Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

IPsec VPN の構成の概要

 

VPN 接続では、2つの Lan (サイト間 VPN) またはリモートのダイヤルアップユーザーと LAN をリンクすることができます。これら2つのポイント間でフローされるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。2つの構成要素デバイス間に IPsec トンネルが作成され、VPN 通信を保護しています。

IPsec VPN と自動キー IKE の構成の概要

IPsec VPN ネゴシエーションは2つのフェーズで行われます。フェーズ1では、参加者は、IPsec セキュリティーアソシエーション (SA) をネゴシエートするためのセキュアチャネルを確立します。フェーズ2では、参加者は IPsec SA をネゴシエートして、トンネルを通過するトラフィックを認証します。

この概要では、autokey IKE (事前共有キーまたは証明書) を使用してルートベースまたはポリシーベースの IPsec VPN を構成する際の基本手順について説明します。

Autokey IKE を使用してルートベースまたはポリシーベースの IPsec VPN を構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、アドレス帳の情報を構成します。

    (ルートベースの Vpn の場合)Secure tunnel st0 interface を構成します。デバイスでルーティングを構成します。

  2. IPsec VPN トンネルのフェーズ1を構成します。
    1. ナカスタム IKE フェーズ1提案を構成します。このステップは、事前定義された IKE フェーズ1の提案書 (標準、互換、または基本) を使用できるため、オプションです。
    2. カスタム IKE フェーズ1提案または事前定義された IKE フェーズ1案セットを参照する IKE ポリシーを設定します。Autokey IKE 事前共有キー、または証明書情報を指定します。フェーズ1交換のモード (メインまたはアグレッシブ) を指定します。
    3. IKE ポリシーを参照する IKE ゲートウェイを構成します。ローカルおよびリモートデバイスの IKE Id を指定します。リモートゲートウェイの IP アドレスが不明な場合は、リモートゲートウェイがどのように識別されるかを指定します。
  3. IPsec VPN トンネルのフェーズ2を構成します。
    1. ナカスタム IPsec フェーズ2案を構成します。このステップは、事前定義された IPsec フェーズ2案セット (標準、互換、または基本) を使用できるため、オプションです。
    2. カスタム IPsec フェーズ2提案または事前定義された IPsec フェーズ2案セットを参照する IPsec ポリシーを構成します。PFS (完全前方秘密) キーを指定します。
    3. IKE ゲートウェイと IPsec ポリシーの両方を参照する IPsec VPN トンネルを構成します。フェーズ2ネゴシエーションで使用するプロキシ Id を指定します。

      (ルートベースの Vpn の場合)セキュアトンネルインターフェイス st0 を IPsec VPN トンネルにバインドします。

  4. 送信元ゾーンから宛先ゾーンへのトラフィックを許可するセキュリティポリシーを構成します。

    (ポリシーベースの Vpn の場合)設定した IPsec VPN tunnel ipsec-vpnトンネルの名前を使用して、セキュリティポリシーアクションを指定します。

  5. グローバル VPN 設定を更新します。

IPsec VPN と手動キーの設定の概要

この概要では、手動キーを使用してルートベースまたはポリシーベースの IPsec VPN を構成するための基本的な手順について説明します。

ルートベースまたはポリシーベースの IPsec VPN を、手動キーを使用して構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、アドレス帳の情報を構成します。

    (ルートベースの Vpn の場合)ルーティングを構成します。Secure tunnel st0 interface を構成します。

  2. 以下のパラメーターを指定して、IPsec VPN トンネルを構成します。
    • 認証アルゴリズムとキー

    • 暗号化アルゴリズムとキー

    • アウトゴーイングインターフェイス

    • ピアの IP アドレス

    • セキュリティーアソシエーションのための IPsec プロトコル

    • セキュリティーパラメータインデックス

    (ルートベースの Vpn の場合)セキュアトンネルインターフェイス st0 を IPsec VPN トンネルにバインドします。

  3. 送信元ゾーンから宛先ゾーンへのトラフィックを許可するようにセキュリティポリシーを設定します。

    (ポリシーベースの Vpn の場合)設定した IPsec VPN tunnel ipsec-vpnトンネルの名前を使用して、セキュリティポリシーアクションを指定します。

表 1は、静的な IP アドレスを持つ2つのセキュリティデバイス間の一般的なサイト間 VPN の設定オプションを示しています。VPN は、ルートベースとポリシーベースのどちらでもかまいません。

設定オプション

コメント

IKE 構成オプション:

証明書による自動キー IKE

手動キーをお勧めすることはありません。

メインモード

ピアが静的 IP アドレスを持っている場合に使用されます。

RSA または DSA 証明書

RSA または DSA 証明書は、ローカルデバイスで使用できます。ピア上の証明書のタイプ (PKCS7 または 509) を指定します。

Diffie-hellman (DH) グループ14

DH group 14 は、DH グループ1、2、または5よりもセキュリティーが強化されています。

Advanced Encryption Standard (AES) 暗号化

AES は、キー長が等しい場合に、データ暗号化規格 (DES) およびトリプル DES (3DES) よりも強力に暗号化されています。連邦情報処理規格 (FIPS) および共通基準 EAL4 規格に対して承認された暗号化アルゴリズムです。

セキュアハッシュアルゴリズム 256 (SHA-256) 認証

SHA-256 は、SHA-1 またはメッセージダイジェスト 5 (MD5) よりも暗号化セキュリティーを提供します。

IPsec 構成オプション:

完全順機密性 (PFS) DH グループ14

PFS DH group 14 は、2つ目の DH 交換を実行して IPsec の暗号化と解読に使用されるキーを生成することにより、セキュリティを強化します。

ESP (カプセル化セキュリティーペイロード) プロトコル

ESP は、認証によって元の IP パケットと整合性の暗号化とカプセル化によって機密性を提供します。

AES 暗号化

AES は、鍵の長さが等しければ、DES と3DES よりも強力な暗号化方式です。FIPS および Common Criteria EAL4 規格に対して承認された暗号化アルゴリズムです。

SHA-256 認証

SHA-256 は、SHA-1 または MD5 よりも高い暗号化セキュリティーを提供します。

アンチリプレイ防御

デフォルトで有効になっています。この機能を無効にすると、サードパーティー製のピアとの互換性の問題が解決される場合があります。

関連項目

表 2は、ピアデバイスが動的 IP アドレスを持つ、一般的なサイト間またはダイアルアップ VPN の設定オプションを示しています。

設定オプション

コメント

IKE 構成オプション:

証明書による自動キー IKE

手動キーをお勧めすることはありません。

メインモード

証明書とともに使用されます。

2048ビット証明書

RSA または DSA 証明書を使用できます。ローカルデバイスで使用する証明書を指定します。ピア上の証明書のタイプ (PKCS7 または 509) を指定します。

Diffie-hellman (DH) グループ14

DH group 14 は、DH グループ1、2、または5よりもセキュリティーが強化されています。

Advanced Encryption Standard (AES) 暗号化

AES は、キー長が等しい場合に、データ暗号化規格 (DES) およびトリプル DES (3DES) よりも強力に暗号化されています。連邦情報処理規格 (FIPS) および共通基準 EAL4 規格に対して承認された暗号化アルゴリズムです。

セキュアハッシュアルゴリズム 256 (SHA-256) 認証

SHA-256 は、SHA-1 またはメッセージダイジェスト 5 (MD5) よりも暗号化セキュリティーを提供します。

IPsec 構成オプション:

