Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

グループ VPNv2

 

グループ VPNv2 は、ポイントツーポイントトンネルとそれに関連するオーバーレイルーティングを排除するために、信頼できるグループの概念を導入しています。すべてのグループメンバーは、共通のセキュリティーアソシエーション (SA) を共有します。これは、グループ SA としても知られています。

グループ VPNv2 の概要

IPsec セキュリティーアソシエーション (SA) は、仮想プライベートネットワーク (VPN) の構成要素間で、認証と暗号化アルゴリズム、キー交換メカニズム、およびセキュア通信のために使用するルールを定義する一方向の取り決めです。多くの VPN 実装では、SA は2つのセキュリティデバイス間のポイントツーポイントトンネルに図 1なります (を参照)。

図 1: ポイントツーポイント SAs
ポイントツーポイント SAs

Group VPNv2 は、IPsec アーキテクチャを拡張して、セキュリティデバイスのグループによって共有図 2される SAs をサポートします (を参照)。Group VPNv2 を使用すると、外部ヘッダーにある元の送信元と宛先の IP アドレスを保持することで、自由な接続を実現できます。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。

図 2: 共有 SAs
共有 SAs

グループ VPNv2 は、SRX シリーズデバイス用の以前の Junos OS リリースで導入された、グループ VPN 機能の拡張バージョンです。Juniper デバイスのグループ VPNv2 は、RFC 6407 をサポートしています。 解釈のグループドメイン (GDOI)、RFC 6407 に準拠する他のデバイスと相互運用できます。

Group VPNv2 の GDOI プロトコルについて

Group VPNv2 は RFC 6407 をベースにしています。 解釈のグループドメイン(GDOI). この RFC では、グループメンバーとグループサーバーの間のプロトコルを説明していることによって、グループに所属しています。GDOI メッセージは、デバイスのグループのために SAs を作成、維持、または削除します。Group VPNv2 は、vSRX のインスタンスと、SRX5400、SRX5600、SRX5800 デバイス以外のすべての SRX シリーズデバイスでサポートされています。

GDOI プロトコルは UDP ポート848で実行されます。インターネットセキュリティーアソシエーションとキー管理プロトコル (ISAKMP) では、IKE IPsec トンネルの Sa を確立するための2つのネゴシエーションフェーズが定義されています。第 1 段階では、2台のデバイスで gdoi などのその他のセキュリティプロトコルに対して ISAKMP SA を確立できます。

Group VPNv2 を使用する と、フェーズ 1 ISAKMP SA ネゴシエーションがグループサーバーとグループメンバーの間で実行されます。サーバーとメンバーは同じ ISAKMP ポリシーを使用する必要があります。GDOI サーバーとメンバーの間では、他のグループメンバーと共有する Sa が確立されます。グループメンバーは、他のグループメンバーと IPsec をネゴシエートする必要はありません。GDOI 交換は、ISAKMP フェーズ 1 sa によって保護されている必要があります。

GDOI には2つのタイプがあります。

  • groupkey-pull Exchange では、グループによってサーバーから共有された SAs とキーをメンバーが要求できます。グループのメンバーは、 groupkey-pull exchange 経由でグループサーバーに登録する必要があります。

  • groupkey-push Exchange は、既存のグループ sa が期限切れになる前に、サーバーがグループ sa とキーをメンバーに送信することを可能にする単一のキー更新メッセージです。キー更新メッセージは、サーバーからメンバーに送信される一方的なメッセージです。

Group VPNv2 のサーバーとメンバーについて

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。Group VPNv2 の中心となっているのは、グループコントローラ/キーサーバー (GCKS) です。サーバークラスターは、GCKS の冗長性を提供するために使用できます。

GCKS またはグループサーバーは、以下のタスクを実行します。

  • グループのメンバーシップを制御します。

  • 暗号化キーを生成します。

  • 新しいグループ Sa と鍵をメンバーに送信します。グループのメンバーは、グループ・サーバーによって提供されるグループ・ Sa と鍵に基づいてトラフィックを暗号化します。

