ハブアンドスポークデバイス上での AutoVPN

Auto VPNについて

AutoVPN は、リモートサイトへの複数のトンネル(スポークと呼ばれる)の単一の終端ポイントとして機能する IPsec VPN アグリゲータ(ハブと呼ばれる)をサポートしています。AutoVPNを使用すると、ネットワーク管理者は現在および将来のスポーク用にハブを設定できます。スポークデバイスを追加または削除する際にハブの構成を変更する必要がないため、管理者は大規模なネットワーク導入を柔軟に管理できます。

セキュアトンネルモード
認証
構成および管理
AutoVPNの制限事項について
トラフィックセレクターによるAutoVPNについて

セキュアトンネルモード

AutoVPN はルートベースの IPsec VPN でサポートされています。ルートベースVPNでは、セキュアトンネル(st0)インターフェイスを設定し、IPsec VPNトンネルにバインドします。AutoVPN ネットワークの st0 インターフェイスは、次の 2 つのモードのいずれかで設定できます。

ポイントツーポイントモード—デフォルトでは、[]階層レベルで設定されたst0インターフェイスはポイントツーポイントモードです。edit interfaces st0 unit x Junos OS Release 17.4R1以降、AutoVPNではIPv6アドレスがサポートされています。
ポイントツーマルチポイントモード - このモードでは、オプションは AutoVPN ハブとスポークの両方で [] 階層レベルで設定されます。ハブおよびスポークのst0インターフェイスには番号が付けられ、スポークに設定されたIPアドレスはハブのst0インターフェイスサブネットワークに存在する必要があります。multipointedit interfaces st0 unit x

表 1 AutoVPN ポイントツーポイントおよびポイントツーマルチポイントのセキュアトンネルインターフェイスモードを比較します。

表 1: AutoVPN ポイントツーポイントとポイントツーマルチポイントのセキュアトンネルモードの比較
ポイントツーポイントモード	ポイントツーマルチポイントモード
IKEv1 または IKEv2 をサポートします。	IKEv1 または IKEv2 をサポートします。
IPv4 および IPv6 トラフィックをサポートします。	IPv4 または IPv6 をサポートします。
トラフィックセレクター	動的ルーティングプロトコル(OSPF、OSPFv3、iBGP)
デッドピア検出	デッドピア検出
スポークデバイスをSRXシリーズまたはサードパーティー製デバイスにすることができます。	このモードは、SRXシリーズファイアウォールでのみサポートされています。

認証

AutoVPNは、証明書と事前共有鍵ベースの認証方法の両方をサポートしています。

AutoVPN ハブとスポークでの証明書ベースの認証では、X.509 公開キー基盤(PKI)証明書を使用できます。ハブで構成されたグループ IKE ユーザータイプでは、スポーク証明書の代替サブジェクトフィールドと一致する文字列を指定できます。スポーク証明書のサブジェクトフィールドの部分一致も指定できます。AutoVPN 展開におけるスポーク認証についてを参照してください。AutoVPN 導入におけるスポーク認証について

Junos OSリリース21.2R1以降、SPC3カードとikedプロセスを実行するvSRX仮想ファイアウォールを備えたSRX5000ラインは、シードされた事前共有キーを使用したAutoVPNをサポートしています。

注:

SPC3カードとvSRX仮想ファイアウォールを備えたSRX5000回線は、パッケージをインストールした場合に限り、PSKを使用したAutoVPNをサポートします。junos-ike

AutoVPNは以下の2つのオプションでサポートされています。

Auto-VPN シード PSK: 異なる事前共有キーを持つ同じゲートウェイに接続する複数のピア。
Auto-VPN 共有 PSK: 同じ事前共有キーを持つ同じゲートウェイに接続する複数のピア。

シードされた PSK は、シードされていない PSK(つまり、同じ共有 PSK)とは異なります。シードされた PSK は、マスターキーを使用してピアの共有 PSK を生成します。そのため、各ピアは、同じゲートウェイに接続する異なるPSKを持つことになります。たとえば、以下のように表示されます。IKE IDを持つピア1とIKE ID を持つピア2がゲートウェイへの接続を試みるシナリオを考えてみましょう。user1@juniper.netuser2@juniper.net このシナリオでは、次のように構成されたマスターキーを含むように構成されたゲートウェイは、次のように異なる PSK を持ちます。HUB_GWThisIsMySecretPreSharedkey

ピア 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a

ピア2: 3db8385746f3d1e639435a882579a9f28464e5c7

つまり、異なるユーザー ID と同じマスター鍵を持つ異なるユーザーに対しては、異なるまたは一意の事前共有鍵が生成されます。

自動VPN PSKには、またはのいずれかを使用できます。seeded-pre-shared-keypre-shared-key

異なる事前共有キー: が設定されている場合、VPN ゲートウェイは、各リモートピアを認証するために異なる IKE 事前共有キーを使用します。seeded-pre-shared-key ピア事前共有鍵は、IKE ゲートウェイのセットを使用して生成され、ピア間で共有されます。master-key
VPN ゲートウェイが各リモートピアの認証に異なる IKE 事前共有キー(PSK)を使用できるようにするには、新しい CLI コマンドを使用するか、階層レベル下にあります。seeded-pre-shared-key ascii-textseeded-pre-shared-key hexadecimal[edit security ike policy policy_name]

このコマンドは、同じ階層にあるコマンドと相互に排他的です。pre-shared-key

ポリシーを参照してください。policy (Security IKE)Review the highlighted content for this RLI.
共有/同一事前共有キー: が設定されていない場合、PSK は共有されていると見なされます。pre-shared-key-type VPN ゲートウェイは、同じ IKE 事前共有キーを使用して、すべてのリモートピアを認証します。
VPN ゲートウェイがすべてのリモートピアの認証に同じ IKE PSK を使用できるようにするには、既存の CLI コマンドまたはを使用します。pre-sharedkey ascii-textpre-shared-key hexadecimal

VPN ゲートウェイでは、階層レベルの構成ステートメントを使用して IKE ID 検証をバイパスできます。general-ikeid[edit security ike gateway gateway_name dynamic] このオプションが構成されている場合、リモートピアの認証中に、VPNゲートウェイは任意のリモートIKE ID接続を許可します。「general-ikeid」を参照してください。

SPC3カードとvSRX仮想ファイアウォールがiked プロセス(パッケージを使用 ) を実行しているSRX5000ラインは、次のIKEモードをサポートしています。junos-ike

表 2: AutoVPN PSKサポート
IKE モード	SPC3カードとvSRX仮想ファイアウォールを使用したSRX5000回線でikedプロセスを実行
IKE モード	共有PSK	シードPSK
IKEv2	◯	◯
IKEv2 と any -`remote-id`	◯	◯
IKEv1 アグレッシブモード	◯	◯
IKEv1 アグレッシブモード( /`any-remote-idgeneral-ikeid`	◯	◯
IKEv1 メインモード	◯	なし
IKEv1 メインモードと any-remote-id/`general-ikeid`	◯	なし

「例：事前共有キーを使用した AutoVPN の設定

構成および管理

AutoVPNは、CLIを使用してSRXシリーズファイアウォール上で設定および管理されます。1台のSRXシリーズファイアウォールに複数のAutoVPNハブを設定できます。設定されたハブでサポートされるスポークの最大数は、SRXシリーズファイアウォールのモデルに固有です。

AutoVPNの制限事項について

次の機能は AutoVPN ではサポートされていません。

ポリシーベースのVPNはサポートされていません。
RIP 動的ルーティングプロトコルは、AutoVPN トンネルではサポートされていません。
手動鍵および事前共有鍵を使用した Autokey IKE はサポートされていません。
スポークのハブでの静的ネクストホップトンネルバインディング(NHTB)の設定はサポートされていません。
マルチキャストはサポートされていません。
グループIKE IDユーザータイプは、IKE IDとしてのIPアドレスではサポートされていません。
グループ IKE ID ユーザータイプを使用する場合、IKE ID は、同じ外部インターフェイス上に構成されている他の IKE ゲートウェイと重複しないようにする必要があります。

