Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

グループ VPNv2 サーバー クラスタ

グループ VPNv2 サーバー クラスタは、グループ コントローラ/キー サーバー(GCKS)の冗長性を提供するため、グループ VPN ネットワーク全体に単一障害点はありません。

グループ VPNv2 サーバー クラスタについて

GDOI(グループ ドメイン オブ インタープリテーション)プロトコルでは、グループ コントローラ/キー サーバ(GCKS)がグループ VPN セキュリティ アソシエーション(SA)を管理し、暗号化キーを生成してグループ メンバーに配布します。グループ メンバーは、GCKS によって提供されるグループ SA とキーに基づいてトラフィックを暗号化します。GCKS に障害が発生すると、グループ メンバーはキーを登録または取得できません。グループ VPNv2 サーバー クラスタ は GCKS の冗長性を提供するため、グループ VPN ネットワーク全体に単一障害点が発生しません。グループ VPNv2 サーバー クラスタは、ロード バランシング、スケーリング、およびリンク冗長性を提供することもできます。

グループVPNv2は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600デバイスおよびvSRX仮想ファイアウォールインスタンスでサポートされています。グループVPNv2サーバークラスター内のすべてのサーバーは、SRXシリーズファイアウォールまたはvSRX仮想ファイアウォールインスタンスでサポートされている必要があります。グループVPNv2サーバークラスターはジュニパーネットワークス独自のソリューションであり、他のベンダーのGCKSとの相互運用性はありません。

ルートサーバーとサブサーバー

グループ VPNv2 サーバー クラスタは、1 台のルート サーバーと最大 4 台の接続されたサブサーバーで構成されます。クラスタ内のすべてのサーバは、グループ VPNv2 メンバーに配布される同じ SA および暗号化キーを共有します。に示すように 図 1、クラスタ内のサーバは、異なるサイトに配置できます。

図 1: グループ VPNv2 サーバー クラスタグループ VPNv2 サーバー クラスタ

クラスタ内のサーバー間のメッセージは暗号化され、IKE SA によって認証されます。ルートサーバーは、暗号化キーを生成してサブサーバーに配布する役割を担います。この責任のため、ルート サーバをシャーシ クラスタとして設定することをお勧めします。サブサーバーは単一のデバイスであり、シャーシ クラスタにすることはできません。サブサーバーはルートサーバーに接続できる必要がありますが、サブサーバー間の直接リンクは必要ありません。

サブサーバーがルート サーバーへの接続を失うと、グループ メンバーからサブサーバーへの接続は許可されず、SA は削除されます。したがって、異なるリンクを使用して、各サブサーバーをルートサーバーに接続することをお勧めします。

グループ VPNv2 サーバー クラスタは、[] 階層レベルのステートメントで構成されます。server-clusteredit security group-vpn server group-name 以下の値は、クラスター内のサーバーごとに構成する必要があります。

  • サーバーの役割 - または のいずれかを指定します。root-serversub-server 特定のサーバーは、複数のグループ VPNv2 サーバー クラスタの一部になることができますが、すべてのクラスタで同じサーバーの役割を持つ必要があります。サーバーを、あるグループのルート サーバーの役割と別のグループのサブサーバーの役割で構成することはできません。

    グループ VPNv2 サーバー クラスタに対して、常にルート サーバーが 1 つだけであることを確認する必要があります。

  • IKEゲートウェイ—[] 階層レベルで設定された IKE ゲートウェイの名前を指定します。edit security group-vpn server ike ルート サーバーの場合、IKE ゲートウェイはクラスタ内のサブサーバーである必要があります。サブサーバーは 4 つまで指定できます。サブサーバーの場合、IKE ゲートウェイはルート サーバーである必要があります。

    ルート サーバーとサブサーバーは、動的 (未指定) IP アドレスを使用して構成する必要があり、動的 (指定されていない) IP アドレス用に構成 することはできません。dead-peer-detection always-send グループメンバーには、デッドピア検出が設定されていません。

グループ VPNv2 の設定は、特定のグループの各サブサーバーで 同じである必要があります。

グループVPNv2サーバークラスター内の各サブサーバーは、メンバーの登録と削除のための通常のGCKSとして動作します。メンバー登録が成功すると、登録サーバーはメンバーに更新を送信する責任があります。特定のグループに対して、各サブサーバが受け入れることができるグループ VPNv2 メンバーの最大数を設定できます。この数は、クラスター内のすべてのサブサーバーで同じである必要があります。サブサーバは、設定されたグループ VPNv2 メンバーの最大数に達すると、新しいメンバーによる登録要求への応答を停止します。「ロードバランシング」を参照してください。

