Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:自動 Vpn およびトラフィックセレクターで VPN トンネルの可用性を確保する

 

Georedundancy は、地理的に離れた複数のサイトを導入し、サイトに影響を与える停電、自然災害、その他の致命的イベントが発生した場合でも、プロバイダネットワーク上でトラフィックが継続してフローできるようにします。モバイルプロバイダネットワークでは、SRX シリーズデバイス上の georedundant の IPsec VPN ゲートウェイを介して、コアネットワークに複数の進化したノード B デバイスを接続できます。その他のデバイスへの代替ルートは、動的なルーティングプロトコルを使用してコアネットワークに配信されます。

この例では、SRX シリーズデバイスで複数のトラフィックセレクターを備えた AutoVPN ハブを構成し、georedundant の IPsec VPN ゲートウェイには、次のようなデバイスが存在することを確認します。自動ルート挿入 (ARI) を使用して、ハブのルーティングテーブルにある出力 Deb デバイスのルートを自動的に挿入します。その後、ARI ルートは、BGP’経由でプロバイダのコアネットワークに配信されます。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • シャーシクラスターで接続され、構成される2台の SRX シリーズデバイス。シャーシクラスターは、自動 Vpn ハブ A です。

  • 自動 Vpn ハブ B として設定された SRX シリーズデバイスです。

  • Junos OS 12.3 X48-D10 またはそれ以降をリリースします。

  • 、自動 Vpn ハブを使用して IPsec VPN トンネルを確立できる、その他のデバイスです。このサードパーティー製のデバイスは、自動 Vpn ハブを使用して VPN トンネルを開始します。

  • ハブに登録されたデジタル証明書と、デバイスが相互に認証できるようにするための、中で使用されているデバイスです。

開始する前に:

この例では、BGP ダイナミックルーティングプロトコルを使用して、コアネットワークへのルートを、デバイスに通知します。

概要

この例では、SRX シリーズのデバイスで複数のトラフィックセレクターで georedundant の IPsec VPN ゲートウェイを提供して、2つの AutoVPN ハブを構成しています。ARI は、ハブのルーティングテーブル内の実行中のデバイスに対して、ルートを自動的に挿入します。その後、ARI ルートは、BGP’経由でプロバイダのコアネットワークに配信されます。

AutoVPN ハブと/Deb デバイスに構成されている特定のフェーズ1およびフェーズ 2 IKE トンネルオプションには、同じ値を設定する必要があります。表 1は、この例で使用されている値を示しています。

表 1: Georedundant AutoVPN ハブのフェーズ1とフェーズ2のオプション

オプション

金額

IKE 提案:

認証方法

rsa 署名

Diffie-hellman (DH) グループ

group5

認証アルゴリズム

sha-1

暗号化アルゴリズム

aes-256-cbc

IKE ポリシー:

ローカル証明書

IKE ゲートウェイ:

動的

識別名ワイルドカード DC = Common_component

IKE ユーザータイプ

グループ IKE id

デッドピア検知

探査-アイドル・トンネル

ローカルアイデンティティ

識別名

バージョン

v2-only

IPsec 提案:

プロトコル

esp

認証アルゴリズム

hmac-sha1-96

暗号化アルゴリズム

aes-256-cbc

IPsec ポリシー:

完全順機密性 (PFS) グループ

group5

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。シンプルさを追求するために、SRX シリーズデバイスでの設定はあらゆるタイプの受信トラフィックを許可しています。この構成は、実稼働環境への導入には推奨されません。

Topology

図 1この例に設定する SRX シリーズデバイスを示します。

図 1: Georedundant の IPsec VPN ゲートウェイからのデバイスへの、
Georedundant の IPsec VPN ゲートウェイからのデバイスへの、

構成

ハブ A を構成する

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

ハブ A を構成するには、以下のようになります。

  1. インターフェイスを構成します。
  2. フェーズ1のオプションを構成します。
  3. フェーズ2オプションを構成します。
  4. BGP ルーティングプロトコルを構成します。
  5. ルーティングオプションを構成します。
  6. 証明書情報を構成します。
  7. セキュリティゾーンを構成します。

結果

構成モードから、、、、、 show interfaces show security ikeshow security ipsecshow protocols bgpshow policy-optionsshow security zones、、およびshow security policiesコマンドを入力show security pkiして設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

ハブ B の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

ハブ B を構成するには、次のようになります。

  1. インターフェイスを構成します。
  2. フェーズ1のオプションを構成します。
  3. フェーズ2オプションを構成します。
  4. BGP ルーティングプロトコルを構成します。
  5. ルーティングオプションを構成します。
  6. 証明書情報を構成します。
  7. セキュリティゾーンを構成します。

結果

show interfaces show security ike設定モードから、、、、、およびshow security policiesコマンドをshow security ipsec入力show protocols bgpshow security pkishow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

構成 (サンプル設定) の構成

ステップごとの手順

この例では、参照用に表示されています。詳細なマニュアルの構成情報は、本書の範囲外です。この構成には、以下の情報が含まれている必要があります。

  • ローカル証明書 (X 509v3) および IKE のアイデンティティ情報

  • SRX シリーズ IKE id 情報とパブリック IP アドレス

  • SRX シリーズハブの設定と一致するフェーズ1およびフェーズ2の提案

結果

この例の strongSwan Deb デバイスでは、IPsec ベースの VPN 接続用のオープンソースソフトウェアを使用しています。

検証

構成が正常に機能していることを確認します。

AutoVPN ハブでトンネルを確認しています

目的

AutoVPN ハブと/Deb デバイスの間にトンネルが確立されていることを確認します。

アクション

動作モードから、ハブにshow security ike security-associationsshow security ipsec security-associationsコマンドを入力します。

user@host> show security ike security-associations
user@host> show security ipsec security-associations

意味

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。ハブは2つのアクティブなトンネルを表示します。1つは、各各 Deb デバイスについてです。

IKE フェーズ1で Sa がリストに表示されない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとののデバイスで一致している必要があります。

IKE フェーズ2で Sa が表示されない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとののデバイスで一致している必要があります。

トラフィックのセレクターの確認

目的

トラフィックセレクターを確認します。

アクション

動作モードから、 show security ipsec traffic-selector interface-name st0.1コマンドを入力します。

user@host> show security ipsec traffic-selector interface-name st0.1

意味

トラフィックの選択は、トラフィックがローカルおよびリモートアドレスの指定されたペアと一致する場合に、トンネルを通過するトラフィックを許可する IKE ピア間の取り決めです。SA によって許可されるトラフィックのみが、トラフィックセレクターに準拠しています。発信元と応答側 (SRX シリーズハブ) の間で、トラフィックセレクターがネゴシエートされます。

ARI ルートの検証

目的

ARI ルートがルーティングテーブルに追加されていることを確認します。

アクション

動作モードから、 show routeコマンドを入力します。

user@host> show route

意味

自動ルート挿入 (ARI)は、リモートネットワークおよびリモートトンネルエンドポイントによって保護されるホストの静的ルートを自動的に挿入します。トラフィックセレクターに構成されたリモート IP アドレスに基づいてルートが作成されます。トラフィックセレクターの場合、設定されたリモートアドレスは、VPN にバインドされた st0 インターフェイスに関連付けられたルーティングインスタンスにルートとして挿入されます。

SRX シリーズハブのルーティングテーブルには、30.1.1.0 の宛先への静的ルートと 50.1.1.0/24 が追加されています。これらのルートは、st 0.1 インターフェイスを介して到達可能です。