トラフィックセレクターによるAutoVPNについて

AutoVPN ハブは、スポークへのトラフィックを保護するために、複数のトラフィックセレクターで設定できます。この機能は、以下のメリットを提供します。

1つのVPN構成で、多くの異なるピアをサポートできます。
VPNピアは、SRXシリーズ以外のファイアウォールでも構いません。
単一のピアで、同じVPNで複数のトンネルを確立できます。
動的ルーティングプロトコルを使用する AutoVPN よりも多くのトンネルをサポートできます。

Junos OS Release 17.4R1以降、ポイントツーポイントモードでセキュアトンネルインターフェイスを使用するAutoVPNネットワークは、トラフィックセレクターとIKEピアにIPv6アドレスをサポートしています。

ハブツースポークトンネルが確立されると、ハブは自動ルート挿入(ARI)(以前のリリースでは RRI(リバースルート挿入)と呼ばれていました)を使用して、ルーティングテーブルにスポークプレフィックスへのルートを挿入します。その後、ARIルートをルーティングプロトコルにインポートして、コアネットワークに配信することができます。

トラフィックセレクター付きのAutoVPNは、IKEv1とIKEv2の両方でポイントツーポイントモードでセキュアトンネル(st0)インターフェイスを使用して設定できます。

トラフィックセレクターが設定されている場合、st0インターフェイスでは動的ルーティングプロトコルはサポートされません。

トラフィックセレクターを使用してAutoVPNを設定する場合は、以下の点に注意してください。

ダイナミックルーティングプロトコルは、ポイントツーポイントモードの st0 インターフェイスのトラフィックセレクターではサポートされていません。
自動検出 VPN および IKEv2 構成ペイロードは、トラフィックセレクターを使用した AutoVPN では構成できません。
スポークはSRXシリーズ以外のファイアウォールでもかまいません。ただし、次の違いに注意してください。
- IKEv2 では、非 SRX シリーズスポークが、1 つの SA ネゴシエーションで複数のトラフィックセレクターを提案できます。これはSRXシリーズファイアウォールではサポートされていないため、ネゴシエーションは拒否されます。
- SRXシリーズ以外のスポークでも、トラフィックセレクターが使用する特定のポートまたはプロトコルを識別できます。ポートとプロトコルはSRXシリーズファイアウォール上のトラフィックセレクターでサポートされておらず、ネゴシエーションは拒否されます。

AutoVPN 導入におけるスポーク認証について

AutoVPN 展開では、ハブアンドスポークデバイスに有効な X.509 PKI 証明書が読み込まれている必要があります。コマンドを使用して、デバイスにロードされた証明書に関する情報を表示できます。show security pki local-certificate detail

このトピックでは、スポークが証明書を使用してハブを認証して接続できるようにするハブの構成について説明します。

ハブでのグループIKE IDの構成
スポーク接続の除外

ハブでのグループIKE IDの構成

グループ IKE ID 機能を使用すると、複数のスポークデバイスがハブ上の IKE 設定を共有できます。各スポークの X.509 証明書のサブジェクトまたは代替サブジェクトフィールドにある証明書所有者の ID には、すべてのスポークに共通する部分が含まれている必要があります。証明書 ID の共通部分は、ハブの IKE 構成に対して指定されます。

例えば、IKE IDをハブで設定して、ホスト名、、でスポークを識別できます。example.netdevice1.example.netdevice2.example.netdevice3.example.net 各スポークの証明書には、代替サブジェクトフィールドにホスト名 ID が含まれ、フィールドの右端にが含まれている必要があります(例: )。example.netdevice1.example.net この例では、すべてのスポークが IKE ID ペイロードでこのホスト名 ID を使用しています。IKE ネゴシエーション時に、スポークからの IKE ID を使用して、ハブで構成されたピア IKE ID の共通部分と一致させます。有効な証明書がスポークを認証します。

証明書 ID の共通部分は、次のいずれかになります。

証明書の代替サブジェクトフィールドの右端にあるホスト名の一部(例 :)。example.net
証明書の代替サブジェクトフィールドの右端にある電子メールアドレスの一部 (例 : )。@example.net
証明書のサブジェクトフィールドと一致するコンテナー文字列、ワイルドカードのセット、またはその両方。サブジェクトフィールドには、抽象構文表記法 1 (ASN.1) 識別名 (DN) 形式でデジタル証明書所有者の詳細が含まれています。フィールドには、組織、組織単位、国、地域、または共通名を含めることができます。

証明書のサブジェクトフィールドと一致するようにグループIKE IDを構成するには、以下のタイプのID一致を指定できます。
- コンテナ:スポーク証明書のサブジェクトフィールドがハブで設定された値と完全に一致する場合、ハブはスポークのIKE IDを認証します。サブジェクトフィールドごとに複数のエントリを指定できます (例: )。ou=eng,ou=sw フィールド内の値の順序は一致する必要があります。
- ワイルドカード - ハブは、スポークの証明書のサブジェクトフィールドがハブで設定された値と一致する場合、スポークの IKE ID を認証します。ワイルドカード一致は、フィールドごとに 1 つの値のみをサポートします(例えば、またははサポートされません )。ou=engou=swou=eng,ou=sw フィールドの順序は重要ではありません。

次の例では、証明書の代替サブジェクトフィールドにホスト名の一部を使用したグループ IKE ID を設定します。example.net

この例では、は、すべてのスポークに使用されるホスト名識別の共通部分です。example.net スポーク上のすべての X.509 証明書には、右端の部分にある代替サブジェクトフィールドにホスト名 ID が含まれている必要があります。example.net すべてのスポークは、IKE IDペイロードでホスト名IDを使用する必要があります。

次の例では、ワイルドカードを使用してグループ IKE ID を構成し、証明書の組織単位および組織のサブジェクトフィールドの値と一致します。salesexample

この例では、フィールドは、スポークから予期される証明書のサブジェクトフィールドの共通部分です。ou=sales,o=example IKE ネゴシエーション中に、スポークが証明書のサブジェクトフィールドを含む証明書を提示した場合、認証は成功し、トンネルが確立されます。cn=alice,ou=sales,o=example スポークが証明書にサブジェクトフィールドを含む証明書を提示した場合、組織単位はである必要があるため、証明書はハブによって拒否されます。cn=thomas,ou=engineer,o=examplesales

スポーク接続の除外

特定のスポークをハブへの接続から除外するには、そのスポークの証明書を取り消す必要があります。ハブは、失効した証明書のシリアル番号を含む CA から最新の証明書失効リスト (CRL) を取得する必要があります。その後、ハブは失効したスポークからの VPN 接続を拒否します。ハブで最新の CRL が使用可能になるまで、ハブは失効したスポークからトンネルを確立し続ける可能性があります。詳細については、「オンライン証明書ステータスプロトコルと証明書失効リストについて」および「認証局プロファイルについて」を参照してください。オンライン証明書ステータスプロトコルと証明書失効リストについて認証局プロファイルについて

AutoVPN 構成の概要

次の手順では、ハブアンドスポークデバイスで AutoVPN を設定するための基本的なタスクについて説明します。AutoVPN ハブは、現在のスポークと新しいスポークすべてに対して 一度だけ 設定されます。

AutoVPN ハブを設定するには:

CA 証明書とローカル証明書をデバイスに登録します。
- CA 証明書がない場合は、事前共有キーベースの認証を使用できます。
セキュアトンネル(st0)インターフェイスを作成し、ポイントツーマルチポイントモードで設定します。
単一のIKEポリシーを設定します。
すべてのスポークに共通のグループ IKE ID を使用して IKE ゲートウェイを構成します。
単一のIPsecポリシーとVPNを構成します。
動的ルーティングプロトコルを設定します。

SRX シリーズの AutoVPN スポークデバイスを設定するには、次の手順に従います。

CA 証明書とローカル証明書をデバイスに登録します。
- ハブで事前共有キー認証を構成する場合は、事前共有キーベースの認証方法を使用します。
st0インターフェイスを作成し、ポイントツーマルチポイントモードで設定します。
ハブに設定されているIKEポリシーと一致するようにIKEポリシーを設定します。
ハブで構成されているグループIKE IDと一致するIDでIKEゲートウェイを構成します。
ハブで構成されている IPsec ポリシーと一致するように IPsec ポリシーを構成します。
動的ルーティングプロトコルを設定します。

このトピックの例では、ハブアンドスポークの構成にJunos OSを実行するSRXシリーズファイアウォールを使用しています。スポークデバイスで Junos OS が実行されていない場合は、ネクストホップトンネルバインディングを設定する必要があります。詳細については、例: ネクストホップトンネルバインディングによるマルチポイントVPN設定の構成

