暗号化インターフェイスの設定
暗号化インターフェイスの設定
暗号化インターフェイスを設定すると、設定された SA が論理インターフェイスに関連付けられます。この設定では、論理ユニット、トンネル アドレス、最大伝送単位(MTU)、オプションのインターフェイス アドレス、トラフィックに適用する IPsec SA の名前など、トンネルを定義します。暗号化インターフェイスを設定するには、 [edit interfaces es-fpc/pic/port unit logical-unit-number] 階層レベルで以下のステートメントを含めます。
family inet { ipsec-sa ipsec-sa; # name of security association to apply to packet address address; # local interface address inside local VPN destination address; # destination address inside remote VPN } tunnel { source source-address; destination destination-address; }
トンネルの送信元および宛先として設定されているアドレスは、トンネルの外部 IP ヘッダー内のアドレスです。
トンネル送信元アドレスはルーター上でローカルに設定する必要があり、トンネル宛先アドレスはトンネルを終端するセキュリティ ゲートウェイの有効なアドレスである必要があります。
ES物理インターフェイス カード(PIC)は、M SeriesおよびT Seriesルーターでサポートされています。
SA は、有効なトンネル モード SA である必要があります。記載されているインターフェイスアドレスと宛先アドレスはオプションです。宛先アドレスにより、ユーザーはトラフィックを暗号化するための静的ルートを構成できます。スタティック ルートがその宛先アドレスをネクスト ホップとして使用する場合、暗号化が行われるトンネルの部分を通ってトラフィックが転送されます。
暗号化インターフェースのセキュリティー・アソシエーション名の指定
セキュリティ アソシエーションは、インターネット トラフィックを暗号化するためのプロトコルを定義するプロパティのセットです。暗号化インターフェイスを設定するには、[edit interfaces es-fpc/pic/port unit logical-unit-number family inet] 階層レベルで ipsec-sa ステートメントを含めて、インターフェイスに関連する SA 名を指定します。
ipsec-sa sa-name;
セキュリティ アソシエーションの設定については、 ES PIC を通過するトラフィックのフィルターの設定を参照してください。
暗号化インターフェイスの MTU の設定
暗号化インターフェイスのプロトコルMTU値は、常にデフォルトのインターフェイスMTU値である3900バイトより小さくなければなりません。これより大きい値を選択すると、設定はコミットされません。MTU 値を設定するには、[edit interfaces interface-name unit logical-unit-number family inet]階層レベルで mtu ステートメントを含めます。
mtu bytes;
例:暗号化インターフェイスの設定
IPsecトンネルをES PICの論理インターフェイスとして設定します。論理インターフェイスは、暗号化されたトラフィックが通過するトンネルを指定します。 ipsec-sa ステートメントは、セキュリティプロファイルをインターフェイスに関連付けます。
[edit interfaces]
es-0/0/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
ipsec-sa manual-sa1; # name of security association to apply to packet
mtu 3800;
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
ES PICを通過するトラフィックのフィルターの設定
このセクションでは、以下のトピックについて説明します。
- トラフィックの概要
- セキュリティ アソシエーションの設定
- アウトバウンドトラフィックフィルタの設定
- アウトバウンドトラフィックフィルタの適用
- インバウンドトラフィックフィルタの設定
- 暗号化インターフェースへのインバウンドトラフィックフィルターの適用
トラフィックの概要
トラフィック設定は、トンネルを通過する必要があるトラフィックを定義します。アウトバウンドおよびインバウンドのファイアウォールフィルターを設定します。このフィルターは、暗号化するトラフィックを識別して誘導し、復号化されたトラフィックパラメータが特定のトンネルに定義されたものと一致することを確認します。送信フィルターは、暗号化する受信トラフィックの LAN または WAN インターフェイスに適用されます。インバウンドフィルターがES PICに適用され、リモートホストから着信するトラフィックのポリシーをチェックします。パケットを転送するルーターの構成は複雑なため、構成が正しいことを確認するための自動チェックは行われません。
IPsec に対して有効なファイアウォール フィルター ステートメントは、 destination-port、 source-port、 protocol、 destination-address、および source-address です。
図 1 では、ゲートウェイ A がネットワーク 10.1.1.0/24を保護し、ゲートウェイ B がネットワーク 10.2.2.0/24を保護しています。ゲートウェイは IPsec トンネルで接続されています。ファイアウォールの詳細については、「 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイド」を参照してください。
を接続する IPsec トンネル
セキュリティ ゲートウェイ A の SA および ES インターフェイスは、次のように設定されます。
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.8/32 {
destination 10.2.2.254;
}
}
}
セキュリティ アソシエーションの設定
SA を設定するには、[edit security] 階層レベルで security-association ステートメントを含めます。
security-association name {
mode (tunnel | transport);
manual {
direction (inbound | outbound | bi-directional) {