グループサーバーは複数のグループを処理できます。1つのセキュリティデバイスは、複数のグループのメンバーになることができます。

各グループは、1 ~ 4294967295 の数字であるグループ識別子によって表されます。グループのサーバーとグループのメンバーは、グループ識別子によって相互にリンクされています。グループごとに1つのグループ識別子のみを指定できます。また、複数のグループが同じグループ識別子を使用することはできません。

次の図は、Group VPNv2 サーバーおよびメンバーアクションの概要を示しています。

  1. グループサーバーは、UDP ポート848でメンバーによる登録を待機します。
  2. グループサーバーに登録するには、メンバーは最初にサーバーで IKE SA を確立します。メンバーデバイスは、グループに参加する には、IKE フェーズ1認証を適切に提供する必要があります。事前共有鍵認証は、メンバー単位でサポートされています。
  3. 認証と登録が成功すると、メンバーデバイスは、GDOI groupkey-pull exchange を使用して、指定されたグループ識別子のグループ sa とキーをサーバーから取得します。
  4. サーバーは、グループのメンバーシップにメンバーを追加します。
  5. グループのメンバーは、グループ SA キーで暗号化されたパケットを交換します。

サーバーは、グループメンバーに対して、キー更新 (GDOI groupkey-push) メッセージを使用して、SA およびキーの最新表示を送信します。サーバーは、Sa が期限切れになる前にキー更新メッセージを送信して、グループメンバー間のトラフィックを暗号化するために有効なキーを使用できるようにします。

サーバーによって送信されるキー更新メッセージには、各グループメンバーからの受信確認 (ack) メッセージが必要です。サーバーがメンバーから ack メッセージを受信しない場合は、キー更新メッセージが設定さretransmission-periodれた場所に再送信されます (デフォルトは10秒)。設定number-of-retransmission後にメンバーから応答がない場合は (デフォルトは2回)、そのメンバーはサーバー’の登録メンバーから削除されます。サーバーとメンバー間の IKE SA も削除されます。

また、グループ SA が変更された場合に新しいキーをメンバーに提供するために、キー更新メッセージを送信します。

グループ VPNv2 の制限について

Group VPNv2 サーバーは、RFC 6407 をサポートするグループ VPNv2 メンバーでのみ動作します。 解釈のグループドメイン (GDOI)

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。Group VPNv2 のこのリリースでは、以下のことがサポートされていません。

  • SNMP.

  • Cisco GET VPN サーバーからのポリシーを拒否します。

  • フェーズ 1 IKE 認証の PKI サポート

  • サーバーとメンバーの機能を同じ物理デバイスに共存させるグループサーバーとメンバーのコロケーションです。

  • シャーシクラスターとして構成されたメンバーをグループ化します。

  • J-Web インターフェイスの構成と監視を行います。

  • マルチキャストデータトラフィック

VPNv2 の使用時に NAT、IP アドレスを保存—できないような導入環境では、グループをサポートしていません。

Group VPNv2 のサーバーメンバー通信について

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。サーバーメンバー通信によって、サーバーは GDOI groupkey-push (キー更新) メッセージをメンバーに送信できます。グループに対してサーバーメンバー通信が構成されていない場合、メンバーはgroupkey-pull 、サーバーに登録して再登録するために GDOI メッセージを送信groupkey-pushできますが、サーバーはメンバーにメッセージを送信できません。

[ edit security group-vpn server] 階層でserver-member-communication 構成ステートメントを使用して、グループに対してサーバーメンバー通信を構成します。以下のオプションを定義できます。

  • サーバーへのメンバーの認証に使用される認証アルゴリズム (sha-256 または sha-384) です。デフォルトのアルゴリズムはありません。

  • サーバーとメンバー間の通信に使用される暗号化アルゴリズムです。Aes-128-cbc、aes-192-cbc、または aes-256-cbc を指定できます。デフォルトのアルゴリズムはありません。

  • グループメンバーに送信されるキー更新メッセージ用のユニキャスト通信タイプ。

  • キー暗号化キー (KEK) の有効期間です。デフォルトは3600秒です。

  • グループサーバーが応答なしでグループgroupkey-pushメンバーにメッセージを転送した回数 (デフォルトは2回) と再送信の間隔 (デフォルトは10秒)。

