静的エンドポイントIPsecトンネル用のサービスセット
サービスセット
IPSecトンネルを設定すると、適応可能サービスPICは2種類のサービスセットをサポートします。これらはさまざまな目的で使用されるため、これらのサービス セット タイプの違いを知っておくことが重要です。
ネクストホップ サービス セット - IPSec 上のマルチキャストおよびマルチキャスト スタイルの動的ルーティング プロトコル(OSPF など)をサポートします。ネクストホップ サービス セットを使用すると、アダプティブ サービス PIC の 内部 と 外部 の論理インターフェイスを使用して、複数のルーティング インスタンスに接続できます。また、NAT(ネットワークアドレス変換)とステートフルファイアウォール機能の使用も可能です。しかし、ネクストホップ サービス セットは、デフォルトではルーティングエンジンのトラフィックを監視しないため、複数のインターフェイスからのトラフィックをサポートするために複数のサービス セットを設定する必要があります。
インターフェイスサービスセット—物理インターフェイスに適用され、ステートレス ファイアウォールフィルターに類似しています。設定が簡単で、複数のインターフェイスからのトラフィックをサポートでき、デフォルトでルーティングエンジンのトラフィックを監視できます。ただし、IPSec トンネルを介した動的ルーティング プロトコルやマルチキャスト トラフィックはサポートできません。
一般に、ネクストホップ サービス セットの使用を推奨します。その理由は、ネクストホップ サービス セットが IPSec トンネルを介したルーティング プロトコルとマルチキャストをサポートし、理解しやすく、ルーティングテーブルが管理者の介入なしで転送の決定を行うからです。
参照
IPsec サービス セットの設定
IPsecサービス セットには、 [edit services service-set service-set-name ipsec-vpn-options] 階層レベルで設定する追加の仕様が必要です。
[edit services service-set service-set-name ipsec-vpn-options] anti-replay-window-size bits; clear-dont-fragment-bit; copy-dont-fragment-bit set-dont-fragment-bit ike-access-profile profile-name; local-gateway address <gw-interface interface-name.logical-unit-number>; no-anti-replay; no-certificate-chain-in-ike; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes;
これらのステートメントの設定は、次のセクションで説明されています。
- IPsecサービスセットのローカルゲートウェイアドレスの設定
- IPsecサービスセットのIKEアクセスプロファイルの設定
- IPsecサービスセットの証明機関の設定
- アンチリプレイ サービスの設定または無効化
- Do Not Fragment ビットのクリア
- パッシブモードトンネリングの設定
- トンネルの MTU 値の設定
- UDP カプセル化による IPsec マルチパス転送の設定
IPsecサービスセットのローカルゲートウェイアドレスの設定
IPsecサービス セットを設定する場合、 local-gateway ステートメントを含めて、ローカルIPv4またはIPv6アドレスも設定する必要があります。
インターネット鍵交換(IKE)ゲートウェイの IP アドレスが inet.0(デフォルトの状況)にある場合は、以下のステートメントを設定します。
local-gateway address;
IKE ゲートウェイの IP アドレスが VPN ルーティングおよび転送(VRF)インスタンスにある場合は、以下のステートメントを構成します。
local-gateway address routing-instance instance-name;
単一のネクストホップスタイルのサービスセットで、同じローカルゲートウェイアドレスを共有するすべてのリンクタイプトンネルを設定できます。[edit services service-set service-set-name]階層レベルのinside-service-interfaceステートメントに、[edit services ipsec-vpn rule rule-name term term-name from]階層レベルで設定するipsec-inside-interface値と一致する値を指定する必要があります。IPsec 設定の詳細については、「IPsec ルールの設定」を参照してください。
Junos OS リリース 16.1以降、HA目的でリンクタイプのトンネル(ネクストホップスタイル)を設定するには、[edit services ipsec-vpn rule rule-name term term-name from]階層レベルでipsec-inside-interface interface-nameステートメントを使用して、AMS論理インターフェイスをIPsec内部インターフェイスとして設定できます。
Junos OS リリース 17.1 以降、AMS は IPSec トンネル配信をサポートしています。
VRF インスタンスの IKE アドレス
ピアが VRF インスタンスを介して到達可能である限り、VPN ルーティングおよび転送(VRF)インスタンスに存在するインターネット鍵交換(IKE)ゲートウェイの IP アドレスを設定できます。
ネクストホップサービスセットの場合、キー管理プロセス(kmd)は、次の例のように、指定した outside-service-interface 値を含むルーティング インスタンスにIKEパケットを配置します。
routing-instances vrf-nxthop {
instance-type vrf;
interface sp-1/1/0.2;
...
}
services service-set service-set-1 {
next-hop-service {
inside-service-interface sp-1/1/0.1;
outside-service-interface sp-1/1/0.2;
}
...
}
インターフェイス サービス セットの場合、 service-interface ステートメントは、この例のように VRF を決定します。
routing-instances vrf-intf {
instance-type vrf;
interface sp-1/1/0.3;
interface ge-1/2/0.1; # interface on which service set is applied
...
}
services service-set service-set-2 {
interface-service {
service-interface sp-1/1/0.3;
}
...
}
ローカルゲートウェイ アドレスまたは MS-MPC または MS-MIC がダウンした場合の SA のクリア
Junos OS リリース 17.2R1以降、IPsec トンネルのローカルゲートウェイIPアドレスがダウンした場合、またはトンネルのサービスセットで使用されているMS-MICまたはMS-MPCがダウンした場合、touは gw-interface ステートメントを使用して、IKEトリガー、IKEおよびIPsec SAのクリーンアップを有効にすることができます。
local-gateway address <gw-interface interface-name.logical-unit-number>;
interface-nameとlogical-unit-numberは、ローカルゲートウェイIPアドレスが設定されているインターフェイスと論理ユニットに一致する必要があります。
IPsec トンネルのサービス セットのローカル ゲートウェイ IP アドレスがダウンした場合、またはサービス セットで使用されている MS-MIC または MS-MPC がダウンした場合、サービス セットは IKE トリガーを送信しなくなります。さらに、ローカルゲートウェイのIPアドレスがダウンすると、ネクストホップのサービスセットではIKEとIPsec SAがクリアされ、インターフェイススタイルのサービスセットでは未インストール状態になります。[未インストール(Not Installed)] 状態の SA は、ローカル ゲートウェイの IP アドレスが復旧すると削除されます。
ネクストホップサービスセットでダウンしたローカルゲートウェイIPアドレスがレスポンダピアのものである場合、ローカルゲートウェイIPアドレスが復旧するとIPsec トンネルが復旧するように、イニシエータピアのIKEおよびIPsecSAをクリアする必要があります。イニシエータ ピアの IKE および IPsec SA を手動でクリアするか( 「clear services ipsec-vpn ike security-associations 」および「 clear services ipsec-vpn ipsec security-associations」を参照)、イニシエータ ピアでデッド ピア検出を有効にします( 「ステートフル ファイアウォール ルールの設定」を参照)。
IPsecサービスセットのIKEアクセスプロファイルの設定
動的エンドポイントトンネリングの場合のみ、[edit access]階層レベルで設定されたIKEアクセスプロファイルを参照する必要があります。これを行うには、[edit services service-set service-set-name ipsec-vpn-options]階層レベルでike-access-profileステートメントを含めます。
[edit services service-set service-set-name ipsec-vpn-options] ike-access-profile profile-name;
ike-access-profileステートメントは、[edit access]階層レベルでIKEアクセス用に設定したprofileステートメントと同じ名前を参照する必要があります。各サービス セットで参照できるアクセス プロファイルは 1 つだけです。このプロファイルは、動的ピアとのIKEおよびIPsecセキュリティアソシエーションのネゴシエートにのみ使用されます。
サービス セットでIKEアクセスプロファイルを設定すると、他のサービス セットが同じ local-gateway アドレスを共有することはできません。
また、VRF ごとに個別のサービス セットを設定する必要があります。サービス セット内の ipsec-inside-interface ステートメントによって参照されるすべてのインターフェイスは、同じ VRF に属している必要があります。
IPsecサービスセットの証明機関の設定
trusted-caステートメントを含めることで、1つ以上の信頼できる証明機関を指定できます。
trusted-ca [ ca-profile-names ];
IPsec 構成で公開鍵基盤 (PKI) デジタル証明書を構成する場合、各サービス セットは、信頼された証明機関の独自のセットを持つことができます。 trusted-ca ステートメントに指定する名前は、 [edit security pki] 階層レベルで設定されたプロファイルと一致する必要があります。詳細については、 ルーティングデバイス用 Junos OS 管理ライブラリをご覧ください。IPsec デジタル証明書の設定の詳細については、「 IPsec ルールの設定」を参照してください。
Junos OS リリース 18.2R1 以降、MS-MPC または MS-MIC を搭載した MXシリーズ ルーターが、完全な証明書チェーンではなく、証明書ベースの IKE 認証用のエンドエンティティ証明書のみを送信するように設定できるようになりました。これにより、IKE のフラグメント化が回避されます。この機能を設定するには、 no-certificate-chain-in-ike ステートメントを含めます。
[edit services service-set service-set-name ipsec-vpn-options] no-certificate-chain-in-ike;
アンチリプレイ サービスの設定または無効化
[edit services service-set service-set-name ipsec-vpn-options]階層レベルで anti-replay-window-size ステートメントを含めて、アンチリプレイ ウィンドウのサイズを指定できます。
anti-replay-window-size bits;
このステートメントは、[edit services ipsec-vpn rule rule-name term term-name then]階層レベルでanti-replay-window-sizeステートメントを設定できない動的エンドポイントトンネルに役立ちます。
静的 IPsec トンネルの場合、このステートメントは、このサービス セット内のすべての静的トンネルのアンチリプレイ ウィンドウ サイズを設定します。特定のトンネルがアンチリプレイ ウィンドウ サイズに特定の値を必要とする場合は、[edit services ipsec-vpn rule rule-name term term-name then]階層レベルで anti-replay-window-size ステートメントを設定します。このサービス セット内の特定のトンネルに対してアンチリプレイ チェックを無効にする必要がある場合は、[edit services ipsec-vpn rule rule-name term term-name then] 階層レベルで no-anti-replay ステートメントを設定します。
[edit services ipsec-vpn rule rule-name term term-name then]階層レベルのanti-replay-window-sizeとno-anti-replayの設定は、[edit services service-set service-set-name ipsec-vpn-options]階層レベルで指定された設定よりも優先されます。
また、[edit services service-set service-set-name ipsec-vpn-options]階層レベルで no-anti-replay ステートメントを含めることで、IPsec アンチリプレイ サービスを無効にすることもできます。時折、セキュリティ アソシエーションの相互運用性の問題が発生することがあります。
no-anti-replay;
このステートメントは、[edit services ipsec-vpn rule rule-name term term-name then]階層レベルでno-anti-replyステートメントを設定できない動的エンドポイントトンネルに役立ちます。
静的IPsecトンネルの場合、このステートメントは、このサービスセット内のすべてのトンネルのアンチリプレイチェックを無効にします。特定のトンネルに対してアンチリプレイ チェックを有効にする必要がある場合は、[edit services ipsec-vpn rule rule-name term term-name then]階層レベルで anti-replay-window-size ステートメントを設定します。
[edit services ipsec-vpn rule rule-name term term-name then]階層レベルで anti-replay-window-size および no-anti-replay ステートメントを設定すると、[edit services service-set service-set-name ipsec-vpn-options]階層レベルで指定された設定が上書きされます。
Do Not Fragment ビットのクリア
[edit services service-set service-set-name ipsec-vpn-options]階層レベルに clear-dont-fragment-bit ステートメントを含めることで、IPsec トンネルに入るすべての IP バージョン 4(IPv4)パケットの DF(フラグメント化しない)ビットをクリアできます。カプセル化されたパケットのサイズがトンネルの最大送信単位(MTU)を超える場合、パケットはカプセル化される前にフラグメント化されます。
clear-dont-fragment-bit;
このステートメントは、[edit services ipsec-vpn rule rule-name term term-name then]階層レベルでclear-dont-fragment-bitステートメントを設定できない動的エンドポイントトンネルに役立ちます。
静的IPsecトンネルの場合、このステートメントを設定すると、このサービスセット内のすべての静的トンネルに入るパケットのDF ビットがクリアされます。特定のトンネルに入るパケットのDF ビットをクリアしたい場合は、[edit services ipsec-vpn rule rule-name term term-name then]階層レベルでclear-dont-fragment-bitステートメントを設定します。
Junos OS リリース 14.1 以降、動的エンドポイント IPSec トンネルを介して送信されるパケットでは、トンネルに入るパケットの DF ビットに設定された値を、IPsec パケットの外側のヘッダーにのみコピーし、IPsec パケットの内側のヘッダーの DF ビットを変更しないようにすることができます。パケット サイズがトンネルの最大送信単位(MTU)値を超えると、パケットはカプセル化される前にフラグメント化されます。IPsec トンネルの場合、インターフェイスの MTU 設定に関係なく、デフォルトの MTU 値は 1500 です。DF ビット値を外部ヘッダーにのみコピーし、内部ヘッダーを変更しない場合は、[edit services service-set service-set-name ipsec-vpn-options]階層レベルでcopy-dont-fragment-bitステートメントを使用します。また、DF ビットを IPsec パケットの外側の IPv4 ヘッダーにのみ設定し、内側の IPv4 ヘッダーでは定義しないように設定することもできます。IPsecパケットの外側のヘッダーのみにDF ビットを設定し、内側のヘッダーを変更しない場合は、[edit services service-set service-set-name ipsec-vpn-options]階層にset-dont-fragment-bitステートメントを含めます。これらの設定は、動的エンドポイントトンネルに適用されますが、静的トンネルには適用されません。静的トンネルに入るIPv4パケットのDF ビットをクリアするために、[edit services ipsec-vpn rule rule-name term term-name then]階層レベルでcopy-dont-fragment-bitおよびset-dont-fragment-bitステートメントを含める必要がある静的トンネルには適用されません。これらの機能は、MS-MICおよびMS-MPCを搭載したMXシリーズルーターでサポートされています。
パッシブモードトンネリングの設定
[edit services service-set service-set-name ipsec-vpn-options]階層レベルに passive-mode-tunneling ステートメントを含めることで、サービス セットが不正な形式のパケットをトンネリングできるようになります。
[edit services service-set service-set-name ipsec-vpn-options] passive-mode-tunneling;
この機能は、バージョン、TTL、プロトコル、オプション、アドレス、その他のランド攻撃チェックなどのアクティブなIPチェックをバイパスし、パケットをそのままトンネリングします。このステートメントが設定されていない場合、IPチェックに失敗したパケットはPICで破棄されます。パッシブ モードでは、内部パケットは変更されません。パケットサイズがトンネルMTU値を超えても、ICMPエラーは生成されません。
IPsec トンネルはネクストホップとして扱われず、TTL はデクリメントされません。パケット サイズがトンネル MTU 値を超えても ICMP エラーは生成されないため、パケットはトンネル MTU しきい値を超えてもトンネリングされます。
この機能は、Junos VPN Site Secure操作のトレースで説明されているno-ipsec-tunnel-in-tracerouteステートメントによって提供される機能と似ています。Junos OS リリース 14.2 以降、パッシブ モード トンネリングは MS-MIC および MS-MPC でサポートされます。