完全順機密性 (PFS) DH グループ14

PFS DH group 14 は、2つ目の DH 交換を実行して IPsec の暗号化と解読に使用されるキーを生成することにより、セキュリティを強化します。

ESP (カプセル化セキュリティーペイロード) プロトコル

ESP は、認証によって元の IP パケットと整合性の暗号化とカプセル化によって機密性を提供します。

AES 暗号化

AES は、鍵の長さが等しければ、DES と3DES よりも強力な暗号化方式です。FIPS および Common Criteria EAL4 規格に対して承認された暗号化アルゴリズムです。

SHA-256 認証

SHA-256 は、SHA-1 または MD5 よりも高い暗号化セキュリティーを提供します。

アンチリプレイ防御

デフォルトで有効になっています。これを無効にすることで、サードパーティーのピアとの互換性の問題を解決できる場合があります。

関連項目

動的エンドポイントを使用した IPsec Vpn について

概要

IPsec VPN ピアは、VPN 接続を確立しているピアに認識されていない IP アドレスを持つことができます。たとえば、動的なホスト構成プロトコル (DHCP) によって動的に割り当てられた IP アドレスをピアに割り当てることができます。これには、支社またはホームオフィスのリモートアクセスクライアント、または物理的に異なる場所間を移動するモバイルデバイスが該当することが考えられます。または、ピアが元の送信元 IP アドレスを別のアドレス’に変換する NAT デバイスの背面にあることもあります。不明な IP アドレスを持つ VPN ピアは動的エンドポイントと呼ばれ、動的エンドポイントを使用して確立された vpn は、動的エンドポイント vpnといいます。

SRX シリーズデバイスでは、動的エンドポイント Vpn を使用して、IKEv1 または IKEv2 をサポートしています。SRX シリーズデバイス上の動的エンドポイント Vpn は、セキュアトンネルで IPv4 トラフィックをサポートしています。 Junos OS リリース 15.1 X49-D80 では、SRX シリーズデバイス上の動的エンドポイント Vpn は、セキュアトンネルでの IPv6 トラフィックをサポートしています。

IPv6 トラフィックは、自動 Vpn ネットワークではサポートされていません。

以下のセクションでは、動的エンドポイントを使用して VPN を構成する際の注意事項について説明します。

IKE のアイデンティティ

動的エンドポイントでは、デバイスが自身をピアに識別するように、IKE のアイデンティティを構成する必要があります。動的エンドポイントのローカルアイデンティティはピアで検証されます。デフォルトでは、SRX シリーズデバイスは、IKE id を以下のいずれかにすることを想定しています。

  • 証明書を使用すると、識別名 (DN) を使用してユーザーまたは組織を識別できます。

  • エンドポイントを特定するホスト名または完全修飾ドメイン名 (FQDN)。

  • ユーザーの完全修飾ドメイン名 (UFQDN) です。これは、ユーザー名としても知られています。この文字列は、電子メールアドレスの形式に従っています。

IKEv1 ポリシー用のアグレッシブモード

動的エンドポイント Vpn で IKEv1 を使用する場合は、IKE ポリシーをアグレッシブモードに設定する必要があります。IKEv2 はアグレッシブモードを使用していないため、動的エンドポイント Vpn を使用した IKEv2 を使用する場合は、メインモードまたは非の状態のどちらかを構成できます。

IKE ポリシーと外部インターフェイス

Junos OS Release 12.3 X48-D40, Junos OS Release 15.1 X49-D70, Junos OS Release 17.3 R1 では、同じ外部インターフェイスを使用する SRX シリーズデバイス上に設定されたすべての動的エンドポイントゲートウェイは、異なる IKE ポリシーを使用することができますが、IKE ポリシーを使用する必要があります。同じ IKE 提案です。 これは、IKEv1 と IKEv2 に適用されます。

NAT

動的エンドポイントが NAT デバイスの背後にある場合は、NAT-T を SRX シリーズデバイスで設定する必要があります。VPN ピア間の接続中に NAT の変換を維持するには、NAT keepalives が必要になる場合があります。デフォルトでは、SRX シリーズデバイスで NAT-T が有効になっており、NAT keepalives は20秒間隔で送信されます。

グループおよび共有 IKE Id

各動的エンドポイントに対して個々の VPN トンネルを構成できます。IPv4 動的エンドポイント Vpn では、グループ IKE ID または共有 IKE ID 機能を使用して、多数の動的エンドポイントで IKE ゲートウェイ構成を共有できます。

Group IKE ID を使用すると、example.net など“、すべての動的エンドポイントの完全な IKE ID の共通部分を定義できます。”ユーザー固有の部品 (ユーザー名“Bob など) は共通”部分と連結され、各ユーザー接続を一意に識別する完全な IKE ID (Bob.example.net) を形成します。

Shared IKE ID を使用すると、単一の IKE ID と事前共有キーを動的エンドポイントで共有できます。

IKE アイデンティティ構成について

IKE id (IKE ID) は、IKE のネゴシエーション中に VPN ピアデバイスの検証に使用されます。リモートピアから SRX シリーズデバイスに受信した IKE ID には、IPv4 または IPv6 アドレス、ホスト名、完全修飾ドメイン名 (FQDN)、ユーザー FQDN (UFQDN)、または識別名 (DN) を指定できます。リモートピアによって送信される IKE ID は、SRX シリーズデバイスによって予期されるものと一致している必要があります。そうしないと、IKE ID の検証が失敗し、VPN は確立されません。

IKE ID タイプ

SRX シリーズデバイスでは、以下のタイプの IKE アイデンティティをリモートピアでサポートしています。

  • IPv4 または IPv6 アドレスは、通常、リモートピアが静的 IP アドレスを持っているサイトツーサイト Vpn で使用されます。

  • ホスト名は、リモートピアシステムを識別する文字列です。これは、IP アドレスに解決される FQDN にすることができます。また、特定のリモートユーザーを識別するために IKE のユーザータイプと連携して使用される部分的な FQDN であることもあります。

    IP アドレスの代わりにホスト名を設定した場合、コミットされた構成と後続のトンネルの確立は、現在解決済みの IP アドレスに基づいています。リモートピア’の IP アドレスが変更された場合、その構成はもはや有効ではなくなります。

  • UFQDN は、などの電子メールアドレスと同じ形式に続く文字列ですuser@example.com

  • DN は、ユーザーを一意に識別するデジタル証明書とともに使用される名前です。たとえば、DN は“CN = USER, dc = EXAMPLE (dc = com) にすることができます。”オプションとして、 containerキーワードを使用して、dn 内のフィールドの順序と値を指定した dn と完全に一致させるwildcardことができます。また、このキーワードを使用して、dn のフィールドの値が一致する必要があることを指定しますが、フィールドの順序は重要ではありません。

    Junos OS リリース 19.4 R1 から開始してcontainer-stringwildcard-string[edit security ike gateway gateway_name dynamic distinguished-name]階層間で1つの動的 DN 属性のみを構成できるようになりました。最初の属性を設定した後で第2の属性を設定しようとすると、最初の属性が2つ目の属性に置き換えられます。デバイスをアップグレードする前に、属性の両方を設定している場合は、いずれかの属性を削除する必要があります。

  • SRX シリーズデバイス上で同じ VPN ゲートウェイに接続している複数のリモートピアが存在する場合、IKE のユーザータイプを、AutoVPN およびリモートアクセス Vpn で使用できます。グループike-user-type group-ike-id IKE id を指定するかike-user-type shared-ike-id 、共有 IKE id を指定するように設定します。

リモート IKE Id とサイトツーサイト Vpn

サイトツーサイト Vpn の場合は、ピアデバイスの’設定に応じて、送信するネットワークインターフェイスカード、ループバックアドレス、ホスト名、手動で構成した IKE ID の IP アドレスをリモートピアの IKE ID として使用できます。

