Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:OSPF を使用したベーシック自動 Vpn の構成

 

この例では、1つのターミネーションポイントとして機能するように自動 Vpn ハブを構成し、2つのスポークをリモートサイトへのトンネルとして構成する方法を示します。この例では、VPN トンネルを介してパケットを転送するように OSPF を設定しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 自動 Vpn ハブおよびスポークとしてサポートされている3つの SRX シリーズデバイス

  • Junos OS のリリース 12.1 X44-D10 以降、自動 Vpn をサポート

開始する前に:

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと、チャレンジパスワードなどの必要な情報を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。

概要

この例は、自動 Vpn ハブの構成と2スポークのその後の構成を示しています。

この例では、最初の手順として、SCEP (Simple Certificate Enrollment Protocol) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、subject フィールドに SLT “”の組織単位 (OU) 値が含まれています。ハブは、OU フィールドの値“SLT”と一致するように、グループ IKE ID で構成されています。

スポークは、ハブへの IPsec VPN 接続を確立します。これにより、相互に通信したり、ハブのリソースにアクセスしたりすることができます。フェーズ1およびフェーズ 2 IKE AutoVPN ハブで構成されたトンネルオプションとすべてのスポークで同じ値を指定する必要があります。表 1は、この例で使用されているオプションを示しています。

表 1: 自動 Vpn ハブとスポークの基本 OSPF 設定用のフェーズ1およびフェーズ2のオプション

オプション

金額

IKE 提案:

認証方法

RSA デジタル証明書

Diffie-hellman (DH) グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKE ポリシー:

モード

Main

IPsec 提案:

プロトコル

ESP

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsec ポリシー:

完全順機密性 (PFS) グループ

14

すべてのデバイスで同じ認証機関 (CA) が構成されています。

Junos OS は、1つのレベルの証明書階層のみをサポートします。

表 2は、ハブおよびすべてのスポークに構成されているオプションを示しています。

表 2: ハブおよびすべてのスポークのための自動 Vpn 基本 OSPF 構成

オプション

備え

すべてのスポーク

IKE ゲートウェイ:

リモート IP アドレス

動的

1.1.1.1

リモート IKE ID

スポーク’s 証明書の識別名 (DN)、組織単位SLT (OU) フィールド内の文字列

ハブ’s 証明書の DN

ローカル IKE ID

ハブ’s 証明書の DN

スポーク’s 証明書の DN

外部インターフェイス

ge-0/0/1.0

スポーク 1: fe-0/0/1.0

スポーク 2: ge-0/0/1.0

/VPN

インターフェイスのバインド

st0.0

st0.0

トンネルの確立

(構成されていません)

直ちに設定のコミット

表 3は、各スポークで異なる設定オプションを示しています。

表 3: 基本的な OSPF スポーク構成の比較

オプション

スポーク1

スポーク2

st 0.0 インターフェイス

10.10.10.2/24

10.10.10.3/24

内部ネットワークへのインターフェイス

fe-0.0/4.0: 60.60.60.1/24

fe-0.0/4.0: 70.70.70.1/24

インターフェイスからインターネットへ

fe-0/0/1.0: 2.2.2.1/30

ge-0/0/1.0: 3.3.3.1/30

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。

Topology

図 1この例では、自動 Vpn 用に構成される SRX シリーズデバイスを示しています。

図 1: OSPF を使用した基本的な自動 Vpn 導入
OSPF を使用した基本的な自動 Vpn 導入

構成

自動 Vpn を構成するには、以下のタスクを実行します。

最初のセクションでは、ハブアンドスポークデバイスのシンプルな証明書登録プロトコル (SCEP) を使用して、CA とローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

ステップごとの手順

ハブで SCEP を使用してデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。
  2. CA 証明書を登録します。

    種類 yes、CA 証明書をロードするよう求めるメッセージが表示されます。

  3. 鍵ペアを生成します。
  4. ローカルの証明書を登録します。
  5. ローカルの証明書を確認します。
    user@host> show security pki local-certificate detail

ステップごとの手順

スポーク1の SCEP にデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。
  2. CA 証明書を登録します。

    種類 yes、CA 証明書をロードするよう求めるメッセージが表示されます。

  3. 鍵ペアを生成します。
  4. ローカルの証明書を登録します。
  5. ローカルの証明書を確認します。
    user@host> show security pki local-certificate detail

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

ステップごとの手順

スポーク2で SCEP を使用してデジタル証明書を登録するには、以下を実行します。

  1. CA を構成します。
  2. CA 証明書を登録します。

    種類 yes、CA 証明書をロードするよう求めるメッセージが表示されます。

  3. 鍵ペアを生成します。
  4. ローカルの証明書を登録します。
  5. ローカルの証明書を確認します。
    user@host> show security pki local-certificate detail

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

ハブの構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、Using the CLI Editor in Configuration Modeを参照してください。

ハブを構成するには、次のようにします。

  1. インターフェイスを構成します。
  2. ルーティングプロトコルを構成します。
  3. フェーズ1のオプションを構成します。
  4. フェーズ2オプションを構成します。
  5. ゾーンを構成します。
  6. デフォルトのセキュリティポリシーを設定します。
  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク1の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、Using the CLI Editor in Configuration Modeを参照してください。

スポーク1を構成するには、次のようになります。

  1. インターフェイスを構成します。
  2. ルーティングプロトコルを構成します。
  3. フェーズ1のオプションを構成します。
  4. フェーズ2オプションを構成します。
  5. ゾーンを構成します。
  6. デフォルトのセキュリティポリシーを設定します。
  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク2の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、Using the CLI Editor in Configuration Modeを参照してください。

スポーク2を構成するには:

  1. インターフェイスを構成します。
  2. ルーティングプロトコルを構成します。
  3. フェーズ1のオプションを構成します。
  4. フェーズ2オプションを構成します。
  5. ゾーンを構成します。
  6. デフォルトのセキュリティポリシーを設定します。
  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

IKE フェーズ1のステータスを確認しています

目的

IKE フェーズ1のステータスを確認します。

アクション

運用モードから、 show security ike security-associations コマンド.

user@host> show security ike security-associations

意味

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとスポークで一致している必要があります。

IPsec フェーズ2の状態を検証しています

目的

IPsec フェーズ2のステータスを確認します。

アクション

運用モードから、 security ipsec security-associations コマンド.

user@host> security ipsec security-associations

意味

このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとスポークで一致している必要があります。

IPsec の次ホップトンネルを検証しています

目的

IPsec のネクストホップトンネルを確認します。

アクション

運用モードから、 show security ipsec next-hop-tunnels コマンド.

user@host> show security ipsec next-hop-tunnels

意味

次ホップゲートウェイは、スポークのst0インターフェイスの IP アドレスです。次ホップは、正しい IPsec VPN 名と関連付けられている必要があります。

OSPF の検証

目的

OSPF が、スポークのst0インターフェイスの IP アドレスを参照していることを確認します。

アクション

運用モードから、 show ospf neighbor コマンド.

user@host> show ospf neighbor

学習したルートの検証

目的

スポークへのルートが学習されたことを確認します。

アクション

運用モードから、 show route 60.60.60.0 コマンド.

user@host> show route 60.60.60.0

運用モードから、 show route 70.70.70.0 コマンド.

user@host> show route 70.70.70.0