このページの目次
IPsecルールとルールセット
例:IKE ダイナミック SA の設定
この例は、IKE ダイナミック SA の設定方法を示しています。これは、以下のセクションで構成されています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
マルチサービスインターフェイスがインストールされたMシリーズ、MXシリーズ、またはTシリーズルーター 4台。
Junos OS リリース 9.4 以降。
この機能を設定する前に、デバイスの開始以降の特別な設定は必要ありません。
概要とトポロジー
SA(セキュリティ アソシエーション)は、2 つのホストが IPsec によって相互に安全に通信できるようにするシンプレックス接続です。
動的 SA は、鍵の手動による配布、保守、追跡が困難な大規模な、地理的に分散したネットワークに最適です。動的 SA は、セキュリティ ゲートウェイによってネゴシエートされた一連のプロポーザルを使用して構成されます。キーはネゴシエーションの一部として生成され、構成で指定する必要はありません。動的 SA には、ピアとネゴシエートするプロトコルとアルゴリズムのリストに優先順位を付けることができる 1 つ以上のプロポーザルが含まれます。
トポロジ
図 1 は、4 台のルーターのグループを含む IPsec トポロジーを示しています。この設定では、ルーター2および3が、IKE動的SA、拡張認証、および暗号化を使用してIPsecトンネルを確立する必要があります。ルーター 1 および 4 は基本的な接続を提供し、IPsec トンネルが動作していることを確認するために使用されます。

マルチサービスPICでIKEプロポーザル、IPsecプロポーザル、IPsecポリシーを指定しない場合、Junos OSはデフォルトで最高レベルの暗号化と認証を使用します。その結果、デフォルトの認証プロトコルは ESP、デフォルトの認証モードは HMAC-SHA1-96、デフォルトの暗号化モードは 3DES-CBC になります。
構成
IKEダイナミックSAを設定するには、以下のタスクを実行します。
この例で示すインターフェイス タイプは、あくまでも参考にしています。例えば、 の代わりに および の代わりにsp-
ms-
インターフェイスge-
を使用できますso-
。
ルーター1の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター1の[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
set interfaces ge-0/0/0 description "to R2 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set routing-options router-id 10.0.0.1 set protocols ospf area 0.0.0.0 interface ge-0/0/0 set protocols ospf area 0.0.0.0 interface lo0.0
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
ルーター 2 との OSPF 接続用にルーター 1 を設定するには、次のようにします。
イーサネットインターフェイスとループバックインターフェイスを設定します。
[edit interfaces] user@router1# set ge-0/0/0 description "to R2 ge-0/0/0" user@router1# set ge-0/0/0 unit 0 family inet address 10.1.12.2/30 user@router1# set lo0 unit 0 family inet address 10.0.0.1/32
OSPF エリアを指定し、インターフェイスを OSPF エリアに関連付けます。
[edit interfaces] user@router1# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router1# set ospf area 0.0.0.0 interface lo0.0
ルーターIDを設定します。
[edit routing-options] user@router1# set router-id 10.0.0.1
設定をコミットします。
[edit] user@router1# commit
結果
コンフィギュレーションモードから、、show protocols ospf
show routing-options
、およびの各show interfaces
コマ ンドを入力し 、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します
user@router1# show interfaces interfaces { ge-0/0/0 { description "To R2 ge-0/0/0"; unit 0 { family inet { address 10.1.12.2/30; } } } lo0 { unit 0 { family inet { address 10.0.0.1/32; } } } }
user@router1# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; } } }
user@router1# show routing-options routing-options { router-id 10.0.0.1; }
ルーター2の設定
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター2の[edit]階層レベルのCLIにコマンドをコピーして貼り付けてください。
set interfaces ge-0/0/0 description "to R1 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.1/30 set interfaces ge-0/0/1 description "to R3 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.1/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.2/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.2 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.2 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike-demo-proposal dh-group group2 set services ipsec-vpn ike policy ike-demo-policy pre-shared proposals demo-proposal set services ipsec-vpn ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 set services service-set demo-service-set ipsec-vpn-rules rule-ike
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
ルーター2でOSPF接続とIPsecトンネルパラメータを設定するには、次の手順に従います。
インターフェイスのプロパティを設定します。このステップでは、2つのイーサネットインターフェイス(ge-1/0/0とge-1/0/1)、ループバックインターフェイス、マルチサービスインターフェイス(ms-1/2/0)を設定します。