Junos OS リリース 14.2 以降、MSP、TCP、UDP、ICMP 情報のパケット ヘッダーに異常がないか検証し、そのような異常やエラーにフラグを立てる MS-MIC および MS-MPC でサポートされている header-integrity-check オプションには、パッシブ モード トンネリングによる機能とは反対の機能があります。MS-MICとMS-MPCに header-integrity-check ステートメントと passive-mode tunneling ステートメントの両方を設定し、そのような設定を試みると、コミット中にエラーが表示されます。
パッシブ モードのトンネリング機能([edit services service-set service-set-name ipsec-vpn-options] 階層レベルで passive-mode-tunnelin ステートメントを含める)は、traceroute 出力でIPsec トンネルエンドポイントを無効にする機能のスーパーセットです([edit services ipsec-vpn]階層レベルで ステートメントを含めることでno-ipsec-tunnel-in-traceroute)。パッシブモードトンネリングは、no-ipsec-tunnel-in-tracerouteステートメントで設定されたネクストホップとしてIPsec トンネルを扱わないことに加えて、アクティブIPチェックとトンネルMTUチェックもバイパスします。
トンネルの MTU 値の設定
[edit services service-set service-set-name ipsec-vpn-options]階層レベルでtunnel-mtuステートメントを含めることで、IPsecトンネルの最大送信単位(MTU)値を設定できます。
tunnel-mtu bytes;
このステートメントは、[edit services ipsec-vpn rule rule-name term term-name then]階層レベルでtunnel-mtuステートメントを設定できない動的エンドポイントトンネルに役立ちます。
静的IPsecトンネルの場合、このステートメントは、このサービスセット内のすべてのトンネルのトンネルMTU値を設定します。特定のトンネルに特定の値が必要な場合は、[edit services ipsec-vpn rule rule-name term term-name then]階層レベルでtunnel-mtuステートメントを設定します。
[edit services ipsec-vpn rule rule-name term term-name then]階層レベルのtunnel-mtu設定は、[edit services service-set service-set-name ipsec-vpn-options]階層レベルで指定された値を上書きします。
UDP カプセル化による IPsec マルチパス転送の設定
Junos OS リリース 16.1 以降では、パケットの IPsec カプセル化に UDP ヘッダーを追加するサービス セットで UDP カプセル化を設定することで、IPsec トラフィックのマルチパス転送を有効にできます。これにより、IPsec トラフィックが複数のパスで転送され、IPsec トラフィックのスループットが向上します。UDP カプセル化を有効にしない場合、すべての IPsec トラフィックは 1 つの転送パスをたどります。
NAT-Tが検出されると、NAT-T UDPカプセル化のみが行われ、IPsecパケットのUDPカプセル化は行われません。
UDPカプセル化を有効にするには:
UDPカプセル化を有効にします。
[edit services service-set service-set-name ipsec-vpn-options] user@host set udp-encapsulation
(オプション)UDP 宛先ポート番号を指定します。
[edit services service-set service-set-name ipsec-vpn-options udp-encapsulation] user@host set udp-dest-port destination-port
1025 から 65536 までの宛先ポート番号を使用しますが、4500 は使用しないでください。ポート番号を指定しない場合、デフォルトの宛先ポートは 4565 になります。
参照
例:デジタル証明書を使用した IKE ダイナミック SA の設定
この例では、デジタル証明書を使用してIKEダイナミックSAを設定する方法を示しており、以下のセクションが含まれています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
マルチサービスインターフェイスがインストールされたM Series、MXシリーズ、またはT Seriesルーター4台。
Junos OS リリース 9.4 以降
この例を設定する前に、CA 証明書を要求し、ローカル証明書を作成して、これらのデジタル証明書をルータにロードする必要があります。詳細については、「 証明書の登録」を参照してください。
概要
SA(セキュリティ アソシエーション)は、2 つのホストが IPsec を使用して相互に安全に通信できるようにするシンプレックス接続です。この例では、デジタル証明書を使用した IKE 動的 SA 設定について説明します。デジタル証明書を使用すると、IKE トンネルのセキュリティが強化されます。サービスPICでデフォルト値を使用すると、IPsecプロポーザルまたはIPsecポリシーを設定する必要はありません。ただし、デジタル証明書の使用を指定するIKE の提案を設定し、IKE ポリシーで IKE の提案とローカル証明書を参照し、CA プロファイルをサービス セットに適用する必要があります。
図 1 は、4 つのルーターのグループを含む IPsec トポロジーを示しています。この設定では、ルーター 2 と 3 が、事前共有鍵の代わりにデジタル証明書を使用して、IKE ベースの IPsec トンネルを確立する必要があります。ルーター 1 と 4 は基本的な接続を提供し、IPsec トンネルが動作していることを確認するために使用されます。
位相幾何学
構成
デジタル証明書を使用して IKE ダイナミック SA を設定するには、以下のタスクを実行します。
この例に示されているインターフェイスタイプは、あくまでも目安です。たとえば、ge-の代わりにso-インターフェイスを、ms-の代わりにsp-を使用できます。
ルーター 1 の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更した後、ルーター1のCLIに[edit]階層レベルでコマンドをコピー&ペーストしてください。
set interfaces ge-0/0/0 description "to R2 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32 set routing-options router-id 10.0.0.1 set protocols ospf area 0.0.0.0 interface ge-0/0/0 set protocols ospf area 0.0.0.0 interface lo0.0
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
ルーター 1 をルーター 2 との OSPF 接続のために設定するには:
イーサネットインターフェイスとループバックインターフェイスを設定します。
[edit interfaces] user@router1# set ge-0/0/0 description "to R2 ge-0/0/0" user@router1# set ge-0/0/0 unit 0 family inet address 10.1.12.2/30 user@router1# set lo0 unit 0 family inet address 10.0.0.1/32
OSPFエリアを指定し、インターフェイスをOSPFエリアに関連付けます。
[edit protocols] user@router1# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router1# set ospf area 0.0.0.0 interface lo0.0
ルーターIDを設定します。
[edit routing-options] user@router1# set router-id 10.0.0.1
設定をコミットします。
[edit] user@router1# commit
業績
設定モードから、 show interfaces、 show protocols ospf、および show routing-options コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@router1# show interfaces
interfaces {
ge-0/0/0 {
description "To R2 ge-0/0/0";
unit 0 {
family inet {
address 10.1.12.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.1/32;
}
}
}
}
user@router1# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
}
}
}
user@router1# show routing-options
routing-options {
router-id 10.0.0.1;
}
ルーター 2 の設定
CLIクイック構成
この例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更した後、ルーター2のCLIに[edit]階層レベルでコマンドをコピー&ペーストしてください。
set interfaces ge-0/0/0 description "to R1 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.12.1/30 set interfaces ge-0/0/1 description "to R3 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.1/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.2/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.2 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.2 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method rsa-signatures set services ipsec-vpn ike policy ike-digital-certificates proposals ike-demo-proposal set services ipsec-vpn ike policy ike-digital-certificates local-id fqdn router2.example.com set services ipsec-vpn ike policy ike-digital-certificates local-certificate local-entrust2 set services ipsec-vpn ike policy ike-digital-certificates remote-id fqdn router3.example.com set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services ipsec-vpn establish-tunnels immediately set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options trusted-ca entrust set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 set services service-set demo-service-set ipsec-vpn-rules rule-ike
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
ルーター2でOSPF接続とIPsec トンネルパラメータを設定するには:
インターフェイスのプロパティを設定します。このステップでは、2つのイーサネットインターフェイス(ge-1/0/0およびge-1/0/1)、ループバックインターフェイス、およびマルチサービスインターフェイス(ms-1/2/0)を設定します。
[edit interfaces] user@router2# set ge-0/0/0 description "to R1 ge-0/0/0" user@router2# set ge-0/0/0 unit 0 family inet address 10.1.12.1/30 user@router2# set ge-0/0/1 description "to R3 ge-0/0/1" user@router2# set ge-0/0/1 unit 0 family inet address 10.1.15.1/30 user@router2# set ms-1/2/0 services-options syslog host local services info user@router2# set ms-1/2/0 unit 0 family inet user@router2# set ms-1/2/0 unit 1 family inet user@router2# set ms-1/2/0 unit 1 service-domain inside user@router2# set ms-1/2/0 unit 2 family inet user@router2# set ms-1/2/0 unit 2 service-domain outside user@router2# set lo0 unit 0 family inet address 10.0.0.2/32
OSPFエリアを指定し、インターフェイスをOSPFエリアに関連付けます。
[edit protocols] user@router2# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router2# set ospf area 0.0.0.0 interface lo0.0 user@router2# set ospf area 0.0.0.0 interface ms-1/2/0.1
ルーターIDを設定します。
[edit routing-options] user@router2# set router-ID 10.0.0.2
IKE の提案とポリシーを設定します。デジタル証明書のIKE の提案を有効にするには、
[edit services ipsec-vpn ike proposal proposal-name authentication-method]階層レベルでrsa-signaturesステートメントを含めます。IKEポリシーでローカル証明書を参照するには、[edit services ipsec-vpn ike policy policy-name]階層レベルでlocal-certificateステートメントを含めます。サービス セット内の CA または RA を識別するために、[edit services service-set service-set-name ipsec-vpn-options]階層レベルでtrusted-caステートメントを含めます。手記:デジタル証明書の作成とインストールについては、「 証明書の登録」を参照してください。
[edit services ipsec-vpn] user@router2# set ike proposal ike-demo-proposal authentication-method rsa-signatures user@router2# set ike policy ike-digital-certificates proposals ike-demo-proposal user@router2# set ike policy ike-digital-certificates local-id fqdn router2.example.com user@router2# set ike policy ike-digital-certificates local-certificate local-entrust2 user@router2# set ike policy ike-digital-certificates remote-id fqdn router3.example.com
IPsecのプロポーザルとポリシーを設定します。また、
established-tunnelsつまみをimmediatelyに設定します。[edit services ipsec-vpn] user@router2# set ipsec proposal ipsec-demo-proposal protocol esp user@router2# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router2# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router2# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router2# set ipsec proposals ipsec-demo-proposal user@router2# set establish-tunnels immediately
IPsecルールを設定します。
[edit services ipsec-vpn] user@router2# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router2# set rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates user@router2# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router2# set rule match-direction input
ネクストホップスタイルのサービス セットを設定し、ローカルゲートウェイ アドレスを指定して、IPSec VPN ルールをサービス セットに関連付けます。
[edit services] user@router2# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router2# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router2# set service-set demo-service-set ipsec-vpn-options trusted-ca entrust user@router2# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.1 user@router2# set service-set demo-service-set ipsec-vpn-rules rule-ike
設定をコミットします。
[edit] user@router2# commit
業績
設定モードから、 show interfaces、 show protocols ospf、 show routing-options、および show services コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します
user@router2# show interfaces
interfaces {
ge-0/0/0 {
description "To R1 ge-0/0/0";
unit 0 {
family inet {
address 10.1.12.1/30;
}
}
}
ge-0/0/1 {
description "To R3 ge-0/0/1";
unit 0 {
family inet {
address 10.1.15.1/30;
}
}
}
ms-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet;
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.2/32;
}
}
}
}
user@router2# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
interface ms-1/2/0.1;
}
}
}
user@router2# show routing-options
routing-options {
router-id 10.0.0.2;
}
user@router2# show services
services {
ipsec-vpn {
rule rule-ike {
term term-ike {
then {
remote-gateway 10.1.15.2;
dynamic {
ike-policy ike-digital-certificates;
