Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPNの概要

VPN とは、公共ネットワークを使用して 2 つ以上のリモート サイトを接続するプライベート ネットワークのことです。VPN では、ネットワーク間に専用の接続を使用するのではなく、公共ネットワークを介してルーティング(トンネリング)される仮想接続を使用します。IPsec VPN は、VPN 接続の確立に使用される標準のセットで構成されたプロトコルです。

VPN は、リモート コンピューターがインターネットなどのパブリック WAN を介して安全に通信するための手段を提供します。

VPN 接続は、2 つの LAN(サイトツーサイト VPN)またはリモートのダイヤルアップ ユーザーと LAN をつなげることができます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。WAN を通過中の VPN 通信を保護するために、2 点間で IP セキュリティ(IPsec)トンネルが作成されます。

用語トンネルは、トンネルモードを示すことはありません。(トンネルモードでのパケット処理を参照してください)。これは IPsec 接続を意味しています。

SRXシリーズファイアウォール上のIPsec VPNトポロジー

JunosオペレーティングシステムでサポートされているIPsec VPNトポロジーの一部を以下に示します。

  • サイト間VPN:企業内の2つのサイトを相互に接続し、サイト間の安全な通信を可能にします。

  • ハブアンドスポークVPN:企業ネットワーク内の支社/拠点と本社を接続します。このトポロジーを使用し、ハブ経由でトラフィックを送信することで、スポーク同士を接続することもできます。

  • リモートアクセスVPN:自宅や外出先から会社のネットワークやリソースに接続できるようになります。このトポロジーは、end-to-site tunnelとも呼ばれます。

ポリシーベースとルートベースのVPNの比較

ポリシーベースとルートベースのVPNの違いを理解する必要があって、他方が望まれる理由を知っておくことが必要です。

表 1ルートベースVPNとポリシーベースのVPNの違いを一覧表示します。

表 1: ルートベースVPNとポリシーベースのVPNの違い

ルートベース VPN

ポリシーベース VPN

ルートベース VPN では、ポリシーは VPN トンネルを具体的に参照しません。

ポリシーベースのVPNトンネルでは、トンネルは送信元、宛先、アプリケーションおよびアクションとともに、VPNトラフィックを許可するトンネルポリシーを構成するオブジェクトとして扱われます。

ポリシーは、宛先アドレスを参照しています。

ポリシーベースの VPN構成では、トンネルポリシーは VPN トンネルを名前で参照しています。

作成するルートベース VPN トンネルの数は、ルートエントリーの数またはデバイスがサポートする st0 インターフェイスの数(最少値)に制限されます。

作成できるポリシーベースの VPN トンネルの数は、デバイスがサポートするポリシー数によって制限されます。

ルートベース VPN トンネル構成は、VPN トラフィックの詳細な制限を設定し、トンネル リソースを節約する場合、適切な選択になります。

ポリシーベースの VPN では、同じ VPN トンネルを参照する多数のトンネル ポリシーを作成できますが、各トンネル ポリシーのペアは、リモート ピアとともに個々の IPsec セキュリティアソシエーション (SA) を作成します。各 SA は、個別の VPN トンネルとしてカウントされます。

ルートベース方法により、トラフィックの規制は配信手段と相まれません。数十数のポリシーを設定して、2 つのサイト間の単一のVPNトンネルを通過するトラフィックを規制することができます。IPsec SAは 1 つだけ制作されます。また、ルートベース VPN 構成では、アクションが拒否されている VPN トンネルを介して到達する宛先を参照するポリシーを作成できます。

ポリシーベースの VPN構成では、アクションは許可されて、トンネルを含める必要があります。

ルートベース VPN では、VPN トンネルを介した動的なルーティング情報の交換をサポートしています。VPN トンネルにバインドされた st0 インターフェイス上で、OSPF などの動的ルーティング プロトコルのインスタンスを有効にすることができます。