[edit interfaces] user@router2# set ge-0/0/0 description "to R1 ge-0/0/0" user@router2# set ge-0/0/0 unit 0 family inet address 10.1.12.1/30 user@router2# set ge-0/0/1 description "to R3 ge-0/0/1" user@router2# set ge-0/0/1 unit 0 family inet address 10.1.15.1/30 user@router2# set ms-1/2/0 services-options syslog host local services info user@router2# set ms-1/2/0 unit 0 family inet user@router2# set ms-1/2/0 unit 1 family inet user@router2# set ms-1/2/0 unit 1 service-domain inside user@router2# set ms-1/2/0 unit 2 family inet user@router2# set ms-1/2/0 unit 2 service-domain outside user@router2# set lo0 unit 0 family inet address 10.0.0.2/32
OSPF エリアを指定し、インターフェイスを OSPF エリアに関連付けます。
[edit protocols] user@router2# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router2# set ospf area 0.0.0.0 interface lo0.0 user@router2# set ospf area 0.0.0.0 interface ms-1/2/0.1
ルーターIDを設定します。
[edit routing-options] user@router2# set router-ID 10.0.0.2
IPsec 規則を構成します。この手順では、IPsec ルールを構成し、リモート ゲートウェイ アドレス、認証および暗号化のプロパティなどの手動 SA パラメーターを指定します。
メモ:デフォルトでは、Junos OSはIKEポリシーバージョン1.0を使用します。Junos OS リリース 11.4 以降では、 で
[edit services ipsec-vpn ike policy policy-name pre-shared]
設定する必要がある IKE ポリシー バージョン 2.0 もサポートされています。[edit services ipsec-vpn] user@router2# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router2# set rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy user@router2# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router2# set rule match-direction input user@router2# set ike proposal ike-demo-proposal authentication-method pre-shared-keys user@router2# set ike proposal ike-demo-proposal dh-group group2 user@router2# set ike policy ike-demo-policy pre-shared proposals demo-proposal user@router2# set ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo user@router2# set ipsec proposal ipsec-demo-proposal protocol esp user@router2# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router2# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router2# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router2# set ipsec proposals ipsec-demo-proposal
ネクストホップスタイルのサービスセットを設定し、ローカルゲートウェイアドレスを指定して、IPsec VPNルールをサービスセットに関連付けます。
[edit services] user@router2# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router2# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router2# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 user@router2# set service-set demo-service-set ipsec-vpn-rules rule-ike
設定をコミットします。
[edit] user@router2# commit
結果
設定モードから、 、 、 show protocols ospf
show routing-options
、および show services
のコマンドを入力してshow interfaces
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します
user@router1# show interfaces interfaces { ge-0/0/0 { description "To R1 ge-0/0/0"; unit 0 { family inet { address 10.1.12.1/30; } } } ge-0/0/1 { description "To R3 ge-0/0/1"; unit 0 { family inet { address 10.1.15.1/30; } } } ms-1/2/0 { services-options { syslog { host local { services info; } } } unit 0 { family inet; } unit 1 { family inet; service-domain inside; } unit 2 { family inet; service-domain outside; } } lo0 { unit 0 { family inet { address 10.0.0.2/32; } } } }
user@router2# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; interface ms-1/2/0.1; } } }
user@router2# show routing-options routing-options { router-id 10.0.0.2; }
user@router2# show services services { ipsec-vpn { rule rule-ike { term term-ike { then { remote-gateway 10.1.15.2; dynamic { ike-policy ike-demo-policy; ipsec-policy ipsec-demo-policy; } } } match-direction input; } ike { proposal ike-demo-proposal { authentication-method pre-shared-keys; dh-group group2; } policy ike-demo-policy { proposals demo-proposal; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } } ipsec { proposal ipsec-demo-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy ipsec-demo-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-demo-proposal; } } } service-set demo-service-set { next-hop-service { inside-service-interface ms-1/2/0.1; outside-service-interface ms-1/2/0.2; } ipsec-vpn-options { local-gateway 10.1.15.1; } ipsec-vpn-rules rule-ike; } service-set demo-service-set { next-hop-service { inside-service-interface ms-1/2/0.1; outside-service-interface ms-1/2/0.2; } ipsec-vpn-options { local-gateway 10.1.15.2; } ipsec-vpn-rules rule-ike; }