ipsec-policy ipsec-demo-policy
}
}
}
match-direction input;
}
ike {
proposal ike-demo-proposal {
authentication-method rsa-signatures;
}
policy ike-digital-certificates {
proposals ike-demo-proposal;
local-id fqdn router2.example.com;
local-certificate local-entrust2;
remote-id fqdn router3.example.com;
}
}
ipsec {
proposal ipsec-demo-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy demo-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-demo-proposal;
}
establish-tunnels immediately;
}
service-set service-set-dynamic-demo-service-set {
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
trusted-ca entrust;
local-gateway 10.1.15.1;
}
ipsec-vpn-rules rule-ike;
}
}
}
ルーター 3 の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更した後、ルーター3のCLIにコマンドを[edit]階層レベルでコピー&ペーストしてください。
set interfaces ge-0/0/0 description "to R4 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.1/30 set interfaces ge-0/0/1 description "to R2 ge-0/0/1" set interfaces ge-0/0/1 unit 0 family inet address 10.1.15.2/30 set interfaces ms-1/2/0 services-options syslog host local services info set interfaces ms-1/2/0 unit 0 family inet set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set interfaces lo0 unit 0 family inet address 10.0.0.3/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ms-1/2/0.1 set routing-options router-id 10.0.0.3 set services ipsec-vpn rule rule-ike term term-ike then remote-gateway 10.1.15.1 set services ipsec-vpn rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates set services ipsec-vpn rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy set services ipsec-vpn rule match-direction input set services ipsec-vpn ike proposal ike-demo-proposal authentication-method rsa-signatures set services ipsec-vpn ike policy ike-digital-certificates proposals ike-demo-proposal set services ipsec-vpn ike policy ike-digital-certificates local-id fqdn router3.example.com set services ipsec-vpn ike policy ike-digital-certificates local-certificate local-entrust3 set services ipsec-vpn ike policy ike-digital-certificates remote-id fqdn router2.example.com set services ipsec-vpn ipsec proposal ipsec-demo-proposal protocol esp set services ipsec-vpn ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec proposals ipsec-demo-proposal set services ipsec-vpn establish-tunnels immediately set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options trusted-ca entrust set services service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 set services service-set demo-service-set ipsec-vpn-rules rule-ike
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
IPsecピアに必要なすべてのコンポーネントを含む対称設定がない場合、ピアリング関係を確立できません。CA 証明書を要求し、ローカル証明書を作成し、これらのデジタル証明書をルーターにロードして、IPsec 設定で参照する必要があります。デジタル認定の詳細については、「 認定書の登録」を参照してください。
ルーター3でOSPF接続とIPsec トンネルパラメータを設定するには:
インターフェイスのプロパティを設定します。このステップでは、2つのイーサネットインターフェイス(ge-1/0/0およびge-1/0/1)、ループバックインターフェイス、およびマルチサービスインターフェイス(ms-1/2/0)を設定します。
[edit interfaces] user@router3# set ge-0/0/0 description "to R4 ge-0/0/0" user@router3# set ge-0/0/0 unit 0 family inet address 10.1.56.1/30 user@router3# set ge-0/0/1 description "to R2 ge-0/0/1" user@router3# set ge-0/0/1 unit 0 family inet address 10.1.15.2/30 user@router3# set ms-1/2/0 services-options syslog host local services info user@router3# set ms-1/2/0 unit 0 family inet user@router3# set ms-1/2/0 unit 1 family inet user@router3# set ms-1/2/0 unit 1 service-domain inside user@router3# set ms-1/2/0 unit 2 family inet user@router3# set ms-1/2/0 unit 2 service-domain outside user@router3# set lo0 unit 0 family inet address 10.0.0.3/32
OSPFエリアを指定し、インターフェイスをOSPFエリアに関連付けます。
[edit protocols] user@router3# set ospf area 0.0.0.0 interface ge-0/0/0.0 user@router3# set ospf area 0.0.0.0 interface lo0.0 user@router3# set ospf area 0.0.0.0 interface ms-1/2/0.1
ルーターIDを設定します。
[edit routing-options] user@router3# set router-id 10.0.0.3
IKE の提案とポリシーを設定します。デジタル証明書のIKE の提案を有効にするには、
[edit services ipsec-vpn ike proposal proposal-name authentication-method]階層レベルでrsa-signaturesステートメントを含めます。IKEポリシーでローカル証明書を参照するには、[edit services ipsec-vpn ike policy policy-name]階層レベルでlocal-certificateステートメントを含めます。サービス セット内の CA または RA を識別するには、[edit services service-set service-set-name ipsec-vpn-options]階層レベルでtrusted-caステートメントを含めます。手記:デジタル証明書の作成とインストールについては、「 証明書の登録」を参照してください。
[edit services ipsec-vpn] user@router3# set ike proposal ike-demo-proposal authentication-method rsa-signatures user@router3# set ike policy ike-digital-certificates proposals ike-demo-proposal user@router3# set ike policy ike-digital-certificates local-id fqdn router2.example.com user@router3# set ike policy ike-digital-certificates local-certificate local-entrust2 user@router3# set ike policy ike-digital-certificates remote-id fqdn router3.example.com
IPsecプロポーザルを設定します。また、
established-tunnelsつまみをimmediatelyに設定します。[edit services ipsec-vpn] user@router3# set ipsec proposal ipsec-demo-proposal protocol esp user@router3# set ipsec proposal ipsec-demo-proposal authentication-algorithm hmac-sha1-96 user@router3# set ipsec proposal ipsec-demo-proposal encryption-algorithm 3des-cbc user@router3# set ipsec policy ipsec-demo-policy perfect-forward-secrecy keys group2 user@router3# set ipsec proposals ipsec-demo-proposal user@router3# set establish-tunnels immediately
IPsecルールを設定します。
[edit services ipsec-vpn] user@router3# set rule rule-ike term term-ike then remote-gateway 10.1.15.2 user@router3# set rule rule-ike term term-ike then dynamic ike-policy ike-digital-certificates user@router3# set rule rule-ike term term-ike then dynamic ipsec-policy ipsec-demo-policy user@router3# set rule match-direction input
ネクストホップスタイルのサービス セットを設定し、ローカルゲートウェイ アドレスを指定して、IPSec VPN ルールをサービス セットに関連付けます。
[edit services] user@router3# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@router3# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@router3# set service-set demo-service-set ipsec-vpn-options trusted-ca entrust user@router3# set service-set demo-service-set ipsec-vpn-options local-gateway 10.1.15.2 user@router3# set service-set demo-service-set ipsec-vpn-rules rule-ike
設定をコミットします。
[edit] user@router3# commit
業績
設定モードから、 show interfaces、 show protocols ospf、 show routing-options、および show services コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します
user@router3# show interfaces
interfaces {
ge-0/0/0 {
description "To R4 ge-0/0/0";
unit 0 {
family inet {
address 10.1.56.1/30;
}
}
}
ge-0/0/1 {
description "To R2 ge-0/0/1";
unit 0 {
family inet {
address 10.1.15.2/30;
}
}
}
ms-1/2/0 {
services-options {
syslog {
host local {
services info;
}
}
}
unit 0 {
family inet {
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.3/32;
}
}
}
}
}
user@router3# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
interface ms-1/2/0.1;
}
}
}
user@router3# show routing-options
routing-options {
router-id 10.0.0.3;
}
user@router3# show services
services {
ipsec-vpn {
rule rule-ike {
term term-ike {
then {
remote-gateway 10.1.15.1;
dynamic {
ike-policy ike-digital-certificates;
ipsec-policy ipsec-demo-policy
}
}
}
match-direction input;
}
ike {
proposal ike-demo-proposal {
authentication-method rsa-signatures;
}
policy ike-digital-certificates {
proposals ike-demo-proposal;
local-id fqdn router3.example.com;
local-certificate local-entrust3;
remote-id fqdn router2.example.com;
}
}
ipsec {
proposal ipsec-demo-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy demo-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-demo-proposal;
}
establish-tunnels immediately;
}
service-set service-set-dynamic-demo-service-set {
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
trusted-ca entrust;
local-gateway 10.1.15.2;
}
ipsec-vpn-rules rule-ike;
}
}
}
ルーター 4 の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更した後、ルーター4のCLIに[edit]階層レベルでコマンドをコピー&ペーストしてください。
set interfaces ge-0/0/0 description "to R3 ge-0/0/0" set interfaces ge-0/0/0 unit 0 family inet address 10.1.56.2/30 set interfaces lo0 unit 0 family inet address 10.0.0.4/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 set routing-options router-id 10.0.0.4
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
ルーター 4 との OSPF 接続を設定するには
インターフェイスを設定します。このステップでは、イーサネット インターフェイス(ge-1/0/1)とループバック インターフェイスを設定します。
[edit interfaces] user@router4# set ge-0/0/0 description "to R3 ge-0/0/0" user@router4# set ge-0/0/0 unit 0 family inet address 10.1.56.2/30 user@router4# set lo0 unit 0 family inet address 10.0.0.4/32
OSPFエリアを指定し、インターフェイスをOSPFエリアに関連付けます。
[edit protocols] user@router4# set ospf area 0.0.0.0 interface ge-0/0/0 user@router4# set ospf area 0.0.0.0 interface lo0.0
ルーターIDを設定します。
[edit routing-options] user@router4# set router-id 10.0.0.4
業績
設定モードから、 show interfaces、 show protocols ospf、および show routing-options コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します
user@router4# show interfaces
interfaces {
ge-0/0/0 {
description "To R3 ge-0/0/0";
unit 0 {
family inet {
address 10.1.56.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.0.0.4/32;
}
}
}
}
user@router4# show protocols ospf
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface lo0.0;
}
}
}
user@router4# show routing-options
routing-options {
router-id 10.0.0.4;
}
検証
ルータ 1 での動作の確認
目的
ルータ 1 では、ルータ 4 の so-0/0/0 インターフェイスへの ping コマンドを検証して、IPsec トンネルを介してトラフィックを送信します。
アクション
動作モードから、 ping 10.1.56.2を入力します。
user@router1>ping 10.1.56.2 PING 10.1.56.2 (10.1.56.2): 56 data bytes 64 bytes from 10.1.56.2: icmp_seq=0 ttl=254 time=1.351 ms 64 bytes from 10.1.56.2: icmp_seq=1 ttl=254 time=1.187 ms 64 bytes from 10.1.56.2: icmp_seq=2 ttl=254 time=1.172 ms 64 bytes from 10.1.56.2: icmp_seq=3 ttl=254 time=1.154 ms 64 bytes from 10.1.56.2: icmp_seq=4 ttl=254 time=1.156 ms ^C --- 10.1.56.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.154/1.204/1.351/0.074 ms
