このページの目次
静的エンドポイントIPsecトンネルのサービスセット
サービスセット
アダプティブ サービス PIC は、IPSec トンネルを設定するときに、2 種類のサービス セットをサポートします。これらはさまざまな目的で使用されるため、これらのサービス セットの種類の違いを知っておくことが重要です。
ネクストホップ サービス セット - IPSec 上でマルチキャストおよびマルチキャスト スタイルの動的ルーティング プロトコル(OSPF など)をサポートします。ネクストホップ サービス セットを使用すると、Adaptive Services PIC の内部 および 外部の 論理インターフェイスを使用して、複数のルーティング インスタンスと接続できます。また、ネットワーク アドレス変換(NAT)やステートフル ファイアウォール機能も使用できます。ただし、ネクストホップ サービス セットは、デフォルトではルーティング エンジンのトラフィックをモニタしないため、複数のインターフェイスからのトラフィックをサポートするには、複数のサービス セットを設定する必要があります。
インターフェイスサービスセット—物理インターフェイスに適用され、ステートレス ファイアウォールフィルターと同様です。設定が簡単で、複数のインターフェイスからのトラフィックをサポートし、デフォルトでルーティングエンジンのトラフィックを監視できます。ただし、IPSec トンネル経由の動的ルーティング プロトコルまたはマルチキャスト トラフィックをサポートすることはできません。
一般に、次ホップ サービス セットは、IPSec トンネルを介したルーティング プロトコルとマルチキャストをサポートし、理解しやすく、ルーティング テーブルが管理者の介入なしで転送の決定を行うため、使用することを推奨します。
関連項目
IPsecサービス セットの設定
IPsecサービス セットには、 [edit services service-set service-set-name ipsec-vpn-options] 階層レベルで設定する追加の仕様が必要です。
[edit services service-set service-set-name ipsec-vpn-options] anti-replay-window-size bits; clear-dont-fragment-bit; copy-dont-fragment-bit set-dont-fragment-bit ike-access-profile profile-name; local-gateway address <gw-interface interface-name.logical-unit-number>; no-anti-replay; no-certificate-chain-in-ike; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes;
これらのステートメントの設定については、以下のセクションで説明します。
- IPsecサービスセットのローカルゲートウェイアドレスの設定
- IPsecサービス セットのIKEアクセスプロファイルの設定
- IPsec サービス セットの証明機関の構成
- アンチリプレイ サービスの設定または無効化
- フラグメント化禁止ビットのクリア
- パッシブモードトンネリングの設定
- トンネルMTU値の設定
- UDP カプセル化による IPsec マルチパス転送の設定
IPsecサービスセットのローカルゲートウェイアドレスの設定
IPsecサービスセットを設定する場合、 ステートメントを含めて local-gateway 、ローカルのIPv4またはIPv6アドレスも設定する必要があります。
インターネット鍵交換(IKE)ゲートウェイIPアドレスがinet.0(デフォルトの状態)にある場合は、以下のステートメントを設定します。
local-gateway address;
IKEゲートウェイIPアドレスがVPNルーティングおよび転送(VRF)インスタンスにある場合は、以下のステートメントを設定します。
local-gateway address routing-instance instance-name;
1つのネクストホップスタイルのサービスセットで、同じローカルゲートウェイアドレスを共有するすべてのリンクタイプトンネルを設定できます。階層レベルで設定[edit services ipsec-vpn rule rule-name term term-name from]する値と一致するipsec-inside-interface、階層レベルの ステートメント[edit services service-set service-set-name]の値inside-service-interfaceを指定する必要があります。IPsec 構成の詳細については、「IPsec 規則の構成」を参照してください。
Junos OS リリース 16.1 以降、HA 目的でリンクタイプトンネル(ネクストホップスタイル)を設定するには、階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name from]を使用してipsec-inside-interface interface-name、AMS 論理インターフェイスを IPsec 内部インターフェイスとして設定できます。
Junos OS リリース 17.1 以降、AMS は IPSec トンネル配信をサポートしています。
VRF インスタンスの IKE アドレス
ピアがVRFインスタンスを介して到達可能である限り、VPNルーティングおよび転送(VRF)インスタンスに存在するインターネットキー交換(IKE)ゲートウェイIPアドレスを設定できます。
ネクストホップ サービス セットの場合、鍵管理プロセス(kmd)は、次の例のように、指定した値を含む outside-service-interface ルーティング インスタンスに IKE パケットを配置します。
routing-instances vrf-nxthop {
instance-type vrf;
interface sp-1/1/0.2;
...
}
services service-set service-set-1 {
next-hop-service {
inside-service-interface sp-1/1/0.1;
outside-service-interface sp-1/1/0.2;
}
...
}
インターフェイス サービス セットの場合、次の例のように、 ステートメントによって service-interface VRF が決定されます。
routing-instances vrf-intf {
instance-type vrf;
interface sp-1/1/0.3;
interface ge-1/2/0.1; # interface on which service set is applied
...
}
services service-set service-set-2 {
interface-service {
service-interface sp-1/1/0.3;
}
...
}
ローカル ゲートウェイ アドレスまたは MS-MPC または MS-MIC がダウンした場合の SA のクリア
Junos OS Release 17.2R1以降では、IPsecトンネルのローカルゲートウェイIPアドレスがダウンした場合、またはトンネルのサービスセットで使用されているMS-MICまたはMS-MPCがダウンした場合、ステートメントを使用して gw-interface IKEトリガーとIKEおよびIPsec SAのクリーンアップを有効にすることができます。
local-gateway address <gw-interface interface-name.logical-unit-number>;
および logical-unit-number はinterface-name、ローカルゲートウェイIPアドレスが設定されているインターフェイスと論理ユニットに一致する必要があります。
IPsec トンネルのサービス セットのローカル ゲートウェイ IP アドレスがダウンした場合、またはサービス セットで使用されている MS-MIC または MS-MPC がダウンした場合、サービス セットは IKE トリガーを送信しなくなります。さらに、ローカル ゲートウェイの IP アドレスがダウンすると、ネクストホップ サービス セットの場合は IKE と IPsec SA がクリアされ、インターフェイス形式のサービス セットの場合は Not Installed 状態になります。[未インストール] 状態の SA は、ローカル ゲートウェイの IP アドレスが復旧すると削除されます。
ネクストホップ サービス セットでダウンするローカル ゲートウェイ IP アドレスがレスポンダ ピア用である場合、ローカル ゲートウェイ IP アドレスがアップすると IPsec トンネルがアップするように、イニシエーター ピアの IKE および IPsec SA をクリアする必要があります。イニシエータピアのIKEおよびIPsec SAを手動でクリアするか(クリアサービスipsec-vpn IKEセキュリティアソシエーションおよびクリアサービスipsec-vpn ipsecセキュリティアソシエーションを参照)、イニシエーターピアでデッドピア検出を有効にすることができます(ステートフルファイアウォールルールの設定を参照)。
IPsecサービス セットのIKEアクセスプロファイルの設定
動的エンドポイントトンネリングの場合のみ、 階層レベルで設定された [edit access] IKEアクセスプロファイルを参照する必要があります。これを行うには、 階層レベルで ステートメントを含め ike-access-profile ます [edit services service-set service-set-name ipsec-vpn-options] 。
[edit services service-set service-set-name ipsec-vpn-options] ike-access-profile profile-name;
ステートメントはike-access-profile、 階層レベルでIKEアクセス[edit access]用に設定したステートメントと同じ名前profileを参照する必要があります。各サービス セットで参照できるアクセス プロファイルは 1 つだけです。このプロファイルは、IKE および IPsec セキュリティ アソシエーションを動的ピアとのみネゴシエートするために使用されます。
サービス セットに IKE アクセス プロファイルを設定した場合、他のサービス セットが同じアドレスを共有する local-gateway ことはできません。
また、VRF ごとに個別のサービス セットを設定する必要があります。サービス セット内の ステートメントによって ipsec-inside-interface 参照されるすべてのインターフェイスは、同じ VRF に属している必要があります。
IPsec サービス セットの証明機関の構成
ステートメントを含める trusted-ca ことで、1 つ以上の信頼された証明機関を指定できます。
trusted-ca [ ca-profile-names ];
IPsec 構成で公開キー基盤 (PKI) デジタル証明書を構成すると、各サービス セットに独自の信頼された証明機関のセットを含めることができます。ステートメントに trusted-ca 指定する名前は、 階層レベルで設定された [edit security pki] プロファイルと一致する必要があります。詳細については、 ルーティングデバイス用 Junos OS 運用管理ライブラリを参照してください。IPsec デジタル証明書の構成の詳細については、「 IPsec 規則の構成」を参照してください。
Junos OS リリース 18.2R1 以降、MX シリーズ ルーターを MS-MPC または MS-MIC で構成して、完全な証明書チェーンではなく、証明書ベースの IKE 認証のエンドエンティティ証明書のみを送信できるようになりました。これにより、IKE のフラグメンテーションが回避されます。この機能を設定するには、 ステートメントを含めます no-certificate-chain-in-ike 。
[edit services service-set service-set-name ipsec-vpn-options] no-certificate-chain-in-ike;
アンチリプレイ サービスの設定または無効化
階層レベルで ステートメント[edit services service-set service-set-name ipsec-vpn-options]を含めるanti-replay-window-sizeことで、アンチリプレイ ウィンドウのサイズを指定できます。
anti-replay-window-size bits;
このステートメントは、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を設定anti-replay-window-sizeできない動的エンドポイントトンネルに役立ちます。
スタティックIPsecトンネルの場合、このステートメントは、このサービスセット内のすべてのスタティックトンネルのアンチリプレイウィンドウサイズを設定します。特定のトンネルでアンチリプレイ ウィンドウ サイズに特定の値が必要な場合は、 階層レベルで [edit services ipsec-vpn rule rule-name term term-name then] ステートメントを設定しますanti-replay-window-size。このサービス セット内の特定のトンネルに対してアンチリプレイ チェックを無効にする必要がある場合は、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を設定しますno-anti-replay。
階層レベルの および anti-replay-window-size no-anti-replay 設定は [edit services ipsec-vpn rule rule-name term term-name then] 、 階層レベルで指定された [edit services service-set service-set-name ipsec-vpn-options] 設定よりも優先されます。
階層レベルで ステートメントを含めて no-anti-replay 、 [edit services service-set service-set-name ipsec-vpn-options] IPsecアンチリプレイ サービスを無効にすることもできます。場合によっては、セキュリティ アソシエーションの相互運用性の問題が発生します。
no-anti-replay;
このステートメントは、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を設定no-anti-replyできない動的エンドポイントトンネルに役立ちます。
スタティックIPsecトンネルの場合、このステートメントは、このサービスセット内のすべてのトンネルのアンチリプレイチェックを無効にします。特定のトンネルに対してアンチリプレイ チェックを有効にする必要がある場合は、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を設定しますanti-replay-window-size。
anti-replay-window-size階層レベルで および no-anti-replay ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を設定すると、 階層レベルで指定された[edit services service-set service-set-name ipsec-vpn-options]設定が上書きされます。
フラグメント化禁止ビットのクリア
階層レベルで ステートメント[edit services service-set service-set-name ipsec-vpn-options]を含めるclear-dont-fragment-bitことで、IPsec トンネルに入るすべての IP バージョン 4(IPv4)パケットの DF(フラグメント化禁止)ビットをクリアできます。カプセル化されたパケット サイズがトンネルの最大送信単位 (MTU) を超える場合、パケットはカプセル化前にフラグメント化されます。
clear-dont-fragment-bit;
このステートメントは、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を設定clear-dont-fragment-bitできない動的エンドポイントトンネルに役立ちます。
スタティック IPsec トンネルの場合、このステートメントを設定すると、このサービス セット内のすべてのスタティック トンネルに入るパケットの DF ビットがクリアされます。特定のトンネルに入るパケットのDFビットをクリアしたい場合は、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を設定しますclear-dont-fragment-bit。
Junos OS リリース 14.1 以降、動的エンドポイント IPSec トンネルを介して送信されるパケットで、トンネルに入るパケットの DF ビットに設定された値を、IPsec パケットの外部ヘッダーにのみコピーし、IPsec パケットの内部ヘッダーの DF ビットを変更しないようにすることができます。パケット サイズがトンネルの最大送信単位 (MTU) 値を超えると、パケットはカプセル化前にフラグメント化されます。IPsec トンネルの場合、インターフェイスの MTU 設定に関係なく、デフォルトの MTU 値は 1500 です。DF ビット値を外部ヘッダーのみにコピーし、内部ヘッダーを変更しない場合は、 階層レベルで ステートメント[edit services service-set service-set-name ipsec-vpn-options]を使用しますcopy-dont-fragment-bit。また、DF ビットを IPsec パケットの外側 IPv4 ヘッダーでのみ設定し、内側 IPv4 ヘッダーには定義しないように設定することもできます。IPsecパケットの外部ヘッダーのみにDFビットを設定し、内部ヘッダーを変更しないでおくには、 階層レベルに [edit services service-set service-set-name ipsec-vpn-options] ステートメントを記述しset-dont-fragment-bitます。これらの設定は、静的トンネルに入る IPv4 パケットの DF ビットをクリアするために、[edit services ipsec-vpn rule rule-name term term-name then]階層レベルで および set-dont-fragment-bit ステートメントを含めるcopy-dont-fragment-bit必要がある静的トンネルには適用されません。これらの機能は、MS-MIC および MS-MPC を搭載した MX シリーズ ルーターでサポートされています。
パッシブモードトンネリングの設定
階層レベルでステート passive-mode-tunneling メント [edit services service-set service-set-name ipsec-vpn-options] を含めることで、不正な形式のパケットをトンネリングするようにサービス セットを有効にできます。
[edit services service-set service-set-name ipsec-vpn-options] passive-mode-tunneling;
この機能は、バージョン、TTL、プロトコル、オプション、アドレス、その他の陸上攻撃チェックなどのアクティブなIPチェックをバイパスし、パケットをそのままトンネリングします。このステートメントが設定されていない場合、IPチェックに失敗したパケットはPICで破棄されます。パッシブ モードでは、内部パケットは操作されません。パケット サイズがトンネル MTU 値を超えた場合、ICMP エラーは生成されません。
IPsecトンネルはネクストホップとして扱われず、TTLはデクリメントされません。パケット サイズがトンネル MTU 値を超えても ICMP エラーは生成されないため、パケットがトンネル MTU しきい値を超えてもトンネリングされます。
この機能は、 Junos VPN サイトのセキュアな操作のトレースで説明されている ステートメントでno-ipsec-tunnel-in-traceroute提供される機能と類似しています。Junos OS リリース 14.2 以降、パッシブ モードのトンネリングは MS-MIC および MS-MPC でサポートされます。
Junos OS リリース 14.2 以降、IP、TCP、UDP、header-integrity-checkICMP 情報のパケットヘッダーの異常を検証し、そのような異常やエラーにフラグを立てるために MS-MIC および MS-MPC でサポートされているオプションは、パッシブ モードのトンネリングによって発生する機能とは反対の機能を備えています。MS-MICおよびMS-MPCで ステートメントと passive-mode tunneling ステートメントの両方header-integrity-checkを設定し、そのような設定をコミットしようとすると、コミット中にエラーが表示されます。
