IKE and ESP ALG
インターネット鍵交換(IKE)および ESP(セキュリティ ペイロードのカプセル化)は、IP セキュリティ(IPsec)プロトコルの一部です。IKE ESP トラフィックは、クライアントとサーバー間で交換されます。IKE ESP ALG は、IPsec VPN が有効になっているデバイスを通過するときに IPsec VPN の問題を解決NATします。
サービス のIKEと ESP ALG について
NFX シリーズ または SRX シリーズ デバイスは、NAT ゲートウェイのプライベート側の VPN クライアントとパブリック側の VPN(仮想プライベート ネットワーク)ゲートウェイの間に配置する場合、ネットワーク アドレス変換(NAT)デバイスとしてのみ使用できます。
インターネット鍵交換(IKE)および ESP(セキュリティ セキュリティ カプセル化ペイロード)トラフィックは、クライアントとサーバー間で交換されます。しかし、クライアントが NAT トラバーサル(NAT-T)をサポートしていない場合、デバイスが同じ NAT 生成 IP アドレスを 2 つ以上のクライアントに割り当てると、デバイスはリターン トラフィックを適切に識別してルーティングできません。
ユーザーが NAT-T 対応クライアントと非 NAT-T 対応クライアントの両方をサポートする場合、追加の設定が必要になります。NAT-T 対応クライアントがある場合、ユーザーは送信元アドレスの保持NAT有効にする必要があります。
IKE および ESP の ALG は、クライアントとサーバー間の IKE トラフィックを監視し、任意のクライアントと任意のサーバー間の 1 つの交換だけでなく、任意のクライアント/サーバー ペア間の IKE フェーズ 2 メッセージ交換を 1 つのみ許可します。
ALG IKEおよび ESP トラフィックが作成され、NATを実装するために拡張されました。
送信元プールでデバイスがIKE ESPトラフィックを渡NATするには
デバイスが、同じ IP アドレスに対して同一の NAT 生成 IP アドレスを返す設定を許可するために、デバイスに対して NAT(「アドレス永続的ホスト」)をNAT。その結果、デバイスは、特にIKEセッションがタイムアウトし、再確立が必要な場合に、クライアントの送信IKEトラフィックとサーバーからのリターントラフィックを関連付けることができます。
クライアントとサーバー間の結果として生じる ESP トラフィックも、特にサーバーからクライアントへの方向で許可されます。
返される ESP トラフィックは、以下の一致します。
送信元IPとしてのサーバーIPアドレス
宛先 IP としてのクライアント IP アドレス
SRX1400、SRX1500、SRX3400、SRX3600、SRX5600、SRX5800のデバイスでは、NATトラバーサルに関連するIKEネゴシエーションは、IKEピアがNATデバイスの背後にある場合、ネゴシエーション中にIKEパケットの送信元IPアドレスを変更する場合は機能しません。たとえば、NAT デバイスを DIP で設定した場合、IKE プロトコルで UDP ポートが 500 から 4500 に切り替わるため、送信元 IP が変更されます。(プラットフォームのサポートは、インストールJunos OSのリリースによって異なります)。
サービスIKE ESP ALG 運用について
アプリケーション層(インターネット鍵交換IKE)および ESP(セキュリティ セキュリティペイロードのカプセル化)トラフィック用の ALG(ALG)は、次の動作をします。
IKE と ESP ALG は、クライアントとサーバー間の IKE トラフィックを監視し、いつでもクライアントとサーバー間の IKE フェーズ 2 メッセージ交換を 1 回のみ許可します。
フェーズ 2 メッセージの場合:
クライアントとサーバー間のフェーズ 2 メッセージ交換が発生しない場合、クライアントからサーバーへの、またはサーバーからクライアントへの関連する ESP トラフィックに対して、IKE ALG ゲートが開きます。
両方IKE ALG ゲートが正常にオープンされていない場合、またはフェーズ 2 のメッセージ交換がすでに行されている場合、フェーズ 2 メッセージはドロップされます。
ESP トラフィックが IKE ALG ゲートにヒットすると、後続の ESP トラフィックをキャプチャし、適切な NATING を実行するためにセッションが作成されます(つまり、クライアントからサーバー トラフィックへの送信元 IP アドレス変換、サーバーからクライアント トラフィックへの宛先 IP アドレス変換)。
ESPトラフィックがいずれかのゲートのいずれかまたは両方に当たらされない場合、ゲートは自然に時間を取ります。
ALG IKEが集約またはタイム アウトすると、フェーズ 2 のIKEの交換が許可されます。
IKE NAT ポート 4500 上の IKE-T トラフィックは、ALG IKEされません。NAT-T 対応クライアントと非対応クライアントを混合してサポートするには、送信元とアドレスの永続的なNAT必要があります。
例: デバイス のIKE ESP ALG の設定
この例では、デバイス上のソース IKE プールで IKE および ESP トラフィックを通過すように IKE および ESP ALG を設定するNATについてジュニパーネットワークスしています。
要件
開始する前に、以下を実行します。
ソース プール内のすべての IP アドレスにプロキシ ARP をNATします。
ESP ALG の概念IKEを理解する。「ESP ALG IKEと ESP ALG の動作について 」を参照してください。
概要
この例では、IKEおよびESPのLGを監視し、IKE ジュニパーネットワークスおよびESPトラフィックを、デバイスの反対側に位置するクライアントとサーバー間で交換するように設定されています。
この例では、ソース NAT プールとルール セットを設定し、IKE と ESP ALG をサポートするカスタム アプリケーションを設定し、この ALG をポリシーに関連付ける方法を示しています。
NAT-T(NAT-T)対応クライアントと、不可構成のクライアントを混合してサポートしたい場合、永続的ソース NAT 変換を有効にする必要があります(特定のソース NAT が特定の IP アドレスに関連付けられたら、後続の送信元 NAT 変換で同じ IP アドレスが使用されます)。UDP ポート 4500 での IKE NAT IKE および ESP のカプセル化をサポートするには、カスタム ファイアウォール トラバーサル アプリケーションを設定する必要があります。この設定では、IKE ESP がデバイス対応デバイスNAT通過できます。
トポロジ
構成
- ソース プールNATルール セットの設定
- カスタム アプリケーションの設定とポリシーへの関連付け
- IKE-T 対応NATと非カプセル化できないクライアントの両方に対するインターフェイスと ESP ALG サポートの設定
ソース プールNATルール セットの設定
CLI迅速な設定