ルーター4のループバックアドレスにpingを実行すると、アドレスがルーター4に設定されたOSPFネットワークの一部となっているため、操作は成功します。
user@router1>ping 10.0.0.4 PING 10.0.0.4 (10.0.0.4): 56 data bytes 64 bytes from 10.0.0.4: icmp_seq=0 ttl=62 time=1.318 ms 64 bytes from 10.0.0.4: icmp_seq=1 ttl=62 time=1.084 ms 64 bytes from 10.0.0.4: icmp_seq=2 ttl=62 time=3.260 ms ^C --- 10.0.0.4 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.084/1.887/3.260/0.975 ms
ルーター 2 での動作の確認
目的
一致したトラフィックが双方向 IPsec トンネルに迂回していることを確認するには、IPsec 統計情報を表示します。
アクション
動作モードから、 show services ipsec-vpn ipsec statisticsを入力します。
user@router2>show services ipsec-vpn ipsec statistics PIC: sp-1/2/0, Service set: service-set-dynamic-demo-service-set ESP Statistics: Encrypted bytes: 162056 Decrypted bytes: 161896 Encrypted packets: 2215 Decrypted packets: 2216 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
IKE SA ネゴシエーションが成功したことを確認するには、 show services ipsec-vpn ike security-associations コマンドを発行します。
動作モードから、 show services ipsec-vpn ike security-associations
user@router2> show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.2 Matured d82610c59114fd37 ec4391f76783ef28 Main
IPsecセキュリティアソシエーションがアクティブであることを確認するには、 show services ipsec-vpn ipsec security-associations detail コマンドを発行します。SAには、プロトコルのESPや認証アルゴリズムのHMAC-SHA1-96など、サービスPICに固有のデフォルト設定が含まれていることに注意してください。
動作モードから、 show services ipsec-vpn ipsec security-associations detail
user@router2> show services ipsec-vpn ipsec security-associations detail Service set: service-set-dynamic-demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.1, Remote gateway: 10.1.15.2 IPsec inside interface: sp-1/2/0.1 Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Direction: inbound, SPI: 857451461, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 9052 seconds Hard lifetime: Expires in 9187 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 1272330309, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 9052 seconds Hard lifetime: Expires in 9187 seconds Anti-replay service: Enabled, Replay window size: 64
IPsec トンネルの確立に使用されるデジタル証明書を表示するには、 コマンドを show services ipsec-vpn certificates 発行します。
動作モードから、 show services ipsec-vpn certificates
user@router2> show services ipsec-vpn certificates Service set: service-set-dynamic-demo-service-set, Total entries: 3 Certificate cache entry: 3 Flags: Non-root Trusted Issued to: router3.example.com, Issued by: juniper Alternate subject: router3.example.com Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Certificate cache entry: 2 Flags: Non-root Trusted Issued to: router2.example.com, Issued by: juniper Alternate subject: router2.example.com Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Certificate cache entry: 1 Flags: Root Trusted Issued to: juniper, Issued by: juniper Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT
CA 証明書を表示するには、 コマンドを show security pki ca-certificate detail 発行します。証明書には 3 つの個別の証明書があり、1 つは証明書署名用、1 つは鍵の暗号化用、もう 1 つは CA のデジタル署名用であることに注意してください。
動作モードから、 show security pki ca-certificate detail
user@router2> show security pki ca-certificate detail Certificate identifier: entrust Certificate version: 3 Serial number: 4355 9235 Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT Public key algorithm: rsaEncryption(1024 bits) cb:9e:2d:c0:70:f8:ea:3c:f2:b5:f0:02:48:87:dc:68:99:a3:57:4f 0e:b9:98:0b:95:47:0d:1f:97:7c:53:17:dd:1a:f8:da:e5:08:d1:1c 78:68:1f:2f:72:9f:a2:cf:81:e3:ce:c5:56:89:ce:f0:97:93:fa:36 19:3e:18:7d:8c:9d:21:fe:1f:c3:87:8d:b3:5d:f3:03:66:9d:16:a7 bf:18:3f:f0:7a:80:f0:62:50:43:83:4f:0e:d7:c6:42:48:c0:8a:b2 c7:46:30:38:df:9b:dc:bc:b5:08:7a:f3:cd:64:db:2b:71:67:fe:d8 04:47:08:07:de:17:23:13 Signature algorithm: sha1WithRSAEncryption Fingerprint: 00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 (sha1) 71:6f:6a:76:17:9b:d6:2a:e7:5a:72:97:82:6d:26:86 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: CRL signing, Certificate signing Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925c Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) c0:a4:21:32:95:0a:cd:ec:12:03:d1:a2:89:71:8e:ce:4e:a6:f9:2f 1a:9a:13:8c:f6:a0:3d:c9:bd:9d:c2:a0:41:77:99:1b:1e:ed:5b:80 34:46:f8:5b:28:34:38:2e:91:7d:4e:ad:14:86:78:67:e7:02:1d:2e 19:11:b7:fa:0d:ba:64:20:e1:28:4e:3e:bb:6e:64:dc:cd:b1:b4:7a ca:8f:47:dd:40:69:c2:35:95:ce:b8:85:56:d7:0f:2d:04:4d:5d:d8 42:e1:4f:6b:bf:38:c0:45:1e:9e:f0:b4:7f:74:6f:e9:70:fd:4a:78 da:eb:10:27:bd:46:34:33 Signature algorithm: sha1WithRSAEncryption Fingerprint: bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 (sha1) 23:79:40:c9:6d:a6:f0:ca:e0:13:30:d4:29:6f:86:79 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Key encipherment Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925b Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) ea:75:c4:f3:58:08:ea:65:5c:7e:b3:de:63:0a:cf:cf:ec:9a:82:e2 d7:e8:b9:2f:bd:4b:cd:86:2f:f1:dd:d8:a2:95:af:ab:51:a5:49:4e 00:10:c6:25:ff:b5:49:6a:99:64:74:69:e5:8c:23:5b:b4:70:62:8e e4:f9:a2:28:d4:54:e2:0b:1f:50:a2:92:cf:6c:8f:ae:10:d4:69:3c 90:e2:1f:04:ea:ac:05:9b:3a:93:74:d0:59:24:e9:d2:9d:c2:ef:22 b9:32:c7:2c:29:4f:91:cb:5a:26:fe:1d:c0:36:dc:f4:9c:8b:f5:26 af:44:bf:53:aa:d4:5f:67 Signature algorithm: sha1WithRSAEncryption Fingerprint: 46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f (sha1) ee:cc:c7:f4:5d:ac:65:33:0a:55:db:59:72:2c:dd:16 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Digital signature
ローカル証明書要求を表示するには、 コマンドを show security pki certificate-request 発行します。
動作モードから、 show security pki certificate-request
user@router2> show security pki certificate-request Certificate identifier: local-entrust2 Issued to: router2.example.com Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
ローカル証明書を表示するには、 コマンドを show security pki local-certificate 発行します。
動作モードから、 show security pki local-certificate
user@router2> show security pki local-certificate Certificate identifier: local-entrust2 Issued to: router2.example.com, Issued by: juniper Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
ルーター 3 での動作の確認
目的
一致したトラフィックが双方向 IPsec トンネルに迂回していることを確認するには、IPsec 統計情報を表示します。
アクション
動作モードから、 show services ipsec-vpn ipsec statisticsを入力します。
user@router3>show services ipsec-vpn ipsec statistics PIC: sp-1/2/0, Service set: service-set-dynamic-demo-service-set ESP Statistics: Encrypted bytes: 161896 Decrypted bytes: 162056 Encrypted packets: 2216 Decrypted packets: 2215 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
IKE SA ネゴシエーションが成功したことを確認するには、 コマンドを show services ipsec-vpn ike security-associations 発行します。正常に実行するには、ルーター 3 の SA に、ルーター 2 で指定したものと同じ設定が含まれている必要があります。
動作モードから、 show services ipsec-vpn ike security-associationsを入力します。
user@router3>show services ipsec-vpn ike security-associations Remote Address State Initiator cookie Responder cookie Exchange type 10.1.15.1 Matured d82610c59114fd37 ec4391f76783ef28 Main
IPsec SA がアクティブであることを確認するには、 コマンドを show services ipsec-vpn ipsec security-associations detail 発行します。正常に実行するには、ルーター 3 の SA に、ルーター 2 で指定したものと同じ設定が含まれている必要があります。
動作モードから、 show services ipsec-vpn ipsec security-associations detailを入力します。
user@router3>show services ipsec-vpn ipsec security-associations detail Service set: service-set-dynamic-demo-service-set Rule: rule-ike, Term: term-ike, Tunnel index: 1 Local gateway: 10.1.15.2, Remote gateway: 10.1.15.1 IPsec inside interface: sp-1/2/0.1 Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Direction: inbound, SPI: 1272330309, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 7219 seconds Hard lifetime: Expires in 7309 seconds Anti-replay service: Enabled, Replay window size: 64 Direction: outbound, SPI: 857451461, AUX-SPI: 0 Mode: tunnel, Type: dynamic, State: Installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Soft lifetime: Expires in 7219 seconds Hard lifetime: Expires in 7309 seconds Anti-replay service: Enabled, Replay window size: 64
IPsec トンネルの確立に使用されるデジタル証明書を表示するには、 コマンドを show services ipsec-vpn certificates 発行します。
動作モードから、 show services ipsec-vpn certificatesを入力します。
user@router3>show services ipsec-vpn certificates Service set: service-set-dynamic-demo-service-set, Total entries: 3 Certificate cache entry: 3 Flags: Non-root Trusted Issued to: router3.example.com, Issued by: juniper Alternate subject: router3.example.com Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Certificate cache entry: 2 Flags: Non-root Trusted Issued to: router2.example.com, Issued by: juniper Alternate subject: router2.example.com Validity: Not before: 2005 Nov 21st, 23:28:22 GMT Not after: 2008 Nov 21st, 23:58:22 GMT Certificate cache entry: 1 Flags: Root Trusted Issued to: juniper, Issued by: juniper Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT
CA 証明書を表示するには、 コマンドを show security pki ca-certificate detail 発行します。証明書には 3 つの個別の証明書があり、1 つは証明書署名用、1 つは鍵の暗号化用、もう 1 つは CA のデジタル署名用であることに注意してください。
動作モードから、 show security pki ca-certificate detailを入力します。