パッシブ モードのトンネリング機能(階層レベルに [edit services service-set service-set-name ipsec-vpn-options] ステートメントを含めることによる)は、トレースルート出力で IPsec トンネル エンドポイントを無効にする機能のスーパーセットです(階層レベルで ステートメント[edit services ipsec-vpn]を含めるpassive-mode-tunnelinno-ipsec-tunnel-in-tracerouteことによって)。パッシブ モードのトンネリングは、IPsec トンネルを ステートメントで設定されたno-ipsec-tunnel-in-tracerouteネクストホップとして扱わないことに加えて、アクティブな IP チェックとトンネル MTU チェックもバイパスします。
トンネルMTU値の設定
階層レベルで ステートメント[edit services service-set service-set-name ipsec-vpn-options]を含めるtunnel-mtuことで、IPsec トンネルの最大送信単位 (MTU) 値を設定できます。
tunnel-mtu bytes;
このステートメントは、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を設定tunnel-mtuできない動的エンドポイントトンネルに役立ちます。
スタティック IPsec トンネルの場合、このステートメントは、このサービス セット内のすべてのトンネルのトンネル MTU 値を設定します。特定のトンネルに特定の値が必要な場合は、 階層レベルで ステートメント[edit services ipsec-vpn rule rule-name term term-name then]を設定しますtunnel-mtu。
階層レベルでの設定[edit services ipsec-vpn rule rule-name term term-name then]はtunnel-mtu、 階層レベルで指定された[edit services service-set service-set-name ipsec-vpn-options]値を上書きします。
UDP カプセル化による IPsec マルチパス転送の設定
Junos OS リリース 16.1 以降では、サービス セットで UDP カプセル化を構成し、パケットの IPsec カプセル化に UDP ヘッダーを追加することで、IPsec トラフィックのマルチパス転送を有効にすることができます。これにより、複数のパスで IPsec トラフィックが転送され、IPsec トラフィックのスループットが向上します。UDP カプセル化を有効にしない場合、すべての IPsec トラフィックは 1 つの転送パスをたどります。
NAT-T が検出されると、NAT-T UDP カプセル化のみが行われ、IPsec パケットの UDP カプセル化は行われません。
UDP カプセル化を有効にするには:
UDP カプセル化を有効にします。
[edit services service-set service-set-name ipsec-vpn-options] user@host set udp-encapsulation
(オプション)UDP 宛先ポート番号を指定します。
[edit services service-set service-set-name ipsec-vpn-options udp-encapsulation] user@host set udp-dest-port destination-port
1025 から 65536 までの宛先ポート番号を使用しますが、4500 は使用しないでください。ポート番号を指定しない場合、デフォルトの宛先ポートは 4565 になります。
関連項目
ルーターでのデジタル証明書の要求とインストール
デジタル証明書は、認証局 (CA) と呼ばれる信頼できるサード パーティを通じて ID を検証するための電子的な手段です。または、自己署名証明書を使用して ID を証明することもできます。使用する CA サーバーは、独立した CA または独自の組織によって所有および運用される可能性があり、その場合は独自の CA になります。独立 CA を使用する場合は、CA および証明書失効リスト (CRL) サーバーのアドレス (証明書および CRL を取得するため)、および個人証明書要求を送信するときに必要な情報について、独立 CA に連絡する必要があります。独自の CA である場合は、この情報を自分で決定します。公開キー基盤 (PKI) は、デジタル証明書管理のためのインフラストラクチャを提供します。
デジタル証明書の要求 - 手動プロセス
デジタル証明書を手動で取得するには、CA プロファイルを設定し、秘密キーと公開キーのペアを生成し、ローカル証明書を作成して、ルーターに証明書をロードする必要があります。証明書を読み込んだ後、IPsec-VPN 構成で参照できるようになります。
この手順では、CA プロファイルを設定する方法を示します。
例:デジタル証明書を使用した IKE ダイナミック SA 設定
この例は、デジタル証明書を使用してIKEダイナミックSAを設定する方法を示しており、以下のセクションで構成されています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
マルチサービスインターフェイスがインストールされたMシリーズ、MXシリーズ、またはTシリーズルーター 4台。
Junos OS リリース 9.4 以降。
この例を設定する前に、CA 証明書を要求し、ローカル証明書を作成して、これらのデジタル証明書をルーターにロードする必要があります。詳細については、 ルーターでのデジタル証明書の要求とインストールを参照してください。
概要
SA(セキュリティ アソシエーション)は、2 つのホストが IPsec を使用して相互に安全に通信できるようにするシンプレックス接続です。この例では、デジタル証明書を使用したIKEダイナミックSAの設定について説明します。デジタル証明書を使用すると、IKE トンネルのセキュリティが強化されます。サービスPICでデフォルト値を使用すると、IPsecプロポーザルやIPsecポリシーを設定する必要はありません。ただし、デジタル証明書の使用を指定する IKE プロポーザルを設定し、IKE ポリシーで IKE プロポーザルとローカル証明書を参照し、CA プロファイルをサービス セットに適用する必要があります。
図 1 は、4 つのルーターのグループを含む IPsec トポロジーを示しています。この設定では、ルーター 2 および 3 が、事前共有鍵の代わりにデジタル証明書を使用して IKE ベースの IPsec トンネルを確立する必要があります。ルーター 1 および 4 は基本的な接続を提供し、IPsec トンネルが動作していることを確認するために使用されます。
トポロジ
構成
デジタル証明書を使用してIKEダイナミックSAを設定するには、以下のタスクを実行します。
この例で示すインターフェイス タイプは、あくまでも参考にしています。例えば、 の代わりに および の代わりにsp-ms-インターフェイスge-を使用できますso-。
ルーター1の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター1の[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
set interfaces ge-0/0/0 description "to R2 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set routing-options router-id 10.0.0.1 set protocols ospf area 0.0.0.0 interface ge-0/0/0 set protocols ospf area 0.0.0.0 interface lo0.0
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
ルーター 2 との OSPF 接続用にルーター 1 を設定するには、次のようにします。
イーサネットインターフェイスとループバックインターフェイスを設定します。
[edit interfaces] user@router1# set ge-0/0/0 description "to R2 ge-0/0/0" user@router1# set ge-0/0/0 unit 0 family inet address 10.1.12.2/30 user@router1# set lo0 unit 0 family inet address 10.0.0.1/32
OSPF エリアを指定し、インターフェイスを OSPF エリアに関連付けます。
[edit protocols] user@router1# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router1# set ospf area 0.0.0.0 interface lo0.0
ルーターIDを設定します。
[edit routing-options] user@router1# set router-id 10.0.0.1
設定をコミットします。
[edit] user@router1# commit
結果
コンフィギュレーションモードから、、、およびshow routing-optionsの各コマ ンドを入力し、show interfacesshow protocols ospfコンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@router1# show interfaces
interfaces {
ge-0/0/0 {
description "To R2 ge-0/0/0";
unit 0 {
family inet {
address 10.1.12.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.1/32;
}
}
}
}
user@router1# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
}
}
}
user@router1# show routing-options
routing-options {
router-id 10.0.0.1;
}
ルーター2の設定
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター2の[edit]階層レベルのCLIにコマンドをコピーして貼り付けてください。
set interfaces ge-0/0/0 description "to R1 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.1/30 set interfaces ge-0/0/1 description "to R3 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.1/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.2/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.2 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.2 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method rsa-signatures set services ipsec-vpn ike policy ike-digital-certificates proposals ike-demo-proposal set services ipsec-vpn ike policy ike-digital-certificates local-id fqdn router2.example.com set services ipsec-vpn ike policy ike-digital-certificates local-certificate local-entrust2 set services ipsec-vpn ike policy ike-digital-certificates remote-id fqdn router3.example.com set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services ipsec-vpn establish-tunnels immediately set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options trusted-ca entrust set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 set services service-set demo-service-set ipsec-vpn-rules rule-ike
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
ルーター2でOSPF接続とIPsecトンネルパラメータを設定するには、次の手順に従います。
インターフェイスのプロパティを設定します。このステップでは、2つのイーサネットインターフェイス(ge-1/0/0とge-1/0/1)、ループバックインターフェイス、マルチサービスインターフェイス(ms-1/2/0)を設定します。
[edit interfaces] user@router2# set ge-0/0/0 description "to R1 ge-0/0/0" user@router2# set ge-0/0/0 unit 0 family inet address 10.1.12.1/30 user@router2# set ge-0/0/1 description "to R3 ge-0/0/1" user@router2# set ge-0/0/1 unit 0 family inet address 10.1.15.1/30 user@router2# set ms-1/2/0 services-options syslog host local services info user@router2# set ms-1/2/0 unit 0 family inet user@router2# set ms-1/2/0 unit 1 family inet user@router2# set ms-1/2/0 unit 1 service-domain inside user@router2# set ms-1/2/0 unit 2 family inet user@router2# set ms-1/2/0 unit 2 service-domain outside user@router2# set lo0 unit 0 family inet address 10.0.0.2/32
OSPF エリアを指定し、インターフェイスを OSPF エリアに関連付けます。
[edit protocols] user@router2# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router2# set ospf area 0.0.0.0 interface lo0.0 user@router2# set ospf area 0.0.0.0 interface ms-1/2/0.1
ルーターIDを設定します。
[edit routing-options] user@router2# set router-ID 10.0.0.2
IKEプロポーザルとポリシーを設定します。デジタル証明書のIKEプロポーザルを有効にするには、 階層レベルで ステートメントを含め
rsa-signaturesます[edit services ipsec-vpn ike proposal proposal-name authentication-method]。IKEポリシーでローカル証明書を参照するには、階層レベルでステートlocal-certificateメントを含めます[edit services ipsec-vpn ike policy policy-name]。サービス セット内の CA または RA を識別するには、階層レベルでステートtrusted-caメントを含めます[edit services service-set service-set-name ipsec-vpn-options]。メモ:デジタル証明書の作成とインストールについては、 ルーターでのデジタル証明書の要求とインストールを参照してください
[edit services ipsec-vpn] user@router2# set ike proposal ike-demo-proposal authentication-method rsa-signatures user@router2# set ike policy ike-digital-certificates proposals ike-demo-proposal user@router2# set ike policy ike-digital-certificates local-id fqdn router2.example.com user@router2# set ike policy ike-digital-certificates local-certificate local-entrust2 user@router2# set ike policy ike-digital-certificates remote-id fqdn router3.example.com
IPsecプロポーザルとポリシーを設定します。また、ノブを
established-tunnelsimmediatelyに設定します。[edit services ipsec-vpn] user@router2# set ipsec proposal ipsec-demo-proposal protocol esp user@router2# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router2# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router2# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router2# set ipsec proposals ipsec-demo-proposal user@router2# set establish-tunnels immediately
IPsec 規則を構成します。
[edit services ipsec-vpn] user@router2# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router2# set rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates user@router2# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router2# set rule match-direction input
ネクストホップスタイルのサービスセットを設定し、ローカルゲートウェイアドレスを指定して、IPsec VPNルールをサービスセットに関連付けます。
[edit services] user@router2# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router2# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router2# set service-set demo-service-set ipsec-vpn-options trusted-ca entrust user@router2# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 user@router2# set service-set demo-service-set ipsec-vpn-rules rule-ike
設定をコミットします。
[edit] user@router2# commit
結果
設定モードから、 、 、 show protocols ospfshow routing-options、および show services のコマンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します
user@router2# show interfaces
interfaces {
ge-0/0/0 {
description "To R1 ge-0/0/0";
unit 0 {
family inet {
address 10.1.12.1/30;
}
}
}
ge-0/0/1 {
description "To R3 ge-0/0/1";
unit 0 {
family inet {
address 10.1.15.1/30;
}
}
}
ms-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.2/32;
}
}
}
}
user@router2# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
interface ms-1/2/0.1;
}
}
}