ルーター3の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター3の[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
set interfaces ge-0/0/0 description "to R4 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.1/30 set interfaces ge-0/0/1 description "to R2 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.2/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.3/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.3 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.1 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike-demo-proposal dh-group group2 set services ipsec-vpn ike policy ike-demo-policy pre-shared proposals demo-proposal set services ipsec-vpn ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 set services service-set demo-service-set ipsec-vpn-rules rule-ike
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
ルーター 3 で OSPF 接続と IPsec トンネル パラメータを設定するには、次の手順に従います。
インターフェイスのプロパティを設定します。このステップでは、2つのイーサネットインターフェイス(ge-1/0/0とge-1/0/1)、ループバックインターフェイス、マルチサービスインターフェイス(ms-1/2/0)を設定します。
[edit interfaces] user@router3# set ge-0/0/0 description "to R4 ge-0/0/0" user@router3# set ge-0/0/0 unit 0 family inet address 10.1.56.1/30 user@router3# set ge-0/0/1 description "to R2 ge-0/0/1" user@router3# set ge-0/0/1 unit 0 family inet address 10.1.15.2/30 user@router3# set ms-1/2/0 services-options syslog host local services info user@router3# set ms-1/2/0 unit 0 family inet user@router3# set ms-1/2/0 unit 1 family inet user@router3# set ms-1/2/0 unit 1 service-domain inside user@router3# set ms-1/2/0 unit 2 family inet user@router3# set ms-1/2/0 unit 2 service-domain outside user@router3# set lo0 unit 0 family inet address 10.0.0.3/32
OSPF エリアを指定し、インターフェイスを OSPF エリアに関連付けます。
[edit protocols] user@router3# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router3# set ospf area 0.0.0.0 interface lo0.0 user@router3# set ospf area 0.0.0.0 interface ms-1/2/0.1
ルーターIDを設定します。
[edit routing-options] user@router3# set router-id 10.0.0.3
IPsec 規則を構成します。この手順では、IPsec ルールを構成し、リモート ゲートウェイ アドレス、認証および暗号化のプロパティなどの手動 SA パラメーターを指定します。
[edit services ipsec-vpn] user@router3# set rule rule-ike term term-ike then remote-gateway 10.1.15.1 user@router3# set rule rule-ike term term-ike then dynamic ike-policy ike-demo-policy user@router3# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router3# set rule match-direction input user@router3# set ike proposal ike-demo-proposal authentication-method pre-shared-keys user@router3# set ike proposal ike-demo-proposal dh-group group2 user@router3# set ike policy ike-demo-policy pre-shared proposals demo-proposal user@router3# set ike policy ike-demo-policy pre-shared pre-shared-key ascii-text keyfordemo user@router3# set ipsec proposal ipsec-demo-proposal protocol esp user@router3# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router3# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router3# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router3# set ipsec proposals ipsec-demo-proposal
ネクストホップスタイルのサービスセットを設定し、ローカルゲートウェイアドレスを指定して、IPsec VPNルールをサービスセットに関連付けます。