user@router3>show security pki ca-certificate detail Certificate identifier: entrust Certificate version: 3 Serial number: 4355 9235 Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us Validity: Not before: 2005 Oct 18th, 23:54:22 GMT Not after: 2025 Oct 19th, 00:24:22 GMT Public key algorithm: rsaEncryption(1024 bits) cb:9e:2d:c0:70:f8:ea:3c:f2:b5:f0:02:48:87:dc:68:99:a3:57:4f 0e:b9:98:0b:95:47:0d:1f:97:7c:53:17:dd:1a:f8:da:e5:08:d1:1c 78:68:1f:2f:72:9f:a2:cf:81:e3:ce:c5:56:89:ce:f0:97:93:fa:36 19:3e:18:7d:8c:9d:21:fe:1f:c3:87:8d:b3:5d:f3:03:66:9d:16:a7 bf:18:3f:f0:7a:80:f0:62:50:43:83:4f:0e:d7:c6:42:48:c0:8a:b2 c7:46:30:38:df:9b:dc:bc:b5:08:7a:f3:cd:64:db:2b:71:67:fe:d8 04:47:08:07:de:17:23:13 Signature algorithm: sha1WithRSAEncryption Fingerprint: 00:8e:6f:58:dd:68:bf:25:0a:e3:f9:17:70:d6:61:f3:53:a7:79:10 (sha1) 71:6f:6a:76:17:9b:d6:2a:e7:5a:72:97:82:6d:26:86 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: CRL signing, Certificate signing Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925c Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) c0:a4:21:32:95:0a:cd:ec:12:03:d1:a2:89:71:8e:ce:4e:a6:f9:2f 1a:9a:13:8c:f6:a0:3d:c9:bd:9d:c2:a0:41:77:99:1b:1e:ed:5b:80 34:46:f8:5b:28:34:38:2e:91:7d:4e:ad:14:86:78:67:e7:02:1d:2e 19:11:b7:fa:0d:ba:64:20:e1:28:4e:3e:bb:6e:64:dc:cd:b1:b4:7a ca:8f:47:dd:40:69:c2:35:95:ce:b8:85:56:d7:0f:2d:04:4d:5d:d8 42:e1:4f:6b:bf:38:c0:45:1e:9e:f0:b4:7f:74:6f:e9:70:fd:4a:78 da:eb:10:27:bd:46:34:33 Signature algorithm: sha1WithRSAEncryption Fingerprint: bc:78:87:9b:a7:91:13:20:71:db:ac:b5:56:71:42:ad:1a:b6:46:17 (sha1) 23:79:40:c9:6d:a6:f0:ca:e0:13:30:d4:29:6f:86:79 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Key encipherment Certificate identifier: entrust Certificate version: 3 Serial number: 4355 925b Issuer: Organization: juniper, Country: us Subject: Organization: juniper, Country: us, Common name: First Officer Validity: Not before: 2005 Oct 18th, 23:55:59 GMT Not after: 2008 Oct 19th, 00:25:59 GMT Public key algorithm: rsaEncryption(1024 bits) ea:75:c4:f3:58:08:ea:65:5c:7e:b3:de:63:0a:cf:cf:ec:9a:82:e2 d7:e8:b9:2f:bd:4b:cd:86:2f:f1:dd:d8:a2:95:af:ab:51:a5:49:4e 00:10:c6:25:ff:b5:49:6a:99:64:74:69:e5:8c:23:5b:b4:70:62:8e e4:f9:a2:28:d4:54:e2:0b:1f:50:a2:92:cf:6c:8f:ae:10:d4:69:3c 90:e2:1f:04:ea:ac:05:9b:3a:93:74:d0:59:24:e9:d2:9d:c2:ef:22 b9:32:c7:2c:29:4f:91:cb:5a:26:fe:1d:c0:36:dc:f4:9c:8b:f5:26 af:44:bf:53:aa:d4:5f:67 Signature algorithm: sha1WithRSAEncryption Fingerprint: 46:71:15:34:f0:a6:41:76:65:81:33:4f:68:47:c4:df:78:b8:e3:3f (sha1) ee:cc:c7:f4:5d:ac:65:33:0a:55:db:59:72:2c:dd:16 (md5) Distribution CRL: C=us, O=juniper, CN=CRL1 http://CA-1/CRL/juniper_us_crlfile.crl Use for key: Digital signature
ローカル証明書要求を表示するには、 コマンドを show security pki certificate-request 発行します。
動作モードから、 show security pki certificate-requestを入力します。
user@router3>show security pki certificate-request Certificate identifier: local-entrust3 Issued to: router3.example.com Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
ローカル証明書を表示するには、 コマンドを show security pki local-certificate 発行します。
動作モードから、 show security pki local-certificateを入力します。
user@router3>show security pki local-certificate Certificate identifier: local-entrust3 Issued to: router3.example.com, Issued by: juniper Validity: Not before: 2005 Nov 21st, 23:33:58 GMT Not after: 2008 Nov 22nd, 00:03:58 GMT Public key algorithm: rsaEncryption(1024 bits) Public key verification status: Passed
ルータ 4 での動作の確認
目的
ルーター 4 では、ルーター 1 の so-0/0/0 インターフェイスに ping コマンドを発行して、IPsec トンネルを介してトラフィックを送信します。
アクション
動作モードから、 ping 10.1.12.2を入力します。
user@router4>ping 10.1.12.2 PING 10.1.12.2 (10.1.12.2): 56 data bytes 64 bytes from 10.1.12.2: icmp_seq=0 ttl=254 time=1.350 ms 64 bytes from 10.1.12.2: icmp_seq=1 ttl=254 time=1.161 ms 64 bytes from 10.1.12.2: icmp_seq=2 ttl=254 time=1.124 ms 64 bytes from 10.1.12.2: icmp_seq=5 ttl=254 time=1.116 ms ^C --- 10.1.12.2 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.116/1.172/1.350/0.081 ms
トラフィックが IPsec トンネル上を通過していることを確認する最後の方法は、ルーター 1 の so-0/0/0 インターフェイスに traceroute コマンドを発行することです。ルーター 2 と 3 の間の物理インターフェイスがパスで参照されていないことに注意してください。トラフィックは、ルーター 3 の適応型サービス IPsec 内部インターフェイスを介して IPsec トンネルに入り、ルーター 2 のループバック インターフェイスを通過して、ルーター 1 の so-0/0/0 インターフェイスで終わります。
動作モードから、 traceroute 10.1.12.2を入力します。
user@router4>traceroute 10.1.12.2 traceroute to 10.1.12.2 (10.1.12.2), 30 hops max, 40 byte packets 1 10.1.15.2 (10.1.15.2) 0.987 ms 0.630 ms 0.563 ms 2 10.0.0.2 (10.0.0.2) 1.194 ms 1.058 ms 1.033 ms 3 10.1.12.2 (10.1.12.2) 1.073 ms 0.949 ms 0.932 ms
Junos VPN Site Secure または IPSec VPN の設定
IPSec VPNは、MS-MIC、MS-MPC、またはMS-DPCを搭載したすべてのMXシリーズルーターでサポートされています。
M SeriesおよびT Seriesルーターでは、IPSec VPNはマルチサービス100 PIC、マルチサービス400 PIC、マルチサービス500 PICでサポートされています。
MS-MICとMS-MPCは、Junos OS リリース13.2以降でサポートされています。MS-MIC と MS-MPC は、認証ヘッダー プロトコル(ah)、カプセル化セキュリティ ペイロード プロトコル(esp)、バンドル(ah および esp プロトコル)を除き、MS-DPC と MS-PIC でサポートされているすべての機能をサポートしています。ただし、動的または手動のセキュリティ アソシエーションとフローレス IPsec サービス用のプロトコルは除きます。
NAT トラバーサル(NAT-T)は、Junos OS リリース 17.4R1 以降の IKEv1 および IKEv2 でサポートされています。NAT-T はデフォルトで有効になっています。[edit services ipsec-vpn]階層レベルの設定disable-nattを使用して、IKEおよびESPパケットのUDPカプセル化およびカプセル化解除を指定できます。
参照
例:MS-MIC および MS-MPC での Junos VPN Site Secure の設定
この例と同じ手順に従い、同じ設定を使用して、MS-MPC で Junos VPN Site Secure(旧称 IPsec 機能)を設定できます。
この例は、以下のセクションで構成されています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MS-MIC を搭載した 2 台の MXシリーズルーター
Junos OS リリース 13.2 以降
概要
Junos OS リリース 13.2 では、Junos VPN Site Secure(旧称 IPsec 機能)のサポートが、MXシリーズ ルーターに新しく導入されたマルチサービス MIC および MPC(MS-MIC および MS-MPC)に拡張されています。Junos OS 拡張プロバイダ パッケージは、MS-MIC および MS-MPC に事前インストールおよび事前設定されています。
以下の Junos VPN Site Secure 機能は、リリース 13.2 の MS-MIC および MS-MPC でサポートされています。
動的エンドポイント(DEP)
カプセル化セキュリティペイロード(ESP)プロトコル
デッドピア検出(DPD)トリガーメッセージ
シーケンス番号ロールオーバー通知
ネクストホップスタイルおよびインターフェイススタイルのサービスセットを使用した静的IPsecトンネル
ただし、Junos OS リリース 13.2 では、MS-MIC および MS-MPC での Junos VPN Site Secure のサポートは IPv4 トラフィックに限定されています。パッシブ モジュールトンネリングは、MS-MIC および MS-MPC ではサポートされていません。
図 2 は、IPSec VPN トンネルのトポロジーを示しています。
この例では、2台のルーター(ルーター1とルーター2)の間にIPSec VPNトンネルが構成されている場合の例を示しています。
ルーターを設定する際は、以下の点に注意してください。
ルーター1の
[edit services ipsec-vpn rule name term term from]階層レベルのsource-addressに設定するIPアドレスは、ルーター2の同じ階層destination-addressに設定するIPアドレスと同じである必要があり、その逆も同様です。[edit services ipsec-vpn rule name term term then]階層レベルで設定したremote-gatewayのIPアドレスは、ルータ2の[edit services service-set name ipsec-vpn-options]階層レベルで設定したlocal-gatewayのIPアドレスと一致する必要があり、その逆も同様です。
構成
このセクションでは、次の内容について説明します。
CLIクイック構成
この例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。
ルーター1のインターフェイス設定
set interfaces ms-4/0/0 unit 0 family inet set interfaces ms-4/0/0 unit 1 family inet set interfaces ms-4/0/0 unit 1 family inet6 set interfaces ms-4/0/0 unit 1 service-domain inside set interfaces ms-4/0/0 unit 2 family inet set interfaces ms-4/0/0 unit 2 family inet6 set interfaces ms-4/0/0 unit 2 service-domain outside set interfaces xe-0/2/0 unit 0 family inet address 10.0.1.1/30
ルーター1でのIPSec VPNサービスの設定
set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from source-address 172.16.0.0/16 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from destination-address 192.168.0.0/16 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then remote-gateway 10.0.1.2 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ike-policy ike_policy_ms_4_0_0 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_4_0_0 set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then anti-replay-window-size 4096 set services ipsec-vpn rule vpn_rule_ms_4_0_01 match-direction input set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 protocol esp set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 proposals ipsec_proposal_ms_4_0_0 set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 dh-group group2 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 version 2 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 proposals ike_proposal_ms_4_0_0 set services ipsec-vpn ike policy ike_policy_ms_4_0_0 pre-shared-key ascii-text secret-data
ルーター 1 でのサービス セットの設定
set services service-set ipsec_ss_ms_4_0_01 next-hop-service inside-service-interface ms-4/0/0.1 set services service-set ipsec_ss_ms_4_0_01 next-hop-service outside-service-interface ms-4/0/0.2 set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-options local-gateway 10.0.1.1 set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-rules vpn_rule_ms_4_0_01
ルーター 1 でのルーティング オプションの設定
set routing-options static route 192.168.0.0/16 next-hop ms-4/0/0.1
ルーター2のインターフェイス設定
set interfaces ms-1/0/0 unit 0 family inet set interfaces ms-1/0/0 unit 1 family inet set interfaces ms-1/0/0 unit 1 family inet6 set interfaces ms-1/0/0 unit 1 service-domain inside set interfaces ms-1/0/0 unit 2 family inet set interfaces ms-1/0/0 unit 2 family inet6 set interfaces ms-1/0/0 unit 2 service-domain outside set interfaces ge-2/0/0 unit 0 family inet address 10.0.1.2/30
ルーター2でのIPSec VPNサービスの設定
set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from source-address 192.168.0.0/16 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from destination-address 172.16.0.0/16 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then remote-gateway 10.0.1.1 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ike-policy ike_policy_ms_5_2_0 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_5_2_0 set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then anti-replay-window-size 4096 set services ipsec-vpn rule vpn_rule_ms_5_2_01 match-direction input set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 protocol esp set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 proposals ipsec_proposal_ms_5_2_0 set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 authentication-method pre-shared-keys set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 dh-group group2 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 version 2 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 proposals ike_proposal_ms_5_2_0 set services ipsec-vpn ike policy ike_policy_ms_5_2_0 pre-shared-key ascii-text secret-data set services ipsec-vpn establish-tunnels immediately
ルーター2でのサービスセットの設定