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32 set security zones security-zone green address-book address sa1 1.1.1.0/24 set security zones security-zone red address-book address da1 2.2.2.0/24 set security nat source rule-set rs1 from zone green set security nat source rule-set rs1 to zone red set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool pool1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 CLI ユーザー ガイド 」の「 設定モードでの CLI エディターの使用 」を参照してください。
ソース プールを設定するには、以下NATします。
アプリケーション ソース プールNAT作成します。
[edit ] user@host# set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
アドレス セキュリティ ゾーン エントリを設定します。
[edit] user@host# set security zones security-zone green address-book address sa1 1.1.1.0/24 user@host# set security zones security-zone red address-book address da1 2.2.2.0/24
ソース ルール NAT セットを作成します。
[edit security nat source rule-set rs1] user@host# set from zone green user@host# set to zone red user@host# set rule r1 match source-address 1.1.1.0/24 user@host# set rule r1 match destination-address 2.2.2.0/24 user@host# set rule r1 then source-nat pool pool1
結果
設定モードから、 コマンドを入力して設定を確認 show security nat
します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host# show security nat source { pool pool1 { address { 10.10.10.1/32 to 10.10.10.10/32; } } rule-set rs1 { from zone green; to zone red; rule r1 { match { source-address 1.1.1.0/24; destination-address 2.2.2.0/24; } then { source-nat { pool { pool1; } } } } }
デバイスの設定が完了したら、設定モード commit
から を入力します。
カスタム アプリケーションの設定とポリシーへの関連付け
CLI迅速な設定
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-alg set security policies from-zone green to-zone red policy pol1 then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI使用 」を参照してください。
カスタム アプリケーションを設定し、ポリシーに関連付ける方法は、以下の通りです。
カスタム アプリケーションを設定します。
[edit] user@host# set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
カスタム アプリケーションをポリシーに関連付ける。
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-alg user@host# set then permit
結果
設定モードから、 および コマンドを入力して設定 show applications
を確認 show security zones
します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show applications application custom-ike-alg { application-protocol ike-esp-nat; protocol udp; source-port 500; destination-port 500; }
[edit] user@host# show security zones security-zone Trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone green { address-book { address sa1 1.1.1.0/24; } } security-zone red { address-book { address da1 2.2.2.0/24; } }
デバイスの設定が完了したら、設定モード commit
から を入力します。
IKE-T 対応NATおよび非カプセル化できないクライアントの両方に対するサービス インターフェイスと ESP ALG サポートの設定
CLI迅速な設定
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set security nat source address-persistent set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500 set security policies from-zone green to-zone red policy pol1 match source-address sa1 set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-natt set security policies from-zone green to-zone red policy pol1 then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI使用 」を参照してください。
IKE-T IKEおよび非カプセル化クライアントの両方に対してNAT ESP ALG サポートを設定するには、次の手順に示します。
グローバルで持続的なソース 変換NAT可能。
[edit] user@host# set security nat source address-persistent
IKE NAT-T アプリケーションを設定します。
