ON THIS PAGE
外部インターフェイスを介したデュアルスタックトンネル
デュアルスタックトンネル—は、1つの物理インタフェース上でピア—に対して平行な IPv4 および IPv6 トンネルをサポートしており、ルートベースのサイトツーサイト vpn に対応しています。IPv4 と IPv6 の両方のアドレスを使用して構成された物理インターフェイスは、同一のピアまたは異なるピア上の IPv4 および IPv6 ゲートウェイの外部インターフェイスとして同時に使用できます。
VPN トンネルモードについて
VPN トンネルモードでは、IPsec は元の ip—データグラムを、第 2—の ip データグラム内に含まれる元の ip ヘッダーをカプセル化します。外部 IP ヘッダーにはゲートウェイの IP アドレスが含まれ、内部ヘッダーには最終的な送信元と宛先の IP アドレスが含まれます。外部および内部 IP ヘッダーは、IPv4 または IPv6 のプロトコルフィールドを持つことができます。SRX シリーズデバイスは、ルートベースのサイトツーサイト Vpn に4つのトンネルモードをサポートしています。
Ipv4 パケットは、「」に図 1示すように、ipv4 をカプセル化しています。外部および内部ヘッダーの両方のプロトコルフィールドは IPv4 です。
Ipv6 イン IPv6 トンネルは、ipv6 パケット内に ipv6 パケットをカプセル化し図 2ます。に示すように、外部および内部ヘッダーの両方のプロトコルフィールドは、IPv6 です。
IPv6 in IPv4 トンネルは、に図 3示すように、ipv6 パケットを IPv4 パケット内にカプセル化します。外側のヘッダーのプロトコルフィールドは IPv4 であり、内部ヘッダーのプロトコルフィールドは IPv6 です。
IPv4 マルチ IPv6 トンネルは、IPv6 パケット内に IPv4 パケットをカプセル化し図 4ます (を参照)。外側のヘッダーのプロトコルフィールドは IPv6 であり、内部ヘッダーのプロトコルフィールドは IPv4 になっています。
1つの IPsec VPN トンネルで、IPv4 と IPv6 の両方のトラフィックを伝送できます。たとえば、ipv4 トンネルは ipv4/IPv4 と IPv6 イン IPv4 両方のトンネルモードで同時に動作できます。単一の IPsec VPN トンネル上で IPv4 と IPv6 の両方のトラフィックを許可するには、そのトンネルにバインドされfamily inetたfamily inet6st0 インターフェイスをとの両方で構成する必要があります。
IPv4 および IPv6 アドレスの両方を使用して構成された物理インターフェイスは、ルートベースのサイトツーサイト VPN で、ピアへのパラレル IPv4 および IPv6 トンネルの外部インターフェイスとして使用できます。この機能はデュアルスタックトンネルとして知られており、トンネルごとに個別の st0 インターフェイスを必要とします。
ポリシーベースの Vpn では、IPv6 イン IPv6 はサポートされている唯一のトンネルモードであり、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでのみサポートされます。
外部インターフェイスを介したデュアルスタックトンネルの理解
デュアルスタックトンネル—は、1つの物理インタフェース上でピア—に対して平行な IPv4 および IPv6 トンネルをサポートしており、ルートベースのサイトツーサイト vpn に対応しています。IPv4 および IPv6 アドレスの両方を使用して構成された物理インターフェイスは、同一のピアまたは異なるピア上の IPv4 および IPv6 ゲートウェイへの外部インターフェイスとして同時に使用できます。で図 5は、物理インターフェイス reth 0.0 と、ge-0/0/0.1 は、2台のデバイス間のパラレル IPv4 および IPv6 トンネルをサポートします。
で図 5は、IPsec VPN トンネルごとに個別のセキュアトンネル (st0) インターフェイスを構成する必要があります。同一の st0 インターフェイスにバインドされているパラレル IPv4 および IPv6 トンネルはサポートされていません。
1つの IPsec VPN トンネルで、IPv4 と IPv6 の両方のトラフィックを伝送できます。たとえば、ipv4 トンネルは ipv4/IPv4 と IPv6 イン IPv4 両方のトンネルモードで同時に動作できます。単一の IPsec VPN トンネル上で IPv4 と IPv6 の両方のトラフィックを許可するには、そのトンネルにバインドされfamily inetたfamily inet6st0 インターフェイスをとの両方で構成する必要があります。
同じアドレスファミリ内の複数のアドレスが VPN ピアに対して同じ外部インターフェイス上に構成されている場合local-address 、[edit security ike gateway gateway-name] 階層レベルでの構成をお勧めします。
がlocal-address設定されている場合は、指定した IPv4 または IPv6 アドレスがローカルゲートウェイアドレスとして使用されます。物理外部インターフェイス上に IPv4 アドレスと1つの IPv6 住所だけが構成local-addressされている場合、構成は不要です。
このlocal-address値は、SRX シリーズデバイスのインターフェイスで構成されている IP アドレスにする必要があります。IKE ゲートウェイのlocal-address外部インターフェースに属していることをお勧めします。IKE local-addressゲートウェイの外部インターフェイスに属していない場合、そのインターフェイスは IKE ゲートウェイの外部インターフェイスと同じゾーンにある必要があります。また、トラフィックを許可するようにゾーン内セキュリティーポリシーを設定する必要があります。
