Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OSを搭載したデバイスでのVPNの設定

このセクションでは、以下のIKE認証方法を使用したJunos OSデバイス上のIPsec VPNの構成例について説明します。

Junos OS を実行しているデバイスでの VPN の設定の概要

このセクションでは、以下のIKE認証方法を使用したJunos OSデバイス上のIPsec VPNの構成例について説明します。

図 1 は、このセクションで説明するすべての例で使用されている VPN トポロジーを示しています。ここでは、H0 と H1 はホスト PC、R0 と R2 は IPsec VPN トンネルの 2 つのエンドポイント、R1 は 2 つの異なるネットワーク間でトラフィックをルーティングするルーターです。

メモ:

ルーターR1は、Linuxベースのルーター、ジュニパーネットワークスのデバイス、またはその他のベンダーのルーターです。

図 1: VPNトポロジ VPN Topology

1 は、サポートされている IKE プロトコル、トンネル モード、フェーズ 1 ネゴシエーション モード、認証方法またはアルゴリズム、暗号化アルゴリズム、IKE 認証と暗号化(フェーズ 1、IKE プロポーザル)および IPsec 認証と暗号化(フェーズ 2、IPsec プロポーザル)でサポートされる DH グループの完全なリストを示しています。記載されているプロトコル、モード、アルゴリズムは、22.2 R1 S1 コモン クライテリアでサポートされ、必要です。

表 1: VPN の組み合わせマトリックス

IKE プロトコル

トンネル モード

フェーズ 1 ネゴシエーション モード

フェーズ 1 プロポーザル(P1、IKE)

認証方法

認証アルゴリズム

DH グループ

暗号化アルゴリズム

IKEv1

メイン

ルート

事前共有キー

SHA-256

グループ14

IKEv2

   

RSAシグネチャ-2048

SHA-384

グループ19

AES-128-CBC

     

ECDSA-シグネチャ-256

 

グループ20

AES-128-GCM

     

ECDSA-シグネチャ-384

 

グループ24

AES-192-CBC

           

AES-256-CBC

           

AES-256-GCM

             

IKE プロトコル

トンネル モード

フェーズ 1 ネゴシエーション モード

フェーズ 2 プロポーザル(P2、IPsec)

認証アルゴリズム

DH グループ(PFS)

暗号化方式

暗号化アルゴリズム

IKEv1

メイン

ルート

hmac-sha1-96

グループ14

特に

3des-cbc

IKEv2

   

hmac-sha-256-128

グループ19

 

AES-128-CBC

       

グループ20

 

AES-128-GCM

       

グループ24

 

AES-192-CBC

           

AES-192-GCM

           

AES-256-CBC

           

AES-256-GCM

メモ:

以下のセクションでは、選択したアルゴリズムに対する IKEv1 IPsec VPN の設定例を示します。認証および暗号化アルゴリズムを構成内で置き換えて、ユーザーの望ましい構成を実現できます。IKEv2 IPsec VPN には コマンドを使用します set security ike gateway <gw-name> version v2-only

IKE認証用の事前共有鍵を使用したIPsec VPNの設定

このセクションでは、IKE 認証方法として事前共有キーを使用して、IPsec VPN 向けに Junos OS を実行するデバイスを構成します。IKE または IPsec 認証または暗号化で使用されるアルゴリズムを表 2 に示します

表 2: IKE または IPsec 認証と暗号化

IKE プロトコル

トンネル モード

フェーズ 1 ネゴシエーション モード

フェーズ 1 プロポーザル(P1、IKE)

認証方法

認証アルゴリズム

DH グループ

暗号化アルゴリズム

IKEv1

メイン

ルート

事前共有キー

SHA-256

グループ14

AES-256-CBC

IKE プロトコル

トンネル モード

フェーズ 1 ネゴシエーション モード

フェーズ 2 プロポーザル(P2、IPsec)

認証アルゴリズム

DH グループ(PFS)

暗号化方式

暗号化アルゴリズム

IKEv1

メイン

ルート

hmac-sha-256-128

グループ14

特に

AES-256-CBC

メモ:

Junos OS を実行するデバイスでは、IPsec に証明書ベースの認証または事前共有キーが使用されます。TOE では、大文字と小文字、数字、特殊文字を含む最大 255 文字(およびそれに相当するバイナリ)の ASCII 事前共有キーまたはビットベースのキーを使用できます。これらのキーには、!、@、#、$、%、^、&、*、(、および)などの特殊文字が含まれます。デバイスは事前共有テキストキーを受け入れ、IKE交換のハッシュアルゴリズムとして設定されたPRFを使用して、IKEv1のRFC 2409またはIKEv2のRFC 4306に従って、テキスト文字列を認証値に変換します。Junos OS では、事前共有鍵に最低限の複雑さの要件は課されません。したがって、ユーザーは、十分な複雑さの長い事前共有キーを慎重に選択することをお勧めします。