サーバー クラスタでのグループ メンバーの登録

グループ メンバーは、特定のグループのグループ VPNv2 サーバー クラスター内の任意のサーバーに登録できますが、メンバーはサブサーバーにのみ接続し、ルート サーバーには接続しないことをお勧めします。各グループ メンバーには、最大 4 つのサーバー アドレスを設定できます。グループメンバーに設定されているサーバーアドレスは異なっていてもかまいません。以下に示す例では、グループメンバー A はサブサーバ 1 〜 4 に設定され、メンバー B はサブサーバ 4 および 3 に設定されています。

グループメンバーA:

グループメンバーB:

サーバー アドレス:

サブサーバー 1

サブサーバー 2

サブサーバー 3

サブサーバー 4

サブサーバー 4

サブサーバー 3

サーバー・アドレスがメンバーに構成される順序は重要です。グループ・メンバーが、最初に構成されたサーバーへの登録を試みます。設定されたサーバへの登録が成功しなかった場合、グループ メンバーは次に設定されたサーバへの登録を試みます。

グループVPNv2サーバークラスター内の各サーバーは、メンバーの登録と削除のための通常のGCKSとして動作します。登録が成功すると、登録サーバーは交換を介して メンバーに更新を送信する責任があります。groupkey-push 特定のグループに対して、各サーバーが受け入れることができるグループ メンバーの最大数を構成できますが、この数は、特定のグループのクラスター内のすべてのサーバーで同じである必要があります。設定されたグループメンバーの最大数に達すると、サーバーは新しいメンバーによる登録要求への応答を停止します。詳細については、「」を参照してください 。ロードバランシング

デッドピア検出

グループ VPNv2 サーバー クラスタ内のピア サーバーの可用性を確認するには、ピアに発信 IPsec トラフィックがあるかどうかに関係なく、クラスタ内の各サーバーがデッドピア検出(DPD)要求を送信するように設定する必要があります。これは、[] 階層レベルの ステートメントを使用して構成されます。dead-peer-detection always-sendedit security group-vpn server ike gateway gateway-name

グループ VPNv2 サーバー クラスタ内のアクティブ サーバは、サーバ クラスタに設定された IKE ゲートウェイに DPD プローブを送信します。複数のグループが同じピア サーバー IKE ゲートウェイ設定を共有できるため、グループに対して DPD を設定しないでください。DPD がサーバのダウンを検出すると、そのサーバがある IKE SA が削除されます。すべてのグループがサーバを非アクティブとしてマークし、サーバへの DPD を停止します。

DPD は、グループ メンバーの IKE ゲートウェイに設定しないでください。

DPD がルート サーバを非アクティブとしてマークすると、サブサーバは新しいグループ メンバー要求への応答を停止しますが、現在のグループ メンバーの既存の SA はアクティブなままです。非アクティブなサブサーバーは、SA がまだ有効である可能性があり、グループ メンバーが既存の SA を引き続き使用できるため、グループ メンバーに削除を送信しません。

ピア サーバがまだアクティブな間に IKE SA が期限切れになると、DPD は IKE SA ネゴシエーションをトリガーします。ルート サーバーとサブサーバーの両方が DPD を介して IKE SA をトリガーできるため、同時にネゴシエーションを行うと複数の IKE SA が発生する可能性があります。この場合、サーバー クラスタの機能への影響は想定されません。

ロードバランシング

グループ VPNv2 サーバー クラスタのロード バランシングは、グループに適切な 値を設定することで実現できます。member-threshold サーバーに登録されているメンバー数がこの値を超えると 、そのサーバーへの後続のメンバー登録は拒否されます。member-threshold メンバー登録は、まだ到達していないサーバー に到達するまで、グループメンバーに構成されている次のサーバーにフェイルオーバーします。member-threshold

の構成 には 2 つの制限があります。member-threshold

  • 特定のグループに対して、ルート サーバーとグループ サーバー クラスタ内のすべてのサブサーバーで同じ 値を構成する必要があります。member-threshold グループ内のメンバーの総数が設定 値を超えると、 新しいメンバーによって開始された登録は拒否されます(サーバーは応答を送信しません)。member-thresholdgroupkey-pull

  • サーバーは、複数のグループのメンバーをサポートできます。各サーバーには、サポートできるグループ・メンバーの最大数があります。サーバーがサポートできるメンバーの最大数に達すると、特定のグループの値に達していなくても、 新しいメンバーによって開始された登録は拒否 されます。groupkey-pullmember-threshold

クラスター内のサーバー間でメンバーの同期は行われません。ルートサーバーには、サブサーバーの登録メンバー数に関する情報はありません。各サブサーバーは、独自の登録済みメンバーのみを表示できます。

グループ VPNv2 サーバー クラスタの制限について

グループVPNv2は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600デバイスおよびvSRX仮想ファイアウォールインスタンスでサポートされています。グループ VPNv2 サーバー クラスタを設定する場合は、以下の点に注意してください。

