Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:CoS ベースの IPsec Vpn の構成

 

この例では、複数の IPsec Sa を使用して CoS ベースの IPsec Vpn を構成し、各転送クラスのパケットマッピングを異なる IPsec SA に許可して、ローカルデバイスと中間ルーターでの CoS の処理を可能にする方法を示します。

この機能はジュニパーネットワークス専用で、サポートされている SRX プラットフォームと Junos OS リリースでのみ機能します。VPN ピアデバイスは、この機能をサポートする SRX シリーズデバイスまたは vSRX インスタンスである必要があります。

要件

この例では、以下のハードウェアを使用しています。

  • SRX シリーズデバイス

開始する前に:

  • SRX シリーズデバイスで構成されるサービスのクラス (CoS) 転送クラス (FCs) を IPsec セキュリティアソシエーション (Sa) にマッピングする方法を理解する。複数の IPsec Sa を使用した CoS ベースの IPsec Vpn について説明します。

  • トラフィックセレクターと CoS ベースの IPsec Vpn について理解します。トラフィックセレクターと CoS ベースの IPsec Vpn について説明します。

概要

この例では、トンネルリソースを節約したり、トンネルを通過するトラフィックをフィルタリングするために多くのセキュリティポリシーを設定したりする必要がないため、シカゴ支社に IPsec ルートベースの VPN を構成します。シカゴ支店のユーザーは、VPN を使用して Sunnyvale の本社に接続します。

図 1は、IPsec ルートベースの VPN トポロジの例を示しています。このトポロジでは、1つの SRX シリーズデバイスを Sunnyvale に配置し、1つの SRX シリーズデバイスをシカゴに設置しています。

図 1: IPsec ルートベースの VPN トポロジ
IPsec ルートベースの VPN トポロジ

この例では、インターフェイス、IPv4 のデフォルトルート、セキュリティゾーンを構成します。次に、IKE、IPsec、セキュリティポリシー、CoS の各パラメーターを構成します。表 1をご覧表 4ください。

表 1: インターフェイス、静的ルート、セキュリティーゾーン情報

機能

名前

構成パラメーター

インターフェイス

ge-0/0/0.0

192.0.2.1/24

ge-0/0/3.0

10.1.1.2/30

st 0.0 (トンネルインターフェイス)

10.10.11.10/24

スタティック ルート

0.0.0.0/0 (デフォルトルート)

次ホップは st 0.0 です。

セキュリティ ゾーン

トラスト

  • すべてのシステムサービスが許可されます。

  • このゾーンには、ge-0/0/0.0 インターフェイスがバインドされています。

untrust

  • すべてのシステムサービスが許可されます。

  • このゾーンには、ge-0/0/3.0 インターフェイスがバインドされています。

/vpn

St 0.0 インターフェイスはこのゾーンにバインドされています。

表 2: IKE 構成パラメーター

機能

名前

構成パラメーター

提案

ike-提案

  • 認証方法: rsa 署名

  • Diffie-hellman グループ: group14

  • 認証アルゴリズム: sha-256

  • 暗号化アルゴリズム: aes-256-cbc

ポリシー

ike-ポリシー

  • モード重要

  • 提案の参考資料: ike-提案

  • IKE ポリシー認証方法: rsa 署名

活用

gw-sunnyvale

  • IKE ポリシーのリファレンス: ike-ポリシー

  • 外部インターフェイス: ge-0/0/3.0

  • ゲートウェイアドレス: 10.2.2.2

表 3: IPsec 構成パラメーター

機能

名前

構成パラメーター

提案

ipsec_prop

  • Protocol esp

  • 認証アルゴリズム: hmac-sha-256

  • 暗号化アルゴリズム: aes-256-cbc

ポリシー

ipsec_pol

  • 提案の参考資料: ipsec_prop

VPN

ipsec_vpn1

  • IKE ゲートウェイリファレンス: gw-シカゴ

  • IPsec ポリシー参照: ipsec_pol

表 4: セキュリティポリシーの構成パラメーター

目的

名前

構成パラメーター

セキュリティポリシーにより、信頼ゾーンから vpn ゾーンへのトラフィックが許可されます。

/vpn

  • 条件の一致:

    • 発信元アドレス sunnyvale

    • 宛先/住所シカゴ

    • アプリケーション

  • 対応許可

セキュリティポリシーにより、vpn ゾーンからトラストゾーンへのトラフィックが許可されます。

/vpn

  • 条件の一致:

    • 送信元/アドレスシカゴ

    • 宛先アドレス sunnyvale

    • アプリケーション

  • 対応許可

構成

基本的なネットワークおよびセキュリティーゾーン情報の設定

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

インターフェイス、静的ルート、セキュリティーゾーン情報を構成するには、次のようにします。

  1. イーサネットインターフェイス情報を構成します。
  2. 静的なルート情報を構成します。
  3. 信頼できないセキュリティゾーンを構成します。
  4. 許可されていないシステムサービスを指定するには、untrust セキュリティーゾーンを使用します。
  5. セキュリティゾーンにインターフェイスを割り当てます。
  6. セキュリティゾーンに対して許可されるシステムサービスを指定します。
  7. 信頼セキュリティゾーンを構成します。
  8. インターフェイスを信頼セキュリティゾーンに割り当てます。
  9. 許可されたシステムサービスを信頼セキュリティーゾーンに指定します。
  10. Vpn セキュリティーゾーンを設定します。
  11. セキュリティゾーンにインターフェイスを割り当てます。

