インライン IPsec
インライン IPsec の概要
IPsecアーキテクチャは、IPバージョン4(IPv4)およびIPバージョン6(IPv6)ネットワークレイヤーにセキュリティスイートを提供します。このスイートは、送信元、データ整合性、機密性、リプレイ保護、送信元否認防止を提供します。
インライン IPsec アーキテクチャは、IPsec 操作をサポートする特殊な IPsec エンジン ブロックで構成されています。PFE(パケット転送エンジン)は、サービスカードにオフロードすることなく、PFE内でIPsec暗号化または復号化をインラインで実行できます。したがって、インラインIPsecはより高いスループットを達成できます。
インラインIPsecデータプレーンの顕著な機能
次に、IPsecデータプレーンの顕著な特徴を示します
-
IPv4 と IPv6 の両方の IPsec プロトコルをサポート
-
128ビット鍵と256ビット鍵のAES-GCMをサポート
-
シャーシ当たり最大2,000のトンネルをサポート
-
各転送 ASIC は、2 つのパケット転送エンジンをサポートします。Junos OS リリース 24.4R1 以降では、両方のパケット転送エンジンを設定して、最大 600Gbps の半二重(PFE あたり 300Gbps の半二重)をサポートできます。
プラットフォームとJunosバージョンサポートの詳細については、 Feature Explorerを参照してください。
図 1 は、インライン IPsec データ プレーン、コントロール プレーン、管理プレーンと API インターフェイスのアーキテクチャを示しています。
インライン サービス インターフェイスは、パケット転送エンジン に常駐する仮想インターフェイスです。詳細については、 インライン サービス インターフェイスの有効化を参照してください。
インラインIPsecサービスをサポートするMXシリーズ ルーターは、MS-MPCやSPC3のようなサービスカードを使用しません。代わりに、si-fpc/pic/portの命名規則を使用して、MPCにインラインIPsecサービスを設定できます。ただし、インラインIPsecサービスを設定するには、MXシリーズルーターで次世代サービスを有効にする必要があります。詳細については、「 統合サービス フレームワーク 」を参照してください。
si/fpc/pic/port-numberの形式でPICごとに4つのsi ifdを持つインラインサービスを設定できます。fpcが0で、picが0の場合、si-0/0/0、 si-0/0/1、si-0/0/2、si-0/0/3の4つのsiifdを持つことができます。
次の機能がサポートされています。
-
IPv4 と IPv6 の両方のカプセル化に対応する IPsec SA 用の AES-128-GCM と AES-256-GCM を使用した ESP トンネル モード。
-
32 ビットおよび拡張シーケンス番号 (64 ビット)。
-
ローカルおよびリモート ID を使用した IKEV2、再認証、x509 証明書を使用した認証、IKE フラグメント化。
-
デッドピア検出
-
VPNごとのTunnel-MTUがサポートされます。IPsec パケットが設定された MTU を超える場合、パケットは事前にフラグメント化されてから ESP カプセル化されます。これにより、ESP カプセル化後のフラグメント化が防止されます。
-
SA ライフタイム(秒)(IKE および IPsec のキー更新)
-
ESP パケットの UDP カプセル化。
次の機能はサポートされていません。
-
AH(認証ヘッダー)
-
トランスポート モード
-
復号化前のIPv4パケットの再構成
-
RFC4543による Null 暗号化
-
IKE-V1
インライン IPsec でサポートされる IPsec および IKE 機能 に、インライン IPsec でサポートされている IPSec および IKE 機能を示します。
| 特徴 |
IKEに適用可能 |
IPsec に適用可能 |
|---|---|---|
| MD5 |
はい |
いいえ |
| SHA-256 |
はい |
いいえ |
| SHA-384 |
はい |
いいえ |
| SHA-512 |
はい |
いいえ |
| AES-128-GCM |
はい |
はい |
| AES-256-GCM |
はい |
はい |
| 3DES-CBC |
はい (非推奨) |
いいえ |
| AES-128-CBC |
はい |
いいえ |
| AES-192-CBC |
はい |
いいえ |
| AES-256-CBC |
はい |
いいえ |
| DES-CBC |
はい (非推奨) |
いいえ |
SA(セキュリティ アソシエーション)は、2 つのホストが IPsec によって安全に相互に通信できるようにするシンプレックス接続です。SA は、暗号化および整合性アルゴリズム、暗号化キー、セキュリティ ポリシー、および SA のライフタイムをカプセル化します。IKE SA には IPsec SA を確立するための属性が含まれており、IPsec SA は実際のデータ トラフィックを暗号化するための属性を定義します。
Junos RE デーモンである ike-key-management-daemon(IKED)は、IKE および IPsec SA のライフタイムを維持します。IKE 構成は、ピア セキュリティ ゲートウェイとのセキュアな接続を確立するために使用されるアルゴリズムとキーを定義します。
セキュリティ アソシエーション
IPsec セキュリティ サービスを使用するには、2 つのエンドポイント間に SA を作成します。SA は、2 つのホストが IPsec によって安全に通信できるようにするシンプレックス接続です。SA には 2 つのタイプがあります。
-
手動 SA にはネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。手動 SA は、使用する SPI(セキュリティ パラメータ インデックス)の値、アルゴリズム、および鍵を静的に定義し、トンネルの両端で一致する設定が必要です。各ピアには、通信が実行されるために同じ設定されたオプションある必要があります。
-