グループのサーバーメンバー通信が構成されていない場合は、サーバーに登録show security group-vpn server registered-membersしたグループメンバーがコマンドによって表示されます。メンバーはアクティブにもできません。グループのサーバーメンバー通信が構成されている場合、グループメンバーシップリストはクリアされます。ユニキャスト通信タイプの場合show security group-vpn server registered-members 、アクティブなメンバーのみが表示されます。

グループ VPNv2 キーの操作について

このトピックは、以下のセクションで構成されています。

グループキー

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。グループサーバーは、VPN グループ、グループメンバー、およびグループキー間の関係を追跡するためのデータベースを維持しています。サーバーがメンバーにダウンロードするグループキーには2つの種類があります。

  • SA キー更新 (GDOI—groupkey-push) 交換の暗号化に使用される鍵暗号化鍵 (kek)。グループごとに1つの KEK がサポートされています。

  • グループメンバー間の IPsec データ—トラフィックを暗号化および解読するために使用されるトラフィック暗号化キー (TEK)。

SA に関連付けられたキーは、メンバーに一致するポリシーが設定されている場合にのみ、グループメンバーによって受け付けます。承認されたキーがグループにインストール済みであるのに対し、拒否されたキーは破棄します。

キー更新メッセージ

グループがサーバーメンバー通信用に設定されている場合、サーバーは、キー更新 (GDOI groupkey-push) メッセージによるグループメンバーに対して、SA および最新のリフレッシュを送信します。キー更新メッセージは Sa が期限切れになる前に送信されます。これにより、グループメンバー間のトラフィックを暗号化するために、有効なキーを使用できるようになります。

また、グループメンバーシップに変更があった場合やグループ SA が変更された場合 (グループポリシーが追加または削除された場合など) に、キー更新メッセージを送信して、メンバーに新しいキーを提供することもできます。

サーバーがグループメンバーにキー更新メッセージを送信できるようにするには、サーバーにサーバーメンバー通信オプションが設定されている必要があります。

グループサーバーは、各グループメンバーにユニキャストキー更新メッセージのコピーを1つ送信します。キー更新メッセージを受信すると、メンバーは受信確認 (ACK) をサーバーに送信する必要があります。サーバーがメンバーから ACK (キー更新メッセージの再送信など) を受信しなかった場合、そのメンバーは非アクティブであると見なされ、メンバーシップリストから削除されます。サーバーは、メンバーへのキー更新メッセージの送信を停止します。

メンバー number-of-retransmissionからretransmission-period ACK が受信されない場合、サーバーによるキー更新メッセージの再送信を制御するのは、サーバーメンバー通信用の設定ステートメントです。

サーバーがキー更新メッセージを送信する間隔は、[ lifetime-secondsedit security group-vpn server group group-name] 階層にある構成ステートメントの値に基づきます。KEK および TEK キーの有効期限が切れる前に、新しいキーが生成されます。

KEK のは、 lifetime-secondsサーバーメンバー通信の一部として構成されています。デフォルトは3600秒です。TEK lifetime-secondsのは、IPsec の提案に対して構成されています。デフォルトは3600秒です。

メンバー登録

現在のキーが期限切れになる前に、グループメンバーがサーバーから新しい SA キーを受信しなかった場合、そのメンバーはサーバーに登録し、GDOI groupkey-pull exchange で更新されたキーを取得する必要があります。

グループ VPNv2 の構成の概要

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。このトピックでは、グループ VPNv2 を構成するための主なタスクについて説明します。

グループコントローラ/キーサーバー (GCKS) は、Group VPNv2 security association (Sa) を管理し、暗号化キーを生成して、グループメンバーに配信します。グループ VPNv2 サーバークラスターを使用して、GCKS の冗長性を提供することができます。「Understanding Group VPNv2 Server Clustersて」を参照してください。

グループサーバーで、以下の設定を行います。

  1. 第 1 の SA IKE。「Understanding IKE Phase 1 Configuration for Group VPNv2 参照して IKE ください。
  2. IPsec SA。『 Understanding IPsec SA Configuration for Group VPNv2ついて」を参照してください。
  3. グループ識別子、IKE ゲートウェイ、グループメンバー用の VPN グループ情報、グループ内のメンバー数の最大数、およびサーバーメンバー間の通信。グループ構成には、SA とキーが適用されるトラフィックを定義するグループポリシーが含まれています。サーバークラスターとアンチリプレイ時間ウィンドウはオプションで設定することができます。「Group VPNv2 Configuration Overview」および「Understanding Group VPNv2 Traffic Steering」を参照してください。