ポリシーベースVPNでは、動的なルーティング情報の交換をサポートしていません。

ルートベース構成は、ハブアンドスポークスのトポロジーに使用されます。

ポリシーベースの VPNは、ハブアンドスポーク トポロジーには使用できません。

ルートベース VPN では、ポリシーは VPN トンネルを具体的に参照しません。

トンネルが動的ルーティングプロトコルを実行する大規模ネットワークを接続しなくて、トンネルを介して、トラフィックをフィルタリングするポリシーを定義する必要がない場合、ポリシーベースのトンネルが最適です。

ルートベース VPNは、リモートアクセス(ダイヤルアップ) VPN構成をサポートしていません。

ポリシーベースの VPN トンネルは、リモートアクセス(ダイヤルアップ) VPN 構成には必要です。

ルートベース VPNは、一部の第三者のベンダーでは正しく動作しない可能性があります。

ポリシーベースの VPNは、第三者が各リモートサブネットごとに個別の SA を必要としている場合、必須となる可能性があります。

セキュリティデバイスはルートルックアップで アドレスに到達するようなトラフィックを送信する必要がある場合、特定なVPN トンネルにに限界された安全なトンネル インターフェイス(st0)を介したルートを見つけます。

ルートベース VPN トンネルでは、トンネルをトラフィック配信手段と見なし、ポリシーをトラフィック配信の許可または拒否の手段と見なします。

ポリシーベースVPNトンネルでは、トンネルをポリシーの構成要素とみなすことができます。

ルートベース VPNは、st0インターフェイスのNATをサポートします。

ポリシーベースの VPNは、トンネルトラフィックにNATが必要な場合、使用できません。

プロキシー ID は、ルートベースとポリシーベースの両方の VPN でサポートされます。ルートベーストンネルは、マルチプロキシ ID とも呼ばれる複数のトラフィック セレクターの使用も提供します。トラフィック セレクターは、指定されたローカルおよびリモート IP アドレスプレフィックス、送信元ポート範囲、宛先ポート範囲そしてプロトコルが一致する場合、トラフィックを許可する IKE ピアの合意です。特定のルートベース VPN 内でトラフィック セレクターを定義すると、複数のフェーズ 2 IPsec SA が生成されることがあります。トラフィック セレクターに適合したトラフィックのみが SA を介して許可されます。トラフィック セレクターは、リモート ゲートウェイ デバイスがジュニパーネットワークス以外のデバイスである場合によく必要とされます。

ポリシーベースのVPN は、SRX5400、SRX5600、SRX5800シリーズでのみサポートされます。プラットフォームのサポートは、インストールされた Junos OS のリリースによって異なります。

ポリシーベース VPN とルートベース VPN の比較

表 2 に、ポリシーベースVPNとルートベースVPNの違いについてまとめてあります。

表 2: ポリシーベース VPN とルートベース VPN の比較

ポリシーベース VPN

ルートベース VPN

ポリシーベース VPN では、トンネルは、送信元、宛先、アプリケーション、アクションとともに、VPN トラフィックを許可するトンネル ポリシーを構成するオブジェクトとして扱われます。

ルートベースVPN では、ポリシーは特にVPNトンネルを参照することはありません。

トンネル ポリシーは、VPN トンネルを具体的に名前で参照します。

ルートは、宛先 IP アドレスに基づき、トンネルを介して送信されるトラフィックを決定します。

作成できるポリシーベースの VPN トンネルの数は、デバイスがサポートするトンネル数によって制限されます。

作成するルートベースの VPN トンネルの数は、st0 インターフェイスの数(ポイントツーポイント VPN の場合)またはデバイスがサポートするトンネル数(どちらか少ない方)によって制限されます。

ポリシーベースのVPNでは、同じVPNトンネルを参照する多数のトンネルポリシーを作成できますが、各トンネルポリシーのペアは、リモートピアで個々のIPsec SAを作成します。各 SA は、個別の VPN トンネルとしてカウントされます。

トンネルを通過するトラフィックは、ポリシーではなくルートにより決定されるため、1つのSAまたはVPNで複数のポリシーをサポートできます。

ポリシーベース VPN では、アクションが許可され、トンネルが含まれている必要があります。

ルートベース VPN では、トラフィックの規制はその配信方法と連携していません。

ポリシーベースVPNでは、動的なルーティング情報の交換をサポートしていません。

ルートベース VPN では、VPN トンネルを介した動的なルーティング情報の交換をサポートしています。VPN トンネルにバインドされた st0 インターフェイス上で、OSPF などの動的ルーティング プロトコルのインスタンスを有効にすることができます。