ダイナミック SA には追加の設定が必要です。.IKE は動的なセキュリティ アソシエーションを作成します。IPsec の SA をネゴシエートします。IKE 構成は、ピア セキュリティ ゲートウェイとのセキュアな IKE 接続を確立するために使用されるアルゴリズムと鍵を定義します。次に、この接続を使用して、動的 IPsec SA で使用される鍵やその他のデータについて動的に同意します。IKE SA は、最初にネゴシエートされ、次に動的 IPsec SA を決定するネゴシエーションを保護するために使用されます。
IKE
IKE は、動的 SA を作成する鍵管理プロトコルです。IPsec の SA をネゴシエートします。IKE 構成は、ピア セキュリティ ゲートウェイとのセキュアな接続を確立するために使用されるアルゴリズムとキーを定義します。
IKE は、以下のタスクを実行します。
-
IKE および IPsec パラメータをネゴシエートおよび管理します。
-
セキュアな鍵交換を認証します。
-
パスワードではなく、共有された秘密鍵と公開鍵による相互ピア認証を提供します。
-
ID 保護を提供します(メイン モード)。
インラインIPsecは、IKEバージョン2(IKE v2)のみをサポートします。IKE はセキュリティ属性をネゴシエートし、共有秘密を確立して、双方向 IKE SA を形成します。IKE SA がネゴシエートされると、インバウンドとアウトバウンドの IPsec SA が確立され、IKE SA が IPsec SA の交換を確保します。また、IKE は、鍵情報の生成、完全転送機密保持の提供、および ID の交換も行います。
レスポンダのみのモードでは、MXシリーズルーターはIKEネゴシエーションを開始せず、ピア ゲートウェイによって開始されたIKEネゴシエーションにのみ応答します。これは、シスコ デバイスなど、他のベンダーの機器と相互運用する場合に必要になる場合があります。MXシリーズはトラフィックセレクターのプロトコルとポートの値をサポートしていないため、これらの値を必要とする別のベンダーのピア ゲートウェイへのIPsec トンネルを開始できません。MXシリーズで応答専用モードを設定することで、MXはピア ゲートウェイから開始されたIKEネゴシエーションでトラフィックセレクターを受け入れることができます。
図 2 は、ピア ゲートウェイ間の IPsec SA および IKE 交換を示しています。
デッドピア検出(DPD)
DPDは、IKEピアのライブ性を検証し、IPsec トラフィックのブラックホール化を回避するために使用される方法です。デバイスは、DPD プローブ(R-U-THERE メッセージ)を定期的に送信し、DPD 応答(R-U-THERE-ACKメッセージ)を待機することで、この検証を実行します。
DPD は、次のモードで設定できます。
-
always-send—ピアにIPsec トラフィックを送信するかどうかにかかわらず、一定の間隔で DPD プローブを送信するようにデバイスに指示します。
-
optimized—発信パケットがピアに送信された後、設定された間隔内に着信IKEまたはIPsec トラフィックがない場合、DPDプローブを送信します。これはデフォルトのDPD モードです。
-
probe-idle-tunnel—ピア間のトラフィックがアイドル状態のときに DPD プローブを送信します。
NAT-T
ネットワークアドレス変換トラバーサル(NAT-T)は、IPsecで保護されたデータが、アドレス変換のためにNATで設定されたデバイスを通過する際に発生するIPアドレス変換関連の問題を管理するために使用される方法です
IPsec WAN接続
インラインIPsecをサポートするMXシリーズルーターには、YT ASICごとに2つのパケット転送エンジン(PFE)スライスがあります。各PFEスライスは、最大800Gbpsの帯域幅に対応しています。各 PFE スライスには 2 つのポート グループ(PG)があり、YT あたり合計 4 つの PG があります
各 PG は、通常(非 IPsec トラフィック)の WAN 接続用に最大 400 Gbps の帯域幅をサポートします。各PFEスライスのポートグループ0は、IPsecをサポートできます。
IPsecをサポートする各ポートグループは、IPsec トラフィックに対して最大300 GbpsのWAN接続をサポートできますが、残りの100 Gbpsは非IPsec トラフィックに使用できます。
show chassis fpc slot-number pic slot-number を使用して、ポートのポートグループ情報とWAN接続ステータスを表示できます。
| プラットホーム |
差 |
|---|---|
| MX304 |
グレースフル LMIC の活性挿抜をサポート |
参照
例:ポイントツーポイント インライン IPSec トンネルの設定
この例では、2 つのサイト間でデータを安全に転送できるように、ポイントツーポイントのインライン IPsec トンネルを設定する方法を示します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Unified Services が有効で、必要なライセンス サポートがある MX304 デバイス。デバイスで統合サービスを有効にするには、CLIから
request system enable unified-servicesを実行し、デバイスを再起動します。詳細については、(ユニファイドサービスフレームワーク)を参照してください。Junos OS リリース 24.2R1以降(MXシリーズルーターの場合)
概要
図 1 は、2 つの MX304 ピア(Peer1 と Peer2)間に確立されたインライン IPSec トンネルを使用したトポロジーを示しています。この例では、Peer1(MX304)とPeer2(MX304)でルートベースのVPNを設定します。Host1とHost2は、VPNを使用して、インターネットを介して両ホスト間でトラフィックを安全に送信します。
この例では、インラインサービス(PICでインラインサービスを有効にするため)、サービスセット、セキュリティポリシー、インターフェイス、およびIPv4デフォルトルートを設定します。この例で使用されている特定の設定パラメータについては、 表 3 から 表 7 を参照してください。
特徴 |
設定パラメータ |
|---|---|
インラインサービス |
インラインサービス |
特徴 |
名前 |
設定パラメータ |
|---|---|---|