auxiliary-spi auxiliary-spi-value;
spi spi-value;
protocol (ah | esp | bundle);
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
}
dynamic {
replay-window-size (32 | 64);
ipsec-policy policy-name;
}
}
}
SA の設定の詳細については、 ルーティングデバイス用 Junos OS 運用管理ライブラリを参照してください。インタフェースへのSAの適用については、147531 暗号化インタフェースのセキュリティアソシエーション名の指定を参照してください。
アウトバウンドトラフィックフィルタの設定
アウトバウンドトラフィックフィルターを設定するには、[edit firewall]階層レベルで filter ステートメントを含めます。
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
詳細については 、「 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイド」を参照してください。
例:アウトバウンドトラフィックフィルタの設定
アウトバウンドトラフィック用のファイアウォールフィルターは、トラフィックを目的のIPsecトンネル経由で誘導し、トンネリングされたトラフィックが適切なインターフェイスから出るようにします( 図1を参照)。ここでは、送信ファイアウォール フィルターがセキュリティ ゲートウェイ A で作成されます。暗号化するトラフィックを識別し、内部のVPN(仮想プライベートネットワーク)トラフィックを伝送するインターフェイスの入力側に追加します。
[edit firewall]
filter ipsec-encrypt-policy-filter {
term term1 {
from {
source-address { # local network
10.1.1.0/24;
}
destination-address { # remote network
10.2.2.0/24;
}
}
then ipsec-sa manual-sa1; # apply SA name to packet
term default {
then accept;
}
送信トラフィック フィルターの送信元アドレス、ポート、およびプロトコルは、受信トラフィック フィルターの宛先アドレス、ポート、およびプロトコルと一致している必要があります。送信トラフィック フィルターの宛先アドレス、ポート、およびプロトコルは、受信トラフィック フィルターの送信元アドレス、ポート、およびプロトコルと一致する必要があります。
アウトバウンドトラフィックフィルタの適用
アウトバウンドファイアウォールフィルターを構成した後、[edit interfaces interface-name unit logical-unit-number family inet]階層レベルで filter ステートメントを含めて適用します。
filter { input filter-name; }
例:アウトバウンドトラフィックフィルタの適用
送信トラフィック フィルターを適用します。アウトバウンド・フィルターは、ファスト・イーサネット・インターフェースの[edit interfaces fe-0/0/1 unit 0 family inet]階層レベルで適用されます。ファスト イーサネット インターフェイスで設定された入力フィルター(ipsec-encrypt-policy-filter)の IPsec アクション条件(term 1)に一致するパケットは、[edit interfaces es-0/1/0 unit 0 family inet]階層レベルで ES PIC インターフェイスに送信されます。そのため、送信元アドレス 10.1.1.0/24からパケットが到着して宛先アドレス10.2.2.0/24に到達すると、パケット転送エンジンは、manual-sa1 SA で設定された ES PIC インターフェイスにパケットを送信します。ES PIC はパケットを受信し、manual-sa1 SA を適用して、トンネルを介してパケットを送信します。
ルーターには、トンネルのエンドポイントへのルートが必要です。必要に応じて、スタティック ルートを追加します。
[edit interfaces]
fe-0/0/1 {
unit 0 {
family inet {
filter {
input ipsec-encrypt-policy-filter;
}
address 10.1.1.254/24;
}
}
}
インバウンドトラフィックフィルタの設定
インバウンドトラフィックフィルターを設定するには、[edit firewall]階層レベルで filter ステートメントを含めます。
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
詳細については 、「 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイド」を参照してください。
例:インバウンドトラフィックフィルタの設定
インバウンドファイアウォールフィルターを設定します。このフィルターは、最終的な IPsec ポリシー チェックを実行し、セキュリティ ゲートウェイ A で作成されます。ポリシーチェックは、このトンネルに設定されたトラフィックに一致するパケットのみが受け入れられることを確認します。
[edit firewall]
filter ipsec-decrypt-policy-filter {
term term1 { # perform policy check
from {
source-address { # remote network
10.2.2.0/24;
}
destination-address { # local network
10.1.1.0/24;
}
then accept;
暗号化インターフェースへのインバウンドトラフィックフィルターの適用
インバウンドファイアウォールフィルターを作成したら、それをES PICに適用できます。フィルターを ES PIC に適用するには、[edit interfaces es-fpc/pic/port unit logical-unit-number family inet filter]階層レベルで filter ステートメントを含めます。
filter {
input filter;
}
入力フィルターは、受信トラフィックに適用されるフィルターの名前です。設定例については、 例:インバウンドトラフィックフィルタの設定を参照してください。ファイアウォールフィルターの詳細については 、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。