set services service-set ipsec_ss_ms_5_2_01 next-hop-service inside-service-interface ms-1/0/0.1 set services service-set ipsec_ss_ms_5_2_01 next-hop-service outside-service-interface ms-1/0/0.2 set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-options local-gateway 10.0.1.2 set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-rules vpn_rule_ms_5_2_01
ルーター2でのルーティングオプションの設定
set routing-options static route 172.16.0.0/16 next-hop ms-1/0/0.1
ルーター 1 の設定
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
リリース 13.2 以降、Junos OS 拡張プロバイダー パッケージは、マルチサービス MIC と MPC(MS-MIC と MS-MPC)にプリインストールされています。[edit chassis fpc number pic number]階層レベルのadaptive-services設定は、これらのカードで事前に設定されています。
インターフェイスのプロパティ(ファミリー、サービスドメイン、ユニットなど)を設定します。
user@router1# set interfaces ms-4/0/0 unit 0 family inet user@router1# set interfaces ms-4/0/0 unit 1 family inet user@router1# set interfaces ms-4/0/0 unit 1 family inet6 user@router1# set interfaces ms-4/0/0 unit 1 service-domain inside user@router1# set interfaces ms-4/0/0 unit 2 family inet user@router1# set interfaces ms-4/0/0 unit 2 family inet6 user@router1# set interfaces ms-4/0/0 unit 2 service-domain outside user@router1# set interfaces xe-0/2/0 unit 0 family inet address 10.0.1.1/30
アドレス、リモートゲートウェイ、ポリシー、一致方向、プロトコル、リプレイウィンドウサイズ、アルゴリズムの詳細、秘匿性キー、プロポーザル、認証方法、グループ、バージョンなどのIPsecプロパティを設定します。
user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from source-address 172.16.0.0/16 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 from destination-address 192.168.0.0/16 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then remote-gateway 10.0.1.2 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ike-policy ike_policy_ms_4_0_0 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_4_0_0 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 term term11 then anti-replay-window-size 4096 user@router1# set services ipsec-vpn rule vpn_rule_ms_4_0_01 match-direction input user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 protocol esp user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 authentication-algorithm hmac-sha1-96 user@router1# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_4_0_0 encryption-algorithm 3des-cbc user@router1# set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 perfect-forward-secrecy keys group2 user@router1# set services ipsec-vpn ipsec policy ipsec_policy_ms_4_0_0 proposals ipsec_proposal_ms_4_0_0 user@router1# set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 authentication-method pre-shared-keys user@router1# set services ipsec-vpn ike proposal ike_proposal_ms_4_0_0 dh-group group2 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 version 2 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 proposals ike_proposal_ms_4_0_0 user@router1# set services ipsec-vpn ike policy ike_policy_ms_4_0_0 pre-shared-key ascii-text secret-key
サービス セット、ipsec-vpn オプション、およびルールを設定します。
user@router1# set services service-set ipsec_ss_ms_4_0_01 next-hop-service inside-service-interface ms-4/0/0.1 user@router1# set services service-set ipsec_ss_ms_4_0_01 next-hop-service outside-service-interface ms-4/0/0.2 user@router1# set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-options local-gateway 10.0.1.1 user@router1# set services service-set ipsec_ss_ms_4_0_01 ipsec-vpn-rules vpn_rule_ms_4_0_01
ルーティングオプション、静的ルート、ネクストホップを設定します。
user@router1# set routing-options static route 192.168.0.0/16 next-hop ms-4/0/0.1
業績
ルーター 1 の設定モードから、 show interfaces、 show services ipsec-vpn、および show services service-set コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@router1# show interfaces
ms-4/0/0{
unit 0 {
family inet;
}
unit 1 {
family inet;
family inet6;
service-domain inside;
}
unit 2 {
family inet;
family inet6;
service-domain outside;
}
}
xe-0/2/0 {
unit 0 {
family inet {
address 10.0.1.1/30;
}
}
}
user@router1# show services ipsec-vpn
rule vpn_rule_ms_4_0_01 {
term term11 {
from {
source-address {
172.16.0.0/16;
}
destination-address {
192.168.0.0/16;
}
}
then {
remote-gateway 10.0.1.2;
dynamic {
ike-policy ike_policy_ms_4_0_0;
ipsec-policy ipsec_policy_ms_4_0_0;
}
anti-replay-window-size 4096;
}
}
match-direction input;
}
ipsec {
proposal ipsec_proposal_ms_4_0_0 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_policy_ms_4_0_0 {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_proposal_ms_4_0_0;
}
}
ike {
proposal ike_proposal_ms_4_0_0 {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike_policy_ms_4_0_0 {
version 2;
proposals ike_proposal_ms_4_0_0;
pre-shared-key ascii-text "$9ABC123"; ## SECRET-DATA
}
}
user@router1# show services service-set
ipsec_ss_ms_4_0_01 {
next-hop-service {
inside-service-interface ms-4/0/0.1;
outside-service-interface ms-4/0/0.2;
}
ipsec-vpn-options {
local-gateway 10.0.1.1;
}
ipsec-vpn-rules vpn_rule_ms_4_0_01;
}
ルーター 2 の設定
手順
インターフェイスのプロパティ(ファミリー、サービスドメイン、ユニットなど)を設定します。
user@router2# set interfaces ms-1/0/0 services-options inactivity-non-tcp-timeout 600 user@router2# set interfaces ms-1/0/0 unit 0 family inet user@router2# set interfaces ms-1/0/0 unit 1 family inet user@router2# set interfaces ms-1/0/0 unit 1 family inet6 user@router2# set interfaces ms-1/0/0 unit 1 service-domain inside user@router2# set interfaces ms-1/0/0 unit 2 family inet user@router2# set interfaces ms-1/0/0 unit 2 family inet6 user@router2# set interfaces ms-1/0/0 unit 2 service-domain outside user@router2# set interfaces ge-2/0/0 unit 0 family inet adddress 10.0.1.2/30
アドレス、リモートゲートウェイ、ポリシー、一致方向、プロトコル、リプレイウィンドウサイズ、アルゴリズムの詳細、秘匿性キー、プロポーザル、認証方法、グループ、バージョンなどのIPsecプロパティを設定します。
user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from source-address 192.168.0.0/16 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 from destination-address 172.16.0.0/16 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then remote-gateway 10.0.1.1 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ike-policy ike_policy_ms_5_2_0 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then dynamic ipsec-policy ipsec_policy_ms_5_2_0 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 term term11 then anti-replay-window-size 4096 user@router2# set services ipsec-vpn rule vpn_rule_ms_5_2_01 match-direction input user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 protocol esp user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 authentication-algorithm hmac-sha1-96 user@router2# set services ipsec-vpn ipsec proposal ipsec_proposal_ms_5_2_0 encryption-algorithm 3des-cbc user@router2# set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 perfect-forward-secrecy keys group2 user@router2# set services ipsec-vpn ipsec policy ipsec_policy_ms_5_2_0 proposals ipsec_proposal_ms_5_2_0 user@router2# set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 authentication-method pre-shared-keys user@router2# set services ipsec-vpn ike proposal ike_proposal_ms_5_2_0 dh-group group2 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 version 2 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 proposals ike_proposal_ms_5_2_0 user@router2# set services ipsec-vpn ike policy ike_policy_ms_5_2_0 pre-shared-key ascii-text "$ABC123" user@router2# set services ipsec-vpn establish-tunnels immediately
next-hop-serviceやipsec-vpn-optionsなどのサービスセットを設定します。
user@router2# set services service-set ipsec_ss_ms_5_2_01 next-hop-service inside-service-interface ms-1/0/0.1 user@router2# set services service-set ipsec_ss_ms_5_2_01 next-hop-service outside-service-interface ms-1/0/0.2 user@router2# set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-options local-gateway 10.0.1.2 user@router2# set services service-set ipsec_ss_ms_5_2_01 ipsec-vpn-rules vpn_rule_ms_5_2_01
ルーティングオプション、静的ルート、ネクストホップを設定します。
user@router2# set routing-options static route 172.16.0.0/16 next-hop ms-1/0/0.1
業績
ルーター 2 の設定モードから、 show interfaces、 show services ipsec-vpn、および show services service-set コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@router2# show interfaces
ms-1/0/0 {
unit 0 {
family inet;
}
unit 1 {
family inet;
family inet6;
service-domain inside;
}
unit 2 {
family inet;
family inet6;
service-domain outside;
}
}
ge-2/0/0 {
unit 0 {
family inet {
address 10.0.1.2/30;
}
}
}
user@router2# show services ipsec-vpn
rule vpn_rule_ms_5_2_01 {
term term11 {
from {
source-address {
192.168.0.0/16;
}
destination-address {
172.16.0.0/16;
}
}
then {
remote-gateway 10.0.1.1;
dynamic {
ike-policy ike_policy_ms_5_2_0;
ipsec-policy ipsec_policy_ms_5_2_0;
}
anti-replay-window-size 4096;
}
}
match-direction input;
}
ipsec {
proposal ipsec_proposal_ms_5_2_0 {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy ipsec_policy_ms_5_2_0 {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec_proposal_ms_5_2_0;
}
}
ike {
proposal ike_proposal_ms_5_2_0 {
authentication-method pre-shared-keys;
dh-group group2;
}
policy ike_policy_ms_5_2_0 {
version 2;
proposals ike_proposal_ms_5_2_0;
pre-shared-key ascii-text "$9ABC123"; ## SECRET-DATA
}
}
establish-tunnels immediately;
user@router2# show services service-set
ipsec_ss_ms_5_2_01 {
next-hop-service {
inside-service-interface ms-1/0/0.1;
outside-service-interface ms-1/0/0.2;
}
ipsec-vpn-options {
local-gateway 10.0.1.2;
}
ipsec-vpn-rules vpn_rule_ms_5_2_01;
}
user@router2 #show routing-options
static {
route 172.16.0.0/16 next-hop ms-1/0/0.1;
}
検証
トンネルの作成を検証
目的
動的エンドポイントが作成されていることを確認します。
アクション
ルーター 1 で以下のコマンドを実行します。
user@router1 >show services ipsec-vpn ipsec security-associations detail
Service set: ipsec_ss_ms_4_0_01, IKE Routing-instance: default
Rule: vpn_rule_ms_4_0_01, Term: term11, Tunnel index: 1
Local gateway: 10.0.1.1, Remote gateway: 10.0.1.2