イニシエーターでのIKE認証としての事前共有キーを使用したIPsec VPNの設定

イニシエーターで事前共有キーIKE認証を使用してIPsec VPNを構成するには:

  1. IKEプロポーザルを設定します。

    ここでは、 ike-proposal1 権限のある管理者によって与えられたIKEプロポーザル名です。

  2. IKEポリシーを設定します。

    ここで、 は IKE ポリシー名でありike-proposal1ike-policy1 は承認された管理者によって与えられた IKE プロポーザル名です。 プロンプトが表示されたら、事前共有キーを入力して再入力する必要があります。たとえば、事前共有キーCertSqa@jnpr2014は になります。

    事前共有鍵は、16 進形式で入力することもできます。例えば:

    ここで、16 進数の事前共有鍵 cc2014bae9876543は になります。

  3. IPsecプロポーザルを設定します。

    ここでは、 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。

  4. IPsecポリシーを設定します。

    ここで、 は IPsec ポリシー名であり、 ipsec-policy1 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。

  5. IKEを設定します。

    ここで、 は IKE ゲートウェイ名、 gw1 192.0.2.8 はピア VPN エンドポイント IP、 はローカル VPN エンドポイント IP、 192.0.2.5 ge-0/0/2 は VPN エンドポイントとしてのローカルアウトバウンドインターフェイスです。IKEv2 の場合は、以下の追加構成も必要です

  6. VPN を構成します。

    ここでは、 vpn1 は許可された管理者によって与えられたVPNトンネル名です。

  7. アウトバウンドフローポリシーを設定します。

    ここで、 と は事前設定されたセキュリティゾーンであり、 trustZone trustLanuntrustZoneuntrustLan事前設定されたネットワークアドレスである。

  8. インバウンドフローポリシーを設定します。

    ここで、 と は事前設定されたセキュリティゾーンであり、 trustZone trustLanuntrustZoneuntrustLan事前設定されたネットワークアドレスである。

  9. 設定をコミットします。

レスポンダーでのIKE認証としての事前共有キーを使用したIPsec VPNの設定

レスポンダーで事前共有キーIKE認証を使用してIPsec VPNを構成するには:

  1. IKEプロポーザルを設定します。

    メモ:

    ここでは、 ike-proposal1 権限のある管理者によって与えられたIKEプロポーザル名です。

  2. IKEポリシーを設定します。

    メモ:

    ここで、 は IKE ポリシー名でありike-proposal1ike-policy1 は承認された管理者によって与えられた IKE プロポーザル名です。

    メモ:

    プロンプトが表示されたら、事前共有キーを入力して再入力する必要があります。たとえば、事前共有キー CertSqa@jnpr2014は になります。

    メモ:

    または、事前共有キーを 16 進形式で入力することもできます。例えば

    ここで、16 進数の事前共有鍵 cc2014bae9876543は になります。

  3. IPsecプロポーザルを設定します。

    メモ:

    ここでは、 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。

  4. IPsecポリシーを設定します。

    メモ:

    ここで、 は IPsec ポリシー名であり、 ipsec-policy1 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。

  5. IKEを設定します。

    メモ:

    ここで、 は IKE ゲートウェイ名、 gw1 192.0.2.5 はピア VPN エンドポイント IP、 はローカル VPN エンドポイント IP、 192.0.2.8 ge-0/0/2 は VPN エンドポイントとしてのローカルアウトバウンドインターフェイスです。IKEv2 の場合も、以下の追加構成が必要です。

  6. VPN を構成します。

    メモ:

    ここでは、 vpn1 は許可された管理者によって与えられたVPNトンネル名です。

  7. アウトバウンドフローポリシーを設定します。

    メモ:

    ここで、 と は事前設定されたセキュリティゾーンであり、 trustZone trustLanuntrustZoneuntrustLan事前設定されたネットワークアドレスである。

  8. インバウンドフローポリシーを設定します。

    メモ:

    ここで、 と は事前設定されたセキュリティゾーンであり、 trustZone trustLanuntrustZoneuntrustLan事前設定されたネットワークアドレスである。