[edit services] user@router3# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router3# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router3# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 user@router3# set service-set demo-service-set ipsec-vpn-rules rule-ike
設定をコミットします。
[edit] user@router3# commit
結果
設定モードから、 、 、 show protocols ospf
show routing-options
、および show services
のコマンドを入力してshow interfaces
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します
user@router3# show interfaces interfaces { ge-0/0/0 { description "To R4 ge-0/0/0"; unit 0 { family inet { address 10.1.56.1/30; } } } ge-0/0/1 { description "To R2 ge-0/0/1"; unit 0 { family inet { address 10.1.15.2/30; } } } ms-1/2/0 { services-options { syslog { host local { services info; } } } unit 0 { family inet { } unit 1 { family inet; service-domain inside; } unit 2 { family inet; service-domain outside; } } lo0 { unit 0 { family inet { address 10.0.0.3/32; } } } } }
user@router3# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; interface ms-1/2/0.1; } } }
user@router3# show routing-options routing-options { router-id 10.0.0.3; }
user@router3# show services services { ipsec-vpn { rule rule-ike { term term-ike { then { remote-gateway 10.1.15.1; dynamic { ike-policy ike-demo-policy; ipsec-policy ipsec-demo-policy; } } } match-direction input; } ike { proposal ike-demo-proposal { authentication-method pre-shared-keys; dh-group group2; } policy ike-demo-policy { proposals demo-proposal; pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA } } ipsec { proposal ipsec-demo-proposal { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy ipsec-demo-policy { perfect-forward-secrecy { keys group2; } proposals ipsec-demo-proposal; } } }
ルーター4の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター4の[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
set interfaces ge-0/0/0 description "to R3 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.4/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set routing-options router-id 10.0.0.4
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
ルーター 4 との OSPF 接続をセットアップするには
インターフェイスを設定します。このステップでは、イーサネットインターフェイス(ge-1/0/1)とループバックインターフェイスを設定します。
user@router4# set interfaces ge-0/0/0 description "to R3 ge-0/0/0" user@router4# set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 user@router4# set interfaces lo0 unit 0 family inet address 10.0.0.4/32
OSPF エリアを指定し、インターフェイスを OSPF エリアに関連付けます。
user@router4# set protocols ospf area 0.0.0.0 interface ge-0/0/0 user@router4# set protocols ospf area 0.0.0.0 interface lo0.0
ルーターIDを設定します。
[edit routing-options] user@router4# set router-id 10.0.0.4
結果
コンフィギュレーションモードから、、show protocols ospf
show routing-options
、およびの各show interfaces
コマ ンドを入力し 、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します
user@router4# show interfaces interfaces { ge-0/0/0 { description "To R3 ge-0/0/0"; unit 0 { family inet { address 10.1.56.2/30; } } } lo0 { unit 0 { family inet { address 10.0.0.4/32; } } } }
user@router4# show protocols ospf protocols { ospf { area 0.0.0.0 { interface ge-0/0/0.0; interface lo0.0; } } }
user@router4# show routing-options routing-options { router-id 10.0.0.4; }
検証
ルーター1での作業の確認
目的
ルーター 1 が正しく動作していることを確認します。
アクション
運用モードから、ルーター4のge-0/0/0インターフェイスにコマンドを入力し ping 10.1.56.2
、IPsecトンネルを介してトラフィックを送信します
user@router1>ping 10.1.56.2 PING 10.1.56.2 (10.1.56.2): 56 data bytes 64 bytes from 10.1.56.2: icmp_seq=0 ttl=254 time=1.351 ms 64 bytes from 10.1.56.2: icmp_seq=1 ttl=254 time=1.187 ms 64 bytes from 10.1.56.2: icmp_seq=2 ttl=254 time=1.172 ms 64 bytes from 10.1.56.2: icmp_seq=3 ttl=254 time=1.154 ms 64 bytes from 10.1.56.2: icmp_seq=4 ttl=254 time=1.156 ms ^C --- 10.1.56.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.154/1.204/1.351/0.074 ms
意味