サービスセット |
SS1の |
inside-service-interface(si-0/0/0) 外部サービスインターフェイス(si-0/0/0.1) IPsec-VPN はipsec_vpn |
特徴 |
名前 |
設定パラメータ |
|---|---|---|
建議 |
ike_prop |
認証方法:事前共有キー |
政策 |
ike_policy |
|
ゲートウェイ |
ike_gw |
|
特徴 |
名前 |
設定パラメータ |
|---|---|---|
建議 |
ike_prop |
|
政策 |
ike_policy |
|
VPN |
ipsec_vpn |
|
特徴 |
名前 |
設定パラメータ |
|---|---|---|
インターフェイス |
|
|
スタティックルート |
2.2.2.0/24 |
ネクスト ホップは st0.1 です。 |
構成
この例では、インライン サービスを有効にし、サービスセット パラメータ、IKE および IPsec 設定パラメータ、および Peer1 のインターフェイスと静的ルートの設定を行います。Peer2 の IPSec ゲートウェイ アドレス、インターフェイス アドレスなどを変更しても同じ設定を使用できます。
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルの CLI にコピー&ペーストしてください。
set chassis fpc 0 pic 0 inline-services set services service-set ss1 next-hop-service inside-service-interface si-0/0/0.0 set services service-set ss1 next-hop-service outside-service-interface si-0/0/0.1 set services service-set ss1 ipsec-vpn ipsec_vpn set security ike proposal ike_prop description "IKE Proposal" set security ike proposal ike_prop authentication-method pre-shared-keys set security ike policy ike_policy mode main set security ike policy ike_policy proposals ike_prop set security ike policy ike_policy pre-shared-key ascii-text "test123" set security ike gateway ike_gw ike-policy ike_policy set security ike gateway ike_gw address 16.1.1.1 set security ike gateway ike_gw external-interface et-0/2/10 set security ike gateway ike_gw local-address 16.1.1.2 set security ike gateway ike_gw version v2-only set security ipsec proposal ipsec_prop description "IPSec Proposal" set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop encryption-algorithm aes-256-gcm set security ipsec policy ipsec_policy proposals ipsec_prop set security ipsec vpn ipsec_vpn bind-interface st0.1 set security ipsec vpn ipsec_vpn copy-outer-dscp set security ipsec vpn ipsec_vpn ike gateway ike_gw set security ipsec vpn ipsec_vpn ike ipsec-policy ipsec_policy set security ipsec vpn ipsec_vpn establish-tunnels immediately set interfaces et-0/0/0 unit 0 family inet address 1.1.1.1/24 set interfaces si-0/0/0 unit 0 family inet set interfaces si-0/0/0 unit 0 family inet6 set interfaces si-0/0/0 unit 0 service-domain inside set interfaces si-0/0/0 unit 1 family inet set interfaces si-0/0/0 unit 1 family inet6 set interfaces si-0/0/0 unit 1 service-domain outside set interfaces et-0/2/10 unit 0 family inet address 16.1.1.2/24 set interfaces st0 unit 1 family inet set routing-options static route 2.2.2.0/24 next-hop st0.1
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください
MX304ルーターでインラインIPsecを設定するには:
インラインサービスを有効にします。
[edit] user@host# set chassis fpc 0 pic 0 inline-services
サービスセットを設定します
[edit] user@host# set services service-set ss1 next-hop-service inside-service-interface si-0/0/0.0 user@host# set services service-set ss1 next-hop-service outside-service-interface si-0/0/0.1 user@host# set services service-set ss1 ipsec-vpn ipsec_vpn