デフォルトでは、SRX シリーズデバイスは、リモート’ピア s IKE ID がset security ike gateway gateway-name address構成で構成された IP アドレスであることを想定しています。リモートピア’s IKE ID が異なる値である場合、[ remote-identityedit security ike gateway gateway-name] 階層レベルでステートメントを構成する必要があります。

たとえば、SRX シリーズデバイス上の IKE ゲートウェイは、このset security ike gateway remote-gateway address 203.0.113.1コマンドを使用して設定されます。ただし、リモートピアから送信された IKE ID host.example.netはです。SRX シリーズデバイスがリモートピア’s の IKE ID (203.0.113.1) と、ピアによって送信された実際の IKE IDhost.example.net() に対して予期しているものと一致しません。この場合、IKE ID の検証が失敗します。は、 set security ike gateway remote-gateway remote-identity hostname host.example.netを使用して、リモートピアから受信した IKE ID と一致させることができます。

リモート IKE Id と動的エンドポイント Vpn

動的エンドポイント Vpn の場合は、’リモートピアの IKE ID が [edit security ike gateway gateway-name dynamic] 階層レベルのオプションで構成されている必要があります。自動 Vpn の場合hostnameは、 ike-user-type group-ike-id共通のドメイン名を持つ複数のピアが存在する場合に、と組み合わせて使用できます。ピアの検証に証明書が使用されている場合は、DN を設定できます。

SRX シリーズデバイスのローカル IKE ID

デフォルトでは、SRX シリーズデバイスは、外部インターフェイスの IP アドレスをリモートピアに IKE ID として使用します。この IKE ID は、[ local-identityedit security ike gateway gateway-name] 階層レベルでステートメントを設定することで上書きできます。SRX シリーズデバイスでlocal-identityステートメントを構成する必要がある場合は、構成された IKE id が、リモートピアが予期している IKE id と一致することを確認してください。

サイトツーサイト Vpn 用のリモート IKE Id の構成

デフォルトでは、SRX シリーズデバイスは、IKE ゲートウェイ用に構成された IP アドレスで、ピアから受信した IKE ID を検証します。特定のネットワークセットアップでは、ピアから受信した IKE ID (IPv4 または IPv6 アドレス、完全修飾ドメイン名 [FQDN]、識別名、または電子メールアドレス) が、SRX シリーズデバイス上で設定された IKE ゲートウェイと一致しません。これにより、フェーズ1検証エラーが発生する可能性があります。

使用されている IKE ID で SRX シリーズデバイスまたはピアデバイスの構成を変更するには、次のようにします。

  • SRX シリーズデバイスで、ピアから受信remote-identityした IKE IDedit security ike gateway gateway-nameと一致するように [] 階層レベルのステートメントを構成します。値には、IPv4 または IPv6 アドレス、FQDN、識別名、または電子メールアドレスを使用できます。

    構成remote-identityしなかった場合、デバイスは、デフォルトでリモートピアに対応する IPv4 または IPv6 アドレスを使用します。

  • ピアデバイスで、IKE ID が SRX シリーズデバイスにremote-identity設定されているものと同じであることを確認します。ピアデバイスが SRX シリーズデバイスである場合は、[ local-identityedit security ike gateway gateway-name] 階層レベルでステートメントを構成します。値には、IPv4 または IPv6 アドレス、FQDN、識別名、または電子メールアドレスを使用できます。

SRX シリーズデバイスでの OSPF と OSPFv3 認証について

OSPFv3 は、組み込みの認証方式を備えていないため、IP セキュリティ (IPsec) スイートを使用してこの機能を提供しています。IPsec はソースの送信元、データ整合性、機密性、再生保護、否認防止を認証します。IPsec を使用して、特定の OSPFv3 インターフェイスと仮想リンクをセキュリティで保護し、OSPF パケットに暗号化を提供することができます。

OSPFv3 は、IP 認証ヘッダー (AH) と IPsec プロトコルの IP カプセル化セキュリティーペイロード (ESP) 部分を使用して、ピア間のルーティング情報を認証します。AH は、コネクションレス型の整合性とデータの出所の認証を提供できます。再生に対する防御も強化されています。AH は、可能な限り IP ヘッダーだけでなく、上位レベルのプロトコルデータも認証します。ただし、一部の IP ヘッダーフィールドは転送中に変更される場合があります。これらのフィールドの値は送信者によって予測できないことがあるため、AH では保護できません。ESP は、暗号化および制限されたトラフィックフローの機密性またはコネクションレスの整合性、データオリジンの認証、およびアンチリプレイサービスを提供できます。

IPsec は、セキュリティーアソシエーション (Sa) をベースにしています。SA とは、IPsec の関係を確立しているデバイス間でネゴシエートされる IPsec 仕様のセットです。このシンプレックス接続は、SA によって運ばれるパケットにセキュリティサービスを提供します。これらの仕様には、IPsec 接続を確立するときに使用される認証、暗号化、IPsec プロトコルのタイプに関する設定が含まれます。SA は、特定のフローを一方向に暗号化および認証するために使用されます。そのため、通常の双方向のトラフィックでは、フローは SAs のペアによって保護されています。OSPFv3 で使用される SA は、手動で設定し、トランスポートモードを使用する必要があります。SA の両端で静的な値を設定する必要があります。

OSPF または OSPFv3 の IPsec を構成するには、まず [ security-association sa-nameedit security ipsec] 階層レベルのオプションを使用して手動 SA を定義します。この機能は、トランスポートモードでの双方向手動キー Sa のみをサポートします。手動 SAs はピア間でネゴシエーションを必要としません。キーを含むすべての値は静的であり、構成で指定されています。手動 SAs は、使用するセキュリティーパラメータインデックス (SPI) 値、アルゴリズム、およびキーを静的に定義し、両方のエンドポイント (OSPF または OSPFv3 ピア) でも一致する設定を必要とします。そのため、通信を実行するには、各ピアに同じオプションが設定されている必要があります。

暗号化および認証アルゴリズムの実際の選択は、IPsec 管理者には残されています。ただし、以下の推奨事項があります。

  • Null 暗号化で ESP を使用して、プロトコルヘッダーに認証を提供します。 IPv6 ヘッダー、拡張ヘッダー、オプションにはできません。Null 暗号化では、プロトコルヘッダーに暗号化を提供しないことを選択しています。これは、トラブルシューティングとデバッグのために役立ちます。Null 暗号化の詳細については、RFC 2410 を参照してください。 NULL 暗号化アルゴリズムと IPsec での使用

  • DES または3DES に ESP を使用して完全な機密性を実現します。

  • AH を使用して、プロトコルヘッダー、IPv6 ヘッダー内の不変フィールド、および拡張ヘッダーとオプションに認証を提供します。

構成された SA は、以下のように OSPF または OSPFv3 の設定に適用されることになります。

  • OSPF または OSPFv3 インターフェイスについてはipsec-sa name 、[edit protocols ospf area area-id interface interface-name] または [edit protocols ospf3 area area-id interface interface-name] 階層レベルにステートメントを追加してください。OSPF または OSPFv3 インターフェイスに指定できる IPsec SA 名は1つだけです。ただし、異なる OSPF/OSPFv3 インターフェイスで同じ IPsec SA を指定できます。

  • OSPF または OSPFv3 の仮想リンクについてipsec-sa nameは、[edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] または [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] 階層レベルに記載されているステートメントを使用します。同じリモートエンドポイントアドレスを持つすべての仮想リンクに対して、同一の IPsec SA を構成する必要があります。

OSPF または OSPFv3 の SRX シリーズデバイスでの IPsec 認証には、以下の制限が適用されます。

  • [edit security ipsec vpn vpn-name manual] 階層レベルで設定された手動 VPN 構成は、IPsec 認証と機密性を提供するために OSPF または OSPFv3 インターフェイスまたは仮想リンクに適用できません。

