Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

ルートベースの Vpn でのトラフィックセレクターの理解

 

トラフィックの選択は、トラフィックがローカルおよびリモートアドレスの指定されたペアと一致する場合に、トンネルを通過するトラフィックを許可する IKE ピア間の取り決めです。この機能を使用すると、特定のルートベースの VPN 内でトラフィックセレクターを定義できます。これにより、複数フェーズ2の IPsec セキュリティーアソシエーション (Sa) が生成されます。関連する SA では、トラフィックセレクターに準拠しているトラフィックのみが許可されています。

Junos OS リリース 12.1 X46 ~ D10 および Junos OS Release 17.3 R1 をはじめ、トラフィックセレクターは、IKEv1 サイトツーサイト Vpn で設定できます。 Junos OS リリース 15.1 X49-D100 では、IKEv2 のサイトツーサイト Vpn を使用してトラフィックセレクターを設定できます。

トラフィックセレクターの設定

トラフィックセレクターを構成するには、 traffic-selector [edit security ipsec vpn vpn-name] 階層レベルで構成ステートメントを使用します。トラフィックセレクターは、必須local-ip ip-address/netmaskおよびremote-ip ip-address/netmaskステートメントで定義されています。CLI の運用コマンドshow security ipsec security-association detailにより、sa のトラフィックセレクター情報が表示されます。CLI show security ipsec security-association traffic-selector traffic-selector-nameコマンドは、指定されたトラフィックセレクターの情報を表示します。

特定のトラフィックセレクターで、ローカルおよびリモートアドレスに対して、単一のアドレスとネットマスクが指定されています。トラフィックセレクターは、IPv4 または IPv6 アドレスで設定できます。アドレスブックを使用してローカルまたはリモートアドレスを指定することはできません。

同じ VPN に対して複数のトラフィックセレクターを設定できます。最大で200のトラフィックセレクターを VPN ごとに設定できます。トラフィックセレクターは、IPv4 イン ipv4、ipv4/ipv6、ipv6 イン ipv6、または IPv6 イン IPv4 トンネルモードで使用できます。

以下の機能は、トラフィックセレクターではサポートされていません。

  • VPN 監視

  • トラフィックセレクターのローカルおよびリモート IP アドレス用に構成されている異なるアドレスファミリ

  • リモートアドレス 0.0.0.0/0 (IPv4) または0::0(IPv6) サイトツーサイト Vpn

    Junos OS Release 15.1 X49-D140 のすべての SRX シリーズデバイスおよび vSRX インスタンスで、リモートアドレス0::0 を使用してトラフィックセレクターを設定すると(IPv6)、以下 “error: configuration check-out failed”コミットの実行時にメッセージが表示され、構成のチェックアウトが失敗します。

  • ポイントツーマルチポイントインターフェイス

  • St0 インターフェイス上で構成された動的ルーティングプロトコル

ルートベース VPN に対して複数のトラフィックセレクターが設定されている場合、IKE ゲートウェイの外部インターフェイスが別の仮想ルーター (VR) に移動された場合、トラフィックの選択に一致せずに、クリアなトラフィックが VPN トンネルに入ることがあります。ソフトウェアは、IKE ゲートウェイの外部インターフェイスを別の VR に移動したときに生成される複数の非同期インターフェイスイベントを処理しません。この回避策として、まず IPsec VPN トンネルを非アクティブ化し、そのトンネルを使用せずに構成をコミットしてから、IKE ゲートウェイの外部インターフェイスを別の VR に移動します。

自動ルート挿入について

自動ルート挿入 (ARI)は、リモートネットワークおよびリモートトンネルエンドポイントによって保護されるホストの静的ルートを自動的に挿入します。トラフィックセレクターに構成されているリモート IP アドレスに基づいてルートが作成されます。トラフィックセレクターの場合、設定されたリモートアドレスは、VPN にバインドされた st0 インターフェイスに関連付けられたルーティングインスタンスにルートとして挿入されます。