user@router2# show routing-options
routing-options {
router-id 10.0.0.2;
}
user@router2# show services
services {
ipsec-vpn {
rule rule-ike {
term term-ike {
then {
remote-gateway 10.1.15.2;
dynamic {
ike-policy ike-digital-certificates;
ipsec-policy ipsec-demo-policy
}
}
}
match-direction input;
}
ike {
proposal ike-demo-proposal {
authentication-method rsa-signatures;
}
policy ike-digital-certificates {
proposals ike-demo-proposal;
local-id fqdn router2.example.com;
local-certificate local-entrust2;
remote-id fqdn router3.example.com;
}
}
ipsec {
proposal ipsec-demo-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy demo-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-demo-proposal;
}
establish-tunnels immediately;
}
service-set service-set-dynamic-demo-service-set {
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
trusted-ca entrust;
local-gateway 10.1.15.1;
}
ipsec-vpn-rules rule-ike;
}
}
}
ルーター3の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター3の[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
set interfaces ge-0/0/0 description "to R4 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.1/30 set interfaces ge-0/0/1 description "to R2 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.2/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.3/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.3 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.1 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method rsa-signatures set services ipsec-vpn ike policy ike-digital-certificates proposals ike-demo-proposal set services ipsec-vpn ike policy ike-digital-certificates local-id fqdn router3.example.com set services ipsec-vpn ike policy ike-digital-certificates local-certificate local-entrust3 set services ipsec-vpn ike policy ike-digital-certificates remote-id fqdn router2.example.com set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services ipsec-vpn establish-tunnels immediately set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options trusted-ca entrust set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 set services service-set demo-service-set ipsec-vpn-rules rule-ike
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
IPsec ピアに、必要なすべてのコンポーネントを含む対称的な設定がない場合、ピアリング関係は確立できません。CA 証明書を要求し、ローカル証明書を作成し、これらのデジタル証明書をルーターにロードして、IPsec 設定で参照する必要があります。デジタル証明書の詳細については、 ルーターでのデジタル証明書の要求とインストールを参照してください
ルーター 3 で OSPF 接続と IPsec トンネル パラメータを設定するには、次の手順に従います。
インターフェイスのプロパティを設定します。このステップでは、2つのイーサネットインターフェイス(ge-1/0/0とge-1/0/1)、ループバックインターフェイス、マルチサービスインターフェイス(ms-1/2/0)を設定します。
[edit interfaces] user@router3# set ge-0/0/0 description "to R4 ge-0/0/0" user@router3# set ge-0/0/0 unit 0 family inet address 10.1.56.1/30 user@router3# set ge-0/0/1 description "to R2 ge-0/0/1" user@router3# set ge-0/0/1 unit 0 family inet address 10.1.15.2/30 user@router3# set ms-1/2/0 services-options syslog host local services info user@router3# set ms-1/2/0 unit 0 family inet user@router3# set ms-1/2/0 unit 1 family inet user@router3# set ms-1/2/0 unit 1 service-domain inside user@router3# set ms-1/2/0 unit 2 family inet user@router3# set ms-1/2/0 unit 2 service-domain outside user@router3# set lo0 unit 0 family inet address 10.0.0.3/32
OSPFエリアを指定し、インターフェイスをOSPFエリアに関連付けます。
[edit protocols] user@router3# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router3# set ospf area 0.0.0.0 interface lo0.0 user@router3# set ospf area 0.0.0.0 interface ms-1/2/0.1
ルーターIDを設定します。
[edit routing-options] user@router3# set router-id 10.0.0.3
IKEプロポーザルとポリシーを設定します。デジタル証明書のIKEプロポーザルを有効にするには、 階層レベルで ステートメントを含め
rsa-signaturesます[edit services ipsec-vpn ike proposal proposal-name authentication-method]。IKEポリシーでローカル証明書を参照するには、階層レベルでステートlocal-certificateメントを含めます[edit services ipsec-vpn ike policy policy-name]。サービス セット内の CA または RA を識別するには、階層レベルでステートtrusted-caメントを含めます[edit services service-set service-set-name ipsec-vpn-options]。メモ:デジタル証明書の作成とインストールについては、 ルーターでのデジタル証明書の要求とインストールを参照してください
[edit services ipsec-vpn] user@router3# set ike proposal ike-demo-proposal authentication-method rsa-signatures user@router3# set ike policy ike-digital-certificates proposals ike-demo-proposal user@router3# set ike policy ike-digital-certificates local-id fqdn router2.example.com user@router3# set ike policy ike-digital-certificates local-certificate local-entrust2 user@router3# set ike policy ike-digital-certificates remote-id fqdn router3.example.com
IPsecプロポーザルを設定します。また、ノブを
established-tunnelsimmediatelyに設定します。[edit services ipsec-vpn] user@router3# set ipsec proposal ipsec-demo-proposal protocol esp user@router3# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router3# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router3# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router3# set ipsec proposals ipsec-demo-proposal user@router3# set establish-tunnels immediately
IPsec 規則を構成します。
[edit services ipsec-vpn] user@router3# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router3# set rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates user@router3# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router3# set rule match-direction input
ネクストホップスタイルのサービスセットを設定し、ローカルゲートウェイアドレスを指定して、IPsec VPNルールをサービスセットに関連付けます。
[edit services] user@router3# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router3# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router3# set service-set demo-service-set ipsec-vpn-options trusted-ca entrust user@router3# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 user@router3# set service-set demo-service-set ipsec-vpn-rules rule-ike
設定をコミットします。
[edit] user@router3# commit
結果
設定モードから、 、 、 show protocols ospfshow routing-options、および show services のコマンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します
user@router3# show interfaces
interfaces {
ge-0/0/0 {
description "To R4 ge-0/0/0";
unit 0 {
family inet {
address 10.1.56.1/30;
}
}
}
ge-0/0/1 {
description "To R2 ge-0/0/1";
unit 0 {
family inet {
address 10.1.15.2/30;
}
}
}
ms-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet {
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.3/32;
}
}
}
}
}
user@router3# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
interface ms-1/2/0.1;
}
}
}
user@router3# show routing-options
routing-options {
router-id 10.0.0.3;
}
user@router3# show services
services {
ipsec-vpn {
rule rule-ike {
term term-ike {
then {
remote-gateway 10.1.15.1;
dynamic {
ike-policy ike-digital-certificates;
ipsec-policy ipsec-demo-policy
}
}
}
match-direction input;
}
ike {
proposal ike-demo-proposal {
authentication-method rsa-signatures;
}
policy ike-digital-certificates {
proposals ike-demo-proposal;
local-id fqdn router3.example.com;
local-certificate local-entrust3;
remote-id fqdn router2.example.com;
}
}
ipsec {
proposal ipsec-demo-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy demo-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-demo-proposal;
}
establish-tunnels immediately;
}
service-set service-set-dynamic-demo-service-set {
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
trusted-ca entrust;
local-gateway 10.1.15.2;
}
ipsec-vpn-rules rule-ike;
}
}
}
ルーター4の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細を変更した後、ルーター4の[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
set interfaces ge-0/0/0 description "to R3 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.4/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set routing-options router-id 10.0.0.4
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
ルーター 4 との OSPF 接続をセットアップするには
インターフェイスを設定します。このステップでは、イーサネットインターフェイス(ge-1/0/1)とループバックインターフェイスを設定します。
[edit interfaces] user@router4# set ge-0/0/0 description "to R3 ge-0/0/0" user@router4# set ge-0/0/0 unit 0 family inet address 10.1.56.2/30 user@router4# set lo0 unit 0 family inet address 10.0.0.4/32
OSPF エリアを指定し、インターフェイスを OSPF エリアに関連付けます。
[edit protocols] user@router4# set ospf area 0.0.0.0 interface ge-0/0/0 user@router4# set ospf area 0.0.0.0 interface lo0.0
ルーターIDを設定します。
[edit routing-options] user@router4# set router-id 10.0.0.4
結果
コンフィギュレーションモードから、、、およびshow routing-optionsの各コマ ンドを入力し、show interfacesshow protocols ospfコンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します
user@router4# show interfaces
interfaces {
ge-0/0/0 {
description "To R3 ge-0/0/0";
unit 0 {
family inet {
address 10.1.56.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.4/32;
}
}
}
}
user@router4# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
}
}
}
user@router4# show routing-options
routing-options {
router-id 10.0.0.4;
}
検証
ルーター1での作業の確認
目的
ルーター1で、IPsecトンネルを介してトラフィックを送信するために、ルーター4のso-0/0/0インターフェイスへのpingコマンドを確認します。
アクション
動作モードから、 ping 10.1.56.2を入力します。
user@router1>ping 10.1.56.2 PING 10.1.56.2 (10.1.56.2): 56 data bytes 64 bytes from 10.1.56.2: icmp_seq=0 ttl=254 time=1.351 ms 64 bytes from 10.1.56.2: icmp_seq=1 ttl=254 time=1.187 ms 64 bytes from 10.1.56.2: icmp_seq=2 ttl=254 time=1.172 ms 64 bytes from 10.1.56.2: icmp_seq=3 ttl=254 time=1.154 ms 64 bytes from 10.1.56.2: icmp_seq=4 ttl=254 time=1.156 ms ^C --- 10.1.56.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.154/1.204/1.351/0.074 ms
ルーター 4 のループバック アドレスに ping を実行すると、このアドレスはルーター 4 で設定された OSPF ネットワークの一部であるため、操作は成功します。
user@router1>ping 10.0.0.4 PING 10.0.0.4 (10.0.0.4): 56 data bytes 64 bytes from 10.0.0.4: icmp_seq=0 ttl=62 time=1.318 ms 64 bytes from 10.0.0.4: icmp_seq=1 ttl=62 time=1.084 ms 64 bytes from 10.0.0.4: icmp_seq=2 ttl=62 time=3.260 ms ^C --- 10.0.0.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.084/1.887/3.260/0.975 ms
ルーター2での作業の確認
目的
一致したトラフィックが双方向IPsecトンネルに迂回されていることを確認するには、IPsec統計を表示します。
アクション
動作モードから、 show services ipsec-vpn ipsec statistics.
