Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:グループ VPNv2 サーバークラスターとメンバーの構成

 

この例では、グループ VPNv2 サーバークラスターを構成して、グループコントローラ/キーサーバー (GCKS) の冗長性を提供し、グループ VPNv2 グループのメンバーに拡張する方法を示します。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • サポートされている8個の SRX シリーズデバイスまたは vSRX の Junos OS のリリース 15.1 X49-D30 またはそれ以降。 Group VPNv2:

    • 2つのデバイスまたはインスタンスがシャーシクラスターとして動作するように設定されています。このシャーシクラスターは、グループ VPNv2 サーバークラスター内でルートサーバーとして動作します。デバイスまたはインスタンスには、同じソフトウェアバージョンとライセンスが必要です。

      ルートサーバーは、グループ VPN サーバークラスター内のサブサーバーに暗号化キーを生成し、配布する役割を担います。このような役割を担うため、ルートサーバーをシャーシクラスターにすることをお勧めします。

    • グループ VPNv2 サーバークラスターでは、他の4つのデバイスまたはインスタンスをサブサーバーとして動作させることができます。

    • 他の2つのデバイスまたはインスタンスは、グループ VPNv2 グループのメンバーとして動作します。

  • サポートされている2つの MX シリーズデバイス Junos OS のリリース 15.1 R2 以降を実行しています。 Group VPNv2 をサポートします。これらのデバイスはグループ VPNv2 グループのメンバーとして動作します。

ホスト名、ルート管理者パスワード、および管理アクセスは、各 SRX シリーズデバイスまたは vSRX インスタンスで構成する必要があります。また、各デバイスで NTP を設定することをお勧めします。

この例の構成では、で図 1示されているトポロジに基づいて、Group VPNv2 の運用に必要なものに焦点を当てています。インターフェイス、ルーティング、シャーシクラスターの設定など、一部の構成はここには含まれていません。たとえば、Group VPNv2 の運用には、クライアントデバイスがネットワーク全体で目的のサイトに到達できるようにするための実用的なルーティングトポロジが必要です。この例は、静的ルーティングまたは動的ルートの構成については説明していません。

概要

この例では、Group VPNv2 network はサーバークラスターと4つのメンバーで構成されています。サーバークラスターは、ルートサーバーと4つのサブサーバーで構成されています。2つのメンバーは SRX シリーズデバイスまたは vSRX インスタンスであり、その他の2つのメンバーは MX シリーズデバイスです。

グループ VPN Sa は、フェーズ 1 SA によって保護される必要があります。したがって、グループ VPN 構成には、ルートサーバー、サブサーバー、グループのメンバーに IKE フェーズ1ネゴシエーションを構成する必要があります。IKE の構成について以下に説明します。

ルートサーバー上:

  • IKE ポリシー SubSrvは、各サブサーバーでフェーズ 1 sa を確立するために使用されます。

  • IKE ゲートウェイは、各サブサーバーの dead ピア検出 (DPD) で構成されています。

  • サーバークラスターの役割root-serverと各サブサーバーは、サーバークラスターの IKE ゲートウェイとして設定されます。

ルートサーバーは、シャーシクラスター運用をサポートするように設定する必要があります。この例では、ルートサーバー上の冗長イーサネットインターフェイスは、サーバークラスター内の各サブサーバーに接続しています。シャーシクラスター構成全体が表示されるわけではありません。

各サブサーバー上で:

  • 次の2つの IKE ポリシーが設定されています。RootSrvは、ルートサーバー GMsとのフェーズ 1 sa を確立するために使用され、各グループメンバーとのフェーズ 1 sa を確立するために使用されます。

    事前共有鍵は、ルートサーバーとサブサーバー間、およびサブサーバーとグループメンバー間のフェーズ 1 SAs を保護するために使用されます。使用する事前共有鍵が強力な鍵であることを確認します。サブサーバーでは、IKE ポリシー RootSrv用に設定された事前共有キーは、ルートサーバー上で設定された事前共有キーと一致している必要GMsがあります。また、IKE ポリシー用に設定された事前共有キーは、グループメンバーに設定された事前共有キーと一致している必要があります。