例：iBGP による基本的な AutoVPN の設定

この例では、単一の終端ポイントとして機能するように AutoVPN ハブを設定し、次にリモートサイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示します。この例では、VPN トンネルを介してパケットを転送するように iBGP を設定し、証明書ベースの認証を使用します。

事前共有鍵による認証については、ハブで「フェーズ 1 オプションの設定」の手順を参照し、ステップバイステップでの手順ハブを設定するにはステップバイステップでの手順 spoke1 を設定し、spoke2 で spoke2 を設定します。ステップバイステップでの手順

要件
概要
設定
検証

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

AutoVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール
AutoVPN をサポートする Junos OS リリース 12.1X44-D10 以降

開始する前に、以下を実行します。

ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。動的ルーティングプロトコルの特定の要件の詳細については、「ルーティングプロトコルの概要」を参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/config-guide-routing-overview.html

概要

この例では、AutoVPN ハブの設定とそれに続く 2 つのスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、サブジェクトフィールドに組織単位 (OU) 値 "SLT" が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。AutoVPN ハブとすべてのスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネルオプションは、同じ値である必要があります。に、この例で使用するオプションを示します。表 3

表 3: AutoVPN ハブおよびスポーク設定のフェーズ 1 およびフェーズ 2 オプション
オプション	値
IKEプロポーザル:
認証方法	RSA デジタル証明書
Diffie-Hellman(DH)グループ	2
認証アルゴリズム	SHA-1
暗号化アルゴリズム	AES 128 CBC
IKEポリシー:
モード	Main
IPsecプロポーザル:
プロトコル	ESP
認証アルゴリズム	HMAC MD5 96
暗号化アルゴリズム	DES CBC
IPsecポリシー:
完全転送機密保持(PFS)グループ	14

すべてのデバイスで同じ認証局(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 4 は、ハブとすべてのスポークで設定されているオプションを示しています。

表 4: ハブおよびすべてのスポークの AutoVPN 設定
オプション	ハブ	すべてのスポーク
IKEゲートウェイ:
リモート IP アドレス	動的	1 0.1.1.1
リモート IKE ID	組織単位(OU)フィールドに文字列が含まれるスポークの証明書の識別名(DN)`SLT`	ハブの証明書の DN
ローカルIKE ID	ハブの証明書の DN	スポークの証明書のDN
外部インターフェイス	ge-0/0/1.0	スポーク1: fe-0/0/1.0 スポーク2: ge-0/0/1.0
VPN：
バインドインターフェイス	st0.0	st0.0
トンネルの確立	(未設定)	コンフィギュレーションのコミット直後に実行

表 5 は、スポークごとに異なる構成オプションを示しています。

表 5: スポーク構成の比較
オプション	スポーク 1	スポーク 2
st0.0インターフェイス	10.10.10.2/24	10.10.10.3/24
内部ネットワークへのインターフェイス	(fe-0.0/4.0) 1 0.60.60.1/24	(fe-0.0/4.0) 1 0.70.70.1/24
インターネットへのインターフェース	(fe-0/0/1.0) 10.2.2.1/30	(ge-0/0/1.0) 10.3.3.1/30

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 1 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 1: iBGP を使用した基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブデバイスとスポークデバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。 PSK を使用している場合は、この手順を無視してください。

SCEP へのデバイス証明書の登録
ハブの設定
スポーク1の設定
スポーク2の設定

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

サブジェクトフィールドに表示される組織単位 (OU) はです。SLT ハブのIKE設定には、スポークを識別するためのが含まれています。ou=SLT

ステップバイステップでの手順

スポーク 2 で SCEP を使用してデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

サブジェクトフィールドに表示される組織単位 (OU) はです。SLT ハブのIKE設定には、スポークを識別するためのが含まれています。ou=SLT

ハブの設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

認証に証明書の代わりに事前共有キーを使用する場合は、構成を次のように変更します。
- IKEプロポーザルの[]階層レベルで、を.edit security ike proposal ike-proposalauthentication-method rsa-signaturesauthentication-method pre-shared-keys
  
  オプションの詳細については、プロポーザル(セキュリティ IKE)を参照してください。https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/ref/statement/security-edit-proposal.html
- IKEポリシーの [] 階層レベルで、をに置き換えます。edit security ike policy policy-namecertificate local-certificate Local1pre-shared-key ascii-text key
  - 例えば、set pre-shared-key ascii-text juniper123
  オプションの詳細については、ポリシー(セキュリティ IKE)を参照してください。https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/ref/statement/security-edit-policy-ike.html
- IKEゲートウェイの [] 階層レベルで、edit security ike gateway hub-to-spoke-gw
  - を . に置き換えます。dynamic distinguished-name wildcard OU=SLTdynamic hostname domain-name
    - 例えば、set dynamic hostname juniper.net
      
      デバイスがホスト名を解決できることを確認します。または、スポーク動的 ID におよびを使用することもできます。set dynamic general-ikeidset dynamic ike-user-type group-ike-id
  - を . に置き換えます。local-identity distinguished-namelocal-identity hostname hub-hostname
    - 例えば、set local-identity hostname hub.juniper.net。
      
      デバイスがホスト名を解決できることを確認します。または、のようにを使用することもできます。inet ip-addressset local-identity inet 192.168.1.100
  オプションの詳細については、ゲートウェイ(セキュリティ IKE)を参照してください。https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/ref/statement/security-edit-gateway-ike.html

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。 PSK を使用している場合は、この手順を無視してください。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

認証に証明書の代わりに事前共有キーを使用する場合は、構成を次のように変更します。
- IKEプロポーザルの[]階層レベルで、を.edit security ike proposal ike-proposalauthentication-method rsa-signaturesauthentication-method pre-shared-keys
- IKEポリシーの [] 階層レベルで、をに置き換えます。edit security ike policy policy-namecertificate local-certificate Local1pre-shared-key ascii-text key
- IKEゲートウェイの [] 階層レベルで、edit security ike gateway hub-to-spoke-gw
  - を . に置き換えます。local-identity distinguished-namelocal-identity hostname spoke1-hostname
    - 例えば、set local-identity hostname spoke1.juniper.net。
  - を . に置き換えます。remote-identity distinguished-nameremote-identity hostname hub-hostname
    - 例えば、set remote-identity hostname hub.juniper.net
  デバイスがホスト名を解決できることを確認します。または、のようにやを使用することもできます。inet ip-addressset local-identity inet 172.16.1.100set remote-identity inet 192.168.1.100

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。 PSK を使用している場合は、この手順を無視してください。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク2の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

認証に証明書の代わりに事前共有キーを使用する場合は、構成を次のように変更します。
- IKEプロポーザルの[]階層レベルで、を.edit security ike proposal ike-proposalauthentication-method rsa-signaturesauthentication-method pre-shared-keys
- IKEポリシーの [] 階層レベルで、をに置き換えます。edit security ike policy policy-namecertificate local-certificate Local1pre-shared-key ascii-text key
- IKEゲートウェイの [] 階層レベルで、edit security ike gateway hub-to-spoke-gw
  - を . に置き換えます。local-identity distinguished-namelocal-identity hostname spoke2-hostname
    - 例えば、set local-identity hostname spoke2.juniper.net
  - を . に置き換えます。remote-identity distinguished-nameremote-identity hostname hub-hostname
    - 例えば、set remote-identity hostname hub.juniper.net
  デバイスがホスト名を解決できることを確認します。または、のようにやを使用することもできます。inet ip-addressset local-identity inet 10.0.1.100set remote-identity inet 192.168.1.100

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。 PSK を使用している場合は、この手順を無視してください。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEフェーズ1ステータスの確認
IPsecフェーズ2ステータスの確認
IPsec ネクストホップトンネルの検証
BGPの検証
学習したルートの確認