グループメンバーでは、以下のことを構成します。

  1. 第 1 の SA IKE。「Understanding IKE Phase 1 Configuration for Group VPNv2 参照して IKE ください。
  2. IPsec SA。『 Understanding IPsec SA Configuration for Group VPNv2ついて」を参照してください。
  3. 着信ゾーン (通常は保護された LAN)、発信ゾーン (通常は WAN)、およびポリシーが適用される VPN グループを定義する IPsec ポリシー。除外またはフェイルオープンルールを指定することもできます。「Understanding Group VPNv2 Traffic Steering」を参照してください。
  4. IPsec ポリシーで指定されているゾーン間でグループ VPN トラフィックを許可するセキュリティポリシー。

Group VPNv2 の運用には、クライアントデバイスがネットワーク全体で目的のサイトに到達できるようにするための、有効なルーティングトポロジが必要です。

このグループは、[ edit security group-vpn server] 階層にあるgroup 構成ステートメントを使用して、サーバー上で設定されます。

グループ情報は、以下の情報で構成されています。

  • グループ識別子—VPN グループを識別する値です。グループメンバーには、同じグループ識別子が設定されている必要があります。

  • 各グループメンバーはike-gateway設定文で設定されています。この構成ステートメントのインスタンスは、グループのメンバーごとに1つずつ、複数存在することができます。

  • メンバーに—ダウンロードされるグループポリシーポリシー。グループポリシーには、SA とキーが適用されるトラフィックが記述されています。「Understanding Group VPNv2 Traffic Steering」を参照してください。

  • メンバーの—しきい値グループのメンバーの最大数です。グループのメンバーのしきい値に達すると、新しいメンバーから initiations へgroupkey-pullの応答が停止します。「Understanding Group VPNv2 Server Clustersて」を参照してください。

  • サーバーメンバー通信—オプションの構成によって、サーバーがgroupkey-pushキー更新メッセージをメンバーに送信できるようにします。

  • グループコントローラ—/キーサーバー (GCKS) の冗長性をサポートするサーバークラスターオプションの構成。「Understanding Group VPNv2 Server Clustersて」を参照してください。

  • パケット傍受—とリプレイを検知するアンチリプレイオプションの構成。「 Understanding Group VPNv2 Antireplayて」を参照してください。

Group VPNv2 の第1段階の構成に IKE ついて

グループサーバーと グループメンバー間の IKE フェーズ 1 SA は、グループによって共有される IPsec sa をネゴシエートするためのセキュアチャネルを構築します。ジュニパーネットワークスセキュリティデバイスに標準の IPsec Vpn を使用 する場合、フェーズ 1 SA の構成では、IKE 案、ポリシー、ゲートウェイを指定しています。

グループ VPNv2 については、 フェーズ 1 SA の IKE は標準の IPsec vpn の構成に似ていますが、edit security group-vpn server ikeこの構成はedit security group-vpn member ike[] と [] 階層で実行されます。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。

IKE 提案の設定では、認証方法と、参加者間のセキュアなチャネルを開くために使用される認証アルゴリズムと暗号化方式を設定します。IKE ポリシーの設定では、フェーズ 1 チャネルがネゴシエートされるモードを設定し、使用するキー交換のタイプを指定して、フェーズ 1 提案を参照します。IKE ゲートウェイの構成では、第1段階 のポリシーを参照します。

グループサーバー上の IKE 提案およびポリシー設定は、グループメンバーの IKE 提案とポリシー設定と一致している必要があります。グループサーバーでは、グループの各メンバーに対して IKE ゲートウェイが構成されています。グループメンバーでは、最大4つのサーバーアドレスを IKE ゲートウェイ構成で指定できます。