例:暗号化インターフェイスへのインバウンドトラフィックフィルターの適用
復号化されたパケットにインバウンドファイアウォールフィルター(ipsec-decrypt-policy-filter)を適用して、最終的なポリシーチェックを実行します。IPsec manual-sa1 SA は、 [edit interfaces es-1/2/0 unit 0 family inet] 階層レベルで参照され、着信パケットを復号化します。
パケット転送エンジンは、IPsecパケットをES PICに送信します。パケットのセキュリティ パラメーター インデックス(SPI)、プロトコル、宛先アドレスを使用して、ES インターフェイスの 1 つで構成されている SA を検索します。IPsec manual-sa1 SA は、 [edit interfaces es-1/2/0 unit 0 family inet] 階層レベルで参照され、着信パケットの復号に使用されます。パケットが処理(復号化、認証、またはその両方)されると、入力ファイアウォール フィルター(ipsec-decrypt-policy-filter)が復号化されたパケットに適用され、最終的なポリシー チェックが実行されます。 term1 は、復号化された(および検証された)トラフィックを定義し、必要なポリシー チェックを実行します。 term1については、 例:インバウンドトラフィックフィルタの設定を参照してください。
インバウンドトラフィックフィルターは、ES PICがパケットを処理した後に適用されるため、復号化されたトラフィックは、リモートゲートウェイが暗号化してこのルーターに送信するすべてのトラフィックとして定義されます。IKE はこのフィルタを使用して、トンネルに必要なポリシーを決定します。このポリシーは、リモート ゲートウェイとのネゴシエーション中に、一致する SA 構成を見つけるために使用されます。
[edit interfaces]
es-1/2/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
filter {
input ipsec-decrypt-policy-filter;
}
ipsec-sa manual-sa1; # SA name applied to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
レイヤー3 VPN用のESトンネルインターフェイスの設定
レイヤー3 VPNのESトンネルインターフェイスを設定するには、プロバイダーエッジ(PE)ルーターとカスタマーエッジ(CE)ルーターにESトンネルインターフェイスを設定する必要があります。また、PE および CE ルーターで IPsec を構成する必要もあります。レイヤー3 VPNのESトンネルの設定の詳細については、 ルーティングデバイス用Junos OS VPNライブラリを参照してください。
ES PIC冗長性の設定
複数のES PICを持つMシリーズおよびTシリーズルーターで、ES PICの冗長性を設定できます。ES PIC 冗長性を使用すると、1 つの ES PIC がアクティブで、もう 1 つの ES PIC がスタンバイ状態になります。プライマリES PICにサービス障害が発生すると、バックアップがアクティブになり、すべてのトンネルとSAを継承して、IPsecトラフィックの新しいネクストホップとして機能します。バックアップ ES PIC でのトンネルの再確立には、新しい IKE(インターネット鍵交換)ネゴシエーションは必要ありません。プライマリES PICがオンラインになると、スタンバイ状態のままになり、バックアップがプリエンプトされません。現在アクティブなPICを確認するには、 show ipsec redundancy コマンドを使用します。
ES PIC冗長性は、M SeriesおよびT Seriesルーターでサポートされています。
ES PIC をバックアップとして設定するには、[edit interfaces fpc/pic/port es-options]階層レベルで backup-interface ステートメントを含めます。
backup-interface es-fpc/pic/port;
例:ES PIC冗長性の設定
インバウンド ファイアウォール フィルターを作成したら、プライマリ ES PIC に適用します。ここでは、受信ファイアウォールフィルター(ipsec-decrypt-policy-filter)が復号化されたパケットに適用され、最終的なポリシーチェックが実行されます。IPsec manual-sa1 SA は、 [edit interfaces es-1/2/0 unit 0 family inet] 階層レベルで参照され、着信パケットを復号化します。この例では、SA とフィルターの設定は示されていません。SAとフィルターの構成については、 ルーティングデバイス用Junos OS管理ライブラリ、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイド、および 例:インバウンドトラフィックフィルターの構成を参照してください。
[edit interfaces]
es-1/2/0 {
es-options {
backup-interface es-1/0/0;
}
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
filter {
input ipsec-decrypt-policy-filter;
}
address 10.1.1.8/32 {
destination 10.2.2.254;
}
}
}
}
IPsec トンネル冗長性の設定
バックアップの宛先アドレスを指定することで、IPsec トンネルの冗長性を設定できます。ローカルルーターはキープアライブを送信して、リモートサイトの到達可能性を判断します。ピアが到達できなくなると、新しいトンネルが確立されます。フェイルオーバー中最大 60 秒間、トラフィックは通知が送信されずにドロップされます。 図 2 に、IPsec のプライマリ トンネルとバックアップ トンネルを示します。
IPsecトンネルの冗長性を設定するには、[edit interfaces unit logical-unit-number tunnel]階層レベルで backup-destination ステートメントを含めます。
backup-destinationaddress; destination address; source address;
トンネル冗長性は、M SeriesおよびT Seriesルーターでサポートされています。
プライマリとバックアップの宛先は、異なるルーター上にある必要があります。
トンネルは互いに異なり、ポリシーは一致する必要があります。
トンネルの詳細については、 MXシリーズルーターのトンネルインターフェイス設定の概要を参照してください。