セキュリティを設定する IKE の提案
[edit] user@host# set security ike proposal ike_prop description "IKE Proposal" user@host# set security ike proposal ike_prop authentication-method pre-shared-keys
セキュリティ IKE ポリシーを構成する
[edit] user@host# set security ike policy ike_policy mode main user@host# set security ike policy ike_policy proposals ike_prop user@host# set security ike policy ike_policy pre-shared-key ascii-text test123
セキュリティ IKE ゲートウェイを構成する
[edit] user@host# set security ike gateway ike_gw ike-policy ike_policy user@host# set security ike gateway ike_gw address 16.1.1.1 user@host# set security ike gateway ike_gw external-interface et-0/2/10 user@host# set security ike gateway ike_gw local-address 16.1.1.2 user@host# set security ike gateway ike_gw version v2-only
セキュリティIPsecプロポーザルを構成する
[edit] user@host# set security ipsec proposal ipsec_prop description "IPSec Proposal" user@host# set security ipsec proposal ipsec_prop protocol esp user@host# set security ipsec proposal ipsec_prop encryption-algorithm aes-256-gcm
セキュリティ IPsec ポリシーの構成
[edit] user@host# set security ipsec policy ipsec_policy proposals ipsec_prop
セキュリティを設定する IPSec VPN
[edit] user@host# set security ipsec vpn ipsec_vpn bind-interface st0.1 user@host# set security ipsec vpn ipsec_vpn copy-outer-dscp user@host# set security ipsec vpn ipsec_vpn ike gateway ike_gw user@host# set security ipsec vpn ipsec_vpn ike ipsec-policy ipsec_policy user@host# set security ipsec vpn ipsec_vpn establish-tunnels immediately
インターフェイスを設定します。
[edit] user@host# set interfaces et-0/0/0 unit 0 family inet address 1.1.1.1/24 user@host# set interfaces si-0/0/0 unit 0 family inet user@host# set interfaces si-0/0/0 unit 0 family inet6 user@host# set interfaces si-0/0/0 unit 0 service-domain inside user@host# set interfaces si-0/0/0 unit 1 family inet user@host# set interfaces si-0/0/0 unit 1 family inet6 user@host# set interfaces si-0/0/0 unit 1 service-domain outside user@host# set interfaces et-0/2/10 unit 0 family inet address 16.1.1.2/24 user@host# set interfaces st0 unit 1 family inet user@host# set interfaces st0 unit 1 family inet6
静的ルートの設定
[edit] user@host# set routing-options static route 2.2.2.0/24 next-hop st0.1
業績
設定モードで、 show security ike コマンドと show security ipsec コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit security ike]
root@peer1# show
proposal ike_prop {
description "IKE Proposal";
authentication-method pre-shared-keys;
}
policy ike_policy {
mode main;
proposals ike_prop;
pre-shared-key ascii-text "$9$OY8RBcl8LNbYo7-"; ## SECRET-DATA
}
gateway ike_gw {
ike-policy ike_policy;
address 16.1.1.1;
external-interface et-0/2/10;
local-address 16.1.1.2;
version v2-only;
}
gateway ike_gwv6 {
ike-policy ike_policy;
address 1611::1;