Group VPNv2 の IPsec SA 構成について

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。サーバーとメンバーは、フェーズ 1 ネゴシエーションでセキュアで認証されたチャネルを確立した後、メンバー間で送信されるデータを保護するために、グループのメンバーによって共有されている IPsec sa の確立に進みます。Group VPNv2 の IPsec SA 構成は、標準 Vpn の設定に似ていますが、グループメンバーは、他のグループメンバーと SA をネゴシエートする必要はありません。

Group VPNv2 の IPsec 設定は、以下の情報で構成されています。

  • グループサーバー上では、SA に使用されるセキュリティプロトコル、認証、暗号化アルゴリズムに対応した IPsec 提案が構成されています。IPsec SA 提案は、[ proposaledit security group-vpn server ipsec] 階層にある構成ステートメントを使用して、グループサーバー上で設定されます。

  • グループメンバー上では、Autokey IKE が設定されており、グループ識別子、グループサーバー ( ike-gateway設定ステートメントで設定)、グループピアに接続するためにメンバーが使用するインターフェイスを参照します。Autokey IKE は、[ vpnedit security group-vpn member ipsec] 階層の構成ステートメントでメンバーに設定されています。

グループ VPNv2 トラフィックステアリングについて

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。グループサーバーは、IPsec セキュリティーアソシエーション (SAs) と鍵を指定されたグループのメンバーに配信します。同じグループに所属するすべてのメンバーは、同じ IPsec Sa のセットを共有します。特定のグループメンバーにインストールされている SA は、グループ SA に関連付けられたポリシーとグループメンバーに設定されている IPsec ポリシーによって決まります。

グループサーバーに構成されているグループポリシー

VPN グループでは、サーバーがメンバーにプッシュする各グループ SA とキーは、グループポリシーに関連付けられています。このグループポリシーでは、プロトコル、発信元アドレス、発信元ポート、宛先アドレス、宛先ポートなど、このキーを使用すべきトラフィックが記述されています。サーバー上では、グループポリシーは [ match-policy policy-nameedit security group-vpn server group name ipsec-sa name] 階層レベルでオプションを使用して設定されています。

同じ送信元アドレス、宛先アドレス、発信元ポート、宛先ポート、およびプロトコル値を使用して設定された同一のグループポリシーは、単一のグループには存在できません。グループに対して同一のグループポリシーを含む構成をコミットしようとすると、エラーが返されます。この場合、構成をコミットする前に、同一のグループポリシーの1つを削除する必要があります。

グループメンバーに対して構成された IPsec ポリシー

グループメンバーでは、IPsec ポリシーは以下の情報で構成されています。

  • グループトラフィック用from-zoneの受信ゾーン ()

  • グループトラフィック用to-zoneの発信ゾーン ()。

  • IPsec ポリシーが適用されるグループの名前。特定のゾーン/ゾーン間のペアによって参照できる Group VPNv2 名は1つだけです。

Group メンバーがグループ VPNv2 に接続するために使用するインターフェースは、発信ゾーンに属している必要があります。このインターフェイスは、[ group-vpn-external-interfaceedit security group-vpn member ipsec vpn vpn-name] 階層レベルのステートメントによって指定されます。

グループメンバーでは、IPsec ポリシーは [edit security ipsec-policy] 階層レベルで構成されています。IPsec ポリシーに一致するトラフィックは、グループに対して構成されている除外およびフェイルオープンルールによってさらにチェックされます。

フェイルクローズ

デフォルトでは、グループサーバーから受信した exclude またはフェイルオープンルールやグループポリシーに一致しないトラフィックはブロックされます。これは、「フェイルクローズ」と呼ばれています。

除外する、またはフェイルオープンするルール

グループメンバーには、グループごとに以下のタイプのルールを設定できます。

  • VPN 暗号化から除外されるトラフィック。このタイプのトラフィックの例には、BGP または OSPF ルーティングプロトコルを含めることができます。グループからのトラフィックを除外するにはset security group-vpn member ipsec vpn vpn-name exclude rule 、構成を使用します。最大10個の除外ルールを設定できます。