  • 証明書認証は、サーバー認証ではサポートされていません。事前共有キーのみを設定できます。

  • グループ VPNv2 サーバー クラスタ内のサーバー間で構成の同期は行われません。

  • グループ VPNv2 サーバー クラスタを有効にする場合は、最初にルート サーバーで構成を行い、次にサブサーバーで構成を行う必要があります。サーバー間で構成を手動で同期するまでは、構成の変更中にトラフィックの損失が予想されます。

  • 一部のコーナーケースでは、グループ VPNv2 メンバーの SA が同期していないことがあります。グループ VPN メンバーは、交換を通じて新しい鍵を取得することで、SA を 同期できます。groupkey-pull または コマンドを使用して、グループ VPNv2 メンバーの SA を手動でクリアすると、回復を迅速化できます。clear security group-vpn member ipsec security-associationsclear security group-vpn member group

  • グループ VPNv2 サーバー クラスタは ISSU をサポートしていません。

  • グループ VPNv2 メンバーの登録中に最後の メッセージが失われた場合、メンバーがサーバー クラスタ内の次のサーバーにフェールオーバーする可能性がある場合でも、サーバーはそのメンバーを登録済みメンバーと見なすことがあります。groupkey-pull この場合、同じメンバーが複数のサーバーに登録されているように見えることがあります。すべてのサーバーの member-threshold の合計が展開されたメンバーの合計数と等しい場合、後続のグループ メンバーは登録に失敗する可能性があります。

ルートサーバーでのシャーシ クラスタ操作については、次の点に注意してください。

  • 統計情報は保持されません。

  • ネゴシエーション データまたは状態は保存されません。または ネゴシエーション中にルートサーバー シャーシ クラスタのフェイルオーバーが発生した場合、フェイルオーバー後にネゴシエーションは再開されません。groupkey-pullgroupkey-push

  • 暗号化キーのキー更新中にルートサーバーの両方のシャーシ クラスタ ノードがダウンした場合、一部のグループ VPNv2 メンバーは新しいキーを受信し、他のメンバーは受信しない可能性があります。トラフィックが影響を受ける可能性があります。または コマンドを使用してグループ VPNv2 メンバーの SA を手動でクリアすると、ルート サーバーが到達可能になったときの回復を高速化できる場合があります。clear security group-vpn member ipsec security-associationsclear security group-vpn member group

  • 大規模な環境では、ルートサーバーでの RG0 フェールオーバーに時間がかかる場合があります。サブサーバの DPD 間隔としきい値が小さい値で設定されている場合、サブサーバが RG0 フェールオーバー中にルートサーバを非アクティブとしてマークする可能性があります。トラフィックが影響を受ける可能性があります。サブサーバのIKEゲートウェイは、150秒より大きいDPD 値で設定することを推奨します。interval * threshold

グループ VPNv2 サーバー クラスタ メッセージの理解

グループVPNv2は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600デバイスおよびvSRX仮想ファイアウォールインスタンスでサポートされています。グループ VPNv2 サーバー クラスタ内のサーバー間のすべてのメッセージは、IKE セキュリティ アソシエーション(SA)によって暗号化および認証されます。各サブサーバは、ルートサーバでIKE SAを開始します。このIKE SAは、サーバー間でメッセージを交換する前に確立しておく必要があります。

このセクションでは、ルート サーバーとサブサーバーの間で交換されるメッセージについて説明します。

クラスター交換

図 2 は、グループ VPNv2 サーバー クラスタとグループ VPNv2 メンバーの間で交換される基本的なメッセージを示しています。

図 2: グループ VPNv2 サーバー クラスタ メッセージグループ VPNv2 サーバー クラスタ メッセージ

クラスタ初期化交換

サブサーバーは、ルートサーバーとのクラスター初期化 () 交換を開始して、SA および暗号化キーの情報を取得します。cluster-init ルートサーバーは、交換を通じて現在のSA情報をサブサーバーに送信することで応答します 。cluster-init

サブサーバーは、交換を通じてグループ VPNv2 メンバーからの登録要求に 応答できます。groupkey-pull この交換により 、グループ VPNv2 メンバーは、サブサーバーからグループによって共有される SA と鍵を要求できます。groupkey-pull

サブサーバーは、 次の場合にルートサーバーとの交換を開始します。cluster-init

  • ルートサーバーは非アクティブと見なされます。これは、ルートサーバーの初期想定状態です。ルート サーバーとサブサーバーの間に IKE SA がない場合、サブサーバーはルート サーバーと IKE SA を開始します。交換が成功する と、サブサーバーは SA に関する情報を取得し、ルートサーバーをアクティブとしてマークします。cluster-init

  • SA のソフト ライフタイムが終了しました。

  • すべての SA を削除するメッセージを受信します。cluster-update

  • グループ構成の変更があります。

交換が失敗した場合、サブサーバーは 5 秒ごとにルートサーバーとの交換を再試行します。cluster-init

クラスタ更新メッセージ

交換は 、既存のグループ SA の有効期限が切れる前にグループ SA とキーをメンバーに送信し、グループ メンバーシップを更新できるようにする単一のキー更新メッセージです。groupkey-push キー更新メッセージは、GCKS からメンバーに送信される未承認メッセージです