[edit] user@host# set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500
ポリシーを使用NATして NAT-T アプリケーションを関連付ける。
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-natt user@host# set then permit
結果
設定モードから、 および コマンドを入力して設定 show security nat
を確認 show security policies
します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security nat source { address-persistent; }
[edit] user@host# show security policies from-zone green to-zone red { policy pol1 { match { source-address sa1; destination-address da1; application [ custom-ike-alg custom-ike-natt ]; } then { permit; } } } default-policy { permit-all; }
デバイスの設定が完了したら、設定モード commit
から を入力します。
検証
設定が正常に機能確認するには、次のタスクを実行します。
アプリケーションIKE ESP ALG カスタム アプリケーションの検証
目的
ホスト と ESP ALG をサポートするカスタム アプリケーションIKEが有効になっているか検証します。
アクション
動作モードから コマンドを入力 show security alg status
します。
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Enabled
意味
出力には、ALG ステータスが次のように表示されます。
有効 — ALG が有効になっている場合を示します。
無効 — ALG が無効になっている状態を示します。
ALG のセキュリティ ポリシーの検証
目的
ALG のアプリケーション カスタム アプリケーションと IKE NATT が設定IKEを検証します。
アクション
動作モードから コマンドを入力 show security policies
します。
user@host> show security policies
Default policy: permit-all From zone: green, To zone: red Policy: pol1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source addresses: sa1 Destination addresses: da1 Applications: custom-ike-alg, custom-ike-natt Action: permit
意味
サンプル出力を見て、ALG とカスタム IKE NATT アプリケーションのカスタム IKE設定が行なっています。
例: デバイス のIKE ESP ALG の有効化およびタイムアウトの設定
この例では、IKEおよびESP ALGを有効にし、ALGの状態情報、ESPゲート、ESPセッションを処理する時間を許可するタイムアウト値を設定する方法を示しています。
要件
サービスおよび ESP 向け ALG の概念IKE理解する。「ESP ALG IKEと ESP ALG の動作について 」を参照してください。
概要
オプションIKE ESP ALG は、ALG がアタッチされているポリシーで指定されたトラフィックすべてのトラフィックを処理します。この例では、ステートメントを設定して、ポリシーに関係なく、すべての IPsec パススルー トラフィックで現在のデフォルトの IPsec パススルー動作が set security alg ike-esp-nat enable 無効になります。
次に、タイムアウト値を設定して、IKE ESP ALG の状態情報、ESP ゲート、ESP セッションを処理する時間を指定します。この例では、ALG状態情報のタイムアウトを設定します。タイムアウト範囲は、180~86400秒です。デフォルトのタイムアウトは1,4400秒です。次に、入力フェーズ 2 の交換が完了した後IKE ESP ゲートのタイムアウトを設定します。タイムアウト範囲は2~30秒です。デフォルトのタイムアウトは5秒です。最後に、IPsec ゲートから作成された ESP セッションのアイドル タイムアウトを設定します。セッションにトラフィックがアクセスしきれない場合、その期間を過ごした後で終了します。タイムアウト範囲は、60~2400秒です。デフォルトのタイムアウトは1800秒です。
構成
手順
CLI迅速な設定
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set security alg ike-esp-nat enable set security alg ike-esp-nat esp-gate-timeout 20 set security alg ike-esp-nat esp-session-timeout 2400 set security alg ike-esp-nat state-timeout 360
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 CLI ユーザー ガイド 」の「 設定モードでの CLI エディターの使用 」を参照してください。
IKE ESP ALG を有効にし、タイムアウト値を設定するには、次の方法に示します。
デバイスと ESP ALG IKEを有効にする。
[edit] user@host# set security alg ike-esp-nat enable
ALG状態情報のタイムアウトを設定します。
[edit security alg ike-esp-nat] user@host# set state-timeout 360
フェーズ 2 の交換が完了した後に作成IKE ESP ゲートのタイムアウトを設定します。
[edit security alg ike-esp-nat] user@host# set esp-gate-timeout 20
IPsecゲートから作成されたESPセッションのアイドル タイムアウトを設定します。
[edit security alg ike-esp-nat] user@host# set esp-session-timeout 2400
結果
設定モードから、 コマンドを入力して設定を確認 show security alg
します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security alg ike-esp-nat { enable; state-timeout 360; esp-gate-timeout 20; esp-session-timeout 2400; }
デバイスの設定が完了したら、設定モード commit
から を入力します。