  • グループメンバーが IPsec SA の有効’なトラフィック暗号化キー (TEK) を受信していない場合、顧客の運用にとって重要であり、クリアテキストで送信する必要があるトラフィック。すべてのトラフィックがブロックされているときに、このトラフィックフローを許可するには、フェイルオープンルールを使用します。set security group-vpn member ipsec vpn vpn-name fail-open rule構成を使用してオープンなフェイルオーバーを有効にします。最大10個のフェイルオープンルールを設定できます。

IPsec ポリシーとルールの優先度

IPsec ポリシーとルールには、グループメンバーの以下の優先度があります。

  1. VPN 暗号化から除外するトラフィックを定義するルールを除外します。
  2. グループサーバーからダウンロードされたグループポリシー。
  3. SA に有効な TEK がない場合にクリアテキストで送信されるトラフィックを定義する、オープンルールです。
  4. トラフィックをブロックするフェイルクローズポリシー。これは、トラフィックが除外またはフェイルオープンルールやグループポリシーと一致しない場合のデフォルトです。

Group VPNv2 Recovery Probe プロセスについて

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。2つの状況は、グループのメンバーがグループサーバーとその他のグループメンバーと同期していないことを示している場合があります。

  • グループのメンバーは、認識されていないセキュリティーパラメータインデックス (SPI) を使用してカプセル化セキュリティーペイロード (ESP) パケットを受信します。

  • 送信 IPsec トラフィックはありますが、グループメンバー上で受信 IPsec トラフィックはありません。

いずれかの状況が検出されると、グループメンバーで復旧プローブプロセスがトリガーされます。復旧プローブプロセスは、特定の間隔groupkey-pullでの gdoi を開始し’、グループサーバーからメンバー s SA を更新します。不正な SPI パケットの DoS 攻撃が発生した場合、または送信者自体の同期が取れていない場合は、グループメンバーの同期が取れていないことを示す通知が偽のアラームである可能性があります。システムの過負荷を回避するgroupkey-pullために、開始は10、20、40、80、160、および320秒の間隔で再試行されます。

デフォルトでは、復旧プローブプロセスは無効になっています。リカバリープローブプロセスを有効にするにrecovery-probeは、[edit security group-vpn member ipsec vpn vpn-name] 階層レベルで設定します。

Group VPNv2 アンチリプレイについて

Group VPNv2 アンチリプレイは、vSRX のインスタンスと、SRX5400、SRX5600、SRX5800 デバイス以外のすべての SRX シリーズデバイスでサポートされています。アンチリプレイは IPsec 機能であり、パケットが傍受されてから、攻撃者によるリプレイを検知することができます。アンチリプレイは、グループに対してデフォルトでは無効になっています。

各 IPsec パケットにはタイムスタンプが含まれています。グループメンバーは、パケット’のタイムスタンプが設定さanti-replay-time-windowれた値内にあるかどうかを確認します。タイムスタンプが値を超えた場合、パケットがドロップされます。

Group VPNv2 アンチリプレイをサポートするすべてのデバイスで NTP を設定することをお勧めします。

ハイパーバイザが過負荷状態で実行されているホストマシン上の vSRX のインスタンスで実行されているグループメンバーは、 anti-replay-time-window値を再構成することで修正可能な問題が発生する可能性があります。グループメンバーの IPsec ポリシーと一致するデータが転送されていない場合はshow security group-vpn member ipsec statistics 、D3P のエラーの出力を確認してください。NTP が正しく動作していることを確認してください。エラーが発生した場合はanti-replay-time-window 、値を調整します。

例:グループ VPNv2 サーバーおよびメンバーの構成

この例では、グループ VPNv2 サーバーを設定して、グループコントローラ/キーサーバー (GCKS) のサポートを提供し、VPNv2 グループのメンバーをグループ化する方法を示します。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Group VPNv2 をサポートする Junos OS Release 15.1 X49-D30 またはそれ以降を実行している、サポートされている SRX シリーズデバイスまたは vSRX インスタンス。この SRX シリーズデバイスまたは vSRX のインスタンスは、Group VPNv2 サーバーとして動作します。

  • サポートされている2つ vSRX の SRX シリーズデバイス、または Junos OS Release 15.1 X49-D30 以降を実行しているグループ VPNv2 をサポートするインスタンス。これらのデバイスまたはインスタンスは、グループ VPNv2 グループのメンバーとして動作します。