トンネルに送信されるトラフィックを指定するためにルートが提供できる以上のきめ細かな制御を行う必要がある場合は、セキュリティポリシーを使用するポリシーベースVPNの使用が最適です。

ルートベースVPN は、ルートを使ってトンネルに送信されるトラフィックを指定します。ポリシーが特にVPNトンネルを参照することはありません。

ポリシーベースVPNトンネルでは、トンネルをポリシーの構成要素とみなすことができます。

セキュリティ デバイスがルート ルックアップを実行して、アドレスへのトラフィック送信に必要なインターフェイスを見つける場合、セキュア トンネル(st0)インターフェイスを介したルートが検出されます。

ルートベース VPN トンネルでは、トンネルをトラフィック配信手段と見なし、ポリシーをトラフィック配信の許可または拒否の手段と見なします。

IKEとIPsecパケット処理について

IPsec VPNトンネルは、トンネルの設定とセキュリティの適用で構成されています。トンネルの設定時に、ピアによりSA(セキュリティ アソシエーション)が確立され、それらの間で送信されるトラフィックのセキュリティに関するパラメーターが定義されます。(「IPsec の概要」を参照してください。)トンネルが確立されると、IPsecは、トンネル設定時にSAで定義されたセキュリティパラメーターを適用して、2つのトンネルエンドポイント間で送信されるトラフィックを保護します。Junos OS実装では、IPsecはトンネルモードで適用され、これはESP(セキュリティペイロードのカプセル化)および AH(認証ヘッダー)プロトコルをサポートしています。

このトピックは、以下のセクションで構成されています。

トンネルモードでのパケット処理

IPsecは、トランスポートとトンネルの2つのモードのいずれかで動作します。トンネルの両端がホストである場合、どちらのモードを使用してもかまいません。トンネルの少なくとも1つのエンドポイントが、Junos OSルーターやファイアウォールなどのセキュリティ ゲートウェイである場合、トンネルモードを使用する必要があります。ジュニパーネットワークスのデバイスは、常にIPsecトンネルのトンネルモードで動作します。

トンネルモードでは、図 1 に示されているように、元のIPパケットすべて(ペイロードとヘッダー)を別のIPペイロード内でカプセル化し、それに新しいヘッダーを付加します。元のパケット全体に対し、暗号化、認証、またはその両方を行うことができます。AH(認証ヘッダー)プロトコルを使用すると、AHと新しいヘッダーも認証されます。ESP(セキュリティペイロードのカプセル化)プロトコルを使用すると、ESPヘッダーも認証できます。

図 1: トンネルモードトンネルモード

サイトツーサイトVPN では、新しいヘッダーで使用される送信元と宛先のアドレスは、発信インターフェイスのIPアドレスです。「図 2」を参照してください。

図 2: トンネルモードのサイトツーサイトVPNトンネルモードのサイトツーサイトVPN

ダイヤルアップVPN では、トンネルのVPNダイヤルアップクライアントにトンネルゲートウェイはありません。トンネルは、クライアント自身に直接拡張されます(図 3 を参照)。この場合、ダイヤルアップクライアントから送信されたパケットでは、新しいヘッダーとカプセル化された元のヘッダーの両方が、クライアントのコンピュータのIPアドレスを含んでいます。

Netscreen-Remoteなどの一部のVPNクライアントは、仮想内部IPアドレス(「スティッキーアドレス」とも呼ばれます)を使用します。Netscreen-Remoteを使用して、仮想IPアドレスを指定できます。この場合、仮想内部IPアドレスは、クライアントから送信されたトラフィックの元のパケットヘッダー内の送信元IPアドレスであり、ISPがダイヤルアップクライアントに動的に割り当てるIPアドレスは、外部ヘッダー内の送信元IPアドレスです。

