IKE および ESP ALG
インターネット鍵交換(IKE)およびカプセル化セキュリティペイロード(ESP)は、IPsec(IP セキュリティ)プロトコルの一部です。IKE および ESP トラフィックは、クライアントとサーバー間で交換されます。IKEおよびESP ALGは、IPSec VPNがNATが有効になっているデバイスを通過する際のIPsec VPNの問題を解決するのに役立ちます。
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
プラットフォームに関連する注意事項については、「 プラットフォーム固有の IKE ALG の動作 」セクションを確認してください。
IKEおよびESP ALGについて
NFXシリーズファイアウォールまたはSRXシリーズファイアウォールは、NATゲートウェイのプライベート側にあるVPNクライアントとパブリック側の仮想プライベートネットワーク(VPN)ゲートウェイの間に配置された場合、ネットワークアドレス変換(NAT)デバイスとしてのみ使用できます。
インターネット鍵交換(IKE)とカプセル化セキュリティ ペイロード(ESP)トラフィックは、クライアントとサーバー間で交換されます。ただし、クライアントが NAT トラバーサル(NAT-T)をサポートしておらず、デバイスが 2 つ以上のクライアントに同じ NAT 生成 IP アドレスを割り当てている場合、デバイスはリターン トラフィックを適切に区別してルーティングできません。
ユーザが NAT-T 対応クライアントと非 NAT-T 対応クライアントの両方をサポートする場合は、いくつかの追加設定が必要です。NAT-T 対応クライアントがある場合、ユーザーは送信元 NAT アドレスの永続性を有効にする必要があります。
IKE および ESP の ALG は、クライアントとサーバー間の IKE トラフィックを監視し、任意のクライアントとサーバー間の 1 つの交換だけでなく、特定のクライアント/サーバー ペア間で 1 つの IKE フェーズ 2 メッセージ交換のみを許可します。
IKEおよびESPトラフィック用のALGが作成され、NATが拡張されて以下が実装されました。
デバイスが送信元 NAT プールで IKE および ESP トラフィックを通過させるには、次の手順に従います
NAT を使用せずに、同じ IP アドレスに対して同じ NAT で生成された IP アドレスを返すようにデバイスを設定できます(「address-persistent NAT」)。その結果、特に IKE セッションがタイムアウトして再確立が必要な場合、デバイスは、クライアントから発信する IKE トラフィックをサーバからのリターン トラフィックに関連付けることができます。
その結果、クライアントとサーバー間の ESP トラフィックも、特にサーバーからクライアントへの方向で許可されます。
リターン ESP トラフィックは以下と一致します。
送信元 IP としてのサーバー IP アドレス
宛先 IP としてのクライアント IP アドレス
IKEとESP ALGの動作について
インターネット鍵交換(IKE)およびカプセル化セキュリティペイロード(ESP)トラフィック用のアプリケーション層ゲートウェイ(ALG)の動作は次のとおりです。
IKE および ESP ALG は、クライアントとサーバー間の IKE トラフィックを監視し、クライアントとサーバー間の IKE フェーズ 2 メッセージ交換を常に 1 つだけ許可します。
フェーズ 2 メッセージの場合:
クライアントとサーバー間でフェーズ 2 メッセージ交換が行われない場合、クライアントからサーバー、およびサーバーからクライアントへの関連する ESP トラフィックに対して IKE ALG ゲートが開かれます。
両方のIKE ALGゲートが正常に開かれない場合、またはフェーズ2のメッセージ交換がすでに行われていた場合、フェーズ2のメッセージはドロップされます。
ESPトラフィックがIKE ALGゲートにヒットすると、後続のESPトラフィックをキャプチャし、適切なNATing(つまり、クライアントからサーバートラフィックへの送信元IPアドレス変換とサーバーからクライアントトラフィックへのIP アドレス変換)を実行するためのセッションが作成されます。
ESP トラフィックがどちらか一方または両方のゲートにヒットしない場合、ゲートは自然にタイムアウトします。
IKE ALG ゲートが折りたたまれるかタイムアウトすると、別の IKE フェーズ 2 メッセージ交換が許可されます。
フローティングポート 4500 の IKE NAT-T トラフィックは、IKE ALG では処理されません。NAT-T 対応クライアントと非対応クライアントの混在をサポートするには、Source NAT Address Persistent を有効にする必要があります。
例:IKEおよびESP ALGの設定
この例では、デバイスの送信元 NAT プールで IKE と ESP トラフィックを通過するように IKE と ESP の ALG を設定する方法を示します。
必要条件
開始する前に、以下を実行します。
送信元 NAT プール内のすべての IP アドレスに対してプロキシ ARP を設定します。
IKEとESP ALGの背後にある概念を理解します。 IKEとESP ALG操作についてを参照してください。
概要
この例では、IKEとESP用のALGは、ジュニパーネットワークスのデバイスの反対側にあるクライアントとサーバー間でIKEとESPのトラフィックを監視および交換できるように設定されています。
この例では、ソースNAT プールとルールセットを設定し、IKEとESP ALGをサポートするカスタムアプリケーションを設定し、このALGをポリシーに関連付ける方法を示しています。
NAT トラバーサル(NAT-T)対応クライアントと非対応クライアントの混在をサポートする場合は、永続的な送信元 NAT 変換を有効にする必要があります(これにより、特定の送信元 NAT が特定の IP アドレスに関連付けられると、後続の送信元 NAT 変換で同じ IP アドレスが使用されます)。また、UDP ポート 4500 での IKE と ESP のカプセル化をサポートするように、カスタム IKE NAT トラバーサル アプリケーションを構成する必要があります。この設定により、IKE と ESP が NAT 対応デバイスを通過できるようになります。
位相幾何学
構成
- NAT 送信元プールとルール セットの設定
- カスタムアプリケーションの設定とポリシーへの関連付け
- NAT-T 対応クライアントと非対応クライアントの両方に対する IKE と ESP ALG サポートの設定
NAT 送信元プールとルール セットの設定
CLIクイック構成