この出力は、ルーター1がIPsecトンネルを介してルーター4に到達できることを示しています。
ルーター2での作業の確認
目的
IKE SA ネゴシエーションが成功したことを確認します。
アクション
動作モードから コマンド show services ipsec-vpn ike security-associations
を入力します。
user@router2>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.2 Matured 03075bd3a0000003 4bff26a5c7000003 Main
IPsecセキュリティアソシエーションがアクティブであることを確認するには、 コマンドを発行します show services ipsec-vpn ipsec security-associations detail 。SA には、プロトコルの ESP や認証アルゴリズムの HMAC-SHA1-96 など、マルチサービス PIC に固有のデフォルト設定が含まれていることに注意してください。
動作モードから コマンド show services ipsec-vpn ipsec security-associations detail
を入力します。
user@router2> show services ipsec-vpn ipsec security-associations detail Service set: demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.1, Remote gateway: 10.1.15.2 Local identity: ipv4_subnet(any:0,[0..7]=10.1.12.0/24) Remote identity: ipv4_subnet(any:0,[0..7]=10.1.56.0/24) Direction: inbound, SPI: 2666326758, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26863 seconds Hard lifetime: Expires in 26998 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 684772754, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26863 seconds Hard lifetime: Expires in 26998 seconds Anti-replay service: Enabled, Replay window size: 64
トラフィックが双方向IPsecトンネルを通過していることを確認するには、 コマンド show services ipsec-vpn statistics を発行します。
動作モードから コマンド show services ipsec-vpn statistics
を入力します。
user@router2> show services ipsec-vpn ipsec statistics PIC: ms-1/2/0, Service set: demo-service-set ESP Statistics: Encrypted bytes: 2248 Decrypted bytes: 2120 Encrypted packets: 27 Decrypted packets: 25 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
意味
コマンド出力は show services ipsec-vpn ipsec security-associations detail
、設定した SA プロパティを表示します。
コマンドの出力は show services ipsec-vpn ipsec statistics
、IPsec トンネル上のトラフィック フローを示しています。
ルーター 3 での作業の確認
目的
ルーター 3 で IKE SA ネゴシエーションが成功したことを確認します。
アクション
動作モードから コマンド show services ipsec-vpn ike security-associations
を入力します。正常に実行するには、ルーター 3 の SA に、ルーター 2 で指定したのと同じ設定が含まれている必要があります。
user@router3>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.1 Matured 03075bd3a0000003 4bff26a5c7000003 Main
IPsec SAがアクティブであることを確認するには、 コマンドを発行します show services ipsec-vpn ipsec security-associations detail 。正常に実行するには、ルーター 3 の SA に、ルーター 2 で指定したのと同じ設定が含まれている必要があります。
動作モードから コマンド show services ipsec-vpn ipsec security-associations detail
を入力します。
user@router3>show services ipsec-vpn ipsec security-associations detail Service set: demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.2, Remote gateway: 10.1.15.1 Local identity: ipv4_subnet(any:0,[0..7]=10.1.56.0/24) Remote identity: ipv4_subnet(any:0,[0..7]=10.1.12.0/24) Direction: inbound, SPI: 684772754, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26598 seconds Hard lifetime: Expires in 26688 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 2666326758, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 26598 seconds Hard lifetime: Expires in 26688 seconds Anti-replay service: Enabled, Replay window size: 64
トラフィックが双方向IPsecトンネルを通過していることを確認するには、 コマンド show services ipsec-vpn statistics を発行します。
動作モードから コマンド show services ipsec-vpn ike security-associations
を入力します。
user@router3>show services ipsec-vpn ipsec statistics PIC: ms-1/2/0, Service set: demo-service-set ESP Statistics: Encrypted bytes: 2120 Decrypted bytes: 2248 Encrypted packets: 25 Decrypted packets: 27 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
意味
コマンド出力は show services ipsec-vpn ipsec security-associations detail
、設定した SA プロパティを表示します。
コマンドの出力は show services ipsec-vpn ipsec statistics
、IPsec トンネル上のトラフィック フローを示しています。
ルーター 4 での作業の確認
目的
IKE SA ネゴシエーションが成功したことを確認します。
アクション
運用モードから、ルーター1のge-0/0/0インターフェイスにコマンドを入力し ping 10.1.12.2