user@router2>show services ipsec-vpn ipsec statistics PIC: sp-1/2/0, Service set: service-set-dynamic-demo-service-set ESP Statistics: Encrypted bytes: 162056 Decrypted bytes: 161896 Encrypted packets: 2215 Decrypted packets: 2216 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
IKE SA ネゴシエーションが成功したことを確認するには、 コマンドを発行 show services ipsec-vpn ike security-associations します。
動作モードから、 show services ipsec-vpn ike security-associations
user@router2> show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.2 Matured d82610c59114fd37 ec4391f76783ef28 Main
IPsecセキュリティアソシエーションがアクティブであることを確認するには、 コマンドを発行します show services ipsec-vpn ipsec security-associations detail 。SA には、プロトコルの ESP や認証アルゴリズムの HMAC-SHA1-96 など、サービス PIC に固有のデフォルト設定が含まれていることに注意してください。
動作モードから、 show services ipsec-vpn ipsec security-associations detail
user@router2> show services ipsec-vpn ipsec security-associations detail Service set: service-set-dynamic-demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.1, Remote gateway: 10.1.15.2 IPsec inside interface: sp-1/2/0.1 Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Direction: inbound, SPI: 857451461, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 9052 seconds Hard lifetime: Expires in 9187 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 1272330309, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 9052 seconds Hard lifetime: Expires in 9187 seconds Anti-replay service: Enabled, Replay window size: 64
IPsec トンネルの確立に使用されるデジタル証明書を表示するには、show services ipsec-vpn certificates コマンドを発行します。
動作モードから、 show services ipsec-vpn certificates
user@router2> show services ipsec-vpn certificates Service set: service-set-dynamic-demo-service-set, Total entries: 3 Certificate cache entry: 3 Flags: Non-root Trusted Issued to: router3.example.com, Issued by: juniper Alternate subject: router3.example.com Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Certificate cache entry: 2 Flags: Non-root Trusted Issued to: router2.example.com, Issued by: juniper Alternate subject: router2.example.com Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Certificate cache entry: 1 Flags: Root Trusted Issued to: juniper, Issued by: juniper Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT
CA 証明書を表示するには、show security pki ca-certificate detail コマンドを発行します。証明書の署名用、キーの暗号化用、CA のデジタル署名用の 3 つの個別の証明書があることに注意してください。
動作モードから、 show security pki ca-certificate detail
user@router2> show security pki ca-certificate detail Certificate identifier: entrust Certificate version: 3 Serial number: 4355 9235 Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT Public key algorithm: rsaEncryption(1024 bits) cb:9e:2d:c0:70:f8:ea:3c:f2:b5:f0:02:48:87:dc:68:99:a3:57:4f 0e:b9:98:0b:95:47:0d:1f:97:7c:53:17:dd:1a:f8:da:e5:08:d1:1c 78:68:1f:2f:72:9f:a2:cf:81:e3:ce:c5:56:89:ce:f0:97:93:fa:36 19:3e:18:7d:8c:9d:21:fe:1f:c3:87:8d:b3:5d:f3:03:66:9d:16:a7 bf:18:3f:f0:7a:80:f0:62:50:43:83:4f:0e:d7:c6:42:48:c0:8a:b2 c7:46:30:38:df:9b:dc:bc:b5:08:7a:f3:cd:64:db:2b:71:67:fe:d8 04:47:08:07:de:17:23:13 Signature algorithm: sha1WithRSAEncryption Fingerprint: 00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 (sha1) 71:6f:6a:76:17:9b:d6:2a:e7:5a:72:97:82:6d:26:86 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: CRL signing, Certificate signing Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925c Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) c0:a4:21:32:95:0a:cd:ec:12:03:d1:a2:89:71:8e:ce:4e:a6:f9:2f 1a:9a:13:8c:f6:a0:3d:c9:bd:9d:c2:a0:41:77:99:1b:1e:ed:5b:80 34:46:f8:5b:28:34:38:2e:91:7d:4e:ad:14:86:78:67:e7:02:1d:2e 19:11:b7:fa:0d:ba:64:20:e1:28:4e:3e:bb:6e:64:dc:cd:b1:b4:7a ca:8f:47:dd:40:69:c2:35:95:ce:b8:85:56:d7:0f:2d:04:4d:5d:d8 42:e1:4f:6b:bf:38:c0:45:1e:9e:f0:b4:7f:74:6f:e9:70:fd:4a:78 da:eb:10:27:bd:46:34:33 Signature algorithm: sha1WithRSAEncryption Fingerprint: bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 (sha1) 23:79:40:c9:6d:a6:f0:ca:e0:13:30:d4:29:6f:86:79 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Key encipherment Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925b Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) ea:75:c4:f3:58:08:ea:65:5c:7e:b3:de:63:0a:cf:cf:ec:9a:82:e2 d7:e8:b9:2f:bd:4b:cd:86:2f:f1:dd:d8:a2:95:af:ab:51:a5:49:4e 00:10:c6:25:ff:b5:49:6a:99:64:74:69:e5:8c:23:5b:b4:70:62:8e e4:f9:a2:28:d4:54:e2:0b:1f:50:a2:92:cf:6c:8f:ae:10:d4:69:3c 90:e2:1f:04:ea:ac:05:9b:3a:93:74:d0:59:24:e9:d2:9d:c2:ef:22 b9:32:c7:2c:29:4f:91:cb:5a:26:fe:1d:c0:36:dc:f4:9c:8b:f5:26 af:44:bf:53:aa:d4:5f:67 Signature algorithm: sha1WithRSAEncryption Fingerprint: 46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f (sha1) ee:cc:c7:f4:5d:ac:65:33:0a:55:db:59:72:2c:dd:16 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Digital signature
ローカル証明書要求を表示するには、show security pki certificate-request コマンドを発行します。
動作モードから、 show security pki certificate-request
user@router2> show security pki certificate-request Certificate identifier: local-entrust2 Issued to: router2.example.com Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
ローカル証明書を表示するには、show security pki local-certificate コマンドを発行します。
動作モードから、 show security pki local-certificate
user@router2> show security pki local-certificate Certificate identifier: local-entrust2 Issued to: router2.example.com, Issued by: juniper Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
ルーター 3 での作業の確認
目的
一致したトラフィックが双方向IPsecトンネルに迂回されていることを確認するには、IPsec統計を表示します。
アクション
動作モードから、 show services ipsec-vpn ipsec statistics.
user@router3>show services ipsec-vpn ipsec statistics PIC: sp-1/2/0, Service set: service-set-dynamic-demo-service-set ESP Statistics: Encrypted bytes: 161896 Decrypted bytes: 162056 Encrypted packets: 2216 Decrypted packets: 2215 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
IKE SAネゴシエーションが成功したことを確認するために、show services ipsec-vpn ikeセキュリティアソシエーションコマンドを発行します。正常に実行するには、ルーター 3 の SA に、ルーター 2 で指定したのと同じ設定が含まれている必要があります。
動作モードから、 show services ipsec-vpn ike security-associations.
user@router3>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.1 Matured d82610c59114fd37 ec4391f76783ef28 Main
IPsec SAがアクティブであることを確認するには、show services ipsec-vpn ipsec security-associations detail コマンドを発行します。正常に実行するには、ルーター 3 の SA に、ルーター 2 で指定したのと同じ設定が含まれている必要があります。
動作モードから、 show services ipsec-vpn ipsec security-associations detail.
user@router3>show services ipsec-vpn ipsec security-associations detail Service set: service-set-dynamic-demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.2, Remote gateway: 10.1.15.1 IPsec inside interface: sp-1/2/0.1 Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Direction: inbound, SPI: 1272330309, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 7219 seconds Hard lifetime: Expires in 7309 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 857451461, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 7219 seconds Hard lifetime: Expires in 7309 seconds Anti-replay service: Enabled, Replay window size: 64
IPsec トンネルの確立に使用されるデジタル証明書を表示するには、show services ipsec-vpn certificates コマンドを発行します。
動作モードから、 show services ipsec-vpn certificates.
user@router3>show services ipsec-vpn certificates Service set: service-set-dynamic-demo-service-set, Total entries: 3 Certificate cache entry: 3 Flags: Non-root Trusted Issued to: router3.example.com, Issued by: juniper Alternate subject: router3.example.com Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Certificate cache entry: 2 Flags: Non-root Trusted Issued to: router2.example.com, Issued by: juniper Alternate subject: router2.example.com Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Certificate cache entry: 1 Flags: Root Trusted Issued to: juniper, Issued by: juniper Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT
CA 証明書を表示するには、show security pki ca-certificate detail コマンドを発行します。証明書の署名用、キーの暗号化用、CA のデジタル署名用の 3 つの個別の証明書があることに注意してください。
動作モードから、 show security pki ca-certificate detail.
