Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

複数の IPsec SAs を使用した CoS ベースの IPsec Vpn について

 

SRX シリーズデバイス上に構成された FCs (サービスクラス) (CoS) ルーティングクラス (Ip) は、IPsec セキュリティーアソシエーション (Sa) にマッピングできます。各 FC のパケットは異なる IPsec SA にマッピングされるため、ローカルデバイスと中間ルーターで CoS 処理を行うことができます。

複数の IPsec SAs を使用した CoS ベースの IPsec Vpn のメリット

  • セキュリティアソシエーションの個別のセットを使用して、各トンネルで異なるデータストリームを実現できます。

  • IPsec VPN の導入を容易にします。これにより、ボイスオーバー IP など、差別化されたトラフィックが必要になります。

概要

この機能はジュニパーネットワークス専用で、サポートされている SRX プラットフォームと Junos OS のリリースで動作します。VPN ピアデバイスは、SRX シリーズデバイスと同じ機能をサポートする、この機能またはその他の製品をサポートする SRX シリーズデバイスまたは vSRX インスタンスである必要があります。

FCs と IPsec Sa のマッピング

[ multi-sa forwarding-classesedit security ipsec vpn vpn-name] 階層レベルでは、最大8個の転送クラス (FC) を VPN に設定できます。ピアゲートウェイとネゴシエートされた IPsec Sa の数は、VPN 用に構成された FCs の数に基づいています。FCs の IPsec Sa へのマッピングは、VPN 用に構成されたすべてのトラフィックセレクターに適用されます。

特定の VPN の FCs 用に作成されたすべての IPsec Sa は、同じトンネル ID で表現されます。トンネル関連イベントは、すべての IPsec Sa の状態と統計を検討します。トンネルに関連するすべての IPsec Sa は、同じ SPU または SRX シリーズデバイスや vSRX インスタンスの同じスレッド ID に固定されています。

IPsec SA ネゴシエーション

VPN 用に複数の FCs が構成されている場合は、各 FC のピアとの間で一意の IPsec SA がネゴシエートされるようになっています。さらに、デフォルトの IPsec SA がネゴシエートされ、パケットを送信して構成済みの FC に一致しません。デフォルトの IPsec は、VPN ピアデバイスが FCs 用に設定されていない場合でもネゴシエートされます。また、IPsec SA マッピングへの FC をサポートしていません。デフォルトの IPsec SA はネゴシエートされる最初の IPsec SA であり、破棄される最後の SA があります。

構成されている FCs の数によって異なります。IPsec Sa がネゴシエート処理中の場合、パケットには IPsec SA がネゴシエートされていない FC が届くことがあります。指定された FC の IPsec SA がネゴシエートされるまで、トラフィックはデフォルトの IPsec SA に送信されます。インストールされている IPsec Sa のいずれにも一致しない FC を持つパケットは、デフォルトの IPsec SA に送信されます。

FCs から IPsec Sa へのマッピングは、ローカル VPN ゲートウェイ上で実行されます。ローカルおよびピアゲートウェイでは、FCs が異なる順序で設定されている場合があります。各ピアゲートウェイは、IPsec SA ネゴシエーションの完了順に FCs をマッピングします。そのため、ローカルおよびピアゲートウェイは、IPsec SA マッピングに対して異なる FC を持つ場合があります。ゲートウェイは、構成された数の FCs に達すると、新しい IPsec Sa のネゴシエートを停止します。ピアゲートウェイは、ローカルゲートウェイに構成された FCs 数よりも多くの IPsec Sa を開始することがあります。この場合、ローカルゲートウェイは、18の IPsec sa までの—ipsec sa 要求を追加で受け入れます。ローカルゲートウェイは、受信した IPsec トラフィックの暗号化を解除するためだけに他の IPsec Sa を使用します。構成された FC と一致しない FC を使用してパケットを受信した場合、パケットはデフォルトの FC IPsec SA に送信されます。

削除通知がピアデバイスからデフォルトの IPsec SA に受信された場合、デフォルトの IPsec SA のみが削除され、デフォルトの IPsec sa が新たにネゴシエートされます。この間、デフォルトの IPsec SA に送信される可能性のあるトラフィックがドロップします。デフォルトの IPsec SA が最後の SA である場合にのみ VPN トンネルがダウンします。

このestablish-tunnels immediatelyオプションを VPN に対して設定し、コミットすると、SRX シリーズデバイスはトラフィックが到着するのを待たずに IPsec SA をネゴシエートします。IPsec SA に対して設定された FC のネゴシエーションが完了しなかった場合は、60秒ごとにネゴシエーションが再試行されます。

このestablish-tunnels on-trafficオプションが VPN 用に設定されている場合、SRX シリーズデバイスは最初のデータパケットが到着したときに IPsec sa をネゴシエートします。最初のパケットの FC は重要ではありません。どちらのオプションを選択した場合も、デフォルトの IPsec SA が最初にネゴシエートされ、各 IPsec SA はデバイス上で FCs された順に1つずつネゴシエートされます。

Sa

差別化されたサービスコードポイント (DSCP) トラフィックステアリングトラフィックセレクターでマルチ Sa を使用している場合、以下の現象がキーの更新時に発生します。トラフィックセレクターがキー更新を実行するとき、1つまたは複数のトラフィックセレクターが何らかの理由でキーを更新できない場合は、ライフタイムが満了すると、特定の SA が停止します。この場合、特定の SA と一致するために使用するトラフィックが、代わりにデフォルトのトラフィックセレクターを介して送信されます。

VPN からの FCs の追加または削除

FCs が VPN で追加または削除されると、VPN 用の IKE と IPsec Sa が停止し、ネゴシエーションが再開されます。このclear security ipsec security-associationsコマンドを実行すると、すべての IPsec sa がクリアされます。

デッドピア検知 (DPD)

DPD がこの機能で構成されてoptimizedいる場合、このモードは、アウトゴーイングトラフィックが存在し、どの IPsec SA にも受信トラフィックがない場合にのみプローブを送信します。このモードprobe-idleは、IPsec sa のどこにも受信トラフィックがない場合にのみプローブを送信します。DPD 機能では、VPN 監視はサポートされていません。

コマンド

このshow security ipsec sa details index tunnel-idコマンドは、FC 名前を含むすべての IPsec SA の詳細を表示します。このshow security ipsec stats index tunnel-idコマンドは、各 FC の統計情報を表示します。

サポートされる VPN 機能

CoS ベースの IPsec Vpn では、以下の VPN 機能がサポートされています。

  • ルートベースのサイトツーサイト Vpn。ポリシーベースの Vpn はサポートされていません。

  • AutoVPN.

  • トラフィックのセレクター

  • 自動検出 Vpn (ADVPNs)

  • IKEv2. IKEv1 はサポートされていません。

  • デッドピア検知 (DPD)。VPN 監視はサポートされていません。