IPSec inside interface: ms-4/0/0.1, Tunnel MTU: 1500
Local identity: ipv4_subnet(any:0,[0..7]=172.16.0.0/16)
Remote identity: ipv4_subnet(any:0,[0..7]=192.168.0.0/16)
Direction: inbound, SPI: 112014862, AUX-SPI: 0
Mode: tunnel, Type: dynamic, State: Installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Soft lifetime: Expires in 24556 seconds
Hard lifetime: Expires in 25130 seconds
Anti-replay service: Enabled, Replay window size: 4096
Direction: outbound, SPI: 1469281276, AUX-SPI: 0
Mode: tunnel, Type: dynamic, State: Installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Soft lifetime: Expires in 24556 seconds
Hard lifetime: Expires in 25130 seconds
Anti-replay service: Enabled, Replay window size: 4096
意味
出力は、IPSec SAがルーター上で稼働しており、その状態がInstalledであることを示しています。IPSec トンネルが起動しており、トンネルを介してトラフィックを送信する準備ができています。
DEP トンネルを通過するトラフィック フローの検証
目的
新しく作成された DEP トンネルを通過するトラフィック フローを確認します。
アクション
ルーター2で以下のコマンドを実行します。
user@router2> show services ipsec-vpn ipsec statistics PIC: ms-1/0/0, Service set: ipsec_ss_ms_5_2_01 ESP Statistics: Encrypted bytes: 153328 Decrypted bytes: 131424 Encrypted packets: 2738 Decrypted packets: 2738 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0 ESP authentication failures: 0 ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 Replay before window drops: 0, Replayed pkts: 0 IP integrity errors: 0, Exceeds tunnel MTU: 0 Rule lookup failures: 0, No SA errors: 0 Flow errors: 0, Misc errors: 0
サービス セットの IPsec セキュリティ アソシエーションの確認
目的
サービス セットに設定されたセキュリティ アソシエーションが正しく機能していることを確認します。
アクション
ルーター2で以下のコマンドを実行します。
user@router2> show services ipsec-vpn ipsec security-associations ipsec_ss_ms_5_2_01
Service set: ipsec_ss_ms_5_2_01, IKE Routing-instance: default
Rule: vpn_rule_ms_5_2_01, Term: term11, Tunnel index: 1
Local gateway: 10.0.1.2., Remote gateway: 10.0.1.1
IPSec inside interface: ms-1/0/0.1, Tunnel MTU: 1500
Direction SPI AUX-SPI Mode Type Protocol
inbound 1612447024 0 tunnel dynamic ESP
outbound 1824720964 0 tunnel dynamic ESP
例:VRF インスタンス上で静的に割り当てられた IPsec トンネルの設定
この例では、VRF インスタンス上で静的に割り当てられた IPsec トンネルを設定する方法を示し、以下のセクションで構成されています。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
プロバイダエッジルーターとして設定されたM Series、MXシリーズ、またはT Seriesルーター。
Junos OS リリース 9.4 以降
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
Junos OS では、仮想ルーティングおよび転送(VRF)インスタンスに静的に割り当てられた IPsec トンネルを設定できます。VRFインスタンスにIPsecトンネルを設定できるため、ネットワークのセグメント化とセキュリティを強化できます。VRF インスタンスを介して、同じ PE ルーターに複数の顧客トンネルを設定することができます。各 VRF インスタンスは、排他的なルーティングテーブルを持つ論理ルーターとして機能します。
構成
この例では、プロバイダエッジルーター上の VRF インスタンスを介したIPsec トンネルの設定を示し、必要な設定を完了するための手順を説明します。
このセクションでは、次の内容について説明します。
プロバイダ エッジ ルーターの設定
CLIクイック構成
この例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。
set interfaces ge-0/3/0 unit 0 family inet address 10.6.6.6/32 set interfaces ge-1/1/0 description "teller ge-0/1/0" set interfaces ge-1/1/0 unit 0 family inet address 10.21.1.1/16 set interfaces ms-1/2/0 unit 0 family inet address 10.7.7.7/32 set interfaces ms-1/2/0 unit 1 family inet set interfaces ms-1/2/0 unit 1 service-domain inside set interfaces ms-1/2/0 unit 2 family inet set interfaces ms-1/2/0 unit 2 service-domain outside set policy-options policy-statement vpn-export then community add vpn-community set policy-options policy-statement vpn-export then accept set policy-options policy-statement vpn-import term a from community vpn-community set policy-options policy-statement vpn-import term a then accept set policy-options community vpn-community members target:100:20 set routing-instances vrf instance-type vrf set routing-instances vrf interface ge-0/3/0.0 set routing-instances vrf interface ms-1/2/0.1 set routing-instances vrf route-distinguisher 192.168.0.1:1 set routing-instances vrf vrf-import vpn-import set routing-instances vrf vrf-export vpn-export set routing-instances vrf routing-options static route 10.0.0.0/0 next-hop ge-0/3/0.0 set routing-instances vrf routing-options static route 10.11.11.1/32 next-hop ge-0/3/0.0 set routing-instances vrf routing-options static route 10.8.8.1/32 next-hop ms-1/2/0.1 set services ipsec-vpn ipsec proposal demo_ipsec_proposal protocol esp set services ipsec-vpn ipsec proposal demo_ipsec_proposal authentication-algorithm hmac-sha1-96 set services ipsec-vpn ipsec proposal demo_ipsec_proposal encryption-algorithm 3des-cbc set services ipsec-vpn ipsec policy demo_ipsec_policy perfect-forward-secrecy keys group2 set services ipsec-vpn ipsec policy demo_ipsec_policy proposals demo_ipsec_proposal set services ipsec-vpn ike proposal demo_ike_proposal authentication-method pre-shared-keys set services ipsec-vpn ike proposal demo_ike_proposal dh-group group2 set services ipsec-vpn ike policy demo_ike_policy proposals demo_ike_proposal set services ipsec-vpn ike policy demo_ike_policy pre-shared-key ascii-text juniperkey set services ipsec-vpn rule demo-rule term demo-term then remote-gateway 10.21.2.1 set services ipsec-vpn rule demo-rule term demo-term then dynamic ike-policy demo_ike_policy set services ipsec-vpn rule demo-rule match-direction input set services service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 set services service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 set services service-set demo-service-set ipsec-vpn-options local-gateway 10.21.1.1 set services service-set demo-service-set ipsec-vpn-rules demo-rule
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
VRF インスタンスで静的に割り当てられた IPsec トンネルを設定するには、次の手順を実行します。
インターフェイスを設定します。このステップでは、2つのイーサネット(
ge)インターフェイス、1つのサービスインターフェイス(ms-)、さらにサービスインターフェイスの論理インターフェイスのサービスドメインプロパティを設定します。内部インターフェイスとしてマークされた論理インターフェイスはトラフィックに設定されたサービスを適用し、外部インターフェイスとしてマークされた論理インターフェイスは、内部インターフェイスがサービスを適用したトラフィックのエグレス ポイントとして機能することに注意してください。[edit interfaces] user@PE1# set ge-0/3/0 unit 0 family inet address 10.6.6.6/32 user@PE1# set ge-1/1/0 description "teller ge-0/1/0" user@PE1# set ge-1/1/0 unit 0 family inet address 10.21.1.1/16 user@PE1# set ms-1/2/0 unit 0 family inet address 10.7.7.7/32 user@PE1# set ms-1/2/0 unit 1 family inet user@PE1# set ms-1/2/0 unit 1 service-domain inside user@PE1# set ms-1/2/0 unit 2 family inet user@PE1# set ms-1/2/0 unit 2 service-domain outside
ルーティングポリシーを設定して、VRF インスタンスのルートのインポートおよびエクスポート基準を指定します。このステップで定義するインポートおよびエクスポート ポリシーは、次のステップのルーティング インスタンス設定から参照されます。
[edit policy-options] user@PE1# set policy-statement vpn-export then community add vpn-community user@PE1# set policy-statement vpn-export then accept user@PE1# set policy-statement vpn-import term a from community vpn-community user@PE1# set policy-statement vpn-import term a then accept user@PE1# set community vpn-community members target:100:20
ルーティング インスタンスを設定し、ルーティング インスタンス タイプを
vrfに指定します。前のステップで定義したインポートおよびエクスポート ポリシーをルーティング インスタンスに適用し、最初のステップで設定した内部インターフェイス(ms-1/2/0.1)にIPsec トラフィックを送信する静的ルートを指定します。[edit routing-instance] user@PE1# set vrf instance-type vrf user@PE1# set vrf interface ge-0/3/0.0 user@PE1# set vrf interface ms-1/2/0.1 user@PE1# set vrf route-distinguisher 192.168.0.1:1 user@PE1# set vrf vrf-import vpn-import user@PE1# set vrf vrf-export vpn-export user@PE1# set vrf routing-options static route 10.0.0.0/0 next-hop ge-0/3/0.0 user@PE1# set vrf routing-options static route 10.11.11.1/32 next-hop ge-0/3/0.0 user@PE1# set vrf routing-options static route 10.8.8.1/32 next-hop ms-1/2/0.1
IKEとIPsecのプロポーザルとポリシー、および受信トラフィックにIKEポリシーを適用するルールを設定します。.
手記:デフォルトでは、Junos OSはIKEポリシーバージョン1.0を使用します。Junos OS リリース 11.4以降では、
[edit services ipsec-vpn ike policy policy-name pre-shared]で設定する必要があるIKEポリシーバージョン2.0もサポートされています。[edit services] user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal protocol esp user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal authentication-algorithm hmac-sha1-96 user@PE1# set ipsec-vpn ipsec proposal demo_ipsec_proposal encryption-algorithm 3des-cbc user@PE1# set ipsec-vpn ipsec policy demo_ipsec_policy perfect-forward-secrecy keys group2 user@PE1# set ipsec-vpn ipsec policy demo_ipsec_policy proposals demo_ipsec_proposal user@PE1# set ipsec-vpn ike proposal demo_ike_proposal authentication-method pre-shared-keys user@PE1# set ipsec-vpn ike proposal demo_ike_proposal dh-group group2 user@PE1# set ipsec-vpn ike policy demo_ike_policy proposals demo_ike_proposal user@PE1# set ipsec-vpn ike policy demo_ike_policy pre-shared-key ascii-text juniperkey user@PE1# set ipsec-vpn rule demo-rule term demo-term then remote-gateway 10.21.2.1 user@PE1# set ipsec-vpn rule demo-rule term demo-term then dynamic ike-policy demo_ike_policy user@PE1# set ipsec-vpn rule demo-rule match-direction input
ネクストホップスタイルのサービス セットを設定します。最初のステップで設定した内部インターフェイスと外部インターフェイスを、それぞれ
inside-service-interfaceおよびoutside-service-interfaceとして設定する必要があることに注意してください。[edit services] user@PE1# set service-set demo-service-set next-hop-service inside-service-interface ms-1/2/0.1 user@PE1# set service-set demo-service-set next-hop-service outside-service-interface ms-1/2/0.2 user@PE1# set service-set demo-service-set ipsec-vpn-options local-gateway 10.21.1.1 user@PE1# set service-set demo-service-set ipsec-vpn-rules demo-rule
設定をコミットします。
[edit] user@PE1# commit
業績
ルーター 1 の設定モードから、 show interfaces、 show policy-options、 show routing-instances、 show services ipsec-vpn、 show services service-set コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@PE1# show interfaces
...
ms-1/2/0 {
unit 0 {
family inet {
address 10.7.7.7/32;
}
}
unit 1 {
family inet;
service-domain inside;
}
unit 2 {
family inet;
service-domain outside;
}
}
ge-0/3/0 {
unit 0 {
family inet {
address 10.6.6.6/32;
}
}
}
ge-1/1/0 {
description "teller ge-0/1/0";
unit 0 {
family inet {
address 10.21.1.1/16;
}
}
}
...