結果

設定モードから、、、およびshow interfacesshow routing-optionsshow security zonesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

CoS の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

CoS を設定するには

  1. DiffServ CoS に対応する動作集約分類子を構成します。
  2. ベストエフォート型転送クラスのクラシファイアを構成します。
  3. 転送クラスに割り当てる DSCP 値を定義します。
  4. 8つのキューの転送クラス (キュー名) を8個定義します。
  5. 受信 (ge) インターフェイスで分類子を構成します。
  6. Ge インターフェイスにスケジューラマップを適用します。
  7. スケジューラマップを設定して、スケジューラを定義済みの転送クラスと関連付けます。
  8. 優先度と送信レートを使用してスケジューラを定義します。

結果

設定モードから、 show class-of-serviceコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

IKE の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

IKE を設定するには

  1. IKE 案を作成します。
  2. IKE 提案認証方法を定義します。
  3. IKE 提案の Diffie-hellman グループを定義します。
  4. IKE 提案認証アルゴリズムを定義します。
  5. IKE 提案の暗号化アルゴリズムを定義します。
  6. IKE ポリシーを作成します。
  7. IKE ポリシーモードを設定します。
  8. IKE 案への参照を指定します。
  9. IKE ポリシーの認証方法を定義します。
  10. IKE ゲートウェイを作成し、外部インターフェイスを定義します。
  11. IKE ポリシーのリファレンスを定義します。
  12. IKE ゲートウェイアドレスを定義します。
  13. IKE ゲートウェイのバージョンを定義します。

結果

設定モードから、 show security ikeコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

IPsec の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

IPsec を構成するには

  1. IPsec トレースオプションを有効にします。
  2. IPsec の提案を作成します。
  3. IPsec 提案プロトコルを指定します。
  4. IPsec 提案認証アルゴリズムを指定します。
  5. IPsec 提案の暗号化アルゴリズムを指定します。
  6. IPsec セキュリティーアソシエーション (SA) の有効期間 (秒) を指定します。
  7. IPsec ポリシーを作成します。
  8. IPsec 提案の参照を指定します。
  9. バインドするインターフェイスを指定します。
  10. 転送クラスを複数の IPsec SA に設定します。
  11. IKE ゲートウェイを指定します。
  12. IPsec ポリシーを指定します。
  13. 最初のデータパケットが送信されたときにトンネルを直ちにネゴシエートするように指定します。
  14. トラフィックセレクターのローカル IP アドレスを構成します。
  15. トラフィックセレクターのリモート IP アドレスを構成します。

結果

設定モードから、 show security ipsecコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

セキュリティポリシーの設定

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ポリシー関連の問題をトラブルシューティングするための、セキュリティポリシーのトレースオプションを有効にします。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

セキュリティーポリシーを設定するには、次のようにします。

  1. セキュリティポリシーを作成して、信頼ゾーンから vpn ゾーンへのトラフィックを許可します。
  2. Vpn ゾーンからトラストゾーンへのトラフィックを許可するセキュリティーポリシーを作成します。

結果

設定モードから、 show security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

IPsec セキュリティアソシエーションの確認

目的

IPsec のステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index 131073 detail and show security ipsec statistics index 131073コマンドを使用します。

Show コマンドの出力は、簡潔にするために設定のすべての値を表示するわけではありません。構成の一部のみが表示されます。システム上の残りの構成は省略記号 (...) で置き換えられています。

user@host> show security ipsec security-associations
user@host> show security ipsec security-associations index 131073 detail
user@host> show security ipsec statistics index 131073

意味

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • ID 番号は131073です。Show security ipsec セキュリティー-association index コマンドでこの特定の SA に関する詳細情報を取得します。

  • ポート500を使用した IPsec SA ペアが1つあります。

  • 両方の方向について、Spi、有効期限 (秒)、使用制限 (KB 単位) が表示されます。1949/lim 値は、フェーズの有効期限が1949秒後に切れており、lifesize が指定されていないことを示します。これは無制限であることを示します。

  • 月曜日列にハイフンが記載されているため、この SA に対して VPN 監視が有効になっていません。VPN 監視が有効になっている場合、U は監視が稼働していることを示し、D は監視が停止していることを示します。

このshow security ike security-associations index 131073 detailコマンドは、131073のインデックス番号を使用して、SA に関するその他の情報をリストします。

  • ローカルアイデンティティとリモートアイデンティティによって SA のプロキシ ID が構成されます。プロキシ ID の不一致は、フェーズの失敗の最も一般的な原因の1つです。IPsec SA が一覧に表示されない場合は、プロキシ ID 設定などのフェーズ提案が両方のピアに対して適切であることを確認してください。

  • 転送クラス名など、すべての子 SA の詳細を表示します。

このshow security ipsec statistics index 131073コマンドは、各転送クラス名の統計をリストします。

  • 出力におけるゼロのエラー値は、正常な状態を示します。

  • このコマンドを複数回実行して、VPN 全体でパケットロスの問題を監視することをお勧めします。このコマンドからの出力は、暗号化および復号化されたパケットカウンター、エラーカウンターなどの統計情報も表示します。

  • エラーが発生した ESP パケットとその理由を調べるには、セキュリティフロートレースオプションを有効にする必要があります。