  • 同じローカルおよびリモートアドレスで、デバイス上に既存の IPsec VPN が設定されている場合、OSPF または OSPFv3 認証用に IPsec を設定することはできません。

  • OSPF または OSPFv3 認証用の IPsec は、セキュアトンネル st0 インターフェイスを介してサポートされていません。

  • 手動キーのキー更新はサポートされていません。

  • ダイナミックインターネット鍵交換 (IKE) Sa はサポートされていません。

  • IPsec トランスポートモードのみがサポートされています。トランスポートモードでは、IP パケットのペイロード (転送されるデータ) のみが暗号化、認証、またはその両方になります。トンネルモードはサポートされていません。

  • 双方向の手動 Sa のみがサポートされるため、すべての OSPFv3 ピアを同じ IPsec SA で構成する必要があります。[edit security ipsec] 階層レベルでマニュアル双方向 SA を構成します。

  • 同じリモートエンドポイントアドレスを持つすべての仮想リンクに対して、同一の IPsec SA を構成する必要があります。

関連項目

例:SRX シリーズデバイス上の OSPF インターフェイスの IPsec 認証の設定

この例では、OSPF インターフェイスに手動セキュリティーアソシエーション (SA) を設定して適用する方法について説明します。

要件

開始する前に:

  • デバイスインターフェイスを構成します。

  • OSPF ネットワーク内のデバイスのルーター識別子を構成します。

  • 制御 OSPF 指定ルーターの選択。

  • 単一エリア OSPF ネットワークを構成します。

  • マルチエリア OSPF ネットワークを構成します。

概要

OSPF と OSPFv3 の両方に対して IPsec 認証を使用できます。手動の SA は個別に構成し、適用可能な OSPF 構成の一部に使用します。表 3この例では、手動 SA 用に設定されたパラメーターと値を一覧表示します。

表 3: IPsec OSPF インターフェイス認証のための手動 SA

パラメーター

金額

SA 名

sa1

モード

搬送

方向

bidirectional

プロトコル

AH

SPI

256

認証アルゴリズム

重要な

hmac-md5-96

(ASCII) ・89012abc

暗号化アルゴリズム

重要な

3des

(ASCII) cba210987654321

構成

手動 SA の構成

CLI 簡単構成

OSPF インターフェイスで IPsec 認証に使用する手動 SA を迅速に設定するには、以下のコマンドをコピーし、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更して、コマンドを [edit] 階層レベルで CLI にコピー & ペーストしてから commit設定モードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

手動 SA を構成するには、次の操作を行います。

  1. SA の名前を指定します。
  2. 手動 SA のモードを指定します。
  3. 手動 SA の方向を構成します。
  4. 使用する IPsec プロトコルを構成します。
  5. SPI の値を設定します。
  6. 認証アルゴリズムとキーを設定します。
  7. 暗号化アルゴリズムとキーを設定します。

結果

show security ipsecコマンドを入力して設定を確認してください。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

パスワードを設定した後は、パスワード自体は表示されません。設定したパスワードの暗号化形式が出力されます。

デバイスの設定が完了したら、 commit設定モードから開始します。

OSPF インターフェイスでの IPsec 認証の有効化

CLI 簡単構成

IPsec 認証に使用される手動 SA を OSPF インターフェイスに簡単に適用するには、以下のコマンドをコピーし、テキストファイルに貼り付け、ネットワーク構成に合わせて必要な詳細を変更して、コマンドを [edit] 階層レベルで CLI にコピー & ペーストしてから、次のように入力します。 commit設定モードから開始します。

ステップごとの手順

OSPF インターフェイスの IPsec 認証を有効にするには、次のようにします。

  1. OSPF 領域を作成します。

    OSPFv3 を指定するにはospf3[edit protocols]階層レベルで明細書を含めます。

  2. インターフェイスを指定します。
  3. IPsec 手動 SA を適用します。

結果

を入力して構成を確認してください。 show ospf interface detailコマンド. 出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

OSPFv3 の構成を確認するには、 show protocols ospf3コマンド.

デバイスの設定が完了したら、 commit設定モードから開始します。

検証

構成が正常に機能していることを確認します。

IPsec セキュリティアソシエーションの設定を確認しています

目的

設定した IPsec セキュリティアソシエーションの設定を確認します。以下の情報を確認します。

  • セキュリティアソシエーションフィールドには、設定されたセキュリティアソシエーションの名前が表示されます。

  • 「SPI」フィールドには、設定した値が表示されます。

  • Mode フィールドには、トランスポートモードが表示されます。

  • タイプフィールドには、セキュリティーアソシエーションのタイプとして「manual」と表示されます。

アクション

運用モードから、 show ospf interface detailコマンド.

OSPF インターフェイスでの IPsec セキュリティアソシエーションの確認

目的

構成した IPsec セキュリティアソシエーションが OSPF インターフェイスに適用されていることを確認します。IPsec SA name フィールドに、設定されている IPsec セキュリティーアソシエーションの名前が表示されていることを確認します。

アクション

運用モードから、 show ospf interface detailコマンドを入力して、OSPF します。 show ospf3 interface detailOSPFv3 のコマンド

VPN ウィザードを使用した IPsec VPN の構成

VPN ウィザードを使用すると、フェーズ1とフェーズ2の両方を含む、基本的な IPsec VPN 構成を実行できます。さらに高度な設定を行うには、J-Web インターフェイスまたは CLI を使用します。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。

VPN ウィザードを使用して IPsec VPN を構成するには、次のようにします。

  1. J Configure>Device Setup>VPN Web インターフェイスで選択します。
  2. VPN の起動ウィザードボタンをクリックします。
  3. ウィザードのプロンプトに従います。

ウィザードページの左上の領域には、構成プロセスのどこにあるかが表示されます。ページの左下の領域には、フィールドに依存するヘルプが表示されます。リソース見出しの下にあるリンクをクリックすると、ブラウザーにドキュメントが表示されます。文書が新しいタブで開かれている場合は、文書を閉じるときに、(ブラウザーウィンドウではなく) タブのみを閉じることを確認してください。

Suite B と素数の暗号化スイートについて

Suite B は、米国国内のセキュリティ機関によって指定された一連の暗号化アルゴリズムです。商用製品では、シークレットまたは top secret レベルで分類したトラフィックを保護することができます。Suite B プロトコルは、RFC 6379 で定義されています。 Suite B の IPsec 用暗号化スイート。Suite B 暗号化スイートは、カプセル化セキュリティーペイロード (ESP) 整合性と機密性を提供し、ESP 整合性の保護と暗号化がどちらも必要な場合に使用する必要があります。IP モジュラー暗号化 (素数) のプロトコル要件。英国でパブリックセクターネットワーク用に定義された IPsec プロファイルは、Suite B 暗号化スイートをベースにしていますが、IKEv2 ネゴシエーションには AES-CBC ではなく、AES (GCM) を使用しています。

次の暗号化スイートがサポートされています。

  • Suite-B-GCM-128

    • ESP Advanced Encryption Standard (AES) 暗号化 (128 ビットキーを含む)、および Galois 16 オクテット整合性チェック値 (ICV) は、カウンタモード (GCM) です。

    • IKE:暗号化ブロックチェーン (CBC) モードの128ビットキーを使用した AES 暗号方式、SHA-256 認証を使用した整合性、Diffie-hellman (DH) グループ19を使用したキーの確立、ECDSA による認証を使用するのデジタル署名アルゴリズムの256ビット楕円カーブシグネチャ