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32 set security zones security-zone green address-book address sa1 1.1.1.0/24 set security zones security-zone red address-book address da1 2.2.2.0/24 set security nat source rule-set rs1 from zone green set security nat source rule-set rs1 to zone red set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool pool1
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
送信元 NAT プールを設定するには、次の手順に従います。
NAT ソース プールを作成します。
[edit ] user@host# set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
セキュリティ ゾーンのアドレス帳エントリーを設定します。
[edit] user@host# set security zones security-zone green address-book address sa1 1.1.1.0/24 user@host# set security zones security-zone red address-book address da1 2.2.2.0/24
NAT 送信元ルール・セットを作成します。
[edit security nat source rule-set rs1] user@host# set from zone green user@host# set to zone red user@host# set rule r1 match source-address 1.1.1.0/24 user@host# set rule r1 match destination-address 2.2.2.0/24 user@host# set rule r1 then source-nat pool pool1
業績
設定モードから、 show security nat コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host# show security nat
source {
pool pool1 {
address {
10.10.10.1/32 to 10.10.10.10/32;
}
}
rule-set rs1 {
from zone green;
to zone red;
rule r1 {
match {
source-address 1.1.1.0/24;
destination-address 2.2.2.0/24;
}
then {
source-nat {
pool {
pool1;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
カスタムアプリケーションの設定とポリシーへの関連付け
CLIクイック構成
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-alg set security policies from-zone green to-zone red policy pol1 then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
カスタムアプリケーションを設定し、ポリシーに関連付けるには、次の手順に従います。
カスタム アプリケーションを構成します。
[edit] user@host# set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
カスタムアプリケーションをポリシーに関連付けます。
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-alg user@host# set then permit
業績
設定モードから、 show applications コマンドと show security zones コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show applications
application custom-ike-alg {
application-protocol ike-esp-nat;
protocol udp;
source-port 500;
destination-port 500;
}
[edit]
user@host# show security zones
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone green {
address-book {
address sa1 1.1.1.0/24;
}
}
security-zone red {
address-book {
address da1 2.2.2.0/24;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
NAT-T 対応クライアントと非対応クライアントの両方に対する IKE と ESP ALG サポートの設定
CLIクイック構成
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security nat source address-persistent set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500 set security policies from-zone green to-zone red policy pol1 match source-address sa1 set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-natt set security policies from-zone green to-zone red policy pol1 then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
NAT-T 対応クライアントと非対応クライアントの両方に対して IKE と ESP ALG サポートを設定するには:
永続的なソースNAT変換をグローバルに有効にします。
[edit] user@host# set security nat source address-persistent
IKE NAT-T アプリケーションを構成します。
[edit] user@host# set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500
ポリシーを使用して、NAT-Tアプリケーションを関連付けます。