図 3: トンネルモードのダイヤルアップVPNトンネルモードのダイヤルアップVPN

複数の SPU における IKE と IPsec セッションの分散

SRX5400、SRX5600、SRX5800 デバイスでは、IKE は IPsec のトンネル管理機能を提供し、エンド エンティティを認証します。IKE は、Diffie-hellman(DH)鍵交換を実行して、ネットワーク デバイス間に IPsec トンネルを生成します。IKE によって生成される IPsec トンネルは、IP レイヤーのネットワーク デバイス間のユーザー トラフィックの暗号化、暗号解読、認証目的で使用されます。

VPN は、IKE と IPsec のワークロードをプラットフォームの複数の SPU(サービス処理ユニット)に分散することで作成されます。サイトツーサイト トンネルの場合、最小負荷の SPU がアンカー SPU として選択されます。複数の SPU が同じ最小負荷を持つ場合、それらのいずれかをアンカー SPU として選択できます。ここでは負荷は、サイトツーサイトのゲートウェイの数、または SPU に固定された手動 VPN トンネルに対応しています。動的トンネルの場合、新たに確立された動的トンネルがラウンドロビン アルゴリズムを使用して SPU を選択します。

IPsec の場合、ワークロードは IKE を分散するものと同じアルゴリズムによって分散されます。指定された VPN トンネルの終端ポイント ペアのフェーズ 2 SA は、特定の SPU によって排他的に所有され、このフェーズ 2 SA に属するすべての IPsec パケットが、IPsec 処理のためにこの SA の アンカー SPU に転送されます。

複数の IPsec セッション(フェーズ 2 SA)は、1 つまたは複数の IKE セッションで動作します。IPsec セッションを固定するために選択された SPU は、基となる IKE セッションを固定している SPU に基づいています。そのため、1 つの IKE ゲートウェイで実行されるすべての IPsec セッションは、同じ SPU によってサービス提供され、複数の SPU で負荷分散されることはありません。

表 3は、3台のSPUで、3台のIKEゲートウェイ上に7台のIPsecトンネルを実行しているSRX5000シリーズの例を示しています。

表 3: 複数の SPU における IKE と IPsec セッションの分散

SPU

IKE ゲートウェイ

IPsec トンネル

SPU0

IKE-1

IPsec-1

IPsec-2

IPsec-3

SPU1

IKE-2

IPsec-4

IPsec-5

IPsec-6

SPU2

IKE-3

IPsec-7

3 つの SPU では、各 IKE ゲートウェイの負荷が均等に分散されています。新しい IKE ゲートウェイが作成された場合は、SPU0、SPU1、または SPU2 を選択して、IKE ゲートウェイとその IPsec セッションを固定できます。

既存の IPsec トンネルを設定、破棄しても、基となる IKE セッションや既存の IPsec トンネルには影響を与えません。

次の show コマンドを使用して、SPU ごとの現在のトンネル数を表示します。show security ike tunnel-map.

各ゲートウェイのアンカー ポイントを表示するには、コマンドの summary オプションを使用します。show security ike tunnel-map summary.

サービス処理カードの挿入に関するVPNサポート

SRX5400、SRX5600、SRX5800の各デバイスには、シャーシベースの分散型プロセッサアーキテクチャが搭載されています。フロー処理能力は共有され、SPC(サービス処理カード)の数によって決まります。新しいSPCをインストールすることで、デバイスの処理能力を拡張できます。

SRX5400、SRX5600、または SRX5800シャーシクラスターでは、既存のIKEまたはIPsec VPNトンネルのトラフィックに影響を与えたり中断したりすることなく、新しいSPCをデバイスに挿入できます。クラスターの各シャーシに新しいSPCを挿入しても、既存のトンネルは影響を受けず、トラフィックは中断されることなく流れ続けます。

Junos OSリリース19.4R1以降、すべてのSRX5000シリーズシャーシクラスターで、新しいSRX5K-SPC3(SPC3)またはSRX5K-SPC-4-15-320(SPC2)カードをSPC3カードが含まれる既存のシャーシに差し込むことができるようになりました。カードは、シャーシ上の既存の SPC3 カードよりも上位のスロットにのみ挿入できます。SPC3 を挿入した後、ノードを再起動してカードをアクティブにする必要があります。ノードの再起動が完了すると、IPsecトンネルがカードに分散されます。