user@router3>show security pki ca-certificate detail Certificate identifier: entrust Certificate version: 3 Serial number: 4355 9235 Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT Public key algorithm: rsaEncryption(1024 bits) cb:9e:2d:c0:70:f8:ea:3c:f2:b5:f0:02:48:87:dc:68:99:a3:57:4f 0e:b9:98:0b:95:47:0d:1f:97:7c:53:17:dd:1a:f8:da:e5:08:d1:1c 78:68:1f:2f:72:9f:a2:cf:81:e3:ce:c5:56:89:ce:f0:97:93:fa:36 19:3e:18:7d:8c:9d:21:fe:1f:c3:87:8d:b3:5d:f3:03:66:9d:16:a7 bf:18:3f:f0:7a:80:f0:62:50:43:83:4f:0e:d7:c6:42:48:c0:8a:b2 c7:46:30:38:df:9b:dc:bc:b5:08:7a:f3:cd:64:db:2b:71:67:fe:d8 04:47:08:07:de:17:23:13 Signature algorithm: sha1WithRSAEncryption Fingerprint: 00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 (sha1) 71:6f:6a:76:17:9b:d6:2a:e7:5a:72:97:82:6d:26:86 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: CRL signing, Certificate signing Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925c Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) c0:a4:21:32:95:0a:cd:ec:12:03:d1:a2:89:71:8e:ce:4e:a6:f9:2f 1a:9a:13:8c:f6:a0:3d:c9:bd:9d:c2:a0:41:77:99:1b:1e:ed:5b:80 34:46:f8:5b:28:34:38:2e:91:7d:4e:ad:14:86:78:67:e7:02:1d:2e 19:11:b7:fa:0d:ba:64:20:e1:28:4e:3e:bb:6e:64:dc:cd:b1:b4:7a ca:8f:47:dd:40:69:c2:35:95:ce:b8:85:56:d7:0f:2d:04:4d:5d:d8 42:e1:4f:6b:bf:38:c0:45:1e:9e:f0:b4:7f:74:6f:e9:70:fd:4a:78 da:eb:10:27:bd:46:34:33 Signature algorithm: sha1WithRSAEncryption Fingerprint: bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 (sha1) 23:79:40:c9:6d:a6:f0:ca:e0:13:30:d4:29:6f:86:79 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Key encipherment Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925b Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) ea:75:c4:f3:58:08:ea:65:5c:7e:b3:de:63:0a:cf:cf:ec:9a:82:e2 d7:e8:b9:2f:bd:4b:cd:86:2f:f1:dd:d8:a2:95:af:ab:51:a5:49:4e 00:10:c6:25:ff:b5:49:6a:99:64:74:69:e5:8c:23:5b:b4:70:62:8e e4:f9:a2:28:d4:54:e2:0b:1f:50:a2:92:cf:6c:8f:ae:10:d4:69:3c 90:e2:1f:04:ea:ac:05:9b:3a:93:74:d0:59:24:e9:d2:9d:c2:ef:22 b9:32:c7:2c:29:4f:91:cb:5a:26:fe:1d:c0:36:dc:f4:9c:8b:f5:26 af:44:bf:53:aa:d4:5f:67 Signature algorithm: sha1WithRSAEncryption Fingerprint: 46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f (sha1) ee:cc:c7:f4:5d:ac:65:33:0a:55:db:59:72:2c:dd:16 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Digital signature
ローカル証明書要求を表示するには、show security pki certificate-request コマンドを発行します。
動作モードから、 show security pki certificate-request.
user@router3>show security pki certificate-request Certificate identifier: local-entrust3 Issued to: router3.example.com Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
ローカル証明書を表示するには、show security pki local-certificate コマンドを発行します。
動作モードから、 show security pki local-certificate.
user@router3>show security pki local-certificate Certificate identifier: local-entrust3 Issued to: router3.example.com, Issued by: juniper Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
ルーター 4 での作業の確認
目的
ルーター4では、ルーター1のso-0/0/0インターフェイスにpingコマンドを発行して、IPsecトンネルを介してトラフィックを送信します。
アクション
動作モードから、 ping 10.1.12.2を入力します。
user@router4>ping 10.1.12.2 PING 10.1.12.2 (10.1.12.2): 56 data bytes 64 bytes from 10.1.12.2: icmp_seq=0 ttl=254 time=1.350 ms 64 bytes from 10.1.12.2: icmp_seq=1 ttl=254 time=1.161 ms 64 bytes from 10.1.12.2: icmp_seq=2 ttl=254 time=1.124 ms 64 bytes from 10.1.12.2: icmp_seq=5 ttl=254 time=1.116 ms ^C --- 10.1.12.2 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.116/1.172/1.350/0.081 ms
トラフィックがIPsecトンネル上を移動することを確認する最後の方法は、ルーター1のso-0/0/0インターフェイスにtracerouteコマンドを発行することです。ルーター 2 とルータ 3 の間の物理インターフェイスがパスで参照されていないことに注意してください。トラフィックは、ルーター3の適応サービス IPsec 内部インターフェイスを経由して IPsec トンネルに入り、ルーター 2 のループバック インターフェイスを通過して、ルーター 1 の so-0/0/0 インターフェイスで終了します。
動作モードから、 traceroute 10.1.12.2.
user@router4>traceroute 10.1.12.2 traceroute to 10.1.12.2 (10.1.12.2), 30 hops max, 40 byte packets 1 10.1.15.2 (10.1.15.2) 0.987 ms 0.630 ms 0.563 ms 2 10.0.0.2 (10.0.0.2) 1.194 ms 1.058 ms 1.033 ms 3 10.1.12.2 (10.1.12.2) 1.073 ms 0.949 ms 0.932 ms
Junos VPN Site Secure または IPSec VPN の設定
IPsec VPN は、MS-MIC、MS-MPC、または MS-DPC があるすべての MX シリーズ ルーターでサポートされています。
M SeriesおよびT Seriesルーターでは、IPsec VPNはマルチサービス100 PIC、マルチサービス400 PIC、マルチサービス500 PICでサポートされています。
MS-MIC および MS-MPC は、Junos OS Release 13.2 以降でサポートされています。MS-MIC および MS-MPC は、動的または手動のセキュリティ アソシエーションとフローレス IPsec サービス向けの認証ヘッダー プロトコル(ah)、カプセル化セキュリティ ペイロード プロトコル(esp)、バンドル(ah および esp プロトコル)プロトコルを除く、MS-DPC および MS-PIC がサポートするすべての機能をサポートします。
Junos OSリリース17.4R1以降では、IKEv1およびIKEv2でNATトラバーサル(NAT-T)がサポートされています。NAT-Tはデフォルトで有効になっています。階層レベルの 設定disable-natt[edit services ipsec-vpn]を使用して、IKE および ESP パケットの UDP カプセル化とカプセル化解除を指定できます。
関連項目
例:MS-MIC および MS-MPC での Junos VPN サイト セキュアの設定
この例と同じ手順で、同じ設定を使用して、MS-MPC で Junos VPN Site Secure (以前は IPsec 機能と呼ばれていました) を設定できます。
この例は、次のセクションで構成されています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MS-MIC 搭載 2 つの MX シリーズ ルーター
Junos OS リリース 13.2 以降
概要
Junos OS リリース 13.2 は、Junos VPN Site Secure (旧称 IPsec 機能) のサポートを、MX シリーズ ルーターに新しく導入されたマルチサービス MIC および MPC(MS-MIC および MS-MPC)に拡張します。Junos OS 拡張プロバイダー パッケージは、MS-MIC および MS-MPC に事前インストールおよび構成されています。
次の Junos VPN サイト セキュア機能は、リリース 13.2 の MS-MIC および MS-MPC でサポートされています。
ダイナミックエンドポイント(DEP)
カプセル化セキュリティペイロード(ESP)プロトコル
デッドピア検出(DPD)トリガーメッセージ
シーケンス番号ロールオーバー通知
ネクストホップスタイルおよびインターフェイススタイルのサービスセットを持つ静的IPsecトンネル
ただし、Junos OS Release 13.2 では、MS-MIC および MS-MPC での Junos VPN Site Secure サポートは IPv4 トラフィックに限定されています。パッシブ モジュール トンネリングは、MS-MIC および MS-MPC ではサポートされていません。
図 2 に、IPsec VPN トンネルのトポロジーを示します。
ー
この例では、IPsec VPNトンネルが設定されている2つのルーター、ルーター1とルーター2の設定を示しています。
ルーターを構成する際は、以下の点に注意してください。
ルーター1の 階層
[edit services ipsec-vpn rule name term term from]レベルの下で設定source-addressする IPアドレスは、ルーター2の同じ階層で設定destination-addressする IPアドレスと同じでなければならず、その逆も同様です。階層レベルで設定
[edit services ipsec-vpn rule name term term then]する のIPアドレスは、ルーター2の階層レベルで設定する のIPアドレスと一致する必要があり、ルーター2のremote-gateway階層レベルの下で[edit services service-set name ipsec-vpn-options]設定する のIPアドレスlocal-gatewayも一致し、その逆も同様です。
構成
ここでは、次の内容について説明します。
CLIクイック構成
この例を素早く設定するには、以下のコマンドをコピーしてテキスト・ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な内容を変更した後、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
ルーター1のインターフェイスの設定
set interfaces ms-4/0/0 unit 0 family inet set interfaces ms-4/0/0 unit 1 family inet set interfaces ms-4/0/0 unit 1 family inet6 set interfaces ms-4/0/0 unit 1 service-domain inside set interfaces ms-4/0/0 unit 2 family inet set interfaces ms-4/0/0 unit 2 family inet6 set interfaces ms-4/0/0 unit 2 service-domain outside set interfaces xe-0/2/0 unit 0 family inet address 10.0.1.1/30
ルーター1でのIPsec VPNサービスの設定
set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from source-address 172.16.0.0/16 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from destination-address 192.168.0.0/16 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then remote-gateway 10.0.1.2 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ike-policy ike_policy_ms_4_0_0 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_4_0_0 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then anti-replay-window-size 4096 set services ipsec-vpn rule vpn_rule_ms_4_0_01 match-direction input set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 protocol esp set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 proposals ipsec_proposal_ms_4_0_0 set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 dh-group group2 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 version 2 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 proposals ike_proposal_ms_4_0_0 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 pre-shared-key ascii-text secret-data
ルーター1でのサービスセットの設定
set services service-set ipsec_ss_ms_4_0_01 next-hop-service inside-service-interface ms-4/0/0.1 set services service-set ipsec_ss_ms_4_0_01 next-hop-service outside-service-interface ms-4/0/0.2 set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-options local-gateway 10.0.1.1 set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-rules vpn_rule_ms_4_0_01
ルーター1でのルーティングオプションの設定
set routing-options static route 192.168.0.0/16 next-hop ms-4/0/0.1
ルーター2のインターフェイスの設定
set interfaces ms-1/0/0 unit 0 family inet set interfaces ms-1/0/0 unit 1 family inet set interfaces ms-1/0/0 unit 1 family inet6 set interfaces ms-1/0/0 unit 1 service-domain inside set interfaces ms-1/0/0 unit 2 family inet set interfaces ms-1/0/0 unit 2 family inet6 set interfaces ms-1/0/0 unit 2 service-domain outside set interfaces ge-2/0/0 unit 0 family inet address 10.0.1.2/30
ルーター2でのIPsec VPNサービスの設定
set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from source-address 192.168.0.0/16 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from destination-address 172.16.0.0/16 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then remote-gateway 10.0.1.1 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ike-policy ike_policy_ms_5_2_0 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_5_2_0 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then anti-replay-window-size 4096 set services ipsec-vpn rule vpn_rule_ms_5_2_01 match-direction input set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 protocol esp set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 proposals ipsec_proposal_ms_5_2_0 set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 dh-group group2 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 version 2 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 proposals ike_proposal_ms_5_2_0 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 pre-shared-key ascii-text secret-data set services ipsec-vpn establish-tunnels immediately