external-interface et-0/2/10;
local-address 1611::2;
version v2-only;
}
[edit security ipsec]
root@peer1# show
proposal ipsec_prop {
description "IPSec Proposal";
protocol esp;
encryption-algorithm aes-256-gcm;
}
policy ipsec_policy {
proposals ipsec_prop;
}
vpn ipsec_vpn {
bind-interface st0.1;
ike {
gateway ike_gw;
ipsec-policy ipsec_policy;
}
establish-tunnels immediately;
}
検証
次のタスクを実行して、インライン IPsec 構成が正しく機能していることを確認します
IKEステータスの確認
目的
IKEのステータスを確認します。
アクション
動作モードで、 show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detail コマンドを使用します。
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 1 UP 422250f57a089b14 02ae4230bbf3c3fc IKEv2 16.1.1.1
user@host> show security ike security-associations index 1 Index State Initiator cookie Responder cookie Mode Remote Address 1 UP 422250f57a089b14 02ae4230bbf3c3fc IKEv2 16.1.1.1
user@host> show security ike security-associations index 1 detail
IKE peer 16.1.1.1, Index 1, Gateway Name: ike_gw
Role: Responder, State: UP
Initiator cookie: 422250f57a089b14, Responder cookie: 02ae4230bbf3c3fc
Exchange type: IKEv2, Authentication method: Pre-shared-keys
Local gateway interface: et-0/2/10.0
Routing instance: default
Local: 16.1.1.2:500, Remote: 16.1.1.1:500
Lifetime: Expires in 14789 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Enabled, Size: 576
Remote Access Client Info: Unknown Client
Peer ike-id: 16.1.1.1
AAA assigned IP: 0.0.0.0
PPK-profile: None
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1778
Output bytes : 1706
Input packets: 10
Output packets: 10
Input fragmented packets: 0
Output fragmented packets: 0
IPSec security associations: 10 created, 4 deleted
Phase 2 negotiations in progress: 1
IPSec Tunnel IDs: 500001
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 16.1.1.2:500, Remote: 16.1.1.1:500
Local identity: 16.1.1.2
Remote identity: 16.1.1.1
Flags: IKE SA is created
IPsec SA Rekey CREATE_CHILD_SA exchange stats:
Initiator stats: Responder stats:
Request Out : 0 Request In : 4
Response In : 0 Response Out : 4
No Proposal Chosen In : 0 No Proposal Chosen Out : 0
Invalid KE In : 0 Invalid KE Out : 0
TS Unacceptable In : 0 TS Unacceptable Out : 0
Res DH Compute Key Fail : 0 Res DH Compute Key Fail: 0
Res Verify SA Fail : 0
Res Verify DH Group Fail: 0
Res Verify TS Fail : 0
意味
show security ike security-associations コマンドの出力には、アクティブなIKE SAがすべて一覧表示されます。SAが表示されない場合は、IKEの確立に問題があることを意味します。設定でIKEポリシー パラメータと外部インターフェースの設定を確認してください。
SAが表示される場合は、次の情報を確認します。
[インデックス(Index)]:インデックス値は各IKE SAに固有のもので、
show security ike security-associations index detailコマンドで使用すると、SAに関する詳細情報を取得できます。Remote Address - リモート IP アドレスが正しいかどうかを確認します
状態
UP - IKE SAが確立されたことを示します。
DOWN - IKE SA の確立に問題があることを示します。
Mode:正しいモードが使用されていることを確認してください
設定で以下が適切か検証します。
外部インターフェイス(IKEパケットを受信するインターフェイスである必要があります)
IKEポリシー パラメータ
事前共有鍵情報
プロポーザル パラメータ(両方のピアで一致する必要があります)