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-natt user@host# set then permit
業績
設定モードから、 show security nat コマンドと show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security nat
source {
address-persistent;
}
[edit]
user@host# show security policies
from-zone green to-zone red {
policy pol1 {
match {
source-address sa1;
destination-address da1;
application [ custom-ike-alg custom-ike-natt ];
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
IKEおよびESP ALGカスタムアプリケーションの検証
目的
IKEおよびESP ALGをサポートするカスタムアプリケーションが有効になっていることを確認します。
アクション
動作モードから、 show security alg status コマンドを入力します。
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Enabled
意味
出力は、次のようにALGステータスを示します。
[有効(Enabled)]:ALG が有効になっていることを示します。
[無効(Disabled)]:ALG が無効であることを示します。
ALGのセキュリティポリシーの検証
目的
アプリケーション カスタム IKE ALG とアプリケーション カスタム IKE NATT が設定されていることを確認します。
アクション
動作モードから、 show security policies コマンドを入力します。
user@host> show security policies
Default policy: permit-all From zone: green, To zone: red Policy: pol1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source addresses: sa1 Destination addresses: da1 Applications: custom-ike-alg, custom-ike-natt Action: permit
意味
サンプル出力は、カスタム IKE ALG およびカスタム IKE NATT アプリケーションが設定されていることを示しています。
例:IKE および ESP ALG の有効化とタイムアウトの設定
この例では、IKEとESP ALGを有効にし、ALGがALG状態情報、ESPゲート、およびESPセッションを処理する時間を可能にするようにタイムアウト値を設定する方法を示しています。
必要条件
IKE と ESP の ALG の背後にある概念を理解します。 IKEとESP ALG操作についてを参照してください。
概要
IKEとESP ALGは、ALGが接続されているポリシーで指定されたすべてのトラフィックを処理します。この例では、ポリシーに関係なく、現在のデフォルトのIPsecパススルー動作がすべてのIPsecパススルートラフィックに対して無効になるように set security alg ike-esp-nat enable ステートメントを設定します。
次に、タイムアウト値を設定して、IKEとESP ALGがALG状態情報、ESPゲート、およびESPセッションを処理する時間を確保します。この例では、ALG 状態情報のタイムアウトを設定します。タイムアウトの範囲は 180 秒から 86400 秒です。デフォルトのタイムアウトは 14400 秒です。次に、IKE フェーズ 2 交換の完了後に作成された ESP ゲートのタイムアウトを設定します。タイムアウトの範囲は 2 秒から 30 秒です。デフォルトのタイムアウトは 5 秒です。最後に、IPsec ゲートから作成された ESP セッションのアイドル タイムアウトを設定します。セッションにトラフィックがヒットしない場合、この時間が経過するとセッションは期限切れになります。タイムアウトの範囲は 60 秒から 2400 秒です。デフォルトのタイムアウトは 1800 秒です。
構成
プロシージャ
CLIクイック構成
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security alg ike-esp-nat enable set security alg ike-esp-nat esp-gate-timeout 20 set security alg ike-esp-nat esp-session-timeout 2400 set security alg ike-esp-nat state-timeout 360
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
IKE と ESP の ALG を有効にし、タイムアウト値を設定するには、次の手順に従います。
IKEとESP ALGを有効にします。
[edit] user@host# set security alg ike-esp-nat enable
ALG 状態情報のタイムアウトを設定します。
[edit security alg ike-esp-nat] user@host# set state-timeout 360
IKE フェーズ 2 交換の完了後に作成された ESP ゲートのタイムアウトを設定します。
[edit security alg ike-esp-nat] user@host# set esp-gate-timeout 20
IPsec ゲートから作成された ESP セッションのアイドル タイムアウトを設定します。
[edit security alg ike-esp-nat] user@host# set esp-session-timeout 2400
業績
設定モードから、 show security alg コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security alg
ike-esp-nat {
enable;
state-timeout 360;
esp-gate-timeout 20;
esp-session-timeout 2400;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
プラットフォーム固有のIKE ALGの動作
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。
| プラットホーム |
差 |
|---|---|
| SRX シリーズ |
|