  • Suite-B-GCM-256

    • ESP AES 暗号化では、256ビットキーを使用し、GCM では16オクテット ICV を ESP に対応させることができます。

    • IKE:CBC モードで256ビットキーを使用する AES 暗号化は、SHA-384 認証を使用した整合性、DH グループ20を使用した鍵の確立、および ECDSA の384ビットの楕円曲線シグネチャを使用した認証を行います。

  • PRIME-128

    • ESP 128ビットキーを使用した AES 暗号化と GCM の16オクテット ICV

    • IKE:AES 暗号化は、GCM では128ビットキー、DH グループ19を使用してキーを確立すること、および ECDSA の256ビットの楕円曲線シグネチャによる認証を使用します。

  • PRIME-256

    • ESP AES 暗号化では、256ビットキーを使用し、GCM では16オクテット ICV を ESP に対応させることができます。

    • IKE:AES 暗号化は、GCM では256ビットキーを使用し、DH グループ20を使用してキーを確立し、ECDSA 384 ビットの楕円曲線シグネチャを使用して認証を行います。

Suite B 暗号化スイートは、IKEv1 および IKEv2 をサポートしています。主要な暗号化スイートは IKEv2 のみをサポートしています。

Suite B および素数は、SRX3400 および SRX3600 デバイスで完全にサポートされておらず、SRX5400、SRX5600、および SRX5800 デバイスで SPC2 (4-14-320 SRX5K-MPC) を実行していない場合もあります。(プラットフォームのサポートは、インストールの Junos OS リリースによって異なります)。これらのデバイスで Suite B オプションを使用して IKE を設定できますが、AES-GCM オプションはサポートされていません。これらのデバイスで Suite B オプションを使用して IKE を設定した場合、仮想デバイスにスイート B のアルゴリズム処理を高速化するハードウェアプロセッサが搭載されていないため、VPN の確立に時間がかかります。

Suite B および素数は、Group VPNv2 機能ではサポートされていません。

CLI オプションにより、Suite B と IKE の主要なコンプライアンス要件と IPsec 提案の設定がサポートされます。

  • [edit security ike proposal proposal-name] 階層レベルで設定された IKE 提案:

    • authentication-algorithmオプションにsha-256sha-384、とを含めることができます。

    • authentication-methodオプションにecdsa-signatures-256ecdsa-signatures-384、とを含めることができます。

    • dh-groupオプションにgroup19group20、とを含めることができます。

    • encryption-algorithm素数のオプションがaes-128-gcmありaes-256-gcmます。

      IPsec aes-128-gcm提案aes-256-gcmに設定されている場合、または暗号化アルゴリズムは、該当する IKE 提案で AES-GCM 暗号化アルゴリズムを設定する必要はありません。

  • [edit security ipsec proposal proposal-name] 階層レベルで構成された IPsec 提案encryption-algorithmの場合aes-128-gcmaes-192-gcmオプションにaes-256-gcmは、、、などがあります。

  • [edit security ipsec policy policy-name] 階層レベルで構成された IPsec ポリシーのperfect-forward-secrecy keys場合、 group19オプションgroup20にはとが含まれます。

  • suiteb-gcm-128便宜上、Suite B (and suiteb-gcm-256) および素数 (prime-128 and prime-256) に準拠する事前定義済みの提案は、[edit security ike policy policy-name] および [edit security ipsec policy policy-name] 階層レベルで使用できます。

VPN の監視と暗号化のecdsa-signatures-384構成オプション (IKE 認証) と DH group 20 は、CPU リソースの消費量がかなり増加しています。多数のトンネルが構成ecdsa-signatures-384group20れた SRX シリーズデバイスで VPN 監視とオプションを使用している場合は、SRX シリーズデバイスに SPC2 をインストールする必要があります。

関連項目

例:ハブアンドスポーク型 VPN の構成

この例では、エンタープライズクラスの導入にハブアンドスポークの IPsec VPN を構成する方法について説明します。

要件

この例では、以下のハードウェアを使用しています。

  • SRX240 デバイス

  • SRX5800 デバイス

  • SSG140 デバイス

開始する前に、 IPsec VPN Overviewを読みます。

概要

この例では、支社の導入によく見られるハブアンドスポーク型 VPN を構成する方法について説明します。このハブは本社であり、マサチューセッツ州ウェストフォードの Sunnyvale—、カリフォルニア州、支社の支社に2スポークを置いています。支社のユーザーは VPN を使用して、本社との間でセキュアにデータを転送します。

図 1は、ハブアンドスポーク型 VPN トポロジの例を示しています。このトポロジでは、SRX5800 デバイスは本社に配置されています。SRX シリーズデバイスはウェストフォードブランチに配置されており、SSG140 デバイスは Sunnyvale の支社に配置されています。

図 1: ハブアンドスポーク型 VPN トポロジ
ハブアンドスポーク型 VPN トポロジ

この例では、本社オフィスのハブ、ウェストフォードスポーク、および Sunnyvale スポークを構成します。まず、インターフェイス、IPv4 の静的ルートとデフォルトルーター、セキュリティゾーン、アドレスブックを構成します。次に IKE フェーズ1と IPsec フェーズ2のパラメーターを設定し、st 0.0 インターフェイスを IPsec VPN にバインドします。ハブでは、マルチポイントに対して st 0.0 を設定し、Sunnyvale スポークの静的な NHTB テーブルエントリを追加します。最後に、セキュリティポリシーと TCP MSS パラメーターを設定します。この表 4表 8で使用されている特定の構成パラメーターについては、を参照してください。

表 4: インターフェイス、セキュリティゾーン、アドレス帳の情報

ハブ/スポーク

機能

名前

構成パラメーター

備え

インターフェイス

ge-0/0/0.0

192.168.10.1/24

  

ge-0/0/3.0

10.1.1.2/30

  

st0

10.11.11.10/24

スポーク

インターフェイス

ge-0/0/0.0

10.3.3.2/30

  

ge-0/0/3.0

192.168.178.1/24

  

st0

10.11.11.12/24

備え

セキュリティ ゾーン

トラスト

  • すべてのシステムサービスが許可されます。

  • このゾーンには、ge-0/0/0.0 インターフェイスがバインドされています。

  

untrust

  • 許可されている唯一のシステムサービスは IKE です。

  • このゾーンには、ge-0/0/3.0 インターフェイスがバインドされています。

  

/vpn

St 0.0 インターフェイスはこのゾーンにバインドされています。

スポーク

セキュリティ ゾーン

トラスト

  • すべてのシステムサービスが許可されます。

  • このゾーンには、ge-0/0/3.0 インターフェイスがバインドされています。

  

untrust

  • 許可されている唯一のシステムサービスは IKE です。

  • このゾーンには、ge-0/0/0.0 インターフェイスがバインドされています。

  

/vpn

St 0.0 インターフェイスはこのゾーンにバインドされています。

備え

アドレス帳のエントリ

ローカル-net

  • このアドレスは、信頼され’たゾーンのアドレスブック用です。

  • このアドレス帳エントリのアドレスは 192.168.10.0/24 です。

  

sunnyvale-net

  • このアドレスブックは、vpn ゾーン’のアドレス帳用です。

  • このアドレス帳エントリのアドレスは 192.168.168.0/24 です。

  

ウェストフォード-net

  • このアドレスは、vpn ゾーン’のアドレス帳用です。

  • このアドレス帳エントリのアドレスは 192.168.178.0/24 です。

スポーク

アドレス帳のエントリ

ローカル-net

  • このアドレスは、信頼され’たゾーンのアドレスブック用です。

  • このアドレス帳エントリのアドレスは 192.168.168.178.0/24 です。

  