SA の新しい暗号化キーを生成すると、ルートサーバーはメッセージを介して すべてのアクティブなサブサーバーに SA 更新を送信します。cluster-update ルートサーバーから を受信し た後、サブサーバーは新しい SA をインストールし、 を介して 新しい SA 情報を登録済みのグループ メンバーに送信します。cluster-updategroupkey-push

ルート サーバーから送信されるメッセージには 、サブサーバーからの確認応答が必要です。cluster-update サブサーバから確認応答を受信しない場合、ルートサーバは設定された再送信期間(デフォルトは 10 秒)で を再送信 します。cluster-update デッドピア検出(DPD)がサブサーバが使用できないことを示している場合、ルートサーバーは再送信しません。サブサーバが受信後に SA 情報の更新に失敗した場合、サブサーバは確認を送信せず、ルートサーバは メッセージを再送信します。cluster-updatecluster-update

ルート サーバーから新しい SA を受信する前に SA のソフト有効期間が終了した場合、サブサーバーは すべての SA を取得するためにルート サーバーにメッセージを送信し、新しい更新プログラムがあるまでそのメンバーにメッセージを送信しません 。cluster-initgroupkey-push 新しい SA を受信する前にサブサーバーで SA のハード ライフタイムが終了した場合、サブサーバーはルート サーバーを非アクティブにマークし、登録されているすべてのグループ メンバーを削除して、ルート サーバーへのメッセージの送信 を続行します。cluster-init

SA またはグループ メンバーを削除するためのメッセージを送信できます。これは、コマンドまたは構成変更の結果である可能性があります。cluster-updateclear サブサーバーは、SA を削除するメッセージを受信する と、そのグループ メンバーに削除メッセージを送信し、 対応する SA を削除します。cluster-updategroupkey-push グループのすべての SA が削除されると、サブサーバーはルート サーバーとの交換を開始します 。cluster-init 登録されているすべてのメンバーが削除されると、サブサーバーはローカルに登録されたすべてのメンバーを削除します。

グループ VPNv2 サーバー クラスタの設定変更について

グループVPNv2は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600デバイスおよびvSRX仮想ファイアウォールインスタンスでサポートされています。グループ VPNv2 サーバー クラスタは、新しい暗号化キーやセキュリティ アソシエーション(SA)の変更につながる設定変更がある場合、スタンドアロンのグループ VPNv2 サーバーとは動作が異なります。ルートサーバーは、メッセージを介して SA の更新または削除をサブサーバーに送信します。cluster-update その後、サブサーバーはメンバーにメッセージを送信します 。groupkey-push サブサーバーは、最初にルートサーバーから削除メッセージを受信せずに、グループメンバーに削除メッセージを送信することはできません。

すべての構成変更は、最初にルートサーバーで行い、次にサブサーバーで行い、グループメンバーが期待どおりに更新または削除を受け取るようにする必要があります。グループ VPNv2 サーバー クラスタ内のサーバー間で構成が同期されるまでは、トラフィックの損失が予想されます。

表 1 は、グループ VPNv2 サーバーにおけるさまざまな設定変更の影響を説明します。

表 1: グループVPNv2サーバーに対する設定変更の影響

構成変更

スタンドアロン グループ VPNv2 サーバー アクション

グループ VPNv2 サーバー クラスタ アクション

ルートサーバー

サブサーバー

IKEプロポーザル、ポリシー、またはゲートウェイの変更

影響を受けるゲートウェイのIKE SAを削除します。IKEプロポーザル、ポリシー、またはゲートウェイを削除する場合は、影響を受けるゲートウェイの登録済みメンバーを削除します。

IPsecプロポーザルの変更

トラフィック暗号化キー(TEK)のキー更新後に、変更が有効になります。

グループの変更:

グループ名の削除

グループメンバーに「すべて削除」を送信します。グループ内のすべてのIKE SAを削除します。グループ内のすべてのキーをすぐに削除します。グループに登録されているメンバーをすべて削除します。

「すべて削除」をサブサーバーに送信します。グループ内のすべてのキーをすぐに削除します。すべてのピアを非アクティブとしてマークします。サブサーバー IKE SA を削除します。すべてのメンバーIKE SAを削除します。

すべてのメンバーIKE SAを削除します。グループ内のすべてのキーをすぐに削除します。グループに登録されているメンバーをすべて削除します。ピアに非アクティブのマークを付けます。ピアサーバーのIKE SAを削除します。

IDの変更

すべてのメンバーに「すべて削除」を送信します。グループ内のすべてのIKE SAを削除します。グループ内のすべてのキーをすぐに削除します。グループに登録されているメンバーをすべて削除します。構成に従って新しいキーを生成します。