  • IKE ゲートウェイは、ルートサーバー用に DPD を使用して設定されています。さらに、各グループメンバーに対して IKE ゲートウェイが構成されています。

  • サーバークラスターの役割sub-serverとルートサーバーは、サーバークラスターの IKE ゲートウェイとして構成されています。

各グループメンバー:

  • IKE ポリシー SubSrvは、サブサーバーとのフェーズ 1 sa を確立するために使用されます。

  • IKE ゲートウェイの構成には、サブサーバーのアドレスが含まれています。

SRX シリーズデバイスまたは vSRX グループのメンバーでは、IPsec ポリシーは、LAN ゾーンを開始側 (受信トラフィック) として、WAN ゾーンをゾーン (発信トラフィック) として、グループに対して設定します。LAN と WAN のゾーン間のトラフィックを許可するために、セキュリティポリシーも必要です。

グループサーバーとグループメンバーの両方に同じグループ識別子を設定する必要があります。この例では、グループ名は GROUP_ID-0001、グループ識別子は1になっています。サーバー上で設定されたグループポリシーでは、172.16.0.0/12 範囲のサブネットワーク間のトラフィックに SA とキーが適用されるように指定しています。

Topology

図 1この例に設定するジュニパーネットワークスデバイスを示します。

図 1: SRX シリーズまたは vSRX および MX シリーズのメンバーを含むグループ VPNv2 サーバークラスター
SRX シリーズまたは vSRX および MX シリーズのメンバーを含むグループ VPNv2 サーバークラスター

構成

ルートサーバーの構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

ルートサーバーを構成するには、次のようにします。

  1. セキュリティーゾーンとセキュリティーポリシーを設定します。
  2. シャーシクラスターを構成します。
  3. IKE 提案、ポリシー、ゲートウェイを構成します。
  4. IPsec SA を構成します。
  5. VPN グループを構成します。
  6. グループポリシーを構成します。

結果

設定モードから、、、およびshow interfacesshow chassis clustershow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

サブサーバー1の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

Group VPNv2 サーバークラスターのサブサーバーを構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。
  2. IKE 提案、ポリシー、ゲートウェイを構成します。
  3. IPsec SA を構成します。
  4. VPN グループを構成します。
  5. グループポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

サブサーバーの構成2

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

Group VPNv2 サーバークラスターのサブサーバーを構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。
  2. IKE 提案、ポリシー、ゲートウェイを構成します。
  3. IPsec SA を構成します。
  4. VPN グループを構成します。
  5. グループポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

サブサーバーの構成3

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

Group VPNv2 サーバークラスターのサブサーバーを構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。
  2. IKE 提案、ポリシー、ゲートウェイを構成します。
  3. IPsec SA を構成します。
  4. VPN グループを構成します。
  5. グループポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

サブサーバーの設定4

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

Group VPNv2 サーバークラスターのサブサーバーを構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。
  2. IKE 提案、ポリシー、ゲートウェイを構成します。
  3. IPsec SA を構成します。
  4. VPN グループを構成します。
  5. グループポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

GM-0001 (SRX シリーズデバイスまたは vSRX インスタンス) の設定

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。
  2. IKE 提案、ポリシー、ゲートウェイを構成します。
  3. IPsec SA を構成します。
  4. IPsec ポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

GM-0002 (SRX シリーズデバイスまたは vSRX インスタンス) の設定

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。
  2. IKE 提案、ポリシー、ゲートウェイを構成します。
  3. IPsec SA を構成します。
  4. IPsec ポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

GM-0003 (MX シリーズデバイス) の設定

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイスを構成します。
  2. IKE 提案、ポリシー、ゲートウェイを構成します。
  3. IPsec SA を構成します。
  4. サービスフィルターを構成します。
  5. サービスセットを構成します。

結果

構成モードからshow interfaces、、、 show securityshow services、およびshow firewallコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

GM-0004 (MX シリーズデバイス) の設定

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイスを構成します。
  2. IKE 提案、ポリシー、ゲートウェイを構成します。
  3. IPsec SA を構成します。
  4. サービスフィルターを構成します。
  5. サービスセットを構成します。

結果

構成モードからshow interfaces、、、 show securityshow services、およびshow firewallコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