企業-net

  • このアドレスは、vpn ゾーン’のアドレス帳用です。

  • このアドレス帳エントリのアドレスは 192.168.10.0/24 です。

  

sunnyvale-net

  • このアドレスは、vpn ゾーン’のアドレス帳用です。

  • このアドレス帳エントリのアドレスは 192.168.168.0/24 です。

表 5: 第1段階の構成パラメーターを IKE

ハブ/スポーク

機能

名前

構成パラメーター

備え

提案

ike-phase1-proposal

  • 認証方法: 事前共有キー

  • Diffie-hellman グループ: group2

  • 認証アルゴリズム: sha1

  • 暗号化アルゴリズム: aes-128-cbc

 

ポリシー

ike-phase1-policy

  • モード重要

  • 提案の参考資料: ike-phase1-proposal

  • IKE フェーズ1ポリシー認証方法: 事前共有鍵の ascii テキスト

 

活用

gw-ウェストフォード

  • IKE ポリシーのリファレンス: ike-phase1-policy

  • 外部インターフェイス: ge-0/0/3.0

  • ゲートウェイアドレス: 10.3.3.2

  

gw-sunnyvale

  • IKE ポリシーのリファレンス: ike-phase1-policy

  • 外部インターフェイス: ge-0/0/3.0

  • ゲートウェイアドレス: 10.2.2.2

スポーク

提案

ike-phase1-proposal

  • 認証方法: 事前共有キー

  • Diffie-hellman グループ: group2

  • 認証アルゴリズム: sha1

  • 暗号化アルゴリズム: aes-128-cbc

 

ポリシー

ike-phase1-policy

  • モード重要

  • 提案の参考資料: ike-phase1-proposal

  • IKE フェーズ1ポリシー認証方法: 事前共有鍵の ascii テキスト

 

活用

gw-コーポレート

  • IKE ポリシーのリファレンス: ike-phase1-policy

  • 外部インターフェイス: ge-0/0/0.0

  • ゲートウェイアドレス: 10.1.1.2

表 6: IPsec フェーズ2の構成パラメーター

ハブ/スポーク

機能

名前

構成パラメーター

備え

提案

ipsec-phase2-proposal

  • Protocol esp

  • 認証アルゴリズム: hmac-sha1-96

  • 暗号化アルゴリズム: aes-128-cbc

 

ポリシー

ipsec-phase2-policy

  • 提案の参考資料: ipsec-phase2-proposal

  • PF Diffie-hellman group2

 

VPN

vpn-sunnyvale

  • IKE ゲートウェイリファレンス: gw-sunnyvale

  • IPsec ポリシー参照: ipsec-phase2-policy

  • インターフェイスへのバインド: st0.0

  

vpn-ウェストフォード

  • IKE ゲートウェイリファレンス: gw-ウェストフォード

  • IPsec ポリシー参照: ipsec-phase2-policy

  • インターフェイスへのバインド: st0.0

スポーク

提案

ipsec-phase2-proposal

  • Protocol esp

  • 認証アルゴリズム: hmac-sha1-96

  • 暗号化アルゴリズム: aes-128-cbc

 

ポリシー

ipsec-phase2-policy

  • 提案の参考資料: ipsec-phase2-proposal

  • PF Diffie-hellman group2

 

VPN

vpn-コーポレート

  • IKE ゲートウェイリファレンス: gw-コーポレート

  • IPsec ポリシー参照: ipsec-phase2-policy

  • インターフェイスへのバインド: st0.0

表 7: セキュリティポリシーの構成パラメーター

ハブ/スポーク

目的

名前

構成パラメーター

備え

セキュリティポリシーにより、信頼ゾーンから vpn ゾーンへのトラフィックが許可されます。

ローカルツースポーク

  • 条件の一致:

    • 発信元アドレスローカル-net

    • 宛先アドレス sunnyvale-net

    • 宛先アドレスウェストフォード-net

    • アプリケーション

 

セキュリティポリシーにより、vpn ゾーンからトラストゾーンへのトラフィックが許可されます。

スポークツーローカル

条件の一致:

  • 発信元アドレス sunnyvale-net

  • 発信元アドレスウェストフォード-net

  • 宛先アドレスローカル-net

  • アプリケーション

 

セキュリティポリシーによってイントラゾーントラフィックが許可されます。

スポークツースポーク

条件の一致:

  • 送信元アドレス

  • 宛先アドレス

  • アプリケーション

スポーク

セキュリティポリシーにより、信頼ゾーンから vpn ゾーンへのトラフィックが許可されます。

to-corp

  • 条件の一致:

    • 発信元アドレスローカル-net

    • 宛先アドレス corp-net

    • 宛先アドレス sunnyvale-net

    • アプリケーション

 

セキュリティポリシーにより、vpn ゾーンからトラストゾーンへのトラフィックが許可されます。

from-corp

条件の一致:

  • 送信元アドレス corp-net

  • 発信元アドレス sunnyvale-net

  • 宛先アドレスローカル-net

  • アプリケーション

 

セキュリティーポリシーは、untrust ゾーンからトラストゾーンへのトラフィックを許可します。

許可-any

条件の一致:

  • 送信元アドレス

  • 送信元/宛先

  • アプリケーション

  • 許可アクション: ソース nat インターフェイス

    source-nat interfaceこの SRX シリーズデバイスは、送信元 ip アドレスと送信元ポートの ip アドレス、発信側インターフェイスのランダムな高周波数ポートを使用してソース ip アドレスとポートを変換します。

表 8: TCP MSS 構成パラメーター

目的

構成パラメーター

TCC は TCP スリーウェイハンドシェイクの一部としてネゴシエートされ、TCP セグメントの最大サイズを制限して、ネットワークの MTU の制限に合わせます。VPN トラフィックの場合、IPsec カプセル化のオーバーヘッドと IP とフレームのオーバーヘッドにより、物理インターフェイスの MTU を超える ESP パケットが発生する可能性があります。この結果、フラグメンテーションが発生します。断片化が発生すると、帯域幅とデバイスリソースの使用率が向上します。

注: 1350の値は、ほとんどのイーサネットベースのネットワークで、1500以上の MTU を使用する場合に推奨される開始点です。パフォーマンスを最適化するには、さまざまな TCP MSS 値を試してみる必要があるかもしれません。たとえば、パス内のいずれかのデバイスに低い MTU がある場合、または PPP やフレームリレーなど追加のオーバーヘッドがある場合は、値を変更する必要があるかもしれません。

MSS 値: 1350

構成

ハブの基本ネットワーク、セキュリティゾーン、アドレス帳情報の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

ハブの基本的なネットワーク、セキュリティーゾーン、アドレスブックの情報を構成するには、次の手順に従います。

  1. イーサネットインターフェイス情報を構成します。
  2. 静的なルート情報を構成します。
  3. 信頼できないセキュリティゾーンを構成します。
  4. インターフェイスを信頼されていないセキュリティゾーンに割り当てます。
  5. 許可されていないシステムサービスを指定するには、untrust セキュリティーゾーンを使用します。
  6. 信頼セキュリティゾーンを構成します。
  7. インターフェイスを信頼セキュリティゾーンに割り当てます。
  8. 許可されたシステムサービスを信頼セキュリティーゾーンに指定します。
  9. アドレスブックを作成し、ゾーンを関連付けます。
  10. Vpn セキュリティーゾーンを設定します。
  11. Vpn セキュリティゾーンにインターフェイスを割り当てます。
  12. 別のアドレスブックを作成し、ゾーンを接続します。

結果

構成モードからshow interfaces、、、 show routing-optionsshow security zones、およびshow security address-bookコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ハブの IKE の設定