「すべて削除」をサブサーバーに送信します。グループ内のすべてのメンバーIKE SAを削除します。グループ内のすべてのキーをすぐに削除します。すべてのピアを非アクティブとしてマークします。すべてのピア サーバー IKE SA を削除します。構成に従って新しいキーを生成します。

グループ内のすべてのメンバーIKE SAを削除します。グループ内のすべてのキーをすぐに削除します。グループに登録されているメンバーをすべて削除します。ピアに非アクティブのマークを付けます。ピアサーバーのIKE SAを削除します。新しい 交換を開始します。cluster-init

IKEゲートウェイを追加または削除する

追加の変更はありません。削除するには、影響を受けるゲートウェイの IKE SA と登録済みメンバーを削除します。

アンチリプレイ時間枠を追加または変更する

新しい値は、TEK のキー更新後に有効になります。

アンチリプレイを追加または変更する

新しい値は、TEK のキー更新後に有効になります。

サーバーメンバー間の通信の変更:

追加

登録されているメンバーをすべて削除します。キー暗号化キー (KEK) SA を生成します。

KEK SA を生成します。新しい KEK SA をサブサーバーに送信します。すべてのメンバーIKE SAを削除します。

登録されているメンバーをすべて削除します。

変更

新しい値は、KEK のキー更新後に有効になります。

削除

[削除を送信] をクリックして、すべての KEK SA を削除します。KEK SA を削除します。

サブサーバーに削除を送信します。KEK SA を削除します。すべてのメンバーIKE SAを削除します。

KEK SA を削除します。

IPsec SA:

追加

新しい TEK SA を生成します。メンバーの新しいTEK SAを更新します。

新しい TEK SA を生成します。新しい TEK SA をサブサーバーに送信します。

アクションなし。

変更

新しい値は、TEK のキー更新後に有効になります。

一致ポリシーが変更された場合、現在の TEK は直ちに削除され、この設定が削除されたことをメンバーに明示的に通知する必要があるため、delete groupkey-push が送信されます。

一致ポリシーが変更された場合は、サブサーバーに削除を送信します。すぐにTEKを削除してください。

一致ポリシーが変更された場合は、ただちに TEK を削除してください。

削除

すぐにTEKを削除してください。削除を送信して、この TEK SA を削除します。

サブサーバーに削除を送信します。すぐにTEKを削除してください。

すぐにTEKを削除してください。

表 2 は、グループ VPNv2 サーバー クラスタ構成を変更した場合の影響について説明します。

サーバー クラスタ内には常にルート サーバーが 1 つだけであることを確認する必要があります。

表 2: グループ VPNv2 サーバー クラスタ構成変更の影響

サーバー クラスタ構成の変更

グループ VPNv2 サーバー クラスタ

ルートサーバー

サブサーバー

IKEプロポーザル、ポリシー、またはゲートウェイ(クラスタピア)

追加については、変更はありません。変更または削除があった場合は、影響を受けるピアのIKE SAを削除します。

サーバー クラスタ:

追加

なし。

グループメンバーに「すべて削除」を送信します。グループ内のすべてのメンバーIKE SAを削除します。グループ内のすべての TEK と KEK をすぐに削除します。グループに登録されているメンバーをすべて削除します。ルートサーバーに送信します 。cluster-init

役割の変更

サーバー クラスタ内には常にルート サーバーが 1 つだけであることを確認する必要があります。

「すべて削除」をサブサーバーに送信します。グループ内のすべてのメンバーIKE SAを削除します。グループ内のすべての TEK と KEK をすぐに削除します。すべてのピアを非アクティブとしてマークします。すべてのピア サーバー IKE SA を削除します。ルートサーバーに送信します 。cluster-init

TEKのキーを再入力します。KEK のキーを再入力します。新しいキーをサブサーバーに送信します。メンバーに新しいキーを送信します。

ピアの追加

なし。

ピアの削除

ピアに非アクティブのマークを付けます。ピアIKE SAをクリアします。

ピアに非アクティブのマークを付けます。KEKをクリアします。TEKをクリアします。ピアIKE SAをクリアします。

再送信期間の変更

なし。

サーバー クラスタの削除

「すべて削除」をサブサーバーに送信します。グループ内のすべての TEK と KEK をすぐに削除します。すべてのピアを非アクティブとしてマークします。すべてのピア サーバー IKE SA を削除します。設定に応じて新しいTEKとKEKを生成します。

グループ内のすべてのメンバーIKE SAを削除します。グループ内のすべての TEK と KEK をすぐに削除します。グループに登録されているメンバーをすべて削除します。ピアに非アクティブのマークを付けます。ピアサーバーのIKE SAを削除します。設定に応じて新しいTEKとKEKを生成します。