ルーティングプロトコルとトラフィックセレクターの設定は相互に排他的なため、トンネルへのトラフィックをステアリングできます。ARI ルートは、ルーティングプロトコルによって設定されたルートと競合することがあります。そのため、トラフィックセレクターが設定されている VPN にバインドされている st0 インターフェイスでは、ルーティングプロトコルを設定しないでください。

また、ルートのリバース挿入 (RRI) としても知られています。ARI ルートは、以下のようにルーティングテーブルに挿入されます。

  • このestablish-tunnels immediatelyオプションが [edit security ipsec vpn vpn-name] 階層レベルで設定されている場合は、phase 1 と phase 2 ネゴシエーションが完了した後に、ARI ルートが追加されます。Sa が確立されるまでルートが追加されないため、ネゴシエーションが失敗しても、トラフィックは停止している st0 インターフェイスにルーティングされることはありません。代わりに代わりまたはバックアップトンネルが使用されます。

  • このestablish-tunnels immediatelyオプションが [edit security ipsec vpn vpn-name] 階層レベルで設定されていない場合は、設定のコミット時に ARI ルートが追加されます。

  • トラフィックセレクターに設定またはネゴシエートされたリモートアドレスが 0.0.0.0/0 または0::0 の場合、ARI ルートは追加されません。

静的な ARI ルートの優先度は5です。この値は、ルーティングプロトコルプロセスによって追加される可能性のある類似のルートとの競合を回避するために必要です。静的な ARI ルートのメトリックを設定することはできません。

静的な ARI ルートは、 rib-groups構成を使用して他のルーティングインスタンスにリークすることはできません。構成をimport-policy使用して、静的な ARI ルートをリークします。

トラフィックセレクターと重複した IP アドレスについて

ここでは、トラフィックセレクターの構成における重複した IP アドレスについて説明します。

同一の st0 インターフェイスにバインドされている異なる Vpn に重複した IP アドレス

このシナリオは、トラフィックセレクターではサポートされていません。次の例に示すように、同じポイントツーマルチポイント st0 インターフェイスにバインドされているさまざまな Vpn 上に、トラフィックセレクターを設定することはできません。

同一の st0 インターフェイスにバインドされている同じ VPN に重複する IP アドレスがある

重複する IP アドレスが同じ VPN の複数のトラフィックセレクターに設定されている場合、パケットに一致する最初に設定されたトラフィックセレクターが、パケットの暗号化に使用されるトンネルを決定します。

次の例では、ポイントツーポイントの st 0.1 インターフェイスにバインドされている VPN (vpn) 用に、4つのトラフィックセレクター (ts-1、ts-2、ts-3、および ts-4) が設定されています。

送信元アドレス192.168.5.5 と宛先アドレス10.1.5.10 を持つパケットが、トラフィックセレクターとして ts-1 と ts-2 と一致します。ただし、トラフィックセレクター ts は最初に設定された対戦であり、ts に関連付けられたトンネルはパケットの暗号化に使用されます。

送信元アドレス172.16.5.5 と宛先アドレス10.2.5.10 を持つパケットは、トラフィックセレクター ts および ts-4 と一致します。ただし、トラフィックセレクター ts は最初に設定された対戦であり、トラフィックセレクターに関連付けられたトンネルはパケットの暗号化に使用されます。

さまざまな st0 インターフェイスにバインドされたさまざまな Vpn に重複した IP アドレス

異なる Vpn で複数のトラフィックセレクターに重複した IP アドレスが設定されていて、ポイントツーポイントの st0 インターフェイスが異なっている場合、特定のパケットに対して最も長いプレフィックスの一致によって st0 のインターフェイスが最初に選択されます。選択した st0 インターフェイスにバインドされている VPN 内では、パケットに対して最初に設定された一致に基づいてトラフィックセレクターが選択されます。