、IPsecトンネルを介してトラフィックを送信します。
user@router4>ping 10.1.12.2 PING 10.1.12.2 (10.1.12.2): 56 data bytes 64 bytes from 10.1.12.2: icmp_seq=0 ttl=254 time=1.350 ms 64 bytes from 10.1.12.2: icmp_seq=1 ttl=254 time=1.161 ms 64 bytes from 10.1.12.2: icmp_seq=2 ttl=254 time=1.124 ms 64 bytes from 10.1.12.2: icmp_seq=3 ttl=254 time=1.142 ms 64 bytes from 10.1.12.2: icmp_seq=4 ttl=254 time=1.139 ms 64 bytes from 10.1.12.2: icmp_seq=5 ttl=254 time=1.116 ms ^C --- 10.1.12.2 ping statistics --- 6 packets transmitted, 6 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.116/1.172/1.350/0.081 ms
トラフィックがIPsecトンネルを通過することを確認するために、ルーター1のge-0/0/0インターフェイスに コマンドを発行 traceroute
します。ルーター 2 とルータ 3 の間の物理インターフェイスがパスで参照されていないことに注意してください。トラフィックは、ルーター 3 のアダプティブ サービス IPsec 内部インターフェイスを経由して IPsec トンネルに入り、ルーター 2 のループバック インターフェイスを通過して、ルーター 1 の ge-0/0/0 インターフェイスで終了します。
動作モードから、 traceroute 10.1.12.2
.
user@router4>traceroute 10.1.12.2 traceroute to 10.1.12.2 (10.1.12.2), 30 hops max, 40 byte packets 1 10.1.15.2 (10.1.15.2) 0.987 ms 0.630 ms 0.563 ms 2 10.0.0.2 (10.0.0.2) 1.194 ms 1.058 ms 1.033 ms 3 10.1.12.2 (10.1.12.2) 1.073 ms 0.949 ms 0.932 ms
意味
この出力は ping 10.1.12.2
、ルーター4がIPsecトンネルを介してルーター1に到達できることを示しています。
この出力は traceroute 10.1.12.2
、トラフィックが IPsec トンネルを通過することを示しています。
IPsecルールの設定
IPsecルールを設定するには、 ステートメントを含め rule
、 [edit services ipsec-vpn]
階層レベルでルール名を指定します。
[edit services ipsec-vpn] rule rule-name { match-direction (input | output); term term-name { from { destination-address address; ipsec-inside-interface interface-name; source-address address; } then { anti-replay-window-size bits; backup-remote-gateway address; clear-dont-fragment-bit; dynamic { ike-policy policy-name; ipsec-policy policy-name; } initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; } manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi spi-value; encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | bundle | esp); spi spi-value; } } no-anti-replay; remote-gateway address; syslog; tunnel-mtu bytes; } } }
各 IPsec ルールは、ファイアウォール フィルターに似た一連の条件で構成されます。
用語は以下で構成されます。
from
ステートメント:含めるおよび除外する一致条件とアプリケーションを指定します。then
statement—ルーターソフトウェアが実行するアクションとアクション修飾子を指定します。
以下のセクションでは、IPsec 規則のコンポーネントを構成する方法について説明します。
IPsecルールの一致方向の設定
各ルールには、インターフェイスの入力 match-direction
側と出力側のどちらで一致を適用するかを指定するステートメントを含める必要があります。一致を適用する場所を設定するには、 階層レベルで ステートメントを含め match-direction (input | output)
ます [edit services ipsec-vpn rule rule-name]
。
[edit services ipsec-vpn rule rule-name] match-direction (input | output);
ACXシリーズルーターは、ASoutputをサポートしmatch-direction
ていません。
一致方向は、ASまたはマルチサービスPICを通過するトラフィックフローに関して使用されます。パケットがPICに送信されると、方向情報も一緒に伝送されます。
インターフェイス サービス セットでは、パケットの方向は、パケットがサービス セットが適用されているインターフェイスに入るか出るかによって決まります。
ネクストホップ サービス セットでは、パケットの方向は、AS またはマルチサービス PIC へのパケットのルーティングに使用されるインターフェイスによって決まります。内部インターフェイスを使用してパケットをルーティングする場合は、パケットの方向が入力されます。外部インターフェイスを使用してパケットをPICに誘導する場合、パケットの方向が出力されます。
ASまたはマルチサービスPICでは、フロールックアップが実行されます。フローが見つからない場合は、ルール処理が実行されます。サービス セット内のすべてのルールが考慮されます。ルールの処理中に、パケットの方向がルールの方向と比較されます。パケットの方向と一致する方向情報を持つルールのみが考慮されます。
IPsecルールでの一致条件の設定
IPsecルールに一致条件を設定するには、 階層レベルで ステートメントを含め from
ます [edit services ipsec-vpn rule rule-name term term-name]
。
[edit services ipsec-vpn rule rule-name term term-name] from { destination-address address; ipsec-inside-interface interface-name; source-address address; }
ファイアウォールフィルターを設定するのと同じ方法で、送信元アドレスまたは宛先アドレスのいずれかを一致条件として使用できます。詳細については、 Junos OS ルーティングプロトコルライブラリをご覧ください。
IPsec サービスは、IPv4 と IPv6 の両方のアドレス形式をサポートしています。送信元アドレスと宛先アドレスのどちらも特に設定しない場合は、デフォルト値 0.0.0.0/0
(IPv4 ANY)が使用されます。送信元アドレスまたは宛先アドレスとして IPv6 ANY(0::0/128
)を使用するには、明示的に設定する必要があります。
ACX シリーズの IPsec サービスは、IPv4 アドレス形式をサポートしています。送信元アドレスと宛先アドレスのどちらも特に設定しない場合は、デフォルト値 0.0.0.0/0