スタンドアロン グループ VPNv2 サーバのグループ VPNv2 サーバ クラスタへの移行

グループVPNv2は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、およびSRX4600シリーズファイアウォールとvSRX仮想ファイアウォールインスタンスでサポートされています。このセクションでは、スタンドアロンのグループ VPNv2 サーバーをグループ VPNv2 サーバー クラスタに移行する方法について説明します。

スタンドアロンのグループVPNv2サーバーをルートサーバーに移行するには:

ルートサーバーはシャーシ クラスタにすることを強くお勧めします。

  1. スタンドアロンのグループVPNv2サーバーをシャーシクラスタにアップグレードします。詳細については、 SRXシリーズ デバイス向けシャーシ クラスタ ユーザーガイド を参照してください

    スタンドアロンSRXシリーズファイアウォールをシャーシクラスタノードにアップグレードするには、再起動が必要です。トラフィックの損失が予想されます。

  2. シャーシ クラスタで、グループ VPNv2 サーバ クラスタのルート サーバ設定を追加します。クラスター に対して構成されるサーバーの役割は である必要があります。root-server

    設定変更時に既存のグループメンバー間でトラフィックが失われることがないようにする必要があります。

グループ VPNv2 サーバー クラスタにサブサーバーを追加するには、次の手順を実行します。

  1. ルートサーバーで、サブサーバーのグループ VPNv2 サーバー IKE ゲートウェイとサーバー クラスタ IKE ゲートウェイの両方を構成します。SA および既存のメンバー トラフィックは影響を受けません。

  2. サブサーバーで、サーバー クラスタを構成します。グループ VPNv2 の構成は、グループ VPNv2 サーバー IKE ゲートウェイ、クラスタ内のサーバーの役割、およびサーバー クラスタの IKE ゲートウェイ構成を除き、クラスタ内の各サーバーで同じである必要があることに注意してください。サブサーバーでは、クラスター 内で構成されているサーバーの役割が である必要があります。sub-server ルートサーバー用のグループ VPNv2 サーバー IKE ゲートウェイとサーバー クラスター IKE ゲートウェイを構成します。

グループ VPNv2 サーバー クラスタからサブサーバーを削除するには:

  1. ルートサーバーで、サブサーバーのグループ VPNv2 サーバー IKE ゲートウェイ構成とサーバー クラスター IKE ゲートウェイ構成の両方を削除します。SA および既存のメンバー トラフィックは影響を受けません。

  2. サブサーバーの電源をオフにします。

例:グループ VPNv2 サーバー クラスタとメンバーの設定

この例では、グループ VPNv2 サーバ クラスタを設定して、グループ コントローラ/キー サーバ(GCKS)の冗長性を提供し、グループ VPNv2 グループ メンバーにスケーリングする方法を示します。グループVPNv2は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600デバイスおよびvSRX仮想ファイアウォールインスタンスでサポートされています。

要件

この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。

  • グループVPNv2をサポートする、Junos OSリリース15.1X49-D30以降を実行する8つのサポートされているSRXシリーズファイアウォールまたはvSRX仮想ファイアウォールインスタンス:

    • 2つのデバイスまたはインスタンスがシャーシクラスターとして動作するように設定されています。シャーシ クラスタは、グループ VPNv2 サーバ クラスタのルート サーバーとして動作します。デバイスまたはインスタンスのソフトウェアバージョンおよびライセンスは同じである必要があります。

      ルートサーバーは、暗号化キーを生成し、グループVPNサーバークラスター内のサブサーバーに配布する役割を担います。この責任のため、ルート サーバをシャーシ クラスタにすることをお勧めします。

    • 他の 4 つのデバイスまたはインスタンスは、グループ VPNv2 サーバー クラスタ内のサブサーバーとして動作します。

    • 他の 2 つのデバイスまたはインスタンスは、グループ VPNv2 グループ メンバーとして動作します。

  • グループVPNv2をサポートする、Junos OSリリース15.1R2以降を実行する2台のサポートされているMXシリーズデバイス。これらのデバイスは、グループ VPNv2 グループ メンバーとして動作します。

ホスト名、ルート管理者パスワード、および管理アクセスは、SRXシリーズファイアウォールまたはvSRX仮想ファイアウォールの各インスタンスで設定する必要があります。各デバイスで NTP も設定することをお勧めします。

この例の設定は、 に示す 図 3トポロジーに基づいて、グループ VPNv2 の動作に必要なものに焦点を当てています。インターフェイス、ルーティング、シャーシ クラスタの設定など、一部の設定はここには含まれません。たとえば、グループ VPNv2 の動作では、クライアント デバイスがネットワーク全体の目的のサイトに到達できるようにするルーティング トポロジが機能している必要があります。この例では、スタティックまたはダイナミック ルーティングの設定については説明しません。

概要

この例では、グループ VPNv2 ネットワークはサーバー クラスタと 4 つのメンバーで構成されています。サーバー クラスタは、ルート サーバーと 4 つのサブサーバーで構成されます。メンバーのうち2つはSRXシリーズファイアウォールまたはvSRX仮想ファイアウォールインスタンスで、他の2つのメンバーはMXシリーズデバイスです。