local-address値とリモート IKE ゲートウェイアドレスは、IPv4 または IPv6 のいずれかで、同じアドレスファミリーに存在する必要があります。
構成local-addressされていない場合、ローカルゲートウェイアドレスはリモートゲートウェイアドレスに基づいています。リモートゲートウェイアドレスが IPv4 アドレスである場合、ローカルゲートウェイアドレスは外部物理インターフェイスのプライマリ IPv4 アドレスになります。リモートゲートウェイアドレスが IPv6 アドレスである場合、ローカルゲートウェイアドレスは、外部物理インターフェイスのプライマリ IPv6 アドレスです。
例:外部インターフェイス上でのデュアルスタックトンネルの設定
この例では、ルートベースのサイトツーサイト Vpn を実現するために、単一の外部物理インターフェイス上でピアに対してパラレル IPv4 および IPv6 トンネルを構成する方法を示します。
要件
開始する前に、 Understanding VPN Tunnel Modesしておくことをお読みください。
この例で示されている構成は、ルートベースのサイトツーサイト Vpn でのみサポートされています。
概要
この例では、ローカルデバイスに冗長化されたイーサネットインターフェイスを使用して、ピアデバイスへのパラレル IPv4 および IPv6 トンネルをサポートしています。
IPv4 トンネルは IPv6 トラフィックを伝送します。IPv6 イン IPv4 トンネルモードで動作します。IPv4 トンネルにバインドされるセキュアトンネルインターフェイス st 0.0 は、ファミリー inet6 のみで構成されています。
IPv6 トンネルは、IPv4 と IPv6 の両方のトラフィックを伝送します。この機能は、IPv4 イン IPv6 と ipv6 イン ipv6 両方のトンネルモードで動作します。IPv6 トンネルへのセキュアトンネルインターフェイスセント0.1 は、family inet と family inet6 の両方を使用して設定されています。
表 1は、この例で使用されているフェーズ1のオプションを示しています。第1段階の構成には、2つの IKE ゲートウェイ構成が含まれ、1つは IPv6 ピアに、もう一方は IPv4 ピアになります。
表 1: デュアルスタックトンネル構成のフェーズ1オプション
オプション | 金額 |
|---|---|
IKE 提案 | ike_proposal |
認証方法 | 事前共有鍵 |
認証アルゴリズム | MD5 |
暗号化アルゴリズム | 3DES CBC |
常 | 3600秒 |
IKE ポリシー | ike_policy |
モード | 態勢 |
IKE 提案 | ike_proposal |
事前共有キー | ASCII テキスト |
IPv6 IKE ゲートウェイ | ike_gw_v6 |
IKE ポリシー | ike_policy |
ゲートウェイアドレス | 2000::2 |
外部インターフェイス | 1.0 番目 |
IKE バージョン | IKEv2 |
IPv4 IKE ゲートウェイ | ike_gw_v4 |
IKE ポリシー | ike_policy |
ゲートウェイアドレス | 20.0.0.2 |
外部インターフェイス | 1.0 番目 |
表 2は、この例で使用されているフェーズ2オプションを示しています。フェーズ2オプション構成には、IPv6 トンネル用と IPv4 トンネル用の2つの VPN 構成が含まれています。
表 2: デュアルスタックトンネル構成のフェーズ2オプション
オプション | 金額 |
|---|---|
IPsec 提案 | ipsec_proposal |
プロトコル | ESP |
認証アルゴリズム | HMAC SHA-1 96 |
暗号化アルゴリズム | 3DES CBC |
IPsec ポリシー | ipsec_policy |
提案 | ipsec_proposal |
IPv6 VPN | test_s2s_v6 |
インターフェイスのバインド | st0.1 |
IKE ゲートウェイ | ike_gw_v6 |
IPsec ポリシーの IKE | ipsec_policy |
トンネルの確立 | 同時 |
IPv4 VPN | test_s2s_v4 |
インターフェイスのバインド | st0.0 |
IKE ゲートウェイ | ike_gw_4 |
IPsec ポリシーの IKE | ipsec_policy |
次の静的ルートは、IPv6 ルーティングテーブルで構成されています。
IPv6 トラフィックを 3000::1/128 ~ st 0.0 にルーティングします。
IPv6 トラフィックを 3000::2/128 ~ セント0.1 にルーティングします。
静的ルートは、デフォルト (IPv4) ルーティングテーブルで構成され、IPv4 トラフィックを 30.0.0.0/24 からセント0.1 へルーティングします。
[ mode flow-basededit security forwarding-options family inet6] 階層レベルの設定オプションで、IPv6 トラフィックのフローベースの処理を有効にする必要があります。
Topology
で図 6は、SRX シリーズデバイス a はデバイス B への Ipv4 および ipv6 トンネルをサポートしています。3000::1/128 への ipv6 トラフィックは ipv4 トンネルを介してルーティングされ、ipv6 トラフィックを3000::2/128、ipv4 トラフィックを 30.0.0.0/24 にルーティングして、ipv6 トンネルを経由します。
構成
CLI 簡単構成
この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。
ステップごとの手順
次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 CLI ユーザーガイド『』の「Using the CLI Editor in Configuration Mode」を参照してください。