しかし、既存のトンネルは、新しいSPCのSPU(サービス処理ユニット)の処理能力を利用できません。新しいSPUでは、新たに確立されたサイトツーサイトトンネルおよび動的トンネルを固定することができます。しかし、新たに設定されたトンネルは、新しい SPU で固定されることが保証されるわけではありません。

サイトツーサイト トンネルは、ロードバランシング アルゴリズムに基づき、別の SPU に固定されます。ロードバランシングアルゴリズムは、各SPUが使用している数値フロー スレッドに依存します。同じローカルおよびリモート ゲートウェイ IP アドレスに属するトンネルは、SPU で使用される別のフロー RT スレッドの同じ SPU に固定されます。最小負荷のSPUがアンカーSPUとして選択されます。各SPUは、特定のSPUでホストされているフローRTスレッドの数を管理しています。各SPUでホストされるフローRTスレッドの数は、SPUのタイプによって異なります。

トンネルの負荷係数 = SPU で固定されるトンネルの数 / SPU が使用するフロー RT スレッドの合計数

動的トンネルは、ラウンドロビンアルゴリズムに基づき、異なるSPUに固定されます。新たに設定された動的トンネルは、新しい SPC で固定されることが保証されるわけではありません。

Junos OSリリース18.2R2および18.4R1以降、現在SRX5K-SPC3(SPC3)でのみサポートされている既存のすべてのIPsec VPN機能は、SRX5K-SPC-4-15-320(SPC2)およびSPC3カードがインストールされ、シャーシクラスタモードまたはスタンドアロンモードのデバイスで動作している場合に、SRX5400、SRX5600、SRX5800デバイスでもサポートされるようになります。

SPC2カードとSPC3カードの両方がインストールされている場合は、show security ipsec tunnel-distribution コマンドを使用して、別のSPUのトンネルマッピングを検証できます。

SPC2 カードのみが挿入された別の SPU のトンネル マッピングを表示するには、show security ike tunnel-map コマンドを使用します。SPC2 カードおよび SPC3 カードがインストールされている環境では、show security ike tunnel-map コマンドは無効です。

SPC3カードの挿入:ガイドラインと制限:

  • シャーシクラスタでは、ノードの1つに1つの SPC3 カードがあり、もう一方のノードに2つのSPC3カードがある場合、1つのSPC3カードがある方のノードへのフェイルオーバーはサポートされていません。

  • 下位のスロットにある現在のSPC3より上位のスロットにある既存のシャーシに、SPC3またはSPC2を挿入する必要があります。

  • SPC3 ISHU を機能させるためには、新しい SPC3 カードをより上位のスロット番号に挿入する必要があります。

  • SRX5800 シャーシ クラスタでは、電力と熱分散に制限があるため、最上位スロット(スロット番号 11)に SPC3 カードを挿入しないでください。

  • SPC3の動作中の取り出しはサポートしていません。

表 4kmd、またはikedプロセスをサポートするSPC2あるいはSPC3カードが含まれるSRX5000シリーズの概要です。

表 4: kmd/iked SRX5000シリーズでのプロセスサポート

SRX5000シリーズ

kmd または iked プロセスのサポート

SPC2カードのみがインストールされたSRX5000シリーズ

kmdプロセスをサポートします。

SPC3カードのみがインストールされたSRX5000シリーズ

ikedプロセスをサポートします。

SPC2とSPC3カードの両方がインストールされたSRX5000シリーズ

ikedプロセスをサポートします。

SRX5K-SPC3カード、SRXミッドレンジプラットフォーム、vSRX仮想ファイアウォールでの暗号化アクセラレーションサポート

SRX5K-SPC3カード(サービス処理カード)を搭載したSRX5000シリーズ、SRXミッドレンジプラットフォーム(SRX4100、SRX4200、SRX1500、SRX4600シリーズファイアウォール)とvSRX仮想ファイアウォールでIPsec VPN機能をインストールおよび有効にするには、コントロールプレーンソフトウェアとしてjunos-ikeパッケージが必要です。