グループ VPN SA は、フェーズ 1 SA で保護されている必要があります。したがって、グループ VPN 構成には、ルートサーバー、サブサーバー、およびグループ メンバーでの IKE フェーズ 1 ネゴシエーションの構成を含める必要があります。IKEの設定は、以下のとおりです。

ルートサーバー上:

  • IKE ポリシー は、各サブサーバーとフェーズ 1 SA を確立するために使用されます。SubSrv

  • IKEゲートウェイは、サブサーバごとにデッドピア検出(DPD)が設定されます。

  • サーバー クラスタの役割 は であり、各サブサーバーはサーバー クラスタの IKE ゲートウェイとして構成されます。root-server

ルートサーバーは、シャーシ クラスタの動作をサポートするように設定する必要があります。この例では、ルートサーバー上の冗長イーサネットインターフェイスがサーバークラスター内の各サブサーバーに接続します。シャーシ クラスタ設定全体は表示されません。

各サブサーバーで、次の操作を行います。

  • 2 つの IKE ポリシーが構成されています。 は、ルートサーバーとのフェーズ 1 SA の確立に 使用され、各グループ メンバーとのフェーズ 1 SA の確立に使用されます。RootSrvGMs

    事前共有鍵は、ルートサーバーとサブサーバー間、およびサブサーバーとグループ メンバー間のフェーズ 1 SA を保護するために使用されます。使用する事前共有キーが強力なキーであることを確認します。サブサーバでは、IKE ポリシー用に設定された事前共有キーがルートサーバに設定された事前共有キーと一致し、IKE ポリシー に設定された事前共有キーがグループ メンバーに設定された事前共有キーと一致する必要があります。RootSrvGMs

  • IKE ゲートウェイは、ルート サーバー用の DPD を使用して設定されます。また、グループメンバーごとにIKEゲートウェイが構成されます。

  • サーバー クラスタの役割 は であり、ルート サーバーはサーバー クラスタの IKE ゲートウェイとして構成されます。sub-server

各グループメンバーで:

  • IKE ポリシー は、サブサーバーとのフェーズ 1 SA を確立するために使用されます。SubSrv

  • IKE ゲートウェイ構成には、サブサーバーのアドレスが含まれます。

SRXシリーズファイアウォールまたはvSRX仮想ファイアウォールグループメンバーでは、LANゾーンを送信元ゾーン(受信トラフィック)とし、WANゾーンをtoゾーン(送信トラフィック)とするグループに対してIPsecポリシーが設定されます。LANゾーンとWANゾーン間のトラフィックを許可するセキュリティポリシーも必要です。

グループサーバーとグループメンバーの両方に同じグループ識別子を設定する必要があります。この例では、グループ名は GROUP_ID-0001、グループ識別子は 1 です。サーバーで構成されたグループ ポリシーは、SA とキーが 172.16.0.0/12 の範囲のサブネットワーク間のトラフィックに適用されることを指定します。

トポロジー

図 3 は、この例用に設定するジュニパーネットワークスのデバイスを示しています。

図 3: SRXシリーズまたはvSRX仮想ファイアウォールとMXシリーズメンバーを含むグループVPNv2サーバークラスターSRXシリーズまたはvSRX仮想ファイアウォールとMXシリーズメンバーを含むグループVPNv2サーバークラスター

設定

ルートサーバーの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ルートサーバーを設定するには:

  1. セキュリティゾーンとセキュリティポリシーを設定します。

  2. シャーシ クラスタを設定します。

  3. IKEプロポーザル、ポリシー、およびゲートウェイを設定します。

  4. IPsec SAを設定します。

  5. VPN グループを設定します。

  6. グループ ポリシーを構成します。

結果

コンフィギュレーションモードから、show interfacesshow chassis cluster、、およびの各コマshow securityンドを入力し、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

サブサーバー1の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

グループ VPNv2 サーバー クラスタでサブサーバーを構成するには:

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを構成します。

  2. IKEプロポーザル、ポリシー、およびゲートウェイを設定します。

  3. IPsec SAを設定します。

  4. VPN グループを設定します。

  5. グループ ポリシーを構成します。

結果

設定モードから、 および コマンドを入力して設定を確認します。show interfacesshow security 出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

サブサーバー 2 の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

グループ VPNv2 サーバー クラスタでサブサーバーを構成するには:

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを構成します。

  2. IKEプロポーザル、ポリシー、およびゲートウェイを設定します。

  3. IPsec SAを設定します。

  4. VPN グループを設定します。

  5. グループ ポリシーを構成します。

結果

設定モードから、show interfaces および show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

サブサーバー 3 の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

グループ VPNv2 サーバー クラスタでサブサーバーを構成するには:

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを構成します。

  2. IKEプロポーザル、ポリシー、およびゲートウェイを設定します。

  3. IPsec SAを設定します。

  4. VPN グループを設定します。

  5. グループ ポリシーを構成します。

結果

設定モードから、show interfaces および show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

サブサーバー 4 の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

グループ VPNv2 サーバー クラスタでサブサーバーを構成するには:

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを構成します。

  2. IKEプロポーザル、ポリシー、およびゲートウェイを設定します。

  3. IPsec SAを設定します。

  4. VPN グループを設定します。

  5. グループ ポリシーを構成します。

結果

設定モードから、show interfaces および show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

GM-0001(SRXシリーズファイアウォールまたはvSRX仮想ファイアウォールインスタンス)の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

グループVPNv2メンバーを設定するには:

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを構成します。

  2. IKEプロポーザル、ポリシー、およびゲートウェイを設定します。

  3. IPsec SAを設定します。

  4. IPsecポリシーを設定します。

結果

設定モードから、show interfaces および show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

GM-0002(SRXシリーズファイアウォールまたはvSRX仮想ファイアウォールインスタンス)の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

グループVPNv2メンバーを設定するには:

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを構成します。

  2. IKEプロポーザル、ポリシー、およびゲートウェイを設定します。

  3. IPsec SAを設定します。

  4. IPsecポリシーを設定します。

結果

設定モードから、show interfaces および show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

GM-0003(MXシリーズデバイス)の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

グループVPNv2メンバーを設定するには:

  1. インターフェイスを設定します。

  2. IKEプロポーザル、ポリシー、およびゲートウェイを設定します。

  3. IPsec SAを設定します。

  4. サービス フィルターを構成します。

  5. サービス セットを構成します。

結果

設定モードから、show interfacesshow securityshow services、およびshow firewall のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

GM-0004(MXシリーズデバイス)の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

グループVPNv2メンバーを設定するには:

  1. インターフェイスを設定します。

  2. IKEプロポーザル、ポリシー、およびゲートウェイを設定します。

  3. IPsec SAを設定します。

  4. サービス フィルターを構成します。

  5. サービス セットを構成します。

結果

設定モードから、show interfacesshow securityshow services、およびshow firewall のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

サーバー クラスタの動作の検証

目的

サーバー クラスタ内のデバイスがグループ内のピア サーバーを認識していることを確認します。サーバーがアクティブであり、クラスター内のロールが正しく割り当てられていることを確認します。

アクション

動作モードから、ルートサーバーで 、 、および コマンドを入力します。show security group-vpn server server-clustershow security group-vpn server server-cluster detailshow security group-vpn server statistics

動作モードから、各サブサーバーで 、 、および コマンドを入力します。show security group-vpn server server-clustershow security group-vpn server server-cluster detailshow security group-vpn server statistics

SA がメンバーに配布されていることの確認

目的

サブサーバーがグループ メンバーに配布する SA を受信し、グループ メンバーが SA を受信していることを確認します。

アクション

動作モードから、ルートサーバーで および コマンドを入力します。show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detail

動作モードから、各サブサーバーで および コマンドを入力します。show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detail

動作モードから、各グループ メンバーに および コマンドを入力します。show security group-vpn member kek security-associationsshow security group-vpn member kek security-associations detail

SRXシリーズファイアウォールまたはvSRX仮想ファイアウォールグループメンバーの場合:

MX グループ メンバーの場合:

サーバーでのIKE SAの検証

目的

サーバー上の IKE セキュリティ アソシエーション (SA) を表示します。

アクション

動作モードから、ルートサーバーで および コマンドを入力します。show security group-vpn server ike security-associationsshow security group-vpn server ike security-associations detail

動作モードから、各サブサーバーで および コマンドを入力します。show security group-vpn server ike security-associationsshow security group-vpn server ike security-associations detail

サーバーおよびグループ メンバーでの IPsec SA の検証

目的

サーバーおよびグループ メンバー上の IPsec セキュリティ アソシエーション (SA) を表示します。

アクション

動作モードから、ルートサーバーで および コマンドを入力します。show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detail

動作モードから、各サブサーバーで および コマンドを入力します。show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detail

動作モードから、各グループ メンバーに および コマンドを入力しますshow security group-vpn member ipsec security-associationsshow security group-vpn member ipsec security-associations detail

SRXシリーズファイアウォールまたはvSRX仮想ファイアウォールグループメンバーの場合:

MX グループ メンバーの場合:

グループメンバーのIPsecポリシーの確認

目的

SRXシリーズファイアウォールまたはvSRX仮想ファイアウォールグループメンバーのIPsecポリシーを表示します。

このコマンドは、MXシリーズグループメンバーには使用できません。

アクション

運用モードから、SRXシリーズファイアウォールまたはvSRX仮想ファイアウォールグループメンバーに コマンドを入力します 。show security group-vpn member policy