show security ike security-associations index 1 detail コマンドは、インデックス番号 1 のセキュリティ アソシエーションに関する追加情報を表示します
使用している認証および暗号化アルゴリズム
一生
ロール情報
IPsecステータスの検証
目的
IPsec ステータスの確認
アクション
動作モードで、 show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detail コマンドを使用します。
user@host> show security ipsec security-associations Total active tunnels: 2 Total IPsec sas: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <500001 ESP:aes-gcm-256/aes256-gcm 0x8d92e737 3414/ unlim - root 500 16.1.1.1 >500001 ESP:aes-gcm-256/aes256-gcm 0x78634c46 3414/ unlim - root 500 16.1.1.1
user@host> show security ipsec security-associations index 500001
ID: 500001 Virtual-system: root, VPN Name: ipsec_vpn
Local Gateway: 16.1.1.2, Remote Gateway: 16.1.1.1
Local Identity: ipv4(0.0.0.0-255.255.255.255)
Remote Identity: ipv4(0.0.0.0-255.255.255.255)
TS Type: proxy-id
Version: IKEv2
Quantum Secured: No
PFS group: N/A
Passive mode tunneling: Disabled
DF-bit: clear, Copy-Outer-DSCP: Enabled, Bind-interface: st0.1 , Policy-name: ipsec_policy
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0
Multi-sa, Configured SAs# 0, Negotiated SAs#: 0
Tunnel events:
Sun Oct 13 2024 11:33:44: IPSec SA is deleted because received DEL notification from peer (5 times) <- [repeated sequence END]
Sun Oct 13 2024 11:33:43: IPsec SA rekey succeeds (5 times) <- [repeated sequence START]
Sun Oct 13 2024 07:27:27: IPsec SA negotiation succeeds (1 times)
Location: FPC 0, PIC 0
Anchorship: Thread 0
Distribution-Profile: si-0/0/0
Direction: inbound, SPI: 0x8d92e737, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3405 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2798 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-responder-only-no-rekey
IKE SA Index: 1
Direction: outbound, SPI: 0x78634c46, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3405 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2798 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: aes256-gcm, Encryption: aes-gcm (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Extended-Sequence-Number: Disabled
tunnel-establishment: establish-tunnels-responder-only-no-rekey
IKE SA Index: 1
意味
show security ipsec security-associations コマンドの出力には、次の情報が表示されます。
ID番号は500001です。この値を
show security ipsec security-associations indexコマンドと併用して、この特定の SA に関する詳細情報を取得します。ポート500を使用する1つのIPsec SAペアがあり、NATトラバーサルが未実装であることを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな数字の大きいポートを使用します。)
両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。 3405/ unlimited の値は 、ライフタイムの期限が 3405 秒後であることを示し、ライフサイズが指定されていないことから無制限であることを示します。IPsecはVPNが起動した後はIKEに依存しないため、ライフタイムがライフタイムと異なる可能性があります。
月曜の列にあるハイフンが示すとおり、このSAではVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。
show security ipsec security-associations index 500001 detail コマンドの出力には、次の情報が表示されます。
ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。
プロキシIDの不一致は、最も一般的なIPsecエラーの原因の1つです。IPsec SAが表示されない場合は、プロキシID設定などのIPsecプロポーザルが両方のピアに対して適切であるか確認します。ルートベースVPNの場合、デフォルトのプロキシIDはローカル = 0.0.0.0/0、リモート = 0.0.0.0/0です。
IPSec トンネルを介したトラフィックのテスト
目的
IPSecトンネル上のトラフィックフローを確認します。
アクション
クリアテキストの IPv4 トラフィックを Host1 から Host2 へ、またはその逆に送信します。
Host1 から Host2 へのトラフィック ストリーム: 送信元 IP: 1.1.1.1 および 宛先 IP: 2.2.2.2
Host1 から Host2 へのトラフィック ストリーム: 送信元 IP: 2.2.2.2 および 宛先 IP: 1.1.1.1
意味
Peer1 上:
Host1 から受信したクリアテキストの IPv4 トラフィックは、Peer2 に送信する前に暗号化されます
Peer2から受信した暗号化トラフィックは、Host1に送信する前に復号化されます
IPsecトラフィックの統計情報とエラーをグローバルに確認する
目的
IPsecセキュリティ アソシエーションにおける、ESPおよび認証ヘッダーのカウンターとエラーを確認します。
アクション
動作モードでは、 show security ipsec statistics を入力してグローバル レベルで統計情報を表示し、コマンド show security ipsec statistics index index_number を入力してIPsecインデックス番号を使用してトンネル インデックス レベルで統計情報を表示します。
user@host> show security ipsec statistics ESP Statistics: Encrypted bytes: 875126 Decrypted bytes: 1073684 Encrypted packets: 3677 Decrypted packets: 3677 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
user@host> show security ipsec statistics index 500001 ESP Statistics: Encrypted bytes: 875126 Decrypted bytes: 1073684 Encrypted packets: 3677 Decrypted packets: 3677 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
意味
VPN 全体でパケット損失の問題が発生した場合は、 show security ipsec statistics または show security ipsec statistics index index_number コマンドを数回実行して、暗号化および復号化されたパケット カウンターが増加しているかどうか確認します。エラー カウンターが増加しているかどうか、コマンドの出力を確認します。
clear security ipsec statistics コマンドを使用します。
インラインIPsecパケット転送
UDPカプセル化によるインラインIPsecマルチパス転送
ESPトラフィックのUDPカプセル化
IPsec は 2 つのピア間にセキュアなトンネルを提供し、IPsec カプセル化パケットには変更されないトンネル エンドポイント IP を含む IP ヘッダーが含まれます。これにより、 図 7 に示すように、ピア間で単一の転送パスが選択されます。IPsec トラフィックが数千のホストを持つデータ センター間を流れている場合、この 1 つのパス選択によってスループットが制限されます。
この問題は、 図 8 に示すように、IPsec パケットの UDP カプセル化を有効にし、ESP ヘッダーの後に UDP ヘッダーを追加することで解決できます。これにより、レイヤー3と4の情報が中間ルーターに提供され、IPsecパケットが複数のパスで転送されます( 図9 を参照)。サービスセットのUDPカプセル化を有効にします。
UDP 宛先ポートは、1025 から 65536 までの値で設定できます。デフォルトの宛先ポート番号は 500 です。4500はNATトラバーサルの既知のポートであるため、宛先ポートとして設定することはできません。
生成される送信元ポート値は 49152 から 65535 までです。
UDPカプセル化は、ネットワークアドレス変換トラバーサル(NAT-T)をサポートします
IPsecピア間のNATデバイスの検出は、UDPカプセル化設定よりも優先されます。2つのピア間でUDPカプセル化が設定されているが、同じピア間でNATが検出された場合、NATトラバーサルメカニズムが実装されます。
インバウンド IP パケットは、次の場合に破棄されます。
-
udp-encapsulationが有効で、受信した IP パケットに UDP ヘッダーがない場合。 -
udp-encapsulationが有効で、UDP 宛先ポートが設定済みと同じでない場合。 -
udp-encapsulationが有効で、UDP 宛先ポートが 500 でないか、構成されていない場合。
UDPカプセル化を有効または無効にし、UDP宛先ポートを設定するには:
グローバルな非標準宛先ポートを設定します。これは、IPsecのポートを登録または開くために必要です。デフォルトでは、ポート500とポート4500はIPsecにバインドされているため、割り当てることはできません。
[edit security ike] user@host> set packet-encapsulation dest-port dest-port
IKEゲートウェイでパケットカプセル化を有効にします。
[edit security ike gateway gw1] user@host> set packet-encapsulation
UDP宛先ポートを非標準ポートに設定します。
[edit security ike gateway gw1] user@host> set packet-encapsulation use-global-dest-port