  • サポートされている2つの MX シリーズデバイス Junos OS のリリース 15.1 R2 以降を実行しています。 Group VPNv2 をサポートします。これらのデバイスはグループ VPNv2 グループのメンバーとして動作します。

各デバイスには、ホスト名、root 管理者パスワード、管理アクセスが設定されている必要があります。また、各デバイスで NTP を設定することをお勧めします。

Group VPNv2 の運用には、クライアントデバイスがネットワーク全体で目的のサイトに到達できるようにするための、有効なルーティングトポロジが必要です。この例では、グループ VPNv2 設定に焦点を当てています。ルーティング構成については説明していません。

概要

この例では、Group VPNv2 network はサーバーと4つのメンバーで構成されています。2つのメンバーは SRX シリーズデバイスまたは vSRX インスタンスであり、その他の2つのメンバーは MX シリーズデバイスです。グループメンバー間の共有グループ VPN SAs セキュアなトラフィック。

グループ VPN Sa は、フェーズ 1 SA によって保護される必要があります。したがって、グループ VPN 構成には、グループサーバーとグループメンバーの両方で IKE フェーズ1ネゴシエーションを構成する必要があります。

グループサーバーとグループメンバーの両方に同じグループ識別子を設定する必要があります。この例では、グループ名は GROUP_ID-0001、グループ識別子は1になっています。サーバー上で設定されたグループポリシーでは、172.16.0.0/12 範囲のサブネットワーク間のトラフィックに SA とキーが適用されるように指定しています。

SRX または vSRX グループメンバーでは、IPsec ポリシーは、LAN ゾーンを開始側 (受信トラフィック) として、WAN ゾーンをゾーン (発信トラフィック) として、グループに合わせて設定します。LAN と WAN のゾーン間のトラフィックを許可するために、セキュリティポリシーも必要です。

Topology

図 3この例に設定するジュニパーネットワークスデバイスを示します。

図 3: SRX または vSRX および MX シリーズのメンバーを含むグループ VPNv2 サーバー
SRX または vSRX および MX シリーズのメンバーを含むグループ VPNv2 サーバー

構成

グループサーバーの構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

Group VPNv2 サーバーを設定するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。
  2. 静的ルートを構成します。
  3. IKE の提案、ポリシー、ゲートウェイを構成します。
  4. IPsec の提案を構成します。
  5. グループを構成します。
  6. サーバー間通信を構成します。
  7. グループのメンバーにダウンロードするようにグループポリシーを設定します。

結果

設定モードから、、、およびshow interfacesshow routing-optionsshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

グループメンバー GM-0001 (SRX シリーズデバイスまたは vSRX インスタンス) の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。
  2. 静的ルートを構成します。
  3. IKE 提案、ポリシー、ゲートウェイを構成します。
  4. IPsec SA を構成します。
  5. IPsec ポリシーを構成します。

結果

設定モードから、、、およびshow interfacesshow routing-optionsshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

グループメンバー GM-0002 (SRX シリーズデバイスまたは vSRX インスタンス) の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。
  2. 静的ルートを構成します。
  3. IKE 提案、ポリシー、ゲートウェイを構成します。
  4. IPsec SA を構成します。
  5. IPsec ポリシーを構成します。

結果

設定モードから、、、およびshow interfacesshow routing-optionsshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

グループメンバー GM-0003 (MX シリーズデバイス) の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイスを構成します。
  2. ルーティングを構成します。
  3. IKE 提案、ポリシー、ゲートウェイを構成します。
  4. IPsec SA を構成します。
  5. サービスフィルターを構成します。
  6. サービスセットを構成します。

結果

設定モードから、、、、 show interfacesおよびshow routing-optionsshow securityshow servicesshow firewallコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

グループメンバー GM-0004 (MX シリーズデバイス) の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイスを構成します。
  2. ルーティングを構成します。
  3. IKE 提案、ポリシー、ゲートウェイを構成します。
  4. IPsec SA を構成します。
  5. サービスフィルターを構成します。
  6. サービスセットを構成します。

結果

設定モードから、、、、 show interfacesおよびshow routing-optionsshow securityshow servicesshow firewallコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