  • RE3を搭載したSRX5000シリーズでは、デフォルトで、junos-ikeパッケージがJunos OSリリース20.1R2、20.2R2、20.3R2、20.4R1以降にインストールされます。このため、IPsecキー管理されたデーモン(kmd)ではなくikedおよびikemdプロセスが、デフォルトでルーティングエンジンで実行されます。SRX5K-SPC3を備えたSRX5000シリーズでは、暗号化操作をハードウェア暗号化エンジンへとオフロードします。

  • SRX1500、SRX4100、SRX4200、SRX4600シリーズファイアウォールをカバーするSRXミッドレンジプラットフォームは、junos-ikeソフトウェアが実行されるデバイスで、DH、RSA、ECDSA暗号化操作をハードウェア暗号化エンジンにオフロードします。この機能は、junos-ikeパッケージがインストールされたデバイスで、Junos OSリリース23.2R1から利用できます。レガシーikedソフトウェア(kmdプロセス)を引き続き実行しているデバイスでは、この機能はサポートされません。

  • vSRX仮想ファイアウォールでは、データプレーンCPUスレッドがDH、RSA、ECDSA操作をオフロードします。これらのデバイスでは、ハードウェアアクセラレーションは利用できません。この機能は、デバイスにjunos-ikeパッケージがインストールされたJunos OSリリース23.2R1から利用できます。

表 5では、さまざまな暗号に対するハードウェアアクセラレーションサポートについて説明します。

表 5: 暗号化アクセラレーションサポート
暗号 SRX1500 SRX4100/SRX4200 SRX4600 SRX5K - SPC3 vSRX3.0
  KMD IKED KMD IKED KMD IKED IKED KMD IKED
DH(グループ1、2、5、14)
DH(グループ19、20) なし なし なし
DH(グループ15、16) なし なし なし
DHグループ21 なし なし なし
DHグループ24 なし なし なし
RSA
ECDSA(256、384、521) なし なし なし

SRXシリーズファイアウォールにJunos IKEパッケージをインストールするには、次のコマンドを使用します。

SPC3カードが搭載されていないSRX5000シリーズでIPsec VPN機能を有効にするためにkmdプロセスを使用するには、request system software delete junos-ikeコマンドを実行する必要があります。コマンドを実行した後、デバイスを再起動してください。

インストールされている junos-ike パッケージを確認するには、次のコマンドを使用します。

新しいパッケージでのIPSec VPN機能サポート

ikedおよびikemdの2つのプロセスは、SRXシリーズファイアウォールでIPsec VPN機能をサポートします。ルーティングエンジンは、単一のikedおよびikemdインスタンスを1つずつ実行します。

デフォルトでは、RE3を搭載したSRX5K-SPC3では、Junos OSリリース19.4R1以降にjunos-ikeパッケージがインストールされます。ルーティングエンジンで実行されるikedプロセスとikemdプロセスの両方が、このパッケージで利用可能です。RE2を搭載したSRX5K-SPC3では、これはオプションのパッケージとなり、明示的にインストールする必要があります。

ルーチンエンジンでikemdプロセスを再起動するには、 restart ike-config-managementコマンドを使用します。

ルーティングエンジンでikedプロセスを再起動するには、 restart ike-key-managementコマンドを使用します。

表 6 に、junos-ikeパッケージが導入されるJunos OSリリースの詳細を示します。

表 6: junos-ikeパッケージのサポート

プラットフォーム

junos-ikeパッケージが含まれるJunos OSリリース

RE3を搭載したSRX5K-SPC3

デフォルトパッケージとして19.4R1以降

RE2を搭載したSRX5K-SPC3

オプションのパッケージとして18.2R1以降

vSRX 仮想ファイアウォール

オプションのパッケージとして20.3R1以降

SRX1500

オプションのパッケージとして22.3R1以降

SRX4100、SRX4200、SRX4600

オプションのパッケージとして22.3R1以降

SRX1600、SRX2300

デフォルトパッケージとして23.4R1以降

注:

junos-ikeをインストールする際に指定されたJunos OSリリースバージョンを無視すると、サポートされていない機能が期待どおりに機能しないことがあります。