IKEフェーズ1ステータスの確認

目的
アクション
意味

目的

スポークへのルートが学習済みであることを確認します。

アクション

動作モードからshow route 10.60.60.0 コマンドを入力します。

動作モードからshow route 10.70.70.0 コマンドを入力します。

例：IPv6トラフィック用のiBGPを使用した基本的なAutoVPNの設定

この例では、単一の終端ポイントとして機能するように AutoVPN ハブを設定し、次にリモートサイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示します。この例では、iBGP を使用して IPv6 環境の AutoVPN を設定し、証明書ベースの認証を使用して VPN トンネル経由でパケットを転送します。事前共有鍵による認証の場合は、例: と同様の構成を行います。iBGP による基本的な AutoVPN の設定

要件
概要
設定
検証

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

AutoVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール。
Junos OS リリース 18.1R1 以降のリリース。

開始する前に、以下を実行します。

ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。動的ルーティングプロトコルの特定の要件の詳細については、「ルーティングプロトコルの概要」を参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/config-guide-routing-overview.html

概要

この例では、AutoVPN ハブの設定とそれに続く 2 つのスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、サブジェクトフィールドに組織単位 (OU) 値 "SLT" が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。AutoVPN ハブとすべてのスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネルオプションは、同じ値である必要があります。に、この例で使用するオプションを示します。表 6

表 6: AutoVPN ハブおよびスポーク設定のフェーズ 1 およびフェーズ 2 オプション
オプション	値
IKEプロポーザル:
認証方法	RSA デジタル証明書
Diffie-Hellman(DH)グループ	19
認証アルゴリズム	SHA-384
暗号化アルゴリズム	AES 256 CBC
IKEポリシー:
モード	Main
IPsecプロポーザル:
プロトコル	ESP
ライフタイム秒	3000
暗号化アルゴリズム	AES 256 GCM
IPsecポリシー:
完全転送機密保持(PFS)グループ	19

すべてのデバイスで同じ認証局(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 7 は、ハブとすべてのスポークで設定されているオプションを示しています。

表 7: ハブおよびすべてのスポークの AutoVPN 設定
オプション	ハブ	すべてのスポーク
IKEゲートウェイ:
リモート IP アドレス	動的	2001:db8:2000::1
リモート IKE ID	組織単位(OU)フィールドに文字列が含まれるスポークの証明書の識別名(DN)`SLT`	ハブの証明書の DN
ローカルIKE ID	ハブの証明書の DN	スポークの証明書のDN
外部インターフェイス	ge-0/0/0	スポーク1: ge-0/0/0.0 スポーク2: ge-0/0/0.0
VPN：
バインドインターフェイス	st0.1	st0.1
トンネルの確立	(未設定)	トラフィック上のトンネルの確立

表 8 は、スポークごとに異なる構成オプションを示しています。

表 8: スポーク構成の比較
オプション	スポーク 1	スポーク 2
st0.0インターフェイス	2001:db8:7000::2/64	2001:db8:7000::3/64
内部ネットワークへのインターフェイス	(ge-0/0/1.0) 2001:db8:4000::1/64	(ge-0/0/1.0) 2001:db8:6000::1/64
インターネットへのインターフェース	(ge-0/0/0.0) 2001:db8:3000::2/64	(ge-0/0/0.0) 2001:db8:5000::2/64

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 2 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 2: iBGP を使用した基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブデバイスとスポークデバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録
ハブの設定
スポーク1の設定
スポーク2の設定

SCEP へのデバイス証明書の登録

ステップバイステップでの手順
ステップバイステップでの手順
ステップバイステップでの手順

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

サブジェクトフィールドに表示される組織単位 (OU) はです。SLT ハブのIKE設定には、スポークを識別するためのが含まれています。ou=SLT

ステップバイステップでの手順

スポーク 2 で SCEP を使用してデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

サブジェクトフィールドに表示される組織単位 (OU) はです。SLT ハブのIKE設定には、スポークを識別するためのが含まれています。ou=SLT

ハブの設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク2の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEステータスの確認
IPsecステータスの検証
IPsec ネクストホップトンネルの検証
BGPの検証

IKEステータスの確認

目的
アクション
意味

要件
概要
設定
検証

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

2つのSRXシリーズファイアウォールをAutoVPNハブ&スポークとしてサポート
AutoVPN をサポートする Junos OS リリース 12.1X44-D10 以降

開始する前に、以下を実行します。

ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。

概要

この例では、AutoVPN ハブと 2 つの IPsec VPN トンネルを持つスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。証明書は、各 IPsec VPN トンネルのハブとスポークに登録されます。スポークの証明書の 1 つには、識別名 (DN) に組織単位 (OU) 値「SLT」が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。スポークのもう一方の証明書には、DN に OU 値「SBU」が含まれています。ハブは、OU フィールドの値「SBU」と一致するグループ IKE ID を使用して構成されています。

スポークはハブへの IPsec VPN 接続を確立し、ハブ上のリソースにアクセスできるようにします。AutoVPN ハブとスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネルオプションは、同じ値である必要があります。に、この例で使用するオプションを示します。表 9

表 9: AutoVPN ハブアンドスポーク iBGP ECMP 設定のフェーズ 1 およびフェーズ 2 オプション
オプション	値
IKEプロポーザル:
認証方法	RSA デジタル証明書
Diffie-Hellman(DH)グループ	2
認証アルゴリズム	SHA-1
暗号化アルゴリズム	AES 128 CBC
IKEポリシー:
モード	Main
IPsecプロポーザル:
プロトコル	ESP
認証アルゴリズム	HMAC MD5 96
暗号化アルゴリズム	DES CBC
IPsecポリシー:
完全転送機密保持(PFS)グループ	14

すべてのデバイスで同じ認証局(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 10 は、ハブとスポークで設定されたオプションを示しています。

表 10: ハブアンドスポーク 1 の AutoVPN iBGP ECMP 設定
オプション	ハブ	スポーク 1
IKEゲートウェイ:
リモート IP アドレス	ハブツースポークGW-1: 動的ハブツースポークGW-2: 動的	スポークツーハブ GW-1: 1 0.1.1.1 スポークツーハブ GW-2: 10.1.2.1
リモート IKE ID	ハブツースポークGW-1: OU フィールドに文字列が含まれるスポークの証明書の DN`SLT` ハブツースポークGW-2: OU フィールドに文字列が含まれるスポークの証明書の DN`SBU`	スポークツーハブ GW-1: ハブの証明書の DN スポークツーハブ GW-2: ハブの証明書の DN
ローカルIKE ID	ハブの証明書の DN	スポークの証明書のDN
外部インターフェイス	ハブツースポークGW-1: ge-0/0/1.0 ハブツースポークGW-2: ge-0/0/2.0	スポークツーハブ GW-1: fe-0/0/1.0 スポークツーハブ GW-2: fe-0/0/2.0
VPN：
バインドインターフェイス	ハブツースポークVPN-1: st0.0 ハブツースポークVPN-2: st0.1	スポークツーハブ-1: st0.0 スポークツーハブ-2: st0.1
トンネルの確立	(未設定)	コンフィギュレーションのコミット直後に実行

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 3 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 3: iBGP と ECMP を使用した AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブデバイスとスポークデバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録
ハブの設定
スポーク1の設定

SCEP へのデバイス証明書の登録

ステップバイステップでの手順
ステップバイステップでの手順

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

証明書ごとにキーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

証明書ごとにキーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

サブジェクトフィールドに表示される組織単位 (OU) は、ローカル 1 とローカル 2 のものです。SLTSBU ハブのIKE設定には、スポークを識別するためのおよびが含まれています。OU=SLTOU=SBU

ハブの設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEフェーズ1ステータスの確認
IPsecフェーズ2ステータスの確認
IPsec ネクストホップトンネルの検証
BGPの検証
学習したルートの確認
転送テーブルでのルートインストールの確認

IKEフェーズ1ステータスの確認

目的
アクション
意味

要件
概要
設定
検証

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

2つのSRXシリーズファイアウォールをAutoVPNハブ&スポークとしてサポート
AutoVPN をサポートする Junos OS リリース 12.1X44-D10 以降

開始する前に、以下を実行します。

ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。

概要

この例では、AutoVPN ハブと 2 つの IPsec VPN トンネルを持つスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。証明書は、各 IPsec VPN トンネルのハブとスポークに登録されます。スポークの証明書の 1 つには、識別名 (DN) に組織単位 (OU) 値「SLT」が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。スポークのもう一方の証明書には、DN に OU 値「SBU」が含まれています。ハブは、OU フィールドの値「SBU」と一致するグループ IKE ID を使用して構成されています。

