。
ホスト 1 で SPD ファイルを編集し、ホスト 1 とホスト 2 の間のすべてのトラフィックをセキュリティで保護するセキュリティ ポリシーを追加します。
次の表は、この例の最初のエントリの前に Test.spd ファイルに追加されたセキュリティ ポリシーを示しています (Test.spd ファイルの最初のエントリは変更されませんでした)。
SPD ファイル フィールド名 値の例 ポリシー 2 RemoteIPAddr FE80::2AA:FF:FE92:D0F1 LocalIPAddr * RemotePort * プロトコル * ローカル ポート * IPSecProtocol ああ IPSecMode トランスポート RemoteGWIPAddr * SABundleIndex NONE 方向 BIDIRECT 操作 適用 InterfaceIndex 0 このセキュリティ ポリシーを構成する行の末尾にセミコロンを配置します。 ポリシー エントリは、数値順に減らす必要があります。
ホスト 1 で SAD ファイルを編集し、SA エントリを追加して、ホスト 1 とホスト 2 の間のすべてのトラフィックをセキュリティで保護します。 2 つのセキュリティ 関連付けを作成する必要があります。1 つはホスト 2 へのトラフィック用、もう 1 つはホスト 2 からのトラフィック用です。
次の表は、この例の Test.sad ファイルに追加された最初の SA エントリを示しています (ホスト 2 へのトラフィックの場合)。
SAD ファイル フィールド名 値の例 SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr ポリシー SrcIPAddr ポリシー プロトコル ポリシー DestPort ポリシー SrcPort ポリシー AuthAlg HMAC-MD5 KeyFile Test.key 方向 送信 SecPolicyIndex 2 この SA を構成する行の末尾にセミコロンを配置します。
次の表は、この例の Test.sad ファイルに追加された 2 番目の SA エントリを示しています (ホスト 2 からのトラフィックの場合)。
SAD ファイル フィールド名 値の例 SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr ポリシー SrcIPAddr ポリシー プロトコル ポリシー DestPort ポリシー SrcPort ポリシー AuthAlg HMAC-MD5 KeyFile Test.key 方向 受信 SecPolicyIndex 2 この SA を構成する行の末尾にセミコロンを配置します。 SA エントリは、減少する数値順に配置する必要があります。
ホスト 1 で、ホスト 2 で作成された CA の認証に使用されるテキスト文字列を含むテキスト ファイルを作成します。 この例では、Test.key ファイルが "This is a test" という内容で作成されます。 キーを ipsec6 ツールで読み取るには、キー文字列の前後に二重引用符を含める必要があります。
Microsoft IPv6 テクノロジ プレビューでは、IPsec CA の認証用に手動で構成されたキーのみがサポートされます。 手動キーは、手動キーのテキスト文字列を含むテキスト ファイルを作成することによって構成されます。 この例では、CA に対して同じキーが両方向で使用されています。 異なるキー ファイルを作成し、SAD ファイルの KeyFile フィールドで参照することで、受信および送信の CA に異なるキーを使用できます。
ホスト 2 で、ipsec6 c コマンドを使用して、空のセキュリティ関連付け (SAD) ファイルとセキュリティ ポリシー (SPD) ファイルを作成します。 この例では、Ipsec6.exe コマンドは ipsec6 c テストです。 これにより、セキュリティ 関連付け (Test.sad) とセキュリティ ポリシー (Test.spd) を手動で構成するための空のエントリを含む 2 つのファイルが作成されます。
この例を簡略化するために、ホスト 2 では SAD ファイルと SPD ファイルと同じファイル名が使用されます。 ホストごとに異なるファイル名を使用することを選択できます。
ホスト 2 で SPD ファイルを編集し、ホスト 2 とホスト 1 の間のすべてのトラフィックをセキュリティで保護するセキュリティ ポリシーを追加します。
次の表は、この例の Test.spd ファイルの最初のエントリの前に追加されたセキュリティ ポリシー エントリを示しています (Test.spd ファイルの最初のエントリは変更されませんでした)。
SPD ファイル フィールド名 値の例 ポリシー 2 RemoteIPAddr FE80::2AA:FF:FE53:A92C LocalIPAddr * RemotePort * プロトコル * ローカル ポート * IPSecProtocol ああ IPSecMode トランスポート RemoteGWIPAddr * SABundleIndex NONE 方向 BIDIRECT 操作 適用 InterfaceIndex 0 このセキュリティ ポリシーを構成する行の末尾にセミコロンを配置します。 ポリシー エントリは、数値順に配置する必要があります。
ホスト 2 で SAD ファイルを編集し、SA エントリを追加して、ホスト 2 とホスト 1 の間のすべてのトラフィックをセキュリティで保護します。 ホスト 1 へのトラフィック用とホスト 1 からのトラフィック用の 2 つのセキュリティ 関連付けを作成する必要があります。
次の表は、この例の Test.sad ファイルに追加された最初の SA (ホスト 1 からのトラフィックの場合) を示しています。
SAD ファイル フィールド名 値の例 SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr ポリシー SrcIPAddr ポリシー プロトコル ポリシー DestPort ポリシー SrcPort ポリシー AuthAlg HMAC-MD5 KeyFile Test.key 方向 受信 SecPolicyIndex 2 この SA を構成する行の末尾にセミコロンを配置します。
次の表は、この例の Test.sad ファイルに追加された 2 番目の SA エントリを示しています (ホスト 1 へのトラフィックの場合)。
SAD ファイル フィールド名 値の例 SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr ポリシー SrcIPAddr ポリシー プロトコル ポリシー DestPort ポリシー SrcPort ポリシー AuthAlg HMAC-MD5 KeyFile Test.key 方向 送信 SecPolicyIndex 2 この SA を構成する行の末尾にセミコロンを配置します。 SA エントリは、数値順に減らす必要があります。
ホスト 2 で、ホスト 1 で作成された CA の認証に使用されるテキスト文字列を含むテキスト ファイルを作成します。 この例では、Test.key ファイルが "This is a test" という内容で作成されます。 キーを ipsec6 ツールで読み取るには、キー文字列の前後に二重引用符を含める必要があります。
ホスト 1 で、ipsec6 a コマンドを使用して、SPD ファイルと SAD ファイルから構成されたセキュリティ ポリシーと CA を追加します。 この例では、ipsec6 テスト コマンドがホスト 1 で実行されます。
ホスト 2 で、ipsec6 a コマンドを使用して、SPD ファイルと SAD ファイルから構成されたセキュリティ ポリシーと CA を追加します。 この例では、ipsec6 a test コマンドがホスト 2 で実行されます。
ping6 コマンドを使用してホスト 2 からホスト 1 に ping を実行します。
Microsoft ネットワーク モニターまたは別のパケット スニファーを使用してトラフィックをキャプチャすると、IPv6 ヘッダーと ICMPv6 ヘッダーの間で、認証ヘッダーを使用して ICMPv6 エコー要求メッセージとエコー応答メッセージが交換されます。
関連トピック