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

ハブの IKE を構成するには、次のようにします。

  1. IKE フェーズ1の提案を作成します。
  2. IKE 提案認証方法を定義します。
  3. IKE 提案の Diffie-hellman グループを定義します。
  4. IKE 提案認証アルゴリズムを定義します。
  5. IKE 提案の暗号化アルゴリズムを定義します。
  6. IKE フェーズ1ポリシーを作成します。
  7. IKE フェーズ1ポリシーモードを設定します。
  8. IKE 案への参照を指定します。
  9. IKE フェーズ1ポリシーの認証方法を定義します。
  10. IKE Phase 1 ゲートウェイを作成し、外部インターフェイスを定義します。
  11. IKE フェーズ1ポリシーのリファレンスを定義します。
  12. IKE フェーズ1ゲートウェイアドレスを定義します。
  13. IKE Phase 1 ゲートウェイを作成し、外部インターフェイスを定義します。
  14. IKE フェーズ1ポリシーのリファレンスを定義します。
  15. IKE フェーズ1ゲートウェイアドレスを定義します。

結果

設定モードから、 show security ikeコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ハブ用の IPsec の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

ハブの IPsec を構成するには、次のようにします。

  1. IPsec フェーズ2案を作成します。
  2. IPsec フェーズ2提案プロトコルを指定します。
  3. IPsec フェーズ2提案認証アルゴリズムを指定します。
  4. IPsec フェーズ2提案の暗号化アルゴリズムを指定します。
  5. IPsec フェーズ2ポリシーを作成します。
  6. IPsec フェーズ2提案の参照を指定します。
  7. Diffie-hellman グループ2を使用するように、IPsec フェーズ 2 PFS を指定します。
  8. IKE ゲートウェイを指定します。
  9. IPsec フェーズ2ポリシーを指定します。
  10. バインドするインターフェイスを指定します。
  11. St0 のインターフェイスをマルチポイントとして設定します。
  12. Sunnyvale およびウェストフォードの各拠点の静的な NHTB テーブルエントリを追加します。

結果

設定モードから、 show security ipsecコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ハブのセキュリティポリシーの設定

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

ハブのセキュリティポリシーを設定するには、次のようにします。

  1. セキュリティポリシーを作成して、信頼ゾーンから vpn ゾーンへのトラフィックを許可します。
  2. Vpn ゾーンからトラストゾーンへのトラフィックを許可するセキュリティーポリシーを作成します。
  3. イントラゾーントラフィックを許可するセキュリティポリシーを作成します。

結果

設定モードから、 show security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ハブ用の TCP MSS の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

ハブの TCP MSS 情報を構成するには、次のようにします。

  1. TCP MSS 情報を構成します。

結果

設定モードから、 show security flowコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ウェストフォードスポークの基本ネットワーク、セキュリティゾーン、アドレス帳情報の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

ウェストフォードスポークの基本ネットワーク、セキュリティーゾーン、アドレスブックの情報を設定するには、次の手順に従います。

  1. イーサネットインターフェイス情報を構成します。
  2. 静的なルート情報を構成します。
  3. 信頼できないセキュリティゾーンを構成します。
  4. セキュリティゾーンにインターフェイスを割り当てます。
  5. 許可されていないシステムサービスを指定するには、untrust セキュリティーゾーンを使用します。
  6. 信頼セキュリティゾーンを構成します。
  7. インターフェイスを信頼セキュリティゾーンに割り当てます。
  8. 許可されたシステムサービスを信頼セキュリティーゾーンに指定します。
  9. Vpn セキュリティーゾーンを設定します。
  10. Vpn セキュリティゾーンにインターフェイスを割り当てます。
  11. アドレスブックを作成し、ゾーンを関連付けます。
  12. 別のアドレスブックを作成し、ゾーンを接続します。

結果

設定モードから、設定を確認してください。 show interfacesshow routing-optionsshow security zonesshow security address-bookコマンド. 出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、 commit設定モードから開始します。

ウェストフォードスポークの IKE の設定

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

ウェストフォードスポークの IKE を設定するには、次のようにします。

  1. IKE フェーズ1の提案を作成します。
  2. IKE 提案認証方法を定義します。
  3. IKE 提案の Diffie-hellman グループを定義します。
  4. IKE 提案認証アルゴリズムを定義します。
  5. IKE 提案の暗号化アルゴリズムを定義します。
  6. IKE フェーズ1ポリシーを作成します。
  7. IKE フェーズ1ポリシーモードを設定します。
  8. IKE 案への参照を指定します。
  9. IKE フェーズ1ポリシーの認証方法を定義します。
  10. IKE Phase 1 ゲートウェイを作成し、外部インターフェイスを定義します。
  11. IKE フェーズ1ポリシーのリファレンスを定義します。
  12. IKE フェーズ1ゲートウェイアドレスを定義します。

結果

設定モードから、 show security ikeコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ウェストフォードスポークの IPsec の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

ウェストフォードスポークの IPsec を構成するには、次のようにします。

  1. IPsec フェーズ2案を作成します。
  2. IPsec フェーズ2提案プロトコルを指定します。
  3. IPsec フェーズ2提案認証アルゴリズムを指定します。
  4. IPsec フェーズ2提案の暗号化アルゴリズムを指定します。
  5. IPsec フェーズ2ポリシーを作成します。
  6. IPsec フェーズ2提案の参照を指定します。
  7. Diffie-hellman グループ2を使用するように、IPsec フェーズ 2 PFS を指定します。
  8. IKE ゲートウェイを指定します。
  9. IPsec フェーズ2ポリシーを指定します。
  10. バインドするインターフェイスを指定します。

結果

設定モードから、 show security ipsecコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ウェストフォードスポークのセキュリティーポリシーの設定

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 Using the CLI Editor in Configuration ModeCLI ユーザーガイドするを参照してください。

ウェストフォードスポークのセキュリティーポリシーを設定するには、次のようにします。

  1. セキュリティポリシーを作成して、信頼ゾーンから vpn ゾーンへのトラフィックを許可します。
  2. Vpn ゾーンからトラストゾーンへのトラフィックを許可するセキュリティーポリシーを作成します。

結果

設定モードから、 show security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ウェストフォードスポークの TCP MSS の構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

ウェストフォードスポークの TCP MSS を構成するには、次のようにします。

  1. TCP MSS 情報を構成します。

結果

設定モードから、 show security flowコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

Sunnyvale スポークの構成

CLI 簡単構成

この例では、Sunnyvale スポークの SSG シリーズデバイスを使用しています。SSG シリーズデバイスの構成については、こちらを参照してください。SSG シリーズデバイスの構成の詳細については、 概念と例「ScreenOS リファレンスガイド」は、 https://www.juniper.net/documentationにあります。

例のこのセクションを迅速に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから commit設定モードから開始します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

IKE フェーズ1のステータスを確認します。

目的

IKE フェーズ1のステータスを確認します。

アクション

検証プロセスを開始する前に、192.168.10/24 ネットワーク内のホストから 192.168.168/24 および 192.168.178/24 ネットワーク内のホストにトラフィックを送信して、トンネルを構築する必要があります。ルートベースの Vpn では、SRX シリーズデバイスから開始されたトラフィックをトンネルを介して送信できます。IPsec トンネルをテストするときは、VPN の一方の側の別のデバイスから VPN のもう一方の側の2番目のデバイスにテストトラフィックを送信することをお勧めします。たとえば、192.168.10.10 から192.168.168.10 に ping を開始します。

動作モードから、 show security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detailコマンドを使用します。

user@hub> show security ike security-associations
user@hub> show security ike security-associations index 6 detail

意味

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。

Sa が表示されている場合は、以下の情報を確認します。

  • Index—この値は IKE sa ごとに一意です。 sa に関する詳細情報show security ike security-associations index detailを取得するには、コマンド内で使用できます。