デュアルスタックトンネルを構成するには、次のようにします。
- 外部インターフェイスを構成します。[edit interfaces]user@host# set ge-0/0/1 gigether-options redundant-parent reth1user@host# set ge-8/0/1 gigether-options redundant-parent reth1user@host# set reth1 redundant-ether-options redundancy-group 1user@host# set reth1 unit 0 family inet address 20.0.0.1/24user@host# set reth1 unit 0 family inet6 address 2000::1/64
- セキュアトンネルインターフェイスを構成します。[edit interfaces]user@host# set st0 unit 0 family inet6user@host# set st0 unit 1 family inetuser@host# set st0 unit 1 family inet6
- フェーズ1のオプションを構成します。[edit security ike proposal ike_proposal]user@host# set authentication-method pre-shared-keysuser@host# set authentication-algorithm md5user@host# set encryption-algorithm 3des-cbcuser@host# set lifetime-seconds 3600[edit security ike policy ike_policy]user@host# set mode aggressiveuser@host# set proposals ike_proposaluser@host# set pre-shared-key ascii-text "$ABC123"[edit security ike gateway ike_gw_v6]user@host# set ike-policy ike_policyuser@host# set address 2000::2user@host# set external-interface reth1.0user@host# set version v2-only[edit security ike gateway ike_gw_v4]user@host# set ike-policy ike_policyuser@host# set address 20.0.0.2user@host# set external-interface reth1.0
- フェーズ2オプションを構成します。[edit security ipsec proposal ipsec_proposal]user@host# set protocol espuser@host# set authentication-algorithm hmac-sha1-96user@host# set encryption-algorithm 3des-cbc[edit security ipsec policy ipsec_policy]user@host# set proposals ipsec_proposal[edit security ipsec vpn test_s2s_v6 ]user@host# set bind-interface st0.1user@host# set ike gateway ike_gw_v6user@host# set ike ipsec-policy ipsec_policyuser@host# set establish-tunnels immediately[edit security ipsec vpn test_s2s_v4]user@host# set bind-interface st0.0user@host# set ike gateway ike_gw_v4user@host# set ike ipsec-policy ipsec_policy
- 静的ルートを構成します。[edit routing-options rib inet6.0]user@host# set static route 3000::1/128 next-hop st0.0user@host# set static route 3000::2/128 next-hop st0.1[edit routing-options]user@host# set static route 30.0.0.0/24 next-hop st0.1
- IPv6 のフローベースの転送を有効にします。[edit security forwarding-options]user@host# set family inet6 mode flow-based
結果
設定モードから、、、、 show interfacesおよびshow security ikeshow security ipsecshow routing-optionsshow security forwarding-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。
デバイスの設定が完了したら、設定commitモードから入力します。
検証
構成が正常に機能していることを確認します。
IKE フェーズ1のステータスを確認しています
目的
IKE フェーズ1のステータスを確認します。
アクション
動作モードから、 show security ike security-associationsコマンドを入力します。
user@host> show security ike security-associationsIndex State Initiator cookie Responder cookie Mode Remote Address
1081812113 UP 51d9e6df8a929624 7bc15bb40781a902 IKEv2 2000::2