ルーター2でのサービスセットの設定
set services service-set ipsec_ss_ms_5_2_01 next-hop-service inside-service-interface ms-1/0/0.1 set services service-set ipsec_ss_ms_5_2_01 next-hop-service outside-service-interface ms-1/0/0.2 set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-options local-gateway 10.0.1.2 set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-rules vpn_rule_ms_5_2_01
ルーター2でのルーティングオプションの設定
set routing-options static route 172.16.0.0/16 next-hop ms-1/0/0.1
ルーター1の設定
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
リリース 13.2 以降、Junos OS 拡張プロバイダー パッケージは、マルチサービス MIC および MPC(MS-MIC および MS-MPC)にプリインストールされています。 adaptive-services これらのカードでは、 [edit chassis fpc number pic number] 階層レベルの設定が事前に設定されています。
ファミリー、サービスドメイン、ユニットなどのインターフェイスプロパティを設定します。
user@router1# set interfaces ms-4/0/0 unit 0 family inet user@router1# set interfaces ms-4/0/0 unit 1 family inet user@router1# set interfaces ms-4/0/0 unit 1 family inet6 user@router1# set interfaces ms-4/0/0 unit 1 service-domain inside user@router1# set interfaces ms-4/0/0 unit 2 family inet user@router1# set interfaces ms-4/0/0 unit 2 family inet6 user@router1# set interfaces ms-4/0/0 unit 2 service-domain outside user@router1# set interfaces xe-0/2/0 unit 0 family inet address 10.0.1.1/30
アドレス、リモートゲートウェイ、ポリシー、一致方向、プロトコル、再生ウィンドウサイズ、アルゴリズムの詳細、秘密鍵、プロポーザル、認証方法、グループ、バージョンなどのIPsecプロパティを設定します。
user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from source-address 172.16.0.0/16 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from destination-address 192.168.0.0/16 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then remote-gateway 10.0.1.2 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ike-policy ike_policy_ms_4_0_0 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_4_0_0 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then anti-replay-window-size 4096 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 match-direction input user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 protocol esp user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 authentication-algorithm hmac-sha1-96 user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 encryption-algorithm 3des-cbc user@router1# set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 perfect-forward-secrecy keys group2 user@router1# set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 proposals ipsec_proposal_ms_4_0_0 user@router1# set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 authentication-method pre-shared-keys user@router1# set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 dh-group group2 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 version 2 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 proposals ike_proposal_ms_4_0_0 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 pre-shared-key ascii-text secret-key
サービス セット、ipsec-vpn オプション、およびルールを構成します。
user@router1# set services service-set ipsec_ss_ms_4_0_01 next-hop-service inside-service-interface ms-4/0/0.1 user@router1# set services service-set ipsec_ss_ms_4_0_01 next-hop-service outside-service-interface ms-4/0/0.2 user@router1# set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-options local-gateway 10.0.1.1 user@router1# set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-rules vpn_rule_ms_4_0_01
ルーティングオプション、静的ルート、ネクストホップを設定します。
user@router1# set routing-options static route 192.168.0.0/16 next-hop ms-4/0/0.1
結果
ルーター 1 の設定モードから、、 show services ipsec-vpnおよび show services service-set コマ ンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@router1# show interfaces
ms-4/0/0{
unit 0 {
family inet;
}
unit 1 {
family inet;
family inet6;
service-domain inside;
}
unit 2 {
family inet;
family inet6;
service-domain outside;
}
}
xe-0/2/0 {
unit 0 {
family inet {
address 10.0.1.1/30;
}
}
}
user@router1# show services ipsec-vpn
rule vpn_rule_ms_4_0_01 {
term term11 {
from {
source-address {
172.16.0.0/16;
}
destination-address {
192.168.0.0/16;
}
}
then {
remote-gateway 10.0.1.2;
dynamic {
ike-policy ike_policy_ms_4_0_0;
ipsec-policy ipsec_policy_ms_4_0_0;
}
anti-replay-window-size 4096;
}
}
match-direction input;
}
ipsec {
proposal ipsec_proposal_ms_4_0_0 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_policy_ms_4_0_0 {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_proposal_ms_4_0_0;
}
}
ike {
proposal ike_proposal_ms_4_0_0 {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike_policy_ms_4_0_0 {
version 2;
proposals ike_proposal_ms_4_0_0;
pre-shared-key ascii-text "$9ABC123"; ## SECRET-DATA
}
}
user@router1# show services service-set
ipsec_ss_ms_4_0_01 {
next-hop-service {
inside-service-interface ms-4/0/0.1;
outside-service-interface ms-4/0/0.2;
}
ipsec-vpn-options {
local-gateway 10.0.1.1;
}
ipsec-vpn-rules vpn_rule_ms_4_0_01;
}
ルーター2の設定
手順
ファミリー、サービスドメイン、ユニットなどのインターフェイスプロパティを設定します。
user@router2# set interfaces ms-1/0/0 services-options inactivity-non-tcp-timeout 600 user@router2# set interfaces ms-1/0/0 unit 0 family inet user@router2# set interfaces ms-1/0/0 unit 1 family inet user@router2# set interfaces ms-1/0/0 unit 1 family inet6 user@router2# set interfaces ms-1/0/0 unit 1 service-domain inside user@router2# set interfaces ms-1/0/0 unit 2 family inet user@router2# set interfaces ms-1/0/0 unit 2 family inet6 user@router2# set interfaces ms-1/0/0 unit 2 service-domain outside user@router2# set interfaces ge-2/0/0 unit 0 family inet adddress 10.0.1.2/30
アドレス、リモートゲートウェイ、ポリシー、一致方向、プロトコル、再生ウィンドウサイズ、アルゴリズムの詳細、秘密鍵、プロポーザル、認証方法、グループ、バージョンなどのIPsecプロパティを設定します。
user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from source-address 192.168.0.0/16 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from destination-address 172.16.0.0/16 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then remote-gateway 10.0.1.1 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ike-policy ike_policy_ms_5_2_0 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_5_2_0 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then anti-replay-window-size 4096 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 match-direction input user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 protocol esp user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 authentication-algorithm hmac-sha1-96 user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 encryption-algorithm 3des-cbc user@router2# set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 perfect-forward-secrecy keys group2 user@router2# set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 proposals ipsec_proposal_ms_5_2_0 user@router2# set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 authentication-method pre-shared-keys user@router2# set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 dh-group group2 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 version 2 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 proposals ike_proposal_ms_5_2_0 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 pre-shared-key ascii-text "$ABC123" user@router2# set services ipsec-vpn establish-tunnels immediately
ネクストホップサービスやipsec-vpnオプションなどのサービスセットを設定します。
user@router2# set services service-set ipsec_ss_ms_5_2_01 next-hop-service inside-service-interface ms-1/0/0.1 user@router2# set services service-set ipsec_ss_ms_5_2_01 next-hop-service outside-service-interface ms-1/0/0.2 user@router2# set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-options local-gateway 10.0.1.2 user@router2# set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-rules vpn_rule_ms_5_2_01
ルーティングオプション、静的ルート、ネクストホップを設定します。
user@router2# set routing-options static route 172.16.0.0/16 next-hop ms-1/0/0.1
結果
ルーター 2 の設定モードから、、 show services ipsec-vpnshow services service-set および コマ ンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@router2# show interfaces
ms-1/0/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
family inet6;
service-domain inside;
}
unit 2 {
family inet;
family inet6;
service-domain outside;
}
}
ge-2/0/0 {
unit 0 {
family inet {
address 10.0.1.2/30;
}
}
}
user@router2# show services ipsec-vpn
rule vpn_rule_ms_5_2_01 {
term term11 {
from {
source-address {
192.168.0.0/16;
}
destination-address {
172.16.0.0/16;
}
}
then {
remote-gateway 10.0.1.1;
dynamic {
ike-policy ike_policy_ms_5_2_0;
ipsec-policy ipsec_policy_ms_5_2_0;
}
anti-replay-window-size 4096;
}
}
match-direction input;
}
ipsec {
proposal ipsec_proposal_ms_5_2_0 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_policy_ms_5_2_0 {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_proposal_ms_5_2_0;
}
}
ike {
proposal ike_proposal_ms_5_2_0 {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike_policy_ms_5_2_0 {
version 2;
proposals ike_proposal_ms_5_2_0;
pre-shared-key ascii-text "$9ABC123"; ## SECRET-DATA
}
}
establish-tunnels immediately;
user@router2# show services service-set
ipsec_ss_ms_5_2_01 {
next-hop-service {
inside-service-interface ms-1/0/0.1;
outside-service-interface ms-1/0/0.2;
}
ipsec-vpn-options {
local-gateway 10.0.1.2;
}
ipsec-vpn-rules vpn_rule_ms_5_2_01;
}
user@router2 #show routing-options
static {
route 172.16.0.0/16 next-hop ms-1/0/0.1;
}
検証
トンネル作成の確認
目的
動的エンドポイントが作成されていることを確認します。
アクション
ルーター 1 で次のコマンドを実行します。