次の例では、2つの Vpn のそれぞれでトラフィックセレクターを設定しています。トラフィックセレクターは、同じローカルサブネットワークで構成されていますが、リモートサブネットが異なります。

各トラフィックセレクターに異なるリモートサブネットワークが設定されているため、2つの異なるルートがルーティングテーブルに追加されます。ルートルックアップは、適切な VPN にバインドされた st0 インターフェイスを使用します。

次の例では、2つの Vpn のそれぞれでトラフィックセレクターを設定しています。トラフィックセレクターは、さまざまなリモートサブネットワークで構成されています。各トラフィックセレクターに同じローカルサブネットワークが設定されていますが、異なるネットマスク値が指定されています。

各トラフィックセレクターに異なるリモートサブネットワークが設定されているため、2つの異なるルートがルーティングテーブルに追加されます。ルートルックアップは、適切な VPN にバインドされた st0 インターフェイスを使用します。

次の例では、トラフィックセレクターが2つの Vpn のそれぞれに設定されています。トラフィックセレクターは、異なるローカルサブネットワークとリモートサブネットワークで構成されています。

この場合、トラフィックセレクターは重複しません。トラフィックセレクターに設定されているリモートサブネットワークが異なるため、ルーティングテーブルには2つの異なるルートが追加されます。ルートルックアップは、適切な VPN にバインドされた st0 インターフェイスを使用します。

次の例では、2つの Vpn のそれぞれでトラフィックセレクターを設定しています。トラフィックセレクターは、同じローカルサブネットワークで構成されています。各トラフィックセレクターに同じリモートサブネットワークが設定されていますが、異なるネットマスク値が指定されています。

Ts-1 remote-ip用に設定された 10.1.1.0/24 remote-ipは、ts-2 用に設定されていますが、10.1.0.0/16 です。パケットの宛先が10.1.1.1 であれば、ルートルックアップでは、長いプレフィックスが一致する st 0.1 インターフェイスが選択されます。パケットは、st 0.1 インターフェイスに対応するトンネルに基づいて暗号化されます。

場合によっては、有効なパケットがトラフィックセレクタートラフィックの適用によって破棄されることがあります。次の例では、トラフィックセレクターが2つの Vpn のそれぞれに設定されています。トラフィックセレクターは、異なるローカルサブネットワークで構成されています。各トラフィックセレクターに同じリモートサブネットワークが設定されていますが、異なるネットマスク値が指定されています。

10.1.1.0 への2つのルート (インターフェイスセント0.1 を介して 10.1.1.0/24、インターフェイスセント0.2 経由で 10.1.0.0/16) がルーティングテーブルに追加されています。ソース172.16.1.1 から宛先10.1.1.1 に送信されるパケットは、インターフェイスセント0.1 経由で 10.1.1.0/24 のルーティングテーブルエントリと一致します。しかし、パケットは、トラフィックセレクター ts によって指定されたトラフィックと一致せず、破棄されます。

複数のトラフィックセレクターが同じリモートサブネットワークとネットマスクで設定されている場合は、均等コストのルートがルーティングテーブルに追加されます。選択したルートが予測できないため、このケースはトラフィックセレクターではサポートされていません。

Release History Table
リリース
説明
Junos OS Release 15.1 X49-D140 のすべての SRX シリーズデバイスおよび vSRX インスタンスで、リモートアドレス0::0 を使用してトラフィックセレクターを設定すると(IPv6)、以下 “error: configuration check-out failed”コミットの実行時にメッセージが表示され、構成のチェックアウトが失敗します。
Junos OS リリース 15.1 X49-D100 では、IKEv2 のサイトツーサイト Vpn を使用してトラフィックセレクターを設定できます。
Junos OS リリース 12.1 X46 ~ D10 および Junos OS Release 17.3 R1 をはじめ、トラフィックセレクターは、IKEv1 サイトツーサイト Vpn で設定できます。