SRX5K-SPC3カードが搭載されていないSRX5000シリーズでレガシーkmdプロセスを使用してIPsec VPN機能を操作するには、request system software delete junos-ikeコマンドを実行し、デバイスを再起動する必要があります。

IPsec VPN機能はサポートされていません

このセクションでは、SRX5K-SPC3を搭載したSRX5000シリーズとvSRX仮想ファイアウォールインスタンスでサポートされていない、IPsec VPN機能と設定の概要について説明します。

ある機能が特定のプラットフォームまたは Junos OS リリースでサポートされているかどうかを確認するには、「機能エクスプローラー」を参照してください。

表 7は、ikedプロセスを実行しているSRXシリーズファイアウォールとvSRX仮想ファイアウォールでサポートされていないIPsec VPN機能の概要です:

表 7: SRXシリーズファイアウォールとvSRX仮想ファイアウォールインスタンスでサポートされていないIPsec VPN機能

機能

SRX5K-SPC3とvSRX仮想ファイアウォールインスタンスを備えたSRX5000シリーズのサポート

AutoVPN PIM(プロトコル非依存マルチキャスト)ポイントツーマルチポイントモード

なし

IPsec VPN での転送クラスの設定

なし

グループ VPN

なし

IPsecデータパス検証用パケットサイズ設定。

なし

ポリシーベースのIPsec VPN

なし

IPsec VPN トンネルでのルーティングプロトコル サポート

ジュニパーでは、OSPF、BGP、PIM、RIP、BFDなどのルーティングプロトコルが、またはikedプロセスを実kmd行するSRXシリーズファイアウォールやMXシリーズルーターのIPsecトンネルで実行できるようにサポートします。プロトコル サポートは、IP アドレスリング スキームや、st0 インターフェイスのタイプ、ポイントツーポイント(P2P)またはポイントツーマルチポイント(P2MP)によって異なります。

表 8は、SRXシリーズファイアウォールとMXルーターにおけるOSPFプロトコルサポートの概要です。

表 8: IPsec VPN トンネルでの OSPF プロトコル サポート
OSPF
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 なし なし
SRX5K-SPC3 なし なし
SRX5Kは 混合モードで(SPC3+SPC2) なし なし
vSRX仮想ファイアウォール3.0 なし なし
MX-SPC3 なし なし なし

表 9はSRXシリーズファイアウォールとMXルーターにおけるOSPFv3プロトコルサポートの概要です。

表 9: IPsec VPN トンネルでの OSPFv3 プロトコル サポート
OSPFv3
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 なし なし
SRX5K-SPC3 なし なし
SRX5Kは 混合モードで(SPC3+SPC2) なし なし
vSRX仮想ファイアウォール3.0 なし なし
MX-SPC3 なし なし なし

表 10はSRXシリーズファイアウォールとMXルーターにおけるBGPプロトコルサポートの概要です。

表 10: IPsec VPN トンネルでの BGP プロトコル サポート
BGP
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2
SRX5K-SPC3
SRX5Kは 混合モードで(SPC3+SPC2)
vSRX仮想ファイアウォール3.0
MX-SPC3 なし なし

表 11はSRXシリーズファイアウォールとMXルーターでのPIMプロトコルサポートの概要です。

表 11: IPsec VPN トンネルでの PIM プロトコル サポート
PIM
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX550 HM、SRX650、SRX1400、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 なし なし なし
SRX300、SRX320、SRX340、SRX345、SRX380 および SRX1500 なし なし
SRX5K-SPC3 なし なし なし
SRX5Kは 混合モードで(SPC3+SPC2) なし なし なし
vSRX 仮想ファイアウォール なし
注:

マルチスレッドはサポートされません。

なし
MX-SPC3 なし なし なし

表 12はSRXシリーズファイアウォールとMXルーターでのRIPプロトコルサポートの概要です。

表 12: IPsec VPN トンネルでの RIP プロトコル サポート
RIP
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 なし なし
SRX5K-SPC3 なし なし
SRX5Kは 混合モードで(SPC3+SPC2) なし なし
vSRX仮想ファイアウォール3.0 なし なし
MX-SPC3 なし なし