user@router1 >show services ipsec-vpn ipsec security-associations detail
Service set: ipsec_ss_ms_4_0_01, IKE Routing-instance: default
Rule: vpn_rule_ms_4_0_01, Term: term11, Tunnel index: 1
Local gateway: 10.0.1.1, Remote gateway: 10.0.1.2
IPSec inside interface: ms-4/0/0.1, Tunnel MTU: 1500
Local identity: ipv4_subnet(any:0,[0..7]=172.16.0.0/16)
Remote identity: ipv4_subnet(any:0,[0..7]=192.168.0.0/16)
Direction: inbound, SPI: 112014862, AUX-SPI: 0
Mode: tunnel, Type: dynamic, State: Installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Soft lifetime: Expires in 24556 seconds
Hard lifetime: Expires in 25130 seconds
Anti-replay service: Enabled, Replay window size: 4096
Direction: outbound, SPI: 1469281276, AUX-SPI: 0
Mode: tunnel, Type: dynamic, State: Installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Soft lifetime: Expires in 24556 seconds
Hard lifetime: Expires in 25130 seconds
Anti-replay service: Enabled, Replay window size: 4096
意味
出力は、IPSec SAがルーターで稼働しており、その状態がインストール済みであることを示しています。IPSec トンネルが立ち上がっており、トンネル経由でトラフィックを送信する準備ができています。
DEP トンネルを通過するトラフィック フローの検証
目的
新しく作成した DEP トンネル全体のトラフィック フローを確認します。
アクション
ルーター2で次のコマンドを実行します。
user@router2> show services ipsec-vpn ipsec statistics PIC: ms-1/0/0, Service set: ipsec_ss_ms_5_2_01 ESP Statistics: Encrypted bytes: 153328 Decrypted bytes: 131424 Encrypted packets: 2738 Decrypted packets: 2738 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0 ESP authentication failures: 0 ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 Replay before window drops: 0, Replayed pkts: 0 IP integrity errors: 0, Exceeds tunnel MTU: 0 Rule lookup failures: 0, No SA errors: 0 Flow errors: 0, Misc errors: 0
サービス セットの IPsec セキュリティ アソシエーションの確認
目的
サービス・セット用に構成されたセキュリティー・アソシエーションが正しく機能していることを確認します。
アクション
ルーター2で次のコマンドを実行します。
user@router2> show services ipsec-vpn ipsec security-associations ipsec_ss_ms_5_2_01
Service set: ipsec_ss_ms_5_2_01, IKE Routing-instance: default
Rule: vpn_rule_ms_5_2_01, Term: term11, Tunnel index: 1
Local gateway: 10.0.1.2., Remote gateway: 10.0.1.1
IPSec inside interface: ms-1/0/0.1, Tunnel MTU: 1500
Direction SPI AUX-SPI Mode Type Protocol
inbound 1612447024 0 tunnel dynamic ESP
outbound 1824720964 0 tunnel dynamic ESP
例:VRF インスタンス上で静的に割り当てられた IPsec トンネルの設定
この例は、VRFインスタンス上で静的に割り当てられたIPsecトンネルを設定する方法を示しており、次のセクションで構成されています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
プロバイダー エッジ ルーターとして構成されている M シリーズ、MX シリーズ、または T シリーズ ルーター。
Junos OS リリース 9.4 以降。
この機能を設定する前に、デバイスの初期化以上の特別な設定を行う必要はありません。
概要
Junos OSでは、仮想ルーティングおよび転送(VRF)インスタンスに静的に割り当てられたIPsecトンネルを設定できます。VRFインスタンスでIPsecトンネルを設定する機能により、ネットワークのセグメント化とセキュリティが強化されます。VRF インスタンスを介して、同じ PE ルーター上に複数の顧客トンネルを設定できます。各 VRF インスタンスは、排他的ルーティング テーブルを持つ論理ルーターとして機能します。
構成
この例では、プロバイダ エッジ ルーター上の VRF インスタンスを介した IPsec トンネルの設定を示し、必要な設定を完了するための手順を順を追って説明します。
ここでは、次の内容について説明します。
プロバイダ エッジ ルーターの設定
CLIクイック構成
この例を素早く設定するには、以下のコマンドをコピーしてテキスト・ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な内容を変更した後、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
set interfaces ge-0/3/0 unit 0 family inet address 10.6.6.6/32 set interfaces ge-1/1/0 description "teller ge-0/1/0" set interfaces ge-1/1/0 unit 0 family inet address 10.21.1.1/16 set interfaces ms-1/2/0 unit 0 family inet address 10.7.7.7/32 set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set policy-options policy-statement vpn-export then community add vpn-community set policy-options policy-statement vpn-export then accept set policy-options policy-statement vpn-import term a from community vpn-community set policy-options policy-statement vpn-import term a then accept set policy-options community vpn-community members target:100:20 set routing-instances vrf instance-type vrf set routing-instances vrf interface ge-0/3/0.0 set routing-instances vrf interface ms-1/2/0.1 set routing-instances vrf route-distinguisher 192.168.0.1:1 set routing-instances vrf vrf-import vpn-import set routing-instances vrf vrf-export vpn-export set routing-instances vrf routing-options static route 10.0.0.0/0 next-hop ge-0/3/0.0 set routing-instances vrf routing-options static route 10.11.11.1/32 next-hop ge-0/3/0.0 set routing-instances vrf routing-options static route 10.8.8.1/32 next-hop ms-1/2/0.1 set services ipsec-vpn ipsec proposal demo_ipsec_proposal protocol esp set services ipsec-vpn ipsec proposal demo_ipsec_proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal demo_ipsec_proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy demo_ipsec_policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy demo_ipsec_policy proposals demo_ipsec_proposal set services ipsec-vpn ike proposal demo_ike_proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal demo_ike_proposal dh-group group2 set services ipsec-vpn ike policy demo_ike_policy proposals demo_ike_proposal set services ipsec-vpn ike policy demo_ike_policy pre-shared-key ascii-text juniperkey set services ipsec-vpn rule demo-rule term demo-term then remote-gateway 10.21.2.1 set services ipsec-vpn rule demo-rule term demo-term then dynamic ike-policy demo_ike_policy set services ipsec-vpn rule demo-rule match-direction input set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.21.1.1 set services service-set demo-service-set ipsec-vpn-rules demo-rule
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
VRF インスタンスで静的に割り当てられた IPsec トンネルを設定するには、次の手順に従います。
インターフェイスを設定します。このステップでは、2つのイーサネット()インターフェイス、1つのサービスインターフェイス(
gems-)、およびサービスインターフェイスの論理インターフェイスのサービスドメインプロパティを設定します。内部インターフェイスとしてマークされた論理インターフェイスは設定されたサービスをトラフィックに適用しますが、外部インターフェイスとしてマークされた論理インターフェイスは、内部インターフェイスがサービスを適用したトラフィックのエグレス ポイントとして機能することに注意してください。[edit interfaces] user@PE1# set ge-0/3/0 unit 0 family inet address 10.6.6.6/32 user@PE1# set ge-1/1/0 description "teller ge-0/1/0" user@PE1# set ge-1/1/0 unit 0 family inet address 10.21.1.1/16 user@PE1# set ms-1/2/0 unit 0 family inet address 10.7.7.7/32 user@PE1# set ms-1/2/0 unit 1 family inet user@PE1# set ms-1/2/0 unit 1 service-domain inside user@PE1# set ms-1/2/0 unit 2 family inet user@PE1# set ms-1/2/0 unit 2 service-domain outside
ルーティングポリシーを設定して、VRFインスタンスのルートインポートおよびエクスポート基準を指定します。このステップで定義したインポートおよびエクスポート・ポリシーは、次のステップのルーティング・インスタンス設定から参照されます。
[edit policy-options] user@PE1# set policy-statement vpn-export then community add vpn-community user@PE1# set policy-statement vpn-export then accept user@PE1# set policy-statement vpn-import term a from community vpn-community user@PE1# set policy-statement vpn-import term a then accept user@PE1# set community vpn-community members target:100:20
ルーティング インスタンスを設定し、ルーティング インスタンス タイプを
vrfに指定します。前のステップで定義したインポートおよびエクスポートポリシーをルーティングインスタンスに適用し、最初のステップで設定した内部インターフェイス(ms-1/2/0.1)にIPsecトラフィックを送信するスタティックルートを指定します。[edit routing-instance] user@PE1# set vrf instance-type vrf user@PE1# set vrf interface ge-0/3/0.0 user@PE1# set vrf interface ms-1/2/0.1 user@PE1# set vrf route-distinguisher 192.168.0.1:1 user@PE1# set vrf vrf-import vpn-import user@PE1# set vrf vrf-export vpn-export user@PE1# set vrf routing-options static route 10.0.0.0/0 next-hop ge-0/3/0.0 user@PE1# set vrf routing-options static route 10.11.11.1/32 next-hop ge-0/3/0.0 user@PE1# set vrf routing-options static route 10.8.8.1/32 next-hop ms-1/2/0.1
IKEとIPsecのプロポーザルとポリシー、および受信トラフィックにIKEポリシーを適用するルールを設定します。
メモ:デフォルトでは、Junos OSはIKEポリシーバージョン1.0を使用します。Junos OS リリース 11.4 以降では、 で
[edit services ipsec-vpn ike policy policy-name pre-shared]設定する必要がある IKE ポリシー バージョン 2.0 もサポートされています。[edit services] user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal protocol esp user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal authentication-algorithm hmac-sha1-96 user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal encryption-algorithm 3des-cbc user@PE1# set ipsec-vpn ipsec policy demo_ipsec_policy perfect-forward-secrecy keys group2 user@PE1# set ipsec-vpn ipsec policy demo_ipsec_policy proposals demo_ipsec_proposal user@PE1# set ipsec-vpn ike proposal demo_ike_proposal authentication-method pre-shared-keys user@PE1# set ipsec-vpn ike proposal demo_ike_proposal dh-group group2 user@PE1# set ipsec-vpn ike policy demo_ike_policy proposals demo_ike_proposal user@PE1# set ipsec-vpn ike policy demo_ike_policy pre-shared-key ascii-text juniperkey user@PE1# set ipsec-vpn rule demo-rule term demo-term then remote-gateway 10.21.2.1 user@PE1# set ipsec-vpn rule demo-rule term demo-term then dynamic ike-policy demo_ike_policy user@PE1# set ipsec-vpn rule demo-rule match-direction input
ネクストホップスタイルのサービスセットを設定します。最初のステップで設定した内部インターフェイスと外部インターフェイスを、それぞれ および
outside-service-interfaceとしてinside-service-interface設定する必要があることに注意してください。[edit services] user@PE1# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@PE1# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@PE1# set service-set demo-service-set ipsec-vpn-options local-gateway 10.21.1.1 user@PE1# set service-set demo-service-set ipsec-vpn-rules demo-rule
設定をコミットします。
[edit] user@PE1# commit
結果
ルーター 1 の設定モードから、 、 、show services ipsec-vpnshow policy-optionsshow routing-instancesおよび show services service-set コマ ンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@PE1# show interfaces
...
ms-1/2/0 {
unit 0 {
family inet {
address 10.7.7.7/32;
}
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
ge-0/3/0 {
unit 0 {
family inet {
address 10.6.6.6/32;
}
}
}
ge-1/1/0 {
description "teller ge-0/1/0";
unit 0 {
family inet {
address 10.21.1.1/16;
}
}
}
...