構成が正常に機能していることを確認します。

グループメンバー登録を確認しています

目的

グループメンバーがサーバーに登録されていることを確認します。

アクション

運用モードから、サーバーにshow security group-vpn server registered-membersshow security group-vpn server registered-members detailコマンドを入力します。

user@host> show security group-vpn server registered-members
user@host> show security group-vpn server registered-members detail

グループキーが配布されていることの確認

目的

グループキーがメンバーに配信されていることを確認します。

アクション

運用モードから、グループサーバー show security group-vpn server statistics 上でコマンドを入力します。

user@host> show security group-vpn server statistics

グループサーバー上のグループ VPN Sa を確認する

目的

グループサーバー上のグループ VPN Sa を確認します。

アクション

運用モードから、グループサーバー show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detailとコマンドを入力します。

user@host> show security group-vpn server kek security-associations
user@host> show security group-vpn server kek security-associations detail

グループのメンバーに対するグループ VPN Sa の確認

目的

グループのメンバーにグループ VPN Sa を確認します。

アクション

運用モードから、SRX show security group-vpn member kek security-associationsまたshow security group-vpn member kek security-associations detailは vSRX グループメンバーに and コマンドを入力します。

user@host> show security group-vpn member kek security-associations
user@host> show security group-vpn member kek security-associations detail

運用モードから、MX シリーズshow security group-vpn member kek security-associationsグループshow security group-vpn member kek security-associations detailのメンバーにとコマンドを入力します。

user@host> show security group-vpn member kek security-associations
user@host> show security group-vpn member kek security-associations detail

グループサーバー上の IPsec Sa を確認する

目的

グループサーバー上の IPsec Sa を確認します。

アクション

運用モードから、グループサーバー show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detailとコマンドを入力します。

user@host> show security group-vpn server ipsec security-associations
user@host> show security group-vpn server ipsec security-associations detail

グループメンバーに対する IPsec Sa の確認

目的

グループメンバーの IPsec Sa を確認します。

アクション

運用モードから、SRX show security group-vpn member ipsec security-associationsまたshow security group-vpn member ipsec security-associations detailは vSRX グループメンバーに and コマンドを入力します。

user@host> show security group-vpn member ipsec security-associations
user@host> show security group-vpn member ipsec security-associations detail

運用モードから、MX シリーズshow security group-vpn member ipsec security-associationsグループshow security group-vpn member ipsec security-associations detailのメンバーにとコマンドを入力します。

user@host> show security group-vpn member ipsec security-associations
user@host> show security group-vpn member ipsec security-associations detail

グループポリシーの検証 (SRX または vSRX グループのメンバーのみ)

目的

SRX または vSRX グループのメンバーでグループポリシーを検証します。

アクション

運用モードから、グループメンバー show security group-vpn member policyにコマンドを入力します。

user@host> show security group-vpn member policy

例:ユニキャストキー更新メッセージ用のグループ VPNv2 サーバーメンバー通信の構成

この例では、サーバーからユニキャストキー更新メッセージをグループメンバーに送信できるようにして、グループメンバー間のトラフィックを暗号化するために有効なキーを使用できるようにする方法について説明します。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。

要件

開始する前に:

  • IKE フェーズ1ネゴシエーション用にグループサーバーとメンバーを構成します。

  • グループサーバーと IPsec SA のメンバーを構成します。

  • グループサーバー上g1のグループを構成します。

概要

この例では、グループg1に対して次のようなサーバーメンバーの通信パラメーターを指定します。

  • サーバーは、グループメンバーにユニキャストキー更新メッセージを送信します。

  • aes-128-cbc は、サーバーとメンバー間のトラフィックを暗号化するために使用されます。

  • sha-256 は、メンバー認証に使用されます。

デフォルト値は、KEK の有効期間と再伝送に使用されます。

構成

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、Using the CLI Editor in Configuration Modeを参照してください。

サーバーメンバー通信を構成するには、次のようにします。

  1. 通信タイプを設定します。
  2. 暗号化アルゴリズムを設定します。
  3. メンバー認証を設定します。

検証

構成が正常に機能していることをshow security group-vpn server group g1 server-member-communication確認するには、コマンドを入力します。