スポークはハブへの IPsec VPN 接続を確立し、ハブ上のリソースにアクセスできるようにします。AutoVPN ハブとスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネルオプションは、同じ値である必要があります。に、この例で使用するオプションを示します。表 11

表 11: AutoVPN ハブアンドスポーク iBGP アクティブ/バックアップトンネル設定のフェーズ 1 およびフェーズ 2 オプション
オプション	値
IKEプロポーザル:
認証方法	RSA デジタル証明書
Diffie-Hellman(DH)グループ	2
認証アルゴリズム	SHA-1
暗号化アルゴリズム	AES 128 CBC
IKEポリシー:
モード	Main
IPsecプロポーザル:
プロトコル	ESP
認証アルゴリズム	HMAC MD5 96
暗号化アルゴリズム	DES CBC
IPsecポリシー:
完全転送機密保持(PFS)グループ	14

すべてのデバイスで同じ認証局(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 12 は、ハブとスポークで設定されたオプションを示しています。

表 12: ハブアンドスポーク 1 の AutoVPN IBGP アクティブバックアップトンネル設定
オプション	ハブ	スポーク 1
IKEゲートウェイ:
リモート IP アドレス	ハブツースポークGW-1: 動的ハブツースポークGW-2: 動的	スポークツーハブ GW-1: 1 0.1.1.1 スポークツーハブ GW-2: 1 0.1.2.1
リモート IKE ID	ハブツースポークGW-1: OU フィールドに文字列が含まれるスポークの証明書の DN`SLT` ハブツースポークGW-2: OU フィールドに文字列が含まれるスポークの証明書の DN`SBU`	スポークツーハブ GW-1: ハブの証明書の DN スポークツーハブ GW-2: ハブの証明書の DN
ローカルIKE ID	ハブの証明書の DN	スポークの証明書のDN
外部インターフェイス	ハブツースポークGW-1: ge-0/0/1.0 ハブツースポークGW-2: ge-0/0/2.0	スポークツーハブ GW-1: fe-0/0/1.0 スポークツーハブ GW-2: fe-0/0/2.0
VPN：
バインドインターフェイス	ハブツースポークVPN-1: st0.0 ハブツースポークVPN-2: st0.1	スポークツーハブ-1: st0.0 スポークツーハブ-2: st0.1
VPNモニター	ハブツースポークVPN-1: ge-0/0/1.0(送信元インターフェイス) ハブツースポークVPN-2: ge-0/0/2.0(送信元インターフェイス)	スポークツーハブ-1: 1 0.1.1.1(宛先IP) スポークツーハブ-2: 1 0.1.2.1(宛先IP)
トンネルの確立	(未設定)	コンフィギュレーションのコミット直後に実行

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 4 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 4: iBGPとアクティブバックアップトンネルを使用したAutoVPNの導入

この例では、ハブとスポーク1の間に2つのIPsec VPNトンネルが確立されています。ルーティング情報は、各トンネルの iBGP セッションを介して交換されます。10.60.60.0/24 へのルートの最長プレフィックス一致は、ハブの st0.0 インターフェイス経由です。したがって、ルートのプライマリトンネルは、ハブおよびスポーク 1 の st0.0 インターフェイスを経由します。デフォルトルートは、ハブおよびスポーク 1 の st0.1 インターフェイス上のバックアップトンネルを経由します。

VPN監視は、トンネルのステータスをチェックします。プライマリトンネルに問題がある場合(リモートトンネルゲートウェイに到達できない場合など)、トンネルのステータスが down に変わり、10.60.60.0/24 を宛先とするデータがバックアップトンネルを介して再ルーティングされます。

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブデバイスとスポークデバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録
ハブの設定
スポーク1の設定

SCEP へのデバイス証明書の登録

ステップバイステップでの手順
ステップバイステップでの手順

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

証明書ごとにキーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

証明書ごとにキーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

サブジェクトフィールドに表示される組織単位 (OU) は、ローカル 1 とローカル 2 のものです。SLTSBU ハブのIKE設定には、スポークを識別するためのおよびが含まれています。OU=SLTOU=SBU

ハブの設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEフェーズ1ステータスの確認(両方のトンネルが稼働中)
IPsecフェーズ2ステータスの確認(両方のトンネルが稼働中)
IPsecネクストホップトンネルの確認(両方のトンネルが稼働中)
BGPの検証(両方のトンネルが稼働しています)
学習したルートの確認(両方のトンネルが稼働中)
IKEフェーズ1ステータスの確認(プライマリトンネルがダウンしています)
IPsecフェーズ2ステータスの確認(プライマリトンネルがダウンしています)
IPsecネクストホップトンネルの確認(プライマリトンネルがダウンしています)
BGP(プライマリトンネルがダウンしている)の確認
学習したルートの確認(プライマリトンネルがダウン)

IKEフェーズ1ステータスの確認(両方のトンネルが稼働中)

目的
アクション
意味

目的

両方のトンネルがアップしているときに、スポークへのルートが学習済みであることを確認します。1 0.60.60.0/24へのルートはst0.0インターフェイスを経由し、デフォルトルートはst0.1インターフェイスを経由します。

アクション

動作モードからshow route 10.60.60.0 コマンドを入力します。

動作モードからshow route 0.0.0.0コマンドを入力します。

IKEフェーズ1ステータスの確認(プライマリトンネルがダウンしています)

目的
アクション
意味

目的

プライマリトンネルがダウンしたときに、スポークへのルートが学習済みであることを確認します。1 0.60.60.0/24へのルートとデフォルトルートはどちらもst0.1インターフェイスを経由します。

アクション

動作モードからshow route 10.60.60.0 コマンドを入力します。

動作モードからshow route 0.0.0.0コマンドを入力します。

例：OSPF を使用した基本的な AutoVPN の設定

この例では、単一の終端ポイントとして機能するように AutoVPN ハブを設定し、次にリモートサイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示します。この例では、証明書ベースの認証を使用してVPNトンネルを介してパケットを転送するようにOSPFを設定します。事前共有鍵による認証の場合は、例: と同様の構成を行います。iBGP による基本的な AutoVPN の設定

要件
概要
設定
検証

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

AutoVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール
AutoVPN をサポートする Junos OS リリース 12.1X44-D10 以降

開始する前に、以下を実行します。

ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。

概要

この例では、AutoVPN ハブの設定とそれに続く 2 つのスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、サブジェクトフィールドに組織単位 (OU) 値 "SLT" が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。AutoVPN ハブとすべてのスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネルオプションは、同じ値である必要があります。に、この例で使用するオプションを示します。表 13

表 13: AutoVPN ハブアンドスポークの基本的な OSPF 設定のフェーズ 1 およびフェーズ 2 オプション
オプション	値
IKEプロポーザル:
認証方法	RSA デジタル証明書
Diffie-Hellman(DH)グループ	2
認証アルゴリズム	SHA-1
暗号化アルゴリズム	AES 128 CBC
IKEポリシー:
モード	Main
IPsecプロポーザル:
プロトコル	ESP
認証アルゴリズム	HMAC MD5 96
暗号化アルゴリズム	DES CBC
IPsecポリシー:
完全転送機密保持(PFS)グループ	14

すべてのデバイスで同じ認証局(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 14 は、ハブとすべてのスポークで設定されているオプションを示しています。

表 14: ハブおよびすべてのスポークに対する AutoVPN 基本 OSPF 設定
オプション	ハブ	すべてのスポーク
IKEゲートウェイ:
リモート IP アドレス	動的	1 0.1.1.1
リモート IKE ID	組織単位(OU)フィールドに文字列が含まれるスポークの証明書の識別名(DN)`SLT`	ハブの証明書の DN
ローカルIKE ID	ハブの証明書の DN	スポークの証明書のDN
外部インターフェイス	ge-0/0/1.0	スポーク1: fe-0/0/1.0 スポーク2: ge-0/0/1.0
VPN：
バインドインターフェイス	st0.0	st0.0
トンネルの確立	(未設定)	コンフィギュレーションのコミット直後に実行

