Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vpn (Security)

構文

階層レベル

形容

IPSec VPN を構成します。VPNは、リモートコンピューターがインターネットなどのパブリックWANを介して安全に通信するための手段を提供します。VPN 接続は、2 つの LAN(サイトツーサイト VPN)またはリモートのダイヤルアップ ユーザーと LAN をつなげることができます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを通過します。WAN を通過中の VPN 通信を保護するために、2 点間で IP セキュリティ(IPsec)トンネルが作成されます。IPsec は、IP パケット レイヤーでの通信を暗号で保護するための、関連プロトコルのセットです。

オプション

vpn-name

VPN の名前。

bind-interface

ルートベースの仮想プライベートネットワーク(VPN)がバインドされているトンネルインターフェイスを設定します。

copy-outer-dscp

外部 IP ヘッダー暗号化パケットから復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージへの差別化されたサービス コード ポイント(DSCP)(外部 DSCP+ECN)フィールドのコピーを有効にします。この機能を有効にするメリットは、IPsec 復号化後、クリア テキスト パケットが内部 CoS(DSCP+ECN)ルールに従うことができることです。

distribution-profile

トンネルを分散するために、distribution-profileを指定します。 distribution-profile オプションは、特定の VPN オブジェクトに関連付けられたトンネルをシャーシ内のどの PIC で処理するかを管理者が選択できるようにするために導入されました。 default-spc3-profiledefault-spc2-profile などの既定のプロファイルが選択されていない場合は、新しいユーザー定義プロファイルを選択できます。プロファイルでは、フレキシブルPICコンセントレータ(FPC)スロットとPIC番号を記載する必要があります。このようなプロファイルがVPNオブジェクトに関連付けられている場合、一致するすべてのトンネルがこれらのPIC全体に分散されます。

  • 価値観:

    • default-spc2-profile—SPC2 にのみトンネルを配信するためのデフォルト グループ

    • default-spc3-profile—SPC3 でのみトンネルを配布するためのデフォルト グループ

    • distribution-profile-name:ディストリビューション プロファイルの名前。

df-bit

デバイスが外部ヘッダーの DF(Don't Fragment)ビットを処理する方法を指定します。

SRX5400、SRX5600、SRX5800 デバイスでは、元のパケット サイズが st0 インターフェイス MTU より小さく、かつ 外部インターフェース-ipsec オーバーヘッドよりも大きい場合にのみ、VPN の DF ビット設定が機能します。

  • 価値観:

    • clear- 外部ヘッダーから DF ビットをクリア(ディセーブル)にします。これがデフォルトです。

    • copy- DF ビットを外部ヘッダーにコピーします。

    • set- 外部ヘッダーの DF ビットを設定(有効)します。

establish-tunnels

IKEを有効にするタイミングを指定します。VPN情報を設定し、設定変更がコミットされた直後、またはデータトラフィックが流れたときのみ。この設定を指定しない場合、IKE はデータ トラフィックが流れる場合にのみアクティブになります。

  • 価値観:

    • immediately- IKE は、vpn 設定の変更がコミットされた直後にアクティブになります。

      Junos OS リリース 15.1X49-D70 以降では、IKE ユーザー タイプが group-ike-id または shared-ike-id IKE ゲートウェイ(AutoVPN やリモート アクセス VPN など)で IKE ゲートウェイに establish-tunnels immediately オプションを設定すると、警告メッセージが表示されます。複数のVPNトンネルが1つのvpnに関連付けられている可能性があるため、establish-tunnels immediatelyオプションはこれらのVPNには適していません。設定のコミットは成功しますが、establish-tunnels immediately設定は無視されます。トンネル インターフェイスの状態は常にアップ状態になります。これは、establish-tunnels immediately オプションが設定された以前のリリースにはありませんでした。

    • on-traffic- IKE はデータ トラフィックがフローする場合にのみアクティブになり、ピア ゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。

    • responder-only—ピア ゲートウェイ によって開始された IKE ネゴシエーションに応答しますが、デバイスからの IKE ネゴシエーションは開始しません。このオプションは、別のベンダーのピア ゲートウェイが、トラフィックセレクターのプロトコル値とポート値を発信側ゲートウェイから受け取ることを想定している場合に必要です。responder-only Junos OS リリース 19.1R1 で追加された オプション。

      このオプションは、デフォルトでは有効になっていない統合 iked プロセスでサポートされています。管理者は、 request system software add optional://junos-ike.tgz コマンドを実行して junos-ike パッケージをロードする必要があります。

    • responder-only-no-rekey—オプションはデバイスからのVPNトンネルを確立しないため、VPNトンネルはリモートピアから開始されます。確立されたトンネルは、デバイスから鍵更新を開始せず、リモートピアに依存してこの鍵更新を開始します。鍵更新が行われない場合、ハード ライフタイムの期限が切れた後にトンネルがダウンします。

      このオプションは、デフォルトでは有効になっていない統合 iked プロセスでサポートされています。管理者は、 request system software add optional://junos-ike.tgz コマンドを実行して junos-ike パッケージをロードする必要があります。

ike

IKE鍵付きIPSec VPNを定義します。

manual

手動のIPsecセキュリティアソシエーション(SA)を定義します。

multi-sa

設定の選択に基づいて複数のセキュリティアソシエーション(SA)をネゴシエートします。複数の SA が、同じ IKE SA 上の同じトラフィック セレクターとネゴシエートします。

traffic-selector

ローカルIPアドレスプレフィックス、リモートIPアドレスプレフィックス、送信元ポート範囲、宛先ポート範囲、プロトコルの複数のセットをIPsec トンネルのトラフィックセレクターとして設定します。

match-direction

ルール一致が適用される方向

  • 価値観:

    • input—入力からインターフェイスへの一致

    • output—インターフェイスからの出力に一致

passive-mode-tunneling

IPSecカプセル化の前にアクティブなIPパケットチェックはありません

tunnel-mtu

最大送信パケットサイズ

  • 範囲: 256 から 9192

vpn-monitor

VPN監視の設定を行います。

残りのステートメントについては、別途説明します。 「CLI エクスプローラ」を参照してください。

必要な権限レベル

security—設定でこのステートメントを表示します。

セキュリティ管理ー設定にこのステートメントを追加します。

リリース情報

Junos OS リリース 8.5 で導入されたステートメント。

Junos OS リリース 11.1 で追加された IPv6 アドレスのサポート。

Junos OS リリース 15.1X49-D30 で追加された copy-outer-dscp のサポート。

verify-path キーワードと destination-ip は Junos OS リリース 15.1X49-D70 で追加されました。

packet-size Junos OS リリース 15.1X49-D120 で追加された オプション。

Junos OS リリース 21.1R1 で導入された termprotocolsource-portdestination-portmetricdescription オプションのサポート。

vpn-monitor 23.4R1 ではIPSec VPN実行中の iked プロセスでの Junos OS リリース オプションのサポートが追加されました。