  9. 設定をコミットします。

IKE認証用のRSA署名を使用したIPsec VPNの設定

次のセクションでは、IKE 認証方法として RSA 署名を使用して IPsec VPN 用に Junos OS デバイスを設定する例を示します。IKE/IPsec 認証/暗号化で使用されるアルゴリズムは、次の表に示します。このセクションでは、IKE 認証方法として RSA 署名を使用して、IPsec VPN 向けに Junos OS を実行するデバイスを構成します。IKE または IPsec 認証または暗号化で使用されるアルゴリズムを 表 3 に示します。

表 3: IKE/IPsec 認証と暗号化

IKE プロトコル

トンネル モード

フェーズ 1 ネゴシエーション モード

フェーズ 1 プロポーザル(P1、IKE)

認証方法

認証アルゴリズム

DH グループ

暗号化アルゴリズム

IKEv1

メイン

ルート

RSAシグネチャ-2048

SHA-256

グループ19

AES-128-CBC

IKE プロトコル

トンネル モード

フェーズ 1 ネゴシエーション モード

フェーズ 2 プロポーザル(P2、IPsec)

認証アルゴリズム

DH グループ(PFS)

暗号化方式

暗号化アルゴリズム

IKEv1

メイン

ルート

hmac-sha-256-128

グループ19

特に

AES-128-CBC

イニシエーターまたはレスポンダーでのIKE認証としてのRSA署名を使用したIPsec VPNの設定

イニシエーターでRSA署名IKE認証を使用するIPsec VPNを設定するには、次の手順に従います。

  1. PKI を構成します。 「例:PKI の設定」を参照してください。

  2. RSA キー ペアを生成します。 「例: 公開キーと秘密キーのペアの生成」を参照してください。

  3. CA 証明書を生成して読み込みます。 例: CA 証明書とローカル証明書の手動ロードを参照してください。

  4. CRL を読み込みます。 例:デバイスへのCRLの手動ロード を参照してください。

  5. ローカル証明書を生成して読み込みます。 例: CA 証明書とローカル証明書の手動ロードを参照してください。

  6. IKEプロポーザルを設定します。

    メモ:

    ここでは、 ike-proposal1 は権限のある管理者によって与えられた名前です。

  7. IKEポリシーを設定します。

    メモ:

    ここでは、 ike-policy1 権限のある管理者によって与えられたIKEポリシー名です。

  8. IPsecプロポーザルを設定します。

    メモ:

    ここでは、 ipsec-proposal1 は権限のある管理者によって与えられた名前です。

  9. IPsecポリシーを設定します。

    メモ:

    ここでは、 ipsec-policy1 は権限のある管理者によって与えられた名前です。

  10. IKEを設定します。

    メモ:

    ここで、 はピアVPNエンドポイントIP、 はローカルVPNエンドポイントIP、 192.0.2.8 192.0.2.5 fe-0/0/1 はVPNエンドポイントとしてのローカルアウトバウンドインターフェイスです。IKEv2 では、以下の構成も必要です。

  11. VPN を構成します。

    メモ:

    ここでは、 vpn1 は許可された管理者によって与えられたVPNトンネル名です。

  12. アウトバウンドフローポリシーを設定します。

    メモ:

    ここで、 と untrustZone は事前設定されたセキュリティゾーンであり、 trustZone trustLan と はuntrustLan事前設定されたネットワークアドレスである。

  13. インバウンドフローポリシーを設定します。

    メモ:

    ここで、 と は事前設定されたセキュリティゾーンであり、 trustZone trustLanuntrustZoneuntrustLan事前設定されたネットワークアドレスである。

  14. 設定をコミットします。

IKE認証用のECDSA署名を使用したIPsec VPNの設定

このセクションでは、IKE 認証方法として ECDSA 署名を使用して、IPsec VPN 向けに Junos OS を実行するデバイスを構成します。IKE または IPsec 認証または暗号化で使用されるアルゴリズムを 表 4 に示します。

表 4: IKE または IPsec の認証と暗号化

IKE プロトコル

トンネル モード

フェーズ 1 ネゴシエーション モード

フェーズ 1 プロポーザル(P1、IKE)

認証方法

認証アルゴリズム

DH グループ

暗号化アルゴリズム

IKEv1

メイン

ルート

ECDSA-シグネチャ-256

SHA-384

グループ14

AES-256-CBC

IKE プロトコル

トンネル モード

フェーズ 1 ネゴシエーション モード

フェーズ 2 プロポーザル(P2、IPsec)

