Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

仮想ルーターのセキュアトンネルインターフェイス

セキュア トンネル インターフェイス(st0)は、ルートベース VPN がクリアテキスト トラフィックを IPsec VPN トンネルにルーティングするために使用する内部インターフェイスです。

ルートベース VPN の仮想ルーターサポートについて

この機能には、ルートベースVPNのルーティングインスタンスのサポートが含まれます。以前のリリースでは、st0インターフェイスがデフォルト以外のルーティング インスタンスに配置されると、このインターフェイスのVPNトンネルが正しく機能しませんでした。Junos OS 10.4リリースでは、st0インターフェイスをルーティングインスタンスに配置できるようになりました。この場合、各ユニットはポイントツーポイントモードまたはマルチポイントモードで設定されます。そのため、VPNトラフィックはデフォルト以外のVRで正しく機能するようになりました。st0インターフェイスの異なるサブユニットを異なるルーティングインスタンスに設定できるようになりました。以下の関数は、デフォルト以外のルーティングインスタンスでサポートされています。

  • 手動鍵管理

  • トランジットトラフィック

  • セルフトラフィック

  • VPN 監視

  • ハブアンドスポーク方式VPN

  • カプセル化セキュリティペイロード(ESP)プロトコル

  • AH(認証ヘッダー)プロトコル

  • アグレッシブ モードまたはメイン モード

  • ループバック(lo0)インターフェイスに固定されたst0

  • SRXシリーズファイアウォールでサポートされる仮想ルーター(VR)の最大数

  • アプリケーション層ゲートウェイ(ALG)、侵入検出および防止(IDP)、コンテンツセキュリティなどのアプリケーション

  • デッドピア検出(DPD)

  • シャーシ クラスタ アクティブ/バックアップ

  • st0 上のオープン最短パス ファースト(OSPF)

  • st0を介したRIP(Routing Information Protocol)

  • VR内のポリシーベースのVPN

仮想ルーターの制限について

SRXシリーズファイアウォールでVPNを設定する場合、以下の制限のもと、仮想ルーター間でIPアドレスの重複がサポートされます。

  • IKE 外部インターフェイス アドレスを他の仮想ルーターと重複させることはできません。

  • 内部インターフェイスまたは信頼できるインターフェイスのアドレスは、他の仮想ルーター間で重複できます。

  • St0 のインターフェイス アドレスは、NHTB などのポイントツーマルチポイント トンネルのルートベースの VPN で重複させることはできません。

  • St0 のインターフェイス アドレスは、ポイントツーポイント トンネルのルートベースの VPN で重複させることができます。

例:仮想ルーターでのst0インターフェイスの設定

この例では、仮想ルーターでst0インターフェイスを設定する方法を示します。

要件

開始する前に、インターフェイスを設定し、セキュリティ ゾーンにインターフェイスを割り当てます。「セキュリティ ゾーンの概要」を参照してください。

概要

この例では、次の操作を実行します。

  • インターフェイスを設定します。

  • IKEフェーズ1プロポーザルを設定します。

  • IKEポリシーを設定し、プロポーザルを参照します。

  • IKEゲートウェイを構成し、ポリシーを参照します。

  • フェーズ 2 のプロポーザルを設定します。

  • ポリシーを設定し、プロポーザルを参照します。

  • AutoKey IKE を設定し、ポリシーとゲートウェイを参照します。

  • セキュリティポリシーを構成します。

  • ルーティングインスタンスを設定します。

  • トンネルインターフェイスへのVPNバインドを設定します。

  • ルーティング オプションを設定します。

図 1 この例で使用されているトポロジーを示しています。

図 1: 仮想ルーターのセキュアトンネルインターフェイス

次の表に、構成パラメーターを示します。

表 1: SRX1のインターフェイス、ルーティングインスタンス、静的ルート、セキュリティゾーン情報

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/0.0

10.1.1.2/30

 

ge-0/0/1.0

10.2.2.2/30

 

st0.0(トンネル インターフェイス)

10.3.3.2/30

ルーティングインスタンス(仮想ルーター)

VR1

ge-0/0/1.0

st0.0

静的ルート

10.6.6.0/24

ネクスト ホップはst0.0です。

セキュリティ ゾーン

trust

  • ge-0/0/1インターフェイスは、このゾーンにバインドされています。

 

untrust

  • ge-0/0/0インターフェイスは、このゾーンにバインドされています。

  • st0.0インターフェイスは、このゾーンにバインドされています。

表 2: IKE設定パラメータ

機能

お名前

設定パラメータ

プロポーザル

first_ikeprop

  • 認証方法:pre-shared-keys

ポリシー

first_ikepol

  • モード:メイン

  • プロポーザル リファレンス:first_ikeprop

  • IKEポリシー認証方法:pre-shared-keys

ゲートウェイ

まずは

  • IKE ポリシーの参照:first_ikepol

  • 外部インターフェイス:ge-0/0/0.0

  • ゲートウェイ アドレス:10.4.4.2

表 3: IPsec設定パラメータ

機能

お名前

設定パラメータ

プロポーザル

first_ipsecprop

  • プロトコル:esp

  • 認証アルゴリズム: hmac-md5-96

  • 暗号化アルゴリズム: 3des-cbc

ポリシー

first_ipsecpol

  • IPsecプロポーザル リファレンス: first_ipsecprop

VPN

first_vpn

  • IKEゲートウェイ リファレンス:まずは

  • IPsecポリシー リファレンス:first_ipsecpol

  • インターフェイスへのバインド:st0.0

  • establish-tunnels immediately

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、Junos OS CLI ユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

VR で st0 を設定するには:

  1. インターフェイスを設定します。

  2. セキュリティ ゾーンを構成します。

  3. IPsecトンネルのフェーズ1を設定します。

  4. IKEポリシーを設定し、プロポーザルを参照します。

  5. IKEゲートウェイを設定し、ポリシーを参照します。

  6. IPsecトンネルのフェーズ2を設定します。

  7. ポリシーを設定し、プロポーザルを参照します。

  8. AutoKey IKE を設定し、ポリシーとゲートウェイを参照します。

  9. トンネルインターフェイスへのVPNバインドを設定します。

  10. セキュリティポリシーを構成します。

  11. ルーティングインスタンスでst0を設定します。

  12. ルーティング オプションを設定します。

結果

設定モードから、show security および show routing-instances コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

仮想ルータでのst0インターフェイスの検証

目的

仮想ルーターの st0 インターフェイスを確認します。

アクション

動作モードからshow interfaces st0.0 detail コマンドを入力します。ルーティングテーブルにリストされている番号は、コマンド内の ルーティングテーブルの順序に対応しています。show route all