表 15 は、スポークごとに異なる構成オプションを示しています。

表 15: 基本的なOSPFスポーク構成の比較
オプション	スポーク 1	スポーク 2
st0.0インターフェイス	10.10.10.2/24	10.10.10.3/24
内部ネットワークへのインターフェイス	fe-0.0/4.0: 10 0.60.60.1/24	fe-0.0/4.0: 1 0.70.70.1/24
インターネットへのインターフェース	fe-0/0/1.0: 10.2.2.1/30	ge-0/0/1.0: 10.3.3.1/30

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 5 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 5: OSPF を使用した基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブデバイスとスポークデバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録
ハブの設定
スポーク1の設定
スポーク2の設定

SCEP へのデバイス証明書の登録

ステップバイステップでの手順
ステップバイステップでの手順
ステップバイステップでの手順

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

サブジェクトフィールドに表示される組織単位 (OU) はです。SLT ハブのIKE設定には、スポークを識別するためのが含まれています。ou=SLT

ステップバイステップでの手順

スポーク 2 で SCEP を使用してデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

サブジェクトフィールドに表示される組織単位 (OU) はです。SLT ハブのIKE設定には、スポークを識別するためのが含まれています。ou=SLT

ハブの設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク2の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEフェーズ1ステータスの確認
IPsecフェーズ2ステータスの確認
IPsec ネクストホップトンネルの検証
OSPF の検証
学習したルートの確認

IKEフェーズ1ステータスの確認

目的
アクション
意味

目的

スポークへのルートが学習済みであることを確認します。

アクション

動作モードからshow route 60.60.60.0 コマンドを入力します。

動作モードからshow route 10.70.70.0 コマンドを入力します。

例：IPv6 トラフィック用の OSPFv3 を使用した AutoVPN の設定

この例では、単一の終端ポイントとして機能するように AutoVPN ハブを設定し、次にリモートサイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示します。この例では、証明書ベースの認証を使用して VPN トンネル経由でパケットを転送するため、OSPFv3 を使用する IPv6 環境の AutoVPN を設定します。事前共有鍵による認証の場合は、例: と同様の構成を行います。iBGP による基本的な AutoVPN の設定

要件
概要
設定
検証

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

AutoVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール。
Junos OS リリース 18.1R1 以降のリリース。

開始する前に、以下を実行します。

ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。

概要

この例では、ハブでの OSPFv3 ルーティングプロトコルを使用した AutoVPN の設定と、その後の 2 つのスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、サブジェクトフィールドに組織単位 (OU) 値 "SLT" が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。AutoVPN ハブとすべてのスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネルオプションは、同じ値である必要があります。に、この例で使用するオプションを示します。表 16

表 16: AutoVPN ハブアンドスポークの基本的な OSPFv3 設定のフェーズ 1 およびフェーズ 2 オプション
オプション	値
IKEプロポーザル:
認証方法	RSA デジタル証明書
Diffie-Hellman(DH)グループ	19
認証アルゴリズム	SHA-384
暗号化アルゴリズム	AES 256 CBC
IKEポリシー:
モード	Main
IPsecプロポーザル:
プロトコル	ESP
ライフタイム秒	3000
暗号化アルゴリズム	AES 256 GCM
IPsecポリシー:
完全転送機密保持(PFS)グループ	19

すべてのデバイスで同じ認証局(CA)が設定されています。

表 17 は、ハブとすべてのスポークで設定されているオプションを示しています。

表 17: ハブおよびすべてのスポークに対する AutoVPN OSPFv3 の設定
オプション	ハブ	すべてのスポーク
IKEゲートウェイ:
リモート IP アドレス	動的	2001:db8:2000::1
リモート IKE ID	組織単位(OU)フィールドに文字列が含まれるスポークの証明書の識別名(DN)`SLT`	ハブの証明書の DN
ローカルIKE ID	ハブの証明書の DN	スポークの証明書のDN
外部インターフェイス	ge-0/0/0	スポーク1: ge-0/0/0.0 スポーク2: ge-0/0/0.0
VPN：
バインドインターフェイス	st0.1	st0.1
トンネルの確立	(未設定)	コンフィギュレーションのコミット直後に実行

表 18 は、スポークごとに異なる構成オプションを示しています。

表 18: OSPFv3 スポーク構成の比較
オプション	スポーク 1	スポーク 2
st0.1インターフェイス	2001:db8:7000::2/64	2001:db8:7000::3/64
内部ネットワークへのインターフェイス	(ge-0/0/1.0) 2001:db8:4000::1/64	(ge-0/0/1.0) 2001:db8:6000::1/64
インターネットへのインターフェース	(ge-0/0/0.0) 2001:db8:3000::2/64	(ge-0/0/0.0) 2001:db8:5000::2/64

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 6 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 6: OSPFv3 を使用した基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブデバイスとスポークデバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録
ハブの設定
スポーク1の設定
スポーク2の設定

SCEP へのデバイス証明書の登録

ステップバイステップでの手順
ステップバイステップでの手順
ステップバイステップでの手順

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

サブジェクトフィールドに表示される組織単位 (OU) はです。SLT ハブのIKE設定には、スポークを識別するためのが含まれています。ou=SLT

ステップバイステップでの手順

スポーク 2 で SCEP を使用してデジタル証明書を登録するには:

CA を設定します。

CA 証明書を登録します。
プロンプトでを入力して、CA 証明書を読み込みます。yes

キーペアを生成します。

ローカル証明書を登録します。

ローカル証明書を確認します。

サブジェクトフィールドに表示される組織単位 (OU) はです。SLT ハブのIKE設定には、スポークを識別するためのが含まれています。ou=SLT

ハブの設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク2の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

インターフェイスを設定します。

ルーティングプロトコルを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

ゾーンを設定します。

デフォルトのセキュリティポリシーを設定します。

CA プロファイルを設定します。

結果

設定モードから、、、コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEステータスの確認
IPsecステータスの検証
IPsec ネクストホップトンネルの検証
OSPFv3 の検証

IKEステータスの確認

目的
アクション
意味

スポーク2:

例：トラフィックセレクターを使用したAutoVPNトンネルを介したトラフィックの転送

この例では、AutoVPN 導入で VPN トンネルを介してパケットを転送するために、動的ルーティングプロトコルではなく、トラフィックセレクターを設定する方法を示します。トラフィックセレクターが設定されている場合、セキュアトンネル(st0)インターフェイスはポイントツーポイントモードである必要があります。トラフィックセレクターは、ハブデバイスとスポークデバイスの両方で設定されます。この例では、証明書ベースの認証を使用しています。事前共有鍵による認証の場合は、例: と同様の構成を行います。iBGP による基本的な AutoVPN の設定

要件
概要
設定
検証

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

シャーシクラスターで接続され、設定された2台のSRXシリーズファイアウォール。シャーシクラスタは AutoVPN ハブです。
AutoVPNスポークとして設定されたSRXシリーズファイアウォール。
Junos OS リリース 12.3X48-D10 以降。
ハブに登録されているデジタル証明書と、デバイスが相互に認証できるようにするスポークデバイス。

開始する前に、以下を実行します。

ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。ローカル証明書要求についてを参照してください。ローカル証明書要求について
各デバイスにデジタル証明書を登録します。「例：CA 証明書とローカル証明書を手動で読み込む。

概要

この例では、トラフィックセレクターはAutoVPNハブで設定され、スポークします。設定されたトラフィックセレクターに適合したトラフィックのみが、トンネルを介して転送されます。ハブでは、トラフィックセレクターはローカルIPアドレス192.0.0.0/8とリモートIPアドレス172.0.0.0/8で設定されます。スポークでは、トラフィックセレクターはローカルIPアドレス172.0.0.0/8とリモートIPアドレス192.0.0.0/8で設定されています。

スポークに設定したトラフィックセレクターIPアドレスは、ハブに設定したトラフィックセレクターIPアドレスのサブセットにすることができます。これは、トラフィックセレクターフレキシブルマッチと呼ばれます。

AutoVPN ハブとスポークで設定された特定のフェーズ 1 およびフェーズ 2 IKE トンネルオプションは、同じ値を持つ必要があります。に、この例で使用されている値を示します。表 19