認証アルゴリズム

DH グループ(PFS)

暗号化方式

暗号化アルゴリズム

IKEv1

メイン

ルート

アルゴリズムなし

グループ14

特に

AES-256-GCM

イニシエーターでのECDSA署名IKE認証を使用したIPsec VPNの設定

イニシエーターでECDSA署名IKE認証を使用するIPsec VPNを設定するには、次の手順に従います。

  1. PKI を構成します。 「例:PKI の設定」を参照してください。

  2. RSA キー ペアを生成します。 「例: 公開キーと秘密キーのペアの生成」を参照してください。

  3. CA 証明書を生成して読み込みます。 例: CA 証明書とローカル証明書の手動ロードを参照してください。

  4. CRL を読み込みます。 例:デバイスへのCRLの手動ロード を参照してください。

  5. ローカル証明書を生成して読み込みます。 例: CA 証明書とローカル証明書の手動ロードを参照してください。

  6. IKEプロポーザルを設定します。

    メモ:

    ここでは、 ike-proposal1 権限のある管理者によって与えられたIKEプロポーザル名です。

  7. IKEポリシーを設定します。

  8. IPsecプロポーザルを設定します。

    メモ:

    ここでは、 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。

  9. IPsecポリシーを設定します。

    メモ:

    ここで、 は IPsec ポリシー名であり、 ipsec-policy1 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。

  10. IKEを設定します。

    メモ:

    ここで、 は IKE ゲートウェイ名、 gw1 192.0.2.8 はピア VPN エンドポイント IP、 はローカル VPN エンドポイント IP、 192.0.2.5 ge-0/0/2 は VPN エンドポイントとしてのローカルアウトバウンドインターフェイスです。IKEv2 では、以下の構成も必要です。

  11. VPN を構成します。

    メモ:

    ここでは、 vpn1 は許可された管理者によって与えられたVPNトンネル名です。

  12. アウトバウンドフローポリシーを設定します。

    メモ:

    ここで、 と は事前設定されたセキュリティゾーンであり、 trustZone trustLanuntrustZoneuntrustLan事前設定されたネットワークアドレスである。

  13. インバウンドフローポリシーを設定します。

    メモ:

    ここで、 と は事前設定されたセキュリティゾーンであり、 trustZone trustLanuntrustZoneuntrustLan事前設定されたネットワークアドレスである。

  14. 設定をコミットします。

レスポンダーでのECDSA署名IKE認証を使用したIPsec VPNの設定

レスポンダーでECDSA署名IKE認証を使用するIPsec VPNを設定するには、次の手順に従います。

  1. PKI を構成します。 「例:PKI の設定」を参照してください。

  2. ECDSA キーペアを生成します。 「例: 公開キーと秘密キーのペアの生成」を参照してください。

  3. CA 証明書を生成して読み込みます。 例: CA 証明書とローカル証明書の手動ロードを参照してください。

  4. CRL を読み込みます。 例:デバイスへのCRLの手動ロード を参照してください。

  5. IKEプロポーザルを設定します。

    メモ:

    ここでは、 ike-proposal1 権限のある管理者によって与えられたIKEプロポーザル名です。

  6. IKEポリシーを設定します。

  7. IPsecプロポーザルを設定します。

    メモ:

    ここでは、 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。

  8. IPsecポリシーを設定します。

    メモ:

    ここで、 は IPsec ポリシー名であり、 ipsec-policy1 ipsec-proposal1 は承認された管理者によって与えられた IPsec プロポーザル名です。

  9. IKEを設定します。

    メモ:

    ここで、 は IKE ゲートウェイ名、 gw1 192.0.2.5 はピア VPN エンドポイント IP、 はローカル VPN エンドポイント IP、 192.0.2.8 ge-0/0/1 は VPN エンドポイントとしてのローカルアウトバウンドインターフェイスです。IKEv2 では、以下の構成も必要です。

  10. VPN を構成します。

    メモ:

    ここでは、 vpn1 は許可された管理者によって与えられたVPNトンネル名です。

  11. アウトバウンドフローポリシーを設定します。

    メモ:

    ここで、 と は事前設定されたセキュリティゾーンであり、 trustZone trustLanuntrustZoneuntrustLan事前設定されたネットワークアドレスである。

  12. インバウンドフローポリシーを設定します。

    メモ:

    ここで、 と は事前設定されたセキュリティゾーンであり、 trustZone trustLanuntrustZoneuntrustLan事前設定されたネットワークアドレスである。

  13. 設定をコミットします。