  • リモートアドレス—リモート IP アドレスが正しいことを確認します。

  • 都道府県

    • —フェーズ 1 SA が確立されました。

    • DOWN—フェーズ 1 SA を設定するときに問題が発生しました。

  • モード—適切なモードが使用されていることを確認します。

構成において以下の情報が正しいことを確認します。

  • 外部インターフェイス (インターフェイスは、IKE パケットを受信するものである必要があります)

  • IKE ポリシーパラメーター

  • 事前共有鍵情報

  • フェーズ1の提案パラメーター (両方のピアで一致する必要があります)

このshow security ike security-associations index 1 detailコマンドは、インデックス番号1のセキュリティアソシエーションに関する追加情報をリストします。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ1の有効期間

  • トラフィック統計 (トラフィックが双方向で正しく流れることを確認するために使用できます)

  • 開始側/応答側ロール情報

    トラブルシューティングは、応答側ロールを使用してピア上で実行することをお勧めします。

  • 作成された IPsec Sa の数

  • 進行中のフェーズ2ネゴシエーション数

IPsec フェーズ2の状態を確認しています

目的

IPsec フェーズ2のステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detailコマンドを使用します。

user@hub> show security ipsec security-associations
user@hub> show security ipsec security-associations index 16385 detail

意味

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • ID 番号は16385です。この値をコマンドとshow security ipsec security-associations indexともに使用して、この特定の SA に関する詳細情報を取得します。

  • 1つの IPsec SA ペアがポート500を使用しているため、NAT トラバーサルが実装されていないことを示しています。(NAT トラバースでは、ポート4500またはその他のランダムな乱数ポートが使用します。

  • 両方の方向について、Spi、有効期限 (秒)、使用制限 (KB 単位) が表示されます。28756/lim 値は、フェーズ2の有効期間が28756秒以内に有効期限切れになり、lifesize が指定されていないことを示しています。これは無制限であることを示しています。フェーズ2は、VPN が稼働している段階1に依存していないため、フェーズ1のライフタイムとは異なる可能性があります。

  • 月曜日列にハイフンが記載されているため、この SA に対して VPN 監視が有効になっていません。VPN 監視が有効になっている場合、U は監視が稼働していることを示し、D は監視が停止していることを示します。

  • 仮想システム (vsys) はルートシステムであり、常に0をリストします。

show security ipsec security-associations index 16385 detailコマンドからの出力には、以下の情報が表示されます。

  • ローカルアイデンティティとリモートアイデンティティによって SA のプロキシ ID が構成されます。

    Proxy ID の不一致は、フェーズ2障害の最も一般的な原因の1つです。IPsec SA が表示されていない場合は、プロキシ ID 設定などのフェーズ2提案が両方のピアに対して適切であることを確認します。ルートベースの Vpn の場合、デフォルトのプロキシ ID はローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、service = any になります。同じピア IP から複数のルートベースの Vpn を使用すると、問題が発生する可能性があります。この場合、各 IPsec SA の固有のプロキシ ID を指定する必要があります。一部のサードパーティーベンダーでは、プロキシ ID を手動で入力して照合する必要があります。

  • フェーズ2障害のもう1つの一般的な理由として、ST インターフェイスバインディングが指定されていないことがあります。IPsec を完了できない場合は、kmd ログを確認するか、トレースオプションを設定してください。

次ホップトンネルのバインドを検証する

目的

すべてのピアの第2段階が完了したら、次ホップトンネルバインドを確認します。

アクション

動作モードから、 show security ipsec next-hop-tunnelsコマンドを入力します。

user@hub> show security ipsec next-hop-tunnels

意味

次ホップゲートウェイは、すべてのリモートスポークピアの st0 インターフェイスの IP アドレスです。次ホップは、正しい IPsec VPN 名と関連付けられている必要があります。NHTB エントリーが存在しない場合、ハブデバイスでは、どの IPsec VPN がどのネクストホップに関連付けられているのかを区別することはできません。

Flag フィールドには、以下のいずれかの値が含まれています。

  • 静的— nhtb は、st 0.0 インターフェイス構成で手動で設定されました。これは、ピアが SRX シリーズデバイスでない場合に必要です。

  • 自動— nhtb は構成されませんでしたが、2つの SRX シリーズデバイス間のフェーズ2ネゴシエーション中に、このエントリが nhtb テーブルに自動的に設定されました。

この例では、どのスポークサイトにも NHTB テーブルはありません。スポークの観点から見ると、st0 インターフェイスは、1つの IPsec VPN バインドのみを使用するポイントツーポイントリンクです。

リモートピアローカル Lan の静的ルートを検証しています

目的

静的ルートがスポークのピア’s st0 IP アドレスを参照していることを確認します。

アクション

動作モードから、 show routeコマンドを入力します。

user@hub> show route 192.168.168.10
user@hub> show route 192.168.178.10

次ホップはリモートピア’の st0 IP アドレスであり、両方のルートはアウトゴーイングインターフェイスとして st 0.0 を指しています。

IPsec セキュリティアソシエーションの統計とエラーを確認する

目的

IPsec セキュリティアソシエーションの ESP および認証ヘッダーのカウンターとエラーを確認します。

アクション

動作モードから、 show security ipsec statistics indexコマンドを入力します。

user@hub> show security ipsec statistics index 16385

このshow security ipsec statisticsコマンドを使用して、すべての sa の統計とエラーを確認することもできます。

すべての IPsec 統計情報を消去するclear security ipsec statisticsには、このコマンドを使用します。

意味

VPN 全体でパケットロスの問題が発生した場合、またshow security ipsec statisticsshow security ipsec statistics detail何回かのコマンドを実行して、暗号化および暗号化解除されたパケットカウンターが増加していることを確認できます。また、他のエラーカウンターが増加しているかどうかも確認する必要があります。

VPN 全体でのトラフィックフローのテスト

目的

VPN 全体のトラフィックフローを確認します。

アクション

SRX シリーズデバイスのコマンドpingを使用して、リモートホスト PC へのトラフィックフローをテストできます。ルートルックアップが正しく、適切なセキュリティゾーンがポリシールックアップ時に参照されるように、ソースインターフェイスを指定していることを確認してください。

動作モードから、 pingコマンドを入力します。

user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5

SSG シリーズデバイスのpingコマンドを使用することもできます。

user@hub> ping 192.168.10.10 from ethernet0/6
ssg-> ping 192.168.178.10 from ethernet0/6

意味

SRX シリーズまたpingは Ssg シリーズデバイスからコマンドが失敗した場合は、ルーティング、セキュリティポリシー、エンドホスト、または ESP パケットの暗号化と復号化に問題がある可能性があります。

関連項目

Release History Table
リリース
説明
Junos OS リリース 19.4 R1 から開始してcontainer-stringwildcard-string[edit security ike gateway gateway_name dynamic distinguished-name]階層間で1つの動的 DN 属性のみを構成できるようになりました。最初の属性を設定した後で第2の属性を設定しようとすると、最初の属性が2つ目の属性に置き換えられます。デバイスをアップグレードする前に、属性の両方を設定している場合は、いずれかの属性を削除する必要があります。
Junos OS リリース 15.1 X49-D80 では、SRX シリーズデバイス上の動的エンドポイント Vpn は、セキュアトンネルでの IPv6 トラフィックをサポートしています。
Junos OS Release 12.3 X48-D40, Junos OS Release 15.1 X49-D70, Junos OS Release 17.3 R1 では、同じ外部インターフェイスを使用する SRX シリーズデバイス上に設定されたすべての動的エンドポイントゲートウェイは、異なる IKE ポリシーを使用することができますが、IKE ポリシーを使用する必要があります。同じ IKE 提案です。