表 19: トラフィックセレクターを備えた AutoVPN ハブとスポークのフェーズ 1 およびフェーズ 2 オプション
オプション	値
IKEプロポーザル:
認証方法	rsa-signatures
Diffie-Hellman(DH)グループ	group5
認証アルゴリズム	SHA-1
暗号化アルゴリズム	aes-256-cbc
IKEポリシー:
モード	メイン
証明書	ローカル証明書
IKEゲートウェイ:
動的	識別名ワイルドカード DC=Common_component
IKE ユーザータイプ	グループ IKE ID
ローカルID	識別名
バージョン	v1 のみ
IPsecプロポーザル:
プロトコル	esp
認証アルゴリズム	hmac-sha1-96
暗号化アルゴリズム	AES-192-CBC
有効期間	3600秒 150,000キロバイト
IPsecポリシー:
完全転送機密保持(PFS)グループ	グループ5

トポロジー

図 7 は、この例用に設定するSRXシリーズファイアウォールを示しています。

図 7: トラフィックセレクターを使用した AutoVPN トラフィックセレクターを使用した AutoVPN

設定

ハブの設定
スポークの設定

ハブの設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

Junos OS リリース 15.1X49-D120 以降では、[] 階層レベルで CLI オプションを設定して、既存のトンネルセッションを保持し、同じ IKE ID を持つ新しいトンネルのネゴシエーション要求を拒否できるようになりました。reject-duplicate-connectionedit security ike gateway gateway-name dynamic デフォルトでは、同じIKE IDを持つ新しいトンネルが確立されると、既存のトンネルは破棄されます。このオプションは、IKEゲートウェイにまたはが設定されている場合にのみサポートされます。このオプションでは、この設定はサポートされません。reject-duplicate-connectionike-user-type group-ike-idike-user-type shared-ike-idaaa access-profile profile-name

CLI オプションは、同じ IKE ID を持つ新しいトンネルの再確立を拒否する必要があることが確実な場合にのみ使用してください。reject-duplicate-connection

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザーガイドの設定モードにおけるCLIエディターの使用を参照してください。

ハブを設定するには:

インターフェイスを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

証明書情報を構成します。

セキュリティゾーンを構成します。

結果

設定モードから、 show interfacesshow security ike、、 show security ipsec、、 show security pkishow security zones、およびコマshow security policiesンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポークの設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザーガイドの設定モードにおけるCLIエディターの使用を参照してください。

ハブを設定するには:

インターフェイスを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

証明書情報を構成します。

セキュリティゾーンを構成します。

結果

設定モードから、 show interfacesshow security ike、、 show security ipsec、、 show security pkishow security zones、およびコマshow security policiesンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

トンネルの検証
トラフィックセレクターの確認

トンネルの検証

目的
アクション
意味

目的

AutoVPN ハブとスポークの間にトンネルが確立されていることを確認します。

アクション

動作モードから、ハブでおよびコマンドを入力します。show security ike security-associationsshow security ipsec security-associations

動作モードから、スポークのおよびコマンドを入力します。show security ike security-associationsshow security ipsec security-associations

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。ハブはスポークに対して 1 つのアクティブなトンネルを示し、スポークはハブに対して 1 つのアクティブなトンネルを示しています。

IKE フェーズ 1 の SA がリストされていない場合は、フェーズ 1 の確立に問題があったことになります。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザルパラメーターは、ハブとスポークで一致する必要があります。

IKE フェーズ 2 に SA がリストされていない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザルパラメーターは、ハブとスポークで一致する必要があります。

トラフィックセレクターの確認

目的
アクション
意味

目的

トラフィックセレクターを確認します。

アクション

動作モードから、ハブでコマンドを入力します。show security ipsec traffic-selector interface-name st0.1

動作モードから、スポークのコマンドを入力します。show security ipsec traffic-selector interface-name st0.1

意味

トラフィックセレクターとは、指定されたローカルアドレスとリモートアドレスのペアが一致する場合に、トンネルを介したトラフィックを許可するIKEピア間の合意です。トラフィックセレクターに適合したトラフィックのみが SA を介して許可されます。トラフィックセレクターは、イニシエータとレスポンダ(SRXシリーズハブ)の間でネゴシエートされます。

例：AutoVPNとトラフィックセレクターによるVPNトンネルの可用性の確保

ジオリダンダンシーとは、停電や自然災害などサイトに影響を与える壊滅的な事象が発生した場合でも、トラフィックがプロバイダネットワーク上を流れ続けるように、地理的に離れた複数のサイトを展開することです。モバイルプロバイダーネットワークでは、SRXシリーズファイアウォール上のgeoredundant IPsec VPNゲートウェイを介して、複数のEvolved Node B(eNodeB)デバイスをコアネットワークに接続できます。eNodeB デバイスへの代替ルートは、動的ルーティングプロトコルを使用してコアネットワークに分散されます。

この例では、SRXシリーズファイアウォール上で複数のトラフィックセレクターを使用してAutoVPNハブを構成し、eNodeBデバイスへのgeoredundantIPsec VPNゲートウェイを確保するものです。自動ルート挿入 (ARI) は、ハブ上のルーティングテーブル内の eNodeB デバイスに向けたルートを自動的に挿入するために使用されます。ARIのルートは、BGPを通じてプロバイダのコアネットワークに配信されます。この例では、証明書ベースの認証を使用しています。事前共有鍵による認証の場合は、例: と同様の構成を行います。iBGP による基本的な AutoVPN の設定

要件
概要
設定
検証

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

シャーシクラスターで接続され、設定された2台のSRXシリーズファイアウォール。シャーシクラスタは AutoVPN ハブ A です。
AutoVPNハブBとして設定されたSRXシリーズファイアウォール。
Junos OS リリース 12.3X48-D10 以降。
AutoVPN ハブとの IPsec VPN トンネルを確立できる eNodeB デバイス。eNodeBデバイスは、AutoVPNハブとのVPNトンネルを開始するサードパーティのネットワーク機器プロバイダーです。
ハブに登録されているデジタル証明書と、デバイスが相互に認証できるようにする eNodeB デバイス。

開始する前に、以下を実行します。

ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。ローカル証明書要求についてを参照してください。ローカル証明書要求について
各デバイスにデジタル証明書を登録します。「例：CA 証明書とローカル証明書を手動で読み込む。

この例では、BGP 動的ルーティングプロトコルを使用して、eNodeB デバイスに向けてコアネットワークにルートをアドバタイズします。

概要

この例では、2つのAutoVPNハブがSRXシリーズファイアウォール上で複数のトラフィックセレクターを使用して設定され、eNodeBデバイスに地理的冗長なIPsec VPNゲートウェイを提供します。ARIは、ハブのルーティングテーブルにeNodeBデバイスへのルートを自動的に挿入します。ARIのルートは、BGPを通じてプロバイダのコアネットワークに配信されます。

AutoVPN ハブと eNodeB デバイスで設定された特定のフェーズ 1 およびフェーズ 2 IKE トンネルオプションは、同じ値を持つ必要があります。に、この例で使用されている値を示します。表 20

表 20: georedundant AutoVPN ハブのフェーズ 1 およびフェーズ 2 オプション
オプション	値
IKEプロポーザル:
認証方法	rsa-signatures
Diffie-Hellman(DH)グループ	group5
認証アルゴリズム	SHA-1
暗号化アルゴリズム	aes-256-cbc
IKEポリシー:
証明書	ローカル証明書
IKEゲートウェイ:
動的	識別名ワイルドカード DC=Common_component
IKE ユーザータイプ	グループ IKE ID
デッドピア検出	probe-idle-tunnel
ローカルID	識別名
バージョン	v2 のみ
IPsecプロポーザル:
プロトコル	esp
認証アルゴリズム	hmac-sha1-96
暗号化アルゴリズム	aes-256-cbc
IPsecポリシー:
完全転送機密保持(PFS)グループ	グループ5

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。わかりやすくするために、SRXシリーズファイアウォールの設定では、あらゆる種類のインバウンドトラフィックを許可します。この構成は、運用環境のデプロイには推奨されません。

トポロジー

図 8 は、この例用に設定するSRXシリーズファイアウォールを示しています。

図 8: eNodeBデバイスへのジオリダンダントIPsec VPNゲートウェイ

設定

ハブ A の設定
ハブ B の設定
eNodeBの設定(サンプル設定)

ハブ A の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザーガイドの設定モードにおけるCLIエディターの使用を参照してください。

ハブ A を設定するには:

インターフェイスを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

BGP ルーティングプロトコルを設定します。

ルーティングオプションを設定します。

証明書情報を構成します。

セキュリティゾーンを構成します。

結果

設定モードから、、、、、コマンドを入力して設定を確認します。show interfacesshow security ikeshow security ipsecshow protocols bgpshow policy-optionsshow security pkishow security zonesshow security policies 出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ハブ B の設定

CLIクイック構成
ステップバイステップでの手順
結果

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザーガイドの設定モードにおけるCLIエディターの使用を参照してください。

ハブ B を設定するには:

インターフェイスを設定します。

フェーズ1のオプションを設定します。

フェーズ2のオプションを設定します。

BGP ルーティングプロトコルを設定します。

ルーティングオプションを設定します。

証明書情報を構成します。

セキュリティゾーンを構成します。

結果

設定モードから、、、、、、およびコマンドを入力して、設定を確認します。 show interfacesshow security ikeshow security ipsecshow protocols bgpshow security pkishow security zonesshow security policies 出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

eNodeBの設定(サンプル設定)

ステップバイステップでの手順
結果

ステップバイステップでの手順

この例の eNodeB 設定は、参照用に提供されています。詳細な eNodeB 設定情報は、このドキュメントの範囲外です。eNodeB の設定には、次の情報を含める必要があります。
- ローカル証明書(X.509v3)および IKE ID 情報
- SRXシリーズIKE ID情報とパブリックIPアドレス
- SRXシリーズハブの構成と一致するフェーズ1およびフェーズ2のプロポーザル

結果

この例のeNodeBデバイスは、IPsecベースのVPN接続にstrongSwanオープンソースソフトウェアを使用しています。

検証

設定が正常に機能していることを確認します。

AutoVPN ハブでのトンネルの検証
トラフィックセレクターの確認
ARIルートの検証

AutoVPN ハブでのトンネルの検証

目的
アクション
意味

目的

AutoVPN ハブと eNodeB デバイスの間にトンネルが確立されていることを確認します。

アクション

動作モードから、ハブでおよびコマンドを入力します。show security ike security-associationsshow security ipsec security-associations

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。ハブには、各 eNodeB デバイスに 1 つずつ、合計 2 つのアクティブなトンネルが表示されています。

IKE フェーズ 1 の SA がリストされていない場合は、フェーズ 1 の確立に問題があったことになります。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザルパラメータは、ハブデバイスと eNodeB デバイスで一致する必要があります。

IKE フェーズ 2 に SA がリストされていない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザルパラメータは、ハブデバイスと eNodeB デバイスで一致する必要があります。

トラフィックセレクターの確認

目的
アクション
意味

目的

トラフィックセレクターを確認します。

アクション

動作モードからshow security ipsec traffic-selector interface-name st0.1コマンドを入力します。

意味

トラフィックセレクターとは、指定されたローカルアドレスとリモートアドレスのペアが一致する場合に、トンネルを介したトラフィックを許可するIKEピア間の合意です。トラフィックセレクターに適合したトラフィックのみが SA を介して許可されます。トラフィックセレクターは、イニシエータとレスポンダ(SRXシリーズハブ)の間でネゴシエートされます。

ARIルートの検証

目的
アクション
意味

目的

ARIルートがルーティングテーブルに追加されていることを確認します。

アクション

動作モードからshow routeコマンドを入力します。

意味

自動ルート挿入（ARI）は、リモートネットワークの静的ルートと、リモートトンネルのエンドポイントによって保護されるホストを自動的に挿入します。トラフィックセレクターに設定されたリモートIPアドレスに基づいてルートが作成されます。トラフィックセレクターの場合、設定されたリモートアドレスは、VPNにバインドされたst0インターフェイスに関連付けられたルーティングインスタンスにルートとして挿入されます。

eNodeB の宛先へのスタティックルート 10。30.1.0/24 および 1050.1.0/24がSRXシリーズハブのルーティングテーブルに追加されます。これらのルートは、st0.1インターフェイスを介して到達可能です。

例：事前共有キーを使用した AutoVPN の設定

この例では、VPN ゲートウェイがリモートピアを認証するために使用する別の IKE 事前共有キーを設定する方法を示します。同様に、VPN ゲートウェイがリモートピアを認証するために使用するのと同じ IKE 事前共有キーを設定します。

AutoVPNのエンドツーエンドの設定については、このトピックの他の例を参照してください。

要件
異なるIKE事前共有キーを設定する
同じIKE事前共有キーを設定します

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

AutoVPNをサポートするMX240、MX480、MX960、MX-SPC3およびJunos OSリリース21.1R1
またはAutoVPNをサポートするSPC3およびJunos OSリリース21.2R1のSRX5000ライン
または、AutoVPNをサポートするiked プロセス(パッケージを使用 ) およびJunos OSリリース21.2R1を実行するvSRX仮想ファイアウォールjunos-ike

異なるIKE事前共有キーを設定する

VPN ゲートウェイがリモートピアの認証に使用する別の IKE 事前共有キーを構成するには、次のタスクを実行します。

AutoVPNハブのあるデバイスでIKEポリシーのシード済み事前共有を設定します。

または

たとえば、以下のように表示されます。

または

ゲートウェイ名とユーザーIDを使用してリモートピアのを表示します。pre-shared key
たとえば、以下のように表示されます。
Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
リモートピアデバイスのIKEポリシーで、生成されたPSK( ステップ2の「79e4ea39f5c06834a3c4c031e37c6de24d46798a」)を設定します。2
たとえば、以下のように表示されます。
(オプション)IKE ID検証をバイパスし、すべてのIKE IDタイプを許可するには、ゲートウェイの[edit security ike gateway dynamic]階層レベルで構成ステートメントを設定します。general-ikeidgateway_name

結果

設定モードから、show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

同じIKE事前共有キーを設定します

VPN ゲートウェイがリモートピアの認証に使用するのと同じ IKE 事前共有キーを構成するには、次のタスクを実行します。

AutoVPNハブを搭載したデバイスで共通のIKEポリシーを設定します。pre-shared-key

たとえば、以下のように表示されます。

リモートピアデバイスのIKEポリシーで共通を設定します。pre-shared-key

たとえば、以下のように表示されます。

(オプション)IKE ID検証をバイパスし、すべてのIKE IDタイプを許可するには、ゲートウェイの[edit security ike gateway dynamic]階層レベルで構成ステートメントを設定します。general-ikeidgateway_name

結果

設定モードから、show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

このページで

ハブアンドスポーク デバイス上での AutoVPN

Auto VPNについて

セキュア トンネル モード

認証

構成および管理

AutoVPNの制限事項について

トラフィックセレクターによるAutoVPNについて

関連項目

AutoVPN 導入におけるスポーク認証について

ハブでのグループIKE IDの構成

スポーク接続の除外

関連項目

AutoVPN 構成の概要

関連項目

例：iBGP による基本的な AutoVPN の設定

要件

概要

トポロジー

設定

SCEP へのデバイス証明書の登録

ステップバイステップでの手順

ステップバイステップでの手順

ステップバイステップでの手順

ハブの設定

CLIクイック構成

ステップバイステップでの手順

結果

スポーク1の設定

CLIクイック構成

ステップバイステップでの手順

結果

スポーク2の設定

CLIクイック構成

ステップバイステップでの手順

結果

検証

IKEフェーズ1ステータスの確認

目的

アクション

意味

IPsecフェーズ2ステータスの確認

目的

アクション

意味

IPsec ネクストホップ トンネルの検証

目的

アクション

意味

BGPの検証

目的

アクション

学習したルートの確認

目的

アクション

関連項目

例：IPv6トラフィック用のiBGPを使用した基本的なAutoVPNの設定

要件

概要

トポロジー

設定

SCEP へのデバイス証明書の登録

ステップバイステップでの手順

ステップバイステップでの手順

ステップバイステップでの手順

ハブの設定

CLIクイック構成

ステップバイステップでの手順

結果

スポーク1の設定

CLIクイック構成

ステップバイステップでの手順

結果

スポーク2の設定

CLIクイック構成

ステップバイステップでの手順

結果

検証

IKEステータスの確認

目的

セキュアトンネルモード

IPsec ネクストホップトンネルの検証

IPsec ネクストホップトンネルの検証

IPsec ネクストホップトンネルの検証

例：iBGP とアクティブバックアップトンネルを使用した AutoVPN の設定