表 13はSRXシリーズファイアウォールとMXルーターでのBFPプロトコルサポートの概要です。

表 13: IPsec VPN トンネルでの BFD プロトコル サポート
BFD
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2
SRX5K-SPC3
SRX5Kは 混合モードで(SPC3+SPC2)
vSRX仮想ファイアウォール3.0
MX-SPC3 なし なし

アンチリプレイ ウィード

SRX シリーズファイアウォールでは、 デフォルトでは はウィンドウサイズ値 64 で有効になります。anti-replay-window

SPC3カードがインストールされているSRXシリーズ5000シリーズでは、64〜8192(2の累乗)の範囲でサイズを設定できます 。anti-replay-window ウィンドウ サイズを設定するには、新しい オanti-replay-window-sizeプションを使用します。anti-replay-window-size受信パケットは、設定された に基づいてリプレイ攻撃について検証されます。

2 つの異なるレベルreplay-window-sizeで を設定できます。

  • Global level—[edit security ipsec] 階層レベルで設定されます。

    たとえば、以下のように表示されます。

  • VPN object—[edit security ipsec vpn vpn-name ike] 階層レベルで設定されます。

    たとえば、以下のように表示されます。

両方のレベルでアンチリプレイが設定されている場合、VPN オブジェクト レベルに設定されたウィンドウ サイズがグローバル レベルで設定されたウィンドウ サイズよりも優先されます。アンチリプレイが設定されていない場合、ウィンドウ サイズはデフォルトでは 64 です。

VPN オブジェクトでアンチリプレイ ウィンドウ オプションを無効にするには、[edit security ipsec vpn vpn-name ike] 階層レベルで コマset no-anti-replayンドを使用します。グローバル レベルでアンチリプレイを無効にできません。

VPN オブジェクトでは anti-replay-window-sizeと の両方no-anti-replayを設定できません。

ハブアンドスポーク方式 VPN について

デバイスで終端する2つのVPNトンネルを作成した場合、ルートのペアを設定して、トラフィックが1つのトンネルからもう1つのトンネルに向かうように、デバイスで誘導するように設定できます。また、トラフィックが1つのトンネルからもう1つのトンネルに向けて通過することを許可するポリシーを作成する必要もあります。このような設定は、ハブアンドスポーク方式 VPN と呼ばれます(「図 4」を参照してください。)

また、複数の VPN を設定し、任意の 2 つのトンネル間でトラフィックをルーティングすることもできます。

SRXシリーズファイアウォールでは、ルートベースのハブアンドスポーク機能のみがサポートされています。

図 4: ハブアンドスポーク方式 VPN 設定における複数トンネルハブアンドスポーク方式 VPN 設定における複数トンネル

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
23.4R1
ikedプロセスによるデッドピア検出(DPD)と自動検出VPN(ADVPN)に対するサポートが、Junos OSリリース23.4R1に追加されました。
23.4R1
SRX1600およびSRX2300ファイアウォールに対するサポートが、Junos OSリリース23.4R1に追加されました。SRX1600およびSRX2300ファイアウォールは、SRX1500およびSRX4100がそれぞれ提供するikedプロセスに全IPsec VPN機能を提供します。ポリシーベースVPNおよびグループVPNに対するサポートは、これらのプラットフォームでは利用できません。
23.2R1
SRXミッドレンジプラットフォーム(SRX1500、SRX4100、SRX4200、SRX4600シリーズファイアウォール)とvSRX仮想ファイアウォールに対する暗号化アクセラレーションサポートが追加されました。
20.1R2
デフォルトでは、junos-ikeパッケージはRE3を備えたSRX5000シリーズ向けに、Junos OSリリース20.1R2、20.2R2、20.3R2、20.4R1以降にインストールされます。その結果、iked ikemdはデフォルトでは、IPsec kmd(キー管理デーモン)ではなく、ルーティングエンジンで実行されます。