user@PE1# show policy-options
policy-statement vpn-export {
then {
community add vpn-community;
accept;
}
}
policy-statement vpn-import {
term a {
from community vpn-community;
then accept;
}
}
community vpn-community members target:100:20;
user@PE1# show routing-instances
vrf {
instance-type vrf;
interface ge-0/3/0.0;
interface ms-1/2/0.1;
route-distinguisher 192.168.0.1:1;
vrf-import vpn-import;
vrf-export vpn-export;
routing-options {
static {
route 10.0.0.0/0 next-hop ge-0/3/0.0;
route 10.11.11.1/32 next-hop ge-0/3/0.0;
route 10.8.8.1/32 next-hop ms-1/2/0.1;
}
}
}
user@PE1# show services ipsec-vpn
ipsec-vpn {
rule demo-rule {
term demo-term {
then {
remote-gateway 10.21.2.1;
dynamic {
ike-policy demo_ike_policy;
}
}
}
match-direction input;
}
ipsec {
proposal demo_ipsec_proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
}
policy demo_ipsec_policy {
perfect-forward-secrecy {
keys group2;
}
proposals demo_ipsec_proposal;
}
}
ike {
proposal demo_ike_proposal {
authentication-method pre-shared-keys;
dh-group group2;
}
policy demo_ike_policy {
proposals demo_ike_proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
}
}
user@PE1# show services service-set demo-service-set
next-hop-service {
inside-service-interface ms-1/2/0.1;
outside-service-interface ms-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 10.21.1.1;
}
ipsec-vpn-rules demo-rule;
マルチタスクの例:IPsec サービスの設定
以下の例に基づいた手順は、IPsecサービスの設定方法を示しています。この設定には、IKEポリシー、IPsecポリシー、IPsecルール、トレースオプション、およびサービスセットの定義が含まれます。
このトピックは、次のタスクで構成されています。
- IKEプロポーザルの設定
- IKEポリシーの設定(およびIKEプロポーザルの参照)
- IPsecプロポーザルを構成する
- IPsecポリシーの設定(およびIPsecプロポーザルの参照)
- IPsecルールの設定(およびIKEおよびIPsecポリシーの参照)
- IPsecトレース オプションの設定
- アクセスプロファイルの設定(およびIKEとIPsecポリシーの参照)
- サービス セットの設定(および IKE プロファイルと IPsec ルールの参照)を参照してください
IKEプロポーザルの設定
IKE の提案構成では、ピア セキュリティ ゲートウェイとのセキュアな IKE 接続を確立するために使用されるアルゴリズムと鍵を定義します。IKEプロポーザルの詳細については、 IKEプロポーザルの設定を参照してください。
IKE proposaI を定義するには、次の手順に従います。
以下のサンプル出力は、IKE の提案の構成を示しています。
[edit services ipsec-vpn]
user@host# show ike
proposal test-IKE-proposal {
authentication-method pre-shared-keys;
dh-group group1;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
参照
IKEポリシーの設定(およびIKEプロポーザルの参照)
IKE ポリシー構成では、IKE ネゴシエーション中に使用されるプロポーザル、モード、アドレス、およびその他のセキュリティ パラメーターを定義します。IKE ポリシーの詳細については、「 IKE ポリシーの設定」を参照してください。
IKEポリシーを定義し、IKE の提案を参照するには、次の手順に従います。
以下のサンプル出力は、IKE ポリシーの設定を示しています。
[edit services ipsec-vpn]
user@host# show ike
policy test-IKE-policy {
mode main;
proposals test-IKE-proposal;
local-id ipv4_addr 192.168.255.2;
pre-shared-key ascii-text TEST;
}
IPsecプロポーザルを構成する
IPsecプロポーザル構成は、リモートIPsecピアとのネゴシエートに必要なプロトコルとアルゴリズム(セキュリティサービス)を定義します。IPsecプロポーザルの詳細については、 IPsecプロポーザルの設定を参照してください。
IPsecプロポーザルを定義するには:
以下のサンプル出力は、IPsecプロポーザルの設定を示しています。
[edit services ipsec-vpn]
user@host# show ike
proposal test-IPsec-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
参照
IPsecポリシーの設定(およびIPsecプロポーザルの参照)
IPsecポリシー設定では、IPsecネゴシエーション中に使用されるセキュリティパラメーター(IPsecプロポーザル)の組み合わせを定義します。接続に必要なPFSとプロポーザルを定義します。IPsecポリシーの詳細については、「 Configuring IPsec Policies」を参照してください。
IPsecポリシーを定義し、IPsecプロポーザルを参照するには、次の手順に従います。
以下のサンプル出力は、IPsec ポリシーの設定を示しています。
[edit services ipsec-vpn]
user@host# show ipsec policy test-IPsec-policy
perfect-forward-secrecy {
keys group1;
}
proposals test-IPsec-proposal;
参照
IPsecルールの設定(およびIKEおよびIPsecポリシーの参照)
IPsecルール設定は、一致がインターフェイスの入力側または出力側のどちらに適用されるかを指定する方向を定義します。また、設定は、含まれる一致条件と除外されるアプリケーションを指定し、ルーター ソフトウェアによって実行されるアクションとアクション修飾子を指定する一連の条件で構成されます。IPsec ルールの詳細については、「 IPsec ルールの設定」を参照してください。
IPsec ルールを定義し、IKE および IPsec ポリシーを参照するには、次の手順に従います。
以下のサンプル出力は、IPsec ルールの設定を示しています。
[edit services ipsec-vpn]
user@host# show rule test-IPsec-rule
term 10 {
from {
destination-address {
192.168.255.2/32;
}
}
then {
remote-gateway 0.0.0.0;
dynamic {
ike-policy test-IKE-policy;
ipsec-policy test-IPsec-policy;
}
}
}
match-direction input;
IPsecトレース オプションの設定
IPsecトレースオプション設定は、IPsecイベントを追跡し、 /var/log ディレクトリのログファイルに記録します。デフォルトでは、このファイルの名前は /var/log/kmd です。IPsec ルールの詳細については、 Junos VPN Site Secure の動作をトレースするを参照してください。
IPsecトレース・オプションを定義するには:
以下のサンプル出力は、IPsecトレースオプションの設定を示しています。
[edit services ipsec-vpn] user@host# show traceoptions file ipsec.log; flag all;
アクセスプロファイルの設定(およびIKEとIPsecポリシーの参照)
アクセスプロファイル設定は、アクセスプロファイルを定義し、IKEおよびIPsecポリシーを参照します。アクセスプロファイルの詳細については、 IKEアクセスプロファイルの設定を参照してください。
アクセスプロファイルを定義し、IKEおよびIPsecポリシーを参照するには:
以下のサンプル出力は、アクセスプロファイルの設定を示しています。
[edit access]
user@host# show
profile IKE-profile-TEST {
client * {
ike {
allowed-proxy-pair local 10.0.0.0/24 remote 10.0.1.0/24;
ike-policy test-IKE-policy;
ipsec-policy test-IPsec-policy; # new statement
interface-id TEST-intf;
}
}
}
参照
サービス セットの設定(および IKE プロファイルと IPsec ルールの参照)を参照してください
サービス セット構成は、追加の指定を必要とする IPsec サービス セットを定義し、IKE プロファイルと IPsec ルールを参照します。IPsec サービス セットの詳細については、「 IPsec サービス セットの設定」を参照してください。
ネクストホップ サービス セットと IPSec VPN オプションを使用してサービス セット構成を定義するには、次の手順に従います。
以下のサンプル出力は、IKEプロファイルとIPsecルールを参照するサービスセットの設定を示しています。
[edit services]user@host# show service-set TEST
next-hop-service {
inside-service-interface sp-1/2/0.1;
outside-service-interface sp-1/2/0.2;
}
ipsec-vpn-options {
local-gateway 192.168.255.2;
ike-access-profile IKE-profile-TEST;
}
ipsec-vpn-rules test-IPsec-rule;
参照
IPsecで保護されたパケットを使用したNATを処理するための、MXシリーズルーターでのNAT-Tの無効化
Junos OS リリース 17.4R1より前では、MXシリーズルーターのIPsec機能のJunos VPN Site Secureスイートでは、ネットワークアドレス変換トラバーサル(NAT-T)はサポートされていません。デフォルトでは、Junos OSは、IPsecトンネルのいずれかがNATデバイスの背後にあるかどうかを検出し、保護されたトラフィックにNAT-Tを使用するように自動的に切り替わります。17.4R1より前のJunos OSリリースでサポートされていないNAT-Tが実行されないようにするには、[edit services ipsec-vpn]階層レベルでdisable-nattステートメントを含めてNAT-Tを無効にする必要があります。NAT-T を無効にすると、NAT-T 機能はグローバルにオフに切り替わります。NAT-T を無効にし、2 つの IPsec ゲートウェイ間に NAT デバイスが存在する場合、ISAKMP メッセージは UDP ポート 500 を使用してネゴシエートされ、データパケットは ESP(セキュリティ ペイロードのカプセル化)でカプセル化されます。
ネットワークアドレス変換トラバーサル(NAT-T)とは、IPsecで保護されたデータがアドレス変換のためにNATデバイスを通過する際に発生するIPアドレス変換の問題を回避するための手法です。NAT の機能である IP アドレッシングの変更があった場合、IKE はパケットを破棄します。NAT-T は、フェーズ 1 交換時にデータ パスに沿って 1 つ以上の NAT デバイスを検出した後、IPsec パケットにユーザー・データグラム・プロトコル(UDP)カプセル化のレイヤーを追加し、アドレス変換後のパケットが廃棄されないようにします。NAT-T は、IKE と ESP の両方のトラフィックを UDP 内でカプセル化し、ポート 4500 を送信元と宛先の両方のポートとして使用します。NAT デバイスは古くなった UDP 変換を期限切れにするため、ピア間でキープアライブ メッセージが必要になります。
NAT デバイスの位置は、以下のようにできます。
IKEv1 または IKEv2 開始側のみが NAT デバイスの背後にあります。複数の開始側を別個の NAT デバイスの背後に置くことができます。開始側は、複数の NAT デバイスを介して応答側に接続することもできます。
IKEv1 または IKEv2 応答側のみが NAT デバイスの背後にあります。
IKEv1 または IKEv2 開始側と応答側の両方が NAT デバイスの後ろにあります。
動的エンドポイントVPNは、開始側のIKE外部アドレスが固定されておらず、応答側がそのアドレスを知らない状況に対応できます。これは、開始側のアドレスがISPによって動的に割り当てられたり、動的アドレスのプールからアドレスを割り当てる動的NATデバイスを開始側の接続が超えたりする場合に発生する可能性があります。
応答側のみがNATデバイスの背後にあるトポロジーと、開始側と応答側の双方がNATデバイスの背後にあるトポロジーについて、NAT-Tの設定例を提供します。NAT-TのサイトツーサイトIKEゲートウェイ設定は、開始側と応答側の双方でサポートされます。リモートIKE IDは、IKEトンネルネゴシエーションのフェーズ1の際にピアのローカルIKE IDを検証するために使用されます。イニシエーターとレスポンダーの両方に、ローカルIDとリモートID文字列が必要です。
参照
Junos VPN Site Secure運用のトレース
Junos VPN Site Secure は、マルチサービス ライン カード(MS-DPC、MS-MPC、MS-MIC)でサポートされる IPsec 機能のスイートで、以前は IPsec サービスと呼ばれていました。
トレース操作は、IPsec イベントを追跡し、 /var/log ディレクトリのログ ファイルに記録します。デフォルトでは、このファイルの名前は /var/log/kmd です。
IPsec操作をトレースするには、[edit services ipsec-vpn]階層レベルにtraceoptionsステートメントを含めます。
[edit services ipsec-vpn] traceoptions { file <filename> <files number> <match regular-expression> <size bytes> <world-readable | no-world-readable>; flag flag; level level; no-remote-trace; }
次の IPsec トレース フラグを指定できます。
all—すべてをトレースします。certificates- 証明書のイベントをトレースします。database- セキュリティ アソシエーション データベース イベントをトレースします。general- 一般的なイベントをトレースします。ike- IKE モジュールの処理をトレースします。parse- 設定処理をトレースします。policy-manager- ポリシー マネージャの処理をトレースします。routing-socket- ルーティング ソケット メッセージをトレースします。snmp—SNMP 操作をトレースします。timer- 内部タイマー イベントをトレースします。
level ステートメントは、キー管理プロセス(kmd)トレースレベルを設定します。次の値がサポートされています。
all- すべてのレベルに一致します。error- エラー条件に一致します。info– 情報メッセージに一致します。notice—特別に扱う必要がある一致条件。verbose- 詳細メッセージに一致します。warning- 警告メッセージに一致します。
このセクションには、以下のトピックが含まれています。
traceroute での IPsec トンネル エンドポイントの無効化
[edit services ipsec-vpn]階層レベルでno-ipsec-tunnel-in-tracerouteステートメントを含める場合、IPsec トンネルはネクストホップとして扱われず、TTL(Time-to-live)はデクリメントされません。また、TTL が 0 に達した場合、ICMP 時間超過メッセージは生成されません。
[edit services ipsec-vpn] no-ipsec-tunnel-in-traceroute;
この機能は、 passive-mode-tunneling ステートメントによっても提供されます。 no-ipsec-tunnel-in-traceroute ステートメントは、IPsec トンネルをネクストホップとして扱うべきではなく、パッシブモードが望ましくない特定のシナリオで使用できます。
IPsec PKI 操作のトレース
トレース操作は、IPsec PKI イベントを追跡し、 /var/log ディレクトリのログ ファイルに記録します。デフォルトでは、このファイルの名前は /var/log/pkid です。
IPsec PKI操作をトレースするには、[edit security pki]階層レベルでtraceoptionsステートメントを含めます。
[edit security pki] traceoptions { file filename <files number> <match regular-expression> <size maximum-file-size> <world-readable | no-world-readable>; flag flag (all | certificate-verification | enrollment | online-crl-check); }
次の PKI トレース フラグを指定できます。
all—すべてをトレースします。certificates- 証明書のイベントをトレースします。database- セキュリティ アソシエーション データベース イベントをトレースします。general- 一般的なイベントをトレースします。ike- IKE モジュールの処理をトレースします。parse- 設定処理をトレースします。policy-manager- ポリシー マネージャの処理をトレースします。routing-socket- ルーティング ソケット メッセージをトレースします。snmp—SNMP 操作をトレースします。timer- 内部タイマー イベントをトレースします。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。
gw-interface ステートメントを使用して、IKEトリガー、IKEおよびIPsec SAのクリーンアップを有効にすることができます。
[edit services ipsec-vpn rule rule-name term term-name from]階層レベルで
ipsec-inside-interface interface-nameステートメントを使用して、AMS論理インターフェイスをIPsec内部インターフェイスとして設定できます。
header-integrity-check オプション(IP、TCP、UDP、ICMP 情報のパケット ヘッダーの異常を検証し、そのような異常やエラーにフラグを立てる)には、パッシブ モード トンネリングによる機能とは反対の機能があります。