(IPv4 ANY)が使用されます。
ネクストホップスタイルのサービスセットの場合のみ、 ステートメントを使用して、ipsec-inside-interface
この一致条件の結果として確立されたトンネルに論理インターフェイスを割り当てることができます。階層レベルで設定できるステートメントではinside-service-interface
、 および を内部および.2
外部インターフェイスとして指定できます.1
。[edit services service-set name next-hop-service]
ただし、 ステートメントでservice-domain inside
複数の適応サービス論理インターフェイスを設定し、そのうちの1つを使用して ステートメントを設定するipsec-inside-interface
ことができます。
Junos OSは、 ステートメントで設定した基準を評価しますfrom
。同じネクストホップスタイルのサービスセット内に複数のリンクタイプトンネルが設定されている場合、すべての送信元アドレスと宛先アドレス0.0.0.0/0
が(ANY-ANY)であれば、ipsec-inside-interface
ルール検索モジュールは特定のトンネルを他のトンネルと区別することができます。
ステートメントを設定する ipsec-inside-interface
場合、インターフェイススタイルのサービスセットはサポートされません。
特別な状況は、「any-any」一致条件を含む用語によって提供されます(通常、ステートメントが from
省略されているため)。トンネル内にany-any一致がある場合、このトンネル内のすべてのフローが同じSA(セキュリティ アソシエーション)を使用し、パケット セレクターは重要な役割を果たさないため、フローは必要ありません。その結果、これらのトンネルはパケットベースのIPsecを使用します。この戦略により、PICのフローリソースが節約され、フローベースのサービスを必要とする他のトンネルに使用できます。
以下の設定例は、 にterm-1
ステートメントがないfrom
any-anyトンネル設定を示しています。句にfrom
セレクターがないと、パケットベースの IPsec サービスになります。
services { ipsec-vpn { rule rule-1 { term term-1 { then { remote-gateway 10.1.0.1; dynamic { ike-policy ike_policy; ipsec-policy ipsec_policy; } } } match-direction input; } ..... }
フローレスIPsecサービスは、専用モードと共有モードの両方で、any-anyマッチングを持つリンクタイプトンネルと、any-anyマッチングを持つ動的トンネルに提供されます。
リンクタイプ トンネルの場合、サービス セット内でフローレス IPsec とフローベースの IPsec の混在がサポートされます。サービス セットに、句に from
any-any が一致する項とセレクターを含む項が含まれている場合、any-any トンネルにはパケットベース サービスが提供され、セレクターを持つ他のトンネルにはフローベース サービスが提供されます。
リンクタイプ以外のトンネルの場合、サービス セットに any-any 条件とセレクターベース条件の両方が含まれている場合、フローベース サービスがすべてのトンネルに提供されます。
IPsecルールでのアクションの設定
IPsecルールでアクションを設定するには、階層レベルでステートメントを含め then
ます [edit services ipsec-vpn rule rule-name term term-name]
。
[edit services ipsec-vpn rule rule-name term term-name] then { anti-replay-window-size bits; backup-remote-gateway address; clear-dont-fragment-bit; dynamic { ike-policy policy-name; ipsec-policy policy-name; } initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; } manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi spi-value; encryption { algorithm algorithm; key (ascii-text key | hexadecimal key); } protocol (ah | bundle | esp); spi spi-value; } } no-anti-replay; remote-gateway address; syslog; tunnel-mtu bytes; }
主な IPsec アクションは、動的または手動 SA の設定です。
動的SA
dynamic
を設定するには、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]
を含め、[edit services ipsec-vpn ipsec]
および[edit services ipsec-vpn ike]
階層レベルで設定したポリシーを参照します。手動SAを設定するには、 階層レベルで ステートメントを含め
manual
ます[edit services ipsec-vpn rule rule-name term term-name then]
。
次の追加プロパティを構成できます。
IPsecパケットフラグメント化の有効化
IPsecトンネルでIPバージョン4(IPv4)パケットのフラグメント化を有効にするには、 階層レベルに [edit services ipsec-vpn rule rule-name term term-name then]
ステートメントを含めclear-dont-fragment-bit
ます。
[edit services ipsec-vpn rule rule-name term term-name then] clear-dont-fragment-bit;
clear-dont-fragment-bit
ステートメントを設定すると、パケットサイズに関係なく、パケットヘッダーのDF(Don't Fragment)ビットがクリアされます。パケット サイズがトンネルの最大送信単位 (MTU) 値を超えると、パケットはカプセル化前にフラグメント化されます。IPsec トンネルの場合、インターフェイスの MTU 設定に関係なく、デフォルトの MTU 値は 1500 です。
デッドピア検出の宛先アドレスの設定
IPsecトラフィックの送信先となるリモートアドレスを指定するには、 階層レベルに [edit services ipsec-vpn rule rule-name term term-name then]
ステートメントを含めremote-gateway
ます。
[edit services ipsec-vpn rule rule-name term term-name then] remote-gateway address;
バックアップ・リモート・アドレスを指定するには、 階層レベルで ステートメントを含め backup-remote-gateway
ます [edit services ipsec-vpn rule rule-name term term-name then]
。
[edit services ipsec-vpn rule rule-name term term-name then] backup-remote-gateway address;
これら 2 つのステートメントは、IPv4 と IPv6 の両方のアドレス形式をサポートしています。
backup-remote-gateway
ステートメントを設定すると、トンネルの状態とリモートピアの可用性を監視するデッドピア検出(DPD)プロトコルが有効になります。ステートメントでremote-gateway