user@PE1# show policy-options
policy-statement vpn-export {
then {
community add vpn-community;
accept;
}
}
policy-statement vpn-import {
term a {
from community vpn-community;
then accept;
}
}
community vpn-community members target:100:20;
user@PE1# show routing-instances
vrf {
instance-type vrf;
interface ge-0/3/0.0;
interface ms-1/2/0.1;
route-distinguisher 192.168.0.1:1;
vrf-import vpn-import;
vrf-export vpn-export;
routing-options {
static {
route 10.0.0.0/0 next-hop ge-0/3/0.0;
route 10.11.11.1/32 next-hop ge-0/3/0.0;
route 10.8.8.1/32 next-hop ms-1/2/0.1;
}
}
}
user@PE1# show services ipsec-vpn
ipsec-vpn {
rule demo-rule {
term demo-term {
then {
remote-gateway 10.21.2.1;
dynamic {
ike-policy demo_ike_policy;
}
}
}
match-direction input;
}
ipsec {
proposal demo_ipsec_proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy demo_ipsec_policy {
perfect-forward-secrecy {
keys group2;
}
proposals demo_ipsec_proposal;
}
}
ike {
proposal demo_ike_proposal {
authentication-method pre-shared-keys;
dh-group group2;
}
policy demo_ike_policy {
proposals demo_ike_proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
}
}
user@PE1# show services service-set demo-service-set
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 10.21.1.1;
}
ipsec-vpn-rules demo-rule;
マルチタスクの例:IPsec サービスの設定
次の例ベースの手順は、IPsecサービスを構成する方法を示しています。設定には、IKE ポリシー、IPsec ポリシー、IPsec ルール、トレース オプション、サービス セットの定義が含まれます。
このトピックは、次のタスクで構成されています。
- IKEプロポーザルの設定
- IKEポリシーの設定(およびIKEプロポーザルの参照)
- IPsecプロポーザルの設定
- IPsecポリシーの設定(およびIPsecプロポーザルの参照)
- IPsecルールの設定(およびIKEおよびIPsecポリシーの参照)
- IPsecトレース オプションの設定
- アクセス プロファイルの構成(および IKE および IPsec ポリシーの参照)
- サービス セットの設定(および IKE プロファイルと IPsec ルールの参照)
IKEプロポーザルの設定
IKEプロポーザル設定は、ピアセキュリティゲートウェイとのセキュアIKE接続を確立するのに使用するアルゴリズムと鍵を定義します。IKEプロポーザルの詳細については、 IKEプロポーザルの設定を参照してください。
IKE プロポーザIを定義するには:
以下のサンプル出力は、IKEプロポーザルの設定を示しています。
[edit services ipsec-vpn]
user@host# show ike
proposal test-IKE-proposal {
authentication-method pre-shared-keys;
dh-group group1;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
関連項目
IKEポリシーの設定(およびIKEプロポーザルの参照)
IKE ポリシー設定は、IKE ネゴシエーション中に使用されるプロポーザル、モード、アドレス、その他のセキュリティ パラメータを定義します。IKEポリシーの詳細については、 IKEポリシーの設定を参照してください。
IKEポリシーを定義し、IKEプロポーザルを参照するには、次の手順に従います。
以下のサンプル出力は、IKE ポリシーの設定を示しています。
[edit services ipsec-vpn]
user@host# show ike
policy test-IKE-policy {
mode main;
proposals test-IKE-proposal;
local-id ipv4_addr 192.168.255.2;
pre-shared-key ascii-text TEST;
}
IPsecプロポーザルの設定
IPsecプロポーザルの設定では、リモート IPsec ピアとのネゴシエートに必要なプロトコルとアルゴリズム(セキュリティ サービス)を定義します。IPsecプロポーザルの詳細については、 IPsecプロポーザルの設定を参照してください。
IPsecプロポーザルを定義するには:
以下のサンプル出力は、IPsecプロポーザルの設定を示しています。
[edit services ipsec-vpn]
user@host# show ike
proposal test-IPsec-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
関連項目
IPsecポリシーの設定(およびIPsecプロポーザルの参照)
IPsec ポリシー設定は、IPsec ネゴシエーション時に使用されるセキュリティ パラメーター(IPsec プロポーザル)の組み合わせを定義します。PFS と、接続に必要なプロポーザルを定義します。IPsec ポリシーの詳細については、「 IPsec ポリシーの構成」を参照してください。
IPsecポリシーを定義し、IPsecプロポーザルを参照するには、次の手順に従います。
以下のサンプル出力は、IPsec ポリシーの設定を示しています。
[edit services ipsec-vpn]
user@host# show ipsec policy test-IPsec-policy
perfect-forward-secrecy {
keys group1;
}
proposals test-IPsec-proposal;
関連項目
IPsecルールの設定(およびIKEおよびIPsecポリシーの参照)
IPsecルールの設定では、一致をインターフェイスの入力側と出力側のどちらに適用するかを指定する方向を定義します。また、この設定は、含めるおよび除外する一致条件とアプリケーションを指定し、ルーター ソフトウェアが実行するアクションとアクション修飾子を指定する一連の条件で構成されています。IPsec 規則の詳細については、「 IPsec 規則の構成」を参照してください。
IPsec ルールを定義し、IKE および IPsec ポリシーを参照するには、次の手順に従います。
次のサンプル出力は、IPsec ルールの構成を示しています。
[edit services ipsec-vpn]
user@host# show rule test-IPsec-rule
term 10 {
from {
destination-address {
192.168.255.2/32;
}
}
then {
remote-gateway 0.0.0.0;
dynamic {
ike-policy test-IKE-policy;
ipsec-policy test-IPsec-policy;
}
}
}
match-direction input;
IPsecトレース オプションの設定
IPsec トレースオプション設定は、IPsec イベントを追跡し、/ var/log ディレクトリのログファイルに記録します。デフォルトでは、このファイルの名前は / var/log/kmd です。IPsecルールの詳細については、 Junos VPN サイトのセキュアな操作をトレースするを参照してください。
IPsecトレース オプションを定義するには:
次のサンプル出力は、IPsec トレース オプションの設定を示しています。
[edit services ipsec-vpn] user@host# show traceoptions file ipsec.log; flag all;
アクセス プロファイルの構成(および IKE および IPsec ポリシーの参照)
アクセスプロファイル設定は、アクセスプロファイルを定義し、IKEおよびIPsecポリシーを参照します。アクセスプロファイルの詳細については、 IKEアクセスプロファイルの設定を参照してください。
アクセスプロファイルを定義し、IKEおよびIPsecポリシーを参照するには、次の手順に従います。
以下のサンプル出力は、アクセス プロファイルの設定を示しています。
[edit access]
user@host# show
profile IKE-profile-TEST {
client * {
ike {
allowed-proxy-pair local 10.0.0.0/24 remote 10.0.1.0/24;
ike-policy test-IKE-policy;
ipsec-policy test-IPsec-policy; # new statement
interface-id TEST-intf;
}
}
}
関連項目
サービス セットの設定(および IKE プロファイルと IPsec ルールの参照)
サービス セット設定は、追加の仕様を必要とする IPsec サービス セットを定義し、IKE プロファイルと IPsec ルールを参照します。IPsec サービス セットの詳細については、「 IPsec サービス セットの構成」を参照してください。
ネクストホップ サービス セットと IPsec VPN オプションを使用してサービス セット設定を定義するには:
以下のサンプル出力は、IKE プロファイルと IPsec ルールを参照するサービス セット コンフィギュレーションの設定を示しています。
[edit services]user@host# show service-set TEST
next-hop-service {
inside-service-interface sp-1/2/0.1;
outside-service-interface sp-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 192.168.255.2;
ike-access-profile IKE-profile-TEST;
}
ipsec-vpn-rules test-IPsec-rule;
関連項目
IPsecで保護されたパケットでNATを処理するためのMXシリーズルーターでのNAT-Tの無効化
Junos OS リリース 17.4R1 以前は、MX シリーズ ルーターの Junos VPN Site Secure IPsec 機能スイートでは、ネットワーク アドレス変換トラバーサル(NAT-T)はサポートされていません。デフォルトでは、Junos OS は、いずれかの IPsec トンネルが NAT デバイスの背後にあるかどうかを検出し、保護されたトラフィックに NAT-T を使用するように自動的に切り替わります。17.4R1より前のJunos OSリリースでサポートされていないNAT-Tが実行されないようにするには、 階層レベルで ステートメント[edit services ipsec-vpn]を含めてdisable-nattNAT-Tを無効にする必要があります。NAT-T を無効にすると、NAT-T 機能はグローバルにオフに切り替えられます。NAT-T を無効にし、2 つの IPsec ゲートウェイ間に NAT デバイスが存在する場合、ISAKMP メッセージは UDP ポート 500 を使用してネゴシエートされ、データ パケットは ESP(カプセル化セキュリティ ペイロード)でカプセル化されます。
ネットワーク アドレス変換トラバーサル(NAT-T)とは、IPsec で保護されたデータがアドレス変換のために NAT デバイスを通過する際に発生する IP アドレス変換の問題を回避するための手法です。NAT の機能である IP アドレッシングの変更があった場合、IKE はパケットを破棄します。NAT-T は、フェーズ 1 交換時にデータ パスに沿って 1 つ以上の NAT デバイスを検出した後、IPsec パケットにユーザー・データグラム・プロトコル(UDP)カプセル化のレイヤーを追加し、アドレス変換後にパケットが廃棄されないようにします。NAT-T は、IKE と ESP の両方のトラフィックを UDP 内でカプセル化し、ポート 4500 を送信元と宛先の両方のポートとして使用します。NAT デバイスは古くなった UDP 変換を期限切れにするため、ピア間でキープアライブ メッセージが必要になります。
NAT デバイスの位置は、以下のようにできます。
IKEv1 または IKEv2 開始側のみが NAT デバイスの背後にあります。複数の開始側を別個の NAT デバイスの背後に置くことができます。開始側は、複数の NAT デバイスを介して応答側に接続することもできます。
IKEv1 または IKEv2 応答側のみが NAT デバイスの背後にあります。
IKEv1 または IKEv2 開始側と応答側の両方が NAT デバイスの後ろにあります。
動的エンドポイントVPNは、開始側のIKE外部アドレスが固定されておらず、応答側がそのアドレスを知らない状況に対応できます。これは、開始側のアドレスがISPによって動的に割り当てられたり、動的アドレスのプールからアドレスを割り当てる動的NATデバイスを開始側の接続が超えたりする場合に発生する可能性があります。
応答側のみがNATデバイスの背後にあるトポロジーと、開始側と応答側の双方がNATデバイスの背後にあるトポロジーについて、NAT-Tの設定例を提供します。NAT-TのサイトツーサイトIKEゲートウェイ設定は、開始側と応答側の双方でサポートされます。リモートIKE IDは、IKEトンネルネゴシエーションのフェーズ1の際にピアのローカルIKE IDを検証するのに利用されます。開始側と応答側の双方で、ローカル識別およびリモート識別文字列が必要です。
関連項目
Junos VPN サイトのセキュアな操作のトレース
Junos VPN Site Secure は、マルチサービス ライン カード(MS-DPC、MS-MPC、MS-MIC)でサポートされる IPsec 機能スイートで、以前は IPsec サービスと呼ばれていました。
トレース操作は、IPsec イベントを追跡し、ディレクトリ内の /var/log ログ ファイルに記録します。デフォルトでは、このファイルの名前は /var/log/kmdです。
IPsec操作をトレースするには、 階層レベルに [edit services ipsec-vpn] ステートメントを含めtraceoptionsます。
[edit services ipsec-vpn] traceoptions { file <filename> <files number> <match regular-expression> <size bytes> <world-readable | no-world-readable>; flag flag; level level; no-remote-trace; }
次の IPsec トレース フラグを指定できます。
all—すべてをトレースします。certificates- 証明書イベントをトレースします。database- セキュリティ アソシエーションのデータベース イベントをトレースします。general- 一般的なイベントをトレースします。ike- IKE モジュールの処理をトレースします。parse- トレース設定処理。policy-manager- ポリシー マネージャーの処理をトレースします。routing-socket- ルーティング ソケット メッセージをトレースします。snmp- SNMP 操作をトレースします。timer- 内部タイマー イベントをトレースします。
このステートメントは level 、鍵管理プロセス(kmd)トレース・レベルを設定します。次の値がサポートされています。
all- すべてのレベルに一致します。error- エラー条件に一致します。info- 情報メッセージを照合します。notice- 特別に処理すべき条件に一致します。verbose- 詳細メッセージに一致します。warning- 警告メッセージに一致します。
このセクションには、以下のトピックが含まれています。
トレースルートでの IPsec トンネル エンドポイントの無効化
階層レベルで ステートメント[edit services ipsec-vpn]を含めるno-ipsec-tunnel-in-tracerouteと、IPsecトンネルはネクストホップとして扱われず、TTL(有効期限)は減少しません。また、TTL がゼロに達すると、ICMP 時間超過メッセージは生成されません。
[edit services ipsec-vpn] no-ipsec-tunnel-in-traceroute;
この機能は、 passive-mode-tunneling ステートメントによっても提供されます。このステートメントは、IPsecトンネルをネクストホップとして扱うべきではなく、パッシブモードが望ましくない特定のシナリオで使用できます no-ipsec-tunnel-in-traceroute 。
IPsec PKI 操作のトレース
トレース操作は、IPsec PKI イベントを追跡し、ディレクトリ内のログ ファイルに記録します /var/log 。デフォルトでは、このファイルの名前は /var/log/pkidです。
IPsec PKI 操作をトレースするには、 階層レベルに [edit security pki] ステートメントを含めtraceoptionsます。
[edit security pki] traceoptions { file filename <files number> <match regular-expression> <size maximum-file-size> <world-readable | no-world-readable>; flag flag (all | certificate-verification | enrollment | online-crl-check); }
次の PKI トレース フラグを指定できます。
all—すべてをトレースします。certificates- 証明書イベントをトレースします。database- セキュリティ アソシエーションのデータベース イベントをトレースします。general- 一般的なイベントをトレースします。ike- IKE モジュールの処理をトレースします。parse- トレース設定処理。policy-manager- ポリシー マネージャーの処理をトレースします。routing-socket- ルーティング ソケット メッセージをトレースします。snmp- SNMP 操作をトレースします。timer- 内部タイマー イベントをトレースします。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。
gw-interface IKEトリガーとIKEおよびIPsec SAのクリーンアップを有効にすることができます。
[edit services ipsec-vpn rule rule-name term term-name from]を使用して
ipsec-inside-interface interface-name、AMS 論理インターフェイスを IPsec 内部インターフェイスとして設定できます。
header-integrity-check ICMP 情報のパケットヘッダーの異常を検証し、そのような異常やエラーにフラグを立てるために MS-MIC および MS-MPC でサポートされているオプションは、パッシブ モードのトンネリングによって発生する機能とは反対の機能を備えています。