サーバークラスターの運用を確認する

目的

サーバークラスター内のデバイスがグループ内のピアサーバーを認識していることを確認します。サーバーがアクティブになっていて、クラスター内の役割が適切に割り当てられていることを確認します。

アクション

動作モードから、ルートサーバー show security group-vpn server server-clustershow security group-vpn server server-cluster detail、、 show security group-vpn server statistics 、およびコマンドを入力します。

user@RootSrv> show security group-vpn server server-cluster
user@RootSrv> show security group-vpn server server-cluster detail
user@RootSrv> show security group-vpn server statistics

運用モードから、各サブshow security group-vpn server server-clusterサーバー show security group-vpn server server-cluster detailに、 show security group-vpn server statistics 、、およびコマンドを入力します。

user@SubSrv01> show security group-vpn server server-cluster
user@SubSrv01> show security group-vpn server server-cluster detail
user@SubSrv01> show security group-vpn server statistics

Sa がメンバーに配布されていることを確認する

目的

サブサーバーが、グループメンバーに配布するために SAs を受信していることと、グループメンバーが SAs を受信していることを確認します。

アクション

動作モードから、ルートサーバー show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detailとコマンドを入力します。

user@RootSrv> show security group-vpn server kek security-associations
user@RootSrv> show security group-vpn server kek security-associations detail

運用モードから、各サブshow security group-vpn server kek security-associationsサーバー show security group-vpn server kek security-associations detailに and コマンドを入力します。

user@SubSrv01> show security group-vpn server kek security-associations
user@SubSrv01> show security group-vpn server kek security-associations detail

運用モードから、各グループshow security group-vpn member kek security-associationsメンバー show security group-vpn member kek security-associations detailに and コマンドを入力します。

SRX または vSRX グループのメンバーの場合:

user@GM-0001> show security group-vpn server kek security-associations
user@GM-0001> show security group-vpn server kek security-associations detail

MX グループメンバー用:

user@GM-0003> show security group-vpn member kek security-associations
user@GM-0003> show security group-vpn member kek security-associations detail

サーバー上の IKE Sa の検証

目的

サーバー上の IKE セキュリティーアソシエーション (Sa) を表示します。

アクション

動作モードから、ルートサーバー show security group-vpn server ike security-associationsshow security group-vpn server ike security-associations detailとコマンドを入力します。

user@RootSrv> show security group-vpn server ike security-associations
user@RootSrv> show security group-vpn server ike security-associations detail

運用モードから、各サブshow security group-vpn server ike security-associationsサーバー show security group-vpn server ike security-associations detailに and コマンドを入力します。

user@SubSrv01> show security group-vpn server ike security-associations
user@SubSrv01> show security group-vpn server ike security-associations detail

サーバーとグループのメンバーにおける IPsec Sa の確認

目的

サーバーとグループのメンバーに IPsec セキュリティーアソシエーション (Sa) を表示します。

アクション

動作モードから、ルートサーバー show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detailとコマンドを入力します。

user@RootSrv> show security group-vpn server ipsec security-associations
user@RootSrv> show security group-vpn server ipsec security-associations detail

運用モードから、各サブshow security group-vpn server ipsec security-associationsサーバー show security group-vpn server ipsec security-associations detailに and コマンドを入力します。

user@SubSrv01> show security group-vpn server ipsec security-associations
user@SubSrv01> show security group-vpn server ipsec security-associations detail

運用モードから、各グループshow security group-vpn member ipsec security-associationsメンバー show security group-vpn member ipsec security-associations detailに and コマンドを入力します。

SRX または vSRX グループのメンバーの場合:

user@GM-0001> show security group-vpn member ipsec security-associations
user@GM-0001> show security group-vpn member ipsec security-associations detail

MX グループメンバー用:

user@GM-0003> show security group-vpn member ipsec security-associations
user@GM-0003> show security group-vpn member ipsec security-associations detail

グループメンバーの IPsec ポリシーの確認

目的

SRX または vSRX グループメンバーに IPsec ポリシーを表示します。

このコマンドは、MX シリーズグループのメンバーには使用できません。

アクション

運用モードから、 show security group-vpn member policyこのコマンドは、SRX または vSRX グループのメンバーで実行されます。

user@GM-0001> show security group-vpn member policy