定義されたプライマリ トンネルがアクティブな場合、バックアップ トンネルはスタンバイ モードになります。DPD プロトコルがプライマリ リモート ゲートウェイ アドレスに到達できなくなったと判断した場合、バックアップ アドレスへの新しいトンネルが確立されます。
定義された 10 秒間にピアからの着信トラフィックがない場合、ルーターはトンネルを非アクティブとして検出します。グローバルタイマーは10秒ごとにすべてのトンネルをポーリングし、アダプティブサービス(AS)またはマルチサービス物理インターフェイスカード(PIC)は、非アクティブなトンネルをリストしたメッセージを送信します。トンネルが非アクティブになると、ルーターは以下のステップを実行してバックアップアドレスにフェイルオーバーします。
適応サービス メッセージは、ピアに Hello メッセージを送信するDPD プロトコルをトリガーします。
確認応答を受信しない場合、2 秒間隔で 2 回の再試行が行われ、その後、トンネルは停止と宣言されます。
フェイルオーバーは、トンネルが停止したと宣言された場合、またはIPsecフェーズ1のネゴシエーションタイムアウトが発生した場合に発生します。プライマリ トンネルがスタンバイ モードになり、バックアップがアクティブになります。
バックアップ トンネルへのネゴシエーションがタイムアウトすると、ルーターはプライマリ トンネルに戻ります。両方のピアがダウンした場合、フェイルオーバーを 6 回試行します。その後、フェイルオーバーを停止し、プライマリトンネルがアクティブでバックアップがスタンバイモードの元の設定に戻ります。
また、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]
を含めるinitiate-dead-peer-detection
ことで、バックアップ リモート ゲートウェイを設定せずに DPD Hello メッセージのトリガーを有効にすることができます。
[edit services ipsec-vpn rule rule-name term term-name then] initiate-dead-peer-detection; dead-peer-detection { interval seconds; threshold number; }
また、IKEv1 SA では、 ステートメントを使用するinitiate-dead-peer-detection
際に、 dead-peer-detection
ステートメントの下で オプションthreshold
を設定するinterval
ことができます。Junos OS リリース 17.2R1 以降、interval
IKEv2 threshold
SA にも および オプションが適用されます。Junos OSリリース17.1以前では、デフォルト値を使用するIKEv2 SAには、 interval
および threshold
オプションは適用されません。間隔は、ピアが DPD 要求パケットを送信する前に宛先ピアからのトラフィックを待機する時間であり、しきい値は、ピアが利用不可能と見なされる前に送信される、失敗した DPD 要求の最大数です。
監視動作は、 ステートメントで backup-remote-gateway
説明したものと同じです。この設定により、バックアップIPsecゲートウェイが存在しない場合にルーターがDPD hellosを開始し、IKEピアに到達できない場合にIKEおよびIPsec SAをクリーンアップできます。
DPD プロトコルがプライマリ リモート ゲートウェイ アドレスに到達できなくなったと判断した場合、バックアップ アドレスへの新しいトンネルが確立されます。ただし、バックアップリモートゲートウェイアドレスなしで設定 initiate-dead-peer-detection
し、DPDプロトコルがプライマリリモートゲートウェイアドレスに到達できなくなったと判断した場合、トンネルは停止したと宣言され、IKEおよびIPsec SAはクリーンアップされます。
DPDプロトコルの詳細については、RFC 3706、 死んだ インターネット鍵交換(IKE)ピアを検出するトラフィックベースの方法を参照してください。
IPsec アンチリプレイの設定または無効化
IPsecアンチリプレイウィンドウのサイズを設定するには、 階層レベルで ステートメントを含め anti-replay-window-size
ます [edit services ipsec-vpn rule rule-name term term-name then]
。
[edit services ipsec-vpn rule rule-name term term-name then] anti-replay-window-size bits;
anti-replay-window-size
は、64 から 4096 ビットの範囲の値を取ることができます。デフォルト値は、ASPICが64ビット、マルチサービスPICおよびDPCが128ビットです。ASPICは最大1024ビットのリプレイウィンドウサイズをサポートできますが、マルチサービスPICおよびDPCは最大4096ビットのリプレイウィンドウサイズをサポートできます。ソフトウェアがIPsec設定をコミットしている場合、鍵管理プロセス(kmd)はサービスインターフェイスのタイプを区別できません。その結果、AS PICの最大アンチリプレイウィンドウサイズが1024を超えると、コミットは成功し、エラーメッセージは生成されません。ただし、 の設定値 anti-replay-window-size
より大きい場合でも、ソフトウェアは内部で AS PIC のアンチリプレイ ウィンドウ サイズを 1024 ビットに設定します。
IPsecアンチリプレイ機能を無効にするには、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]
を含めno-anti-replay
ます。
[edit services ipsec-vpn rule rule-name term term-name then] no-anti-replay;
デフォルトでは、アンチリプレイ サービスは有効になっています。場合によっては、これにより他のベンダーの機器との相互運用性の問題が発生する可能性があります。
IPsec トンネルの MTU の指定
IPsec トンネルに特定の最大送信単位 (MTU) 値を設定するには、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]
を含めtunnel-mtu
ます。
[edit services ipsec-vpn rule rule-name term term-name then] tunnel-mtu bytes;
この設定tunnel-mtu
は、IPsec トンネルの MTU 値を設定する必要がある唯一の場所です。階層レベルでの設定[edit interfaces sp-fpc/pic/port unit logical-unit-number family inet]
の組み込みmtu
はサポートされていません。
IPsecルールセットの設定
ステートメントはrule-set
、ルーター ソフトウェアがデータ ストリーム内のパケットに対して実行するアクションを決定する IPsec ルールのコレクションを定義します。各ルールを定義するには、ルール名を指定し、用語を設定します。次に、階層レベルの rule
ステートメントと各ルールのステートメント[edit services ipsec-vpn]
を含めてrule-set
、ルールの順序を指定します。
[edit services ipsec-vpn] rule-set rule-set-name { rule rule-name; }
ルーター ソフトウェアは、設定で指定した順序でルールを処理します。ルール内の条件がパケットに一致する場合、ルーターは対応するアクションを実行し、ルールの処理は停止します。パケットに一致するルール内の用語がない場合、ルール セット内の次のルールに処理が続行されます。パケットに一致するルールがない場合、パケットはデフォルトで破棄されます。
関連項目
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。
interval
IKEv2
threshold
SA にも および オプションが適用されます。