1887118424 UP d80b55b949b54f0a b75ecc815529ae8f Aggressive 20.0.0.2
意味
このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ピアデバイスで一致する必要があります。
IPsec フェーズ2の状態を検証しています
目的
IPsec フェーズ2のステータスを確認します。
アクション
動作モードから、 show security ipsec security-associationsコマンドを入力します。
user@host> show security ipsec security-associationsTotal active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 8828bd36 3571/ unlim - root 500 20.0.0.2 >131074 ESP:3des/sha1 c968afd8 3571/ unlim - root 500 20.0.0.2 <131073 ESP:3des/sha1 8e9e695a 3551/ unlim - root 500 2000::2 >131073 ESP:3des/sha1 b3a254d1 3551/ unlim - root 500 2000::2
意味
このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ピアデバイスで一致しなければなりません。
ルートの確認
目的
アクティブなルートを確認します。
アクション
動作モードから、 show routeコマンドを入力します。
user@host> show routeinet.0: 20 destinations, 20 routes (20 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.5.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.10.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.150.48.0/21 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.155.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.157.64.0/19 *[Direct/0] 3d 01:43:23
> via fxp0.0
10.157.72.36/32 *[Local/0] 3d 01:43:23
Local via fxp0.0
10.204.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.206.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
10.209.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
20.0.0.0/24 *[Direct/0] 03:45:41
> via reth1.0
20.0.0.1/32 *[Local/0] 03:45:41
Local via reth1.0
30.0.0.0/24 *[Static/5] 00:07:49
> via st0.1
50.0.0.0/24 *[Direct/0] 03:45:42
> via reth0.0
50.0.0.1/32 *[Local/0] 03:45:42
Local via reth0.0
172.16.0.0/12 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.0.0/16 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
192.168.102.0/23 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.0/24 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
207.17.136.192/32 *[Static/5] 3d 01:43:23
> to 10.157.64.1 via fxp0.0
inet6.0: 10 destinations, 14 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
2000::/64 *[Direct/0] 03:45:41
> via reth1.0
2000::1/128 *[Local/0] 03:45:41
Local via reth1.0
3000::1/128 *[Static/5] 00:03:45
> via st0.0
3000::2/128 *[Static/5] 00:03:45
> via st0.1
5000::/64 *[Direct/0] 03:45:42
> via reth0.0
5000::1/128 *[Local/0] 03:45:42
Local via reth0.0
fe80::/64 *[Direct/0] 03:45:42
> via reth0.0
[Direct/0] 03:45:41
> via reth1.0
[Direct/0] 03:45:41
> via st0.0
[Direct/0] 03:45:13
> via st0.1
fe80::210:dbff:feff:1000/128
*[Local/0] 03:45:42
Local via reth0.0
fe80::210:dbff:feff:1001/128
*[Local/0] 03:45:41
Local via reth1.0
意味
このshow routeコマンドは、ルーティングテーブル内のアクティブなエントリーをリストします。