フレキシブルトンネルインターフェイス(FTI)を使用したレイヤー3 VXLANトラフィックカプセル化
Junos OS は、FTI と VTEP VXLAN の両方を使用して、IPsec トンネルを介した VXLAN トラフィックをサポートします。詳細については、 フレキシブル トンネル インターフェイスの設定 および VXLAN についてを参照してください。
インライン IPsec でサポートされている IPsec および IKE の標準
以下の RFC は、IPsec、IKE、および関連技術に関する情報を提供します。
-
RFC 2085、 HMAC-MD5 IP 認証(リプレイ防御機能付き)
-
RFC 2401、 インターネットプロトコルのセキュリティアーキテクチャ(RFC 4301に置き換え)
-
RFC 2402、 IP認証ヘッダー (RFC 4302に置き換え)
-
RFC 2403 ESP および AH 内での HMAC-MD5-96 の使用
-
RFC 2404 The Use of HMAC-SHA-1-96 within ESP and AH ( RFC 4305 に置き換え)
-
RFC 2405、 明示的IVを使用したESP DES-CBC暗号アルゴリズム
-
RFC 2406 IP Encapsulating Security Payload(ESP)( RFC 4303 および RFC 4305 に置き換え)
-
RFC 2407 The Internet IP Security Domain of Interpretation for ISAKMP ( RFC 4306 に置き換え)
-
RFC 2408 Internet Security Association and Key Management Protocol (ISAKMP) (RFC 4306 に置き換え)
-
RFC 2409 The Internet Key Exchange (IKE) (RFC 4306 に置き換え)
-
RFC 2410 The NULL encryption algorithm and its use with IPsec (NULL 暗号化アルゴリズムと IPsec での使用)
-
RFC 2451 The ESP CBC Mode Cipher Algorithms
-
RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
-
RFC 3193、 IPsecを使用したL2TPの保護
-
RFC 3280インターネット X.509公開鍵基盤証明書および証明書失効リスト(CRL)プロファイル
-
RFC 3602 The AES-CBC Cipher Algorithm and Its Use with IPsec RFC 3602 The AES-CBC Cipher Algorithm and Its Use with IPsec (AES-CBC 暗号アルゴリズムと IPsec での使用)
-
RFC 3948 IPsec ESPパケットのUDPカプセル化
-
RFC 4106 IPsec ESP(セキュリティ ペイロードのカプセル化)における GCM(Galois/Counter Mode)の使用
-
RFC 4210 Internet X.509 Public Key Infrastructure 証明書管理プロトコル(CMP)
-
RFC 4211、 インターネットX.509公開鍵基盤証明書要求メッセージ形式(CRMF)
-
RFC 4301、 インターネットプロトコルのセキュリティアーキテクチャ
-
RFC 4302、 IP認証ヘッダー
-
RFC 4303、 IPカプセル化セキュリティペイロード(ESP)
-
RFC 4305、 カプセル化セキュリティペイロード(ESP)および認証ヘッダー(AH)用の暗号化アルゴリズム実装要件
-
RFC 4306、 インターネット鍵交換(IKEv2)プロトコル
-
RFC 4307、 インターネット鍵交換バージョン2(IKEv2)で使用するための暗号化アルゴリズム
-
RFC 4308、 IPsecの暗号スイート
Junos OS では、Suite VPN-A のみがサポートされています。
-
RFC 4754、 楕円曲線デジタル署名アルゴリズム(ECDSA)を使用したIKEおよびIKEv2認証
-
RFC 4835、 セキュリティペイロード(ESP)および認証ヘッダー(AH)のカプセル化のための暗号化アルゴリズムの実装要件
-
RFC 5996、 インターネット鍵交換プロトコル バージョン 2(IKEv2)( RFC 7296 に置き換え)
-
RFC 7296、 インターネット鍵交換プロトコル バージョン 2(IKEv2)
-
RFC 7427、 インターネット鍵交換バージョン2(IKEv2)での署名認証
-
RFC 7634、 ChaCha20、Poly1305、およびインターネット鍵交換プロトコル(IKE)とIPsecでの使用
-
RFC 8200、 インターネットプロトコル、バージョン6(IPv6)仕様
Junos OS は、IPsec と IKE に関する以下の RFC を部分的にサポートしています。
-
RFC 3526、 インターネット鍵交換(IKE)向けのその他のモジュラー指数(MODP)Diffie-Hellmanグループ
-
RFC 5114、 IETF標準で使用するための追加のDiffie-Hellmanグループ
-
RFC 5903、 IKEおよびIKEv2のプライムをモジュロする楕円曲線グループ(ECPグループ)
以下の RFC およびインターネット ドラフトでは、標準は定義されていませんが、IPsec、IKE、関連技術に関する情報が提供されています。IETFは、これらを「情報」として分類しています。
-
RFC 2104、 HMAC: メッセージ認証のための鍵付きハッシュ
-
RFC 2412、 OAKLEY鍵決定プロトコル
-
RFC 3706、 デッドインターネットキーエクスチェンジ(IKE)ピアを検出するトラフィックベースの方法
-
インターネットドラフトdraft-eastlake-sha2-02.txt、 US Secure Hash Algorithms(SHAおよびHMAC-SHA)( 2006年7月終了)
参照
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。