Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

暗号化インターフェイスの設定

暗号化インターフェイスの設定

暗号化インターフェイスを設定すると、設定済みの SA を論理インターフェイスに関連付けます。この設定では、論理ユニット、トンネル アドレス、MTU(最大伝送単位)、オプションのインターフェイス アドレス、トラフィックに適用する IPsec SA の名前など、トンネルを定義します。暗号化インターフェイスを設定するには、階層レベルで次のステートメントを [edit interfaces es-fpc/pic/port unit logical-unit-number] 含めます。

トンネルの送信元および宛先として設定されたアドレスは、トンネルの外部 IP ヘッダー内のアドレスです。

メモ:

トンネル送信元アドレスはルーターでローカルに設定する必要があり、トンネル宛先アドレスはトンネルを終端するセキュリティ ゲートウェイの有効なアドレスである必要があります。

ES PIC(物理インターフェイス カード)は、M シリーズおよび T シリーズ ルーターでサポートされています。

SA は有効なトンネル モード SA である必要があります。リストされているインターフェイス アドレスと宛先アドレスはオプションです。宛先アドレスを使用すると、ユーザーはトラフィックを暗号化する静的ルートを設定できます。静的ルートがその宛先アドレスをネクスト ホップとして使用する場合、トラフィックは暗号化が発生するトンネルの部分を通って転送されます。

暗号化インターフェイスのセキュリティ アソシエーション名の指定

セキュリティ アソシエーションは、インターネット トラフィックを暗号化するためのプロトコルを定義する一連のプロパティです。暗号化インターフェイスを設定するには、階層レベルでステートメントを含めて ipsec-sa 、インターフェイスに関連付けられたSA名を [edit interfaces es-fpc/pic/port unit logical-unit-number family inet] 指定します。

セキュリティ アソシエーションの設定の詳細については、「 ES PIC を通過するトラフィックのフィルタの設定」を参照してください。

暗号化インターフェイスの MTU の設定

暗号化インターフェイスのプロトコルMTU値は、常に3900 バイトのデフォルトインターフェイスMTU値よりも小さくする必要があります。大きな値を選択した場合、設定はコミットに失敗します。MTU 値を設定するには、ステートメントを mtu 階層レベルに [edit interfaces interface-name unit logical-unit-number family inet] 含めます。

詳細については、「 ルーティング デバイス用 Junos OS ネットワーク インターフェイス ライブラリ」を参照してください

例:暗号化インターフェイスの設定

IPsec トンネルを ES PIC 上の論理インターフェイスとして設定します。論理インターフェイスは、暗号化されたトラフィックが移動するトンネルを指定します。ステートメントは ipsec-sa 、セキュリティ プロファイルをインターフェイスに関連付けます。

ES PIC を通過するトラフィックに対するフィルタの設定

このセクションでは、次のトピックについて説明します。

トラフィックの概要

トラフィック設定は、トンネルを通過する必要があるトラフィックを定義します。送信およびインバウンド ファイアウォール フィルターを設定し、暗号化対象のトラフィックを特定して誘導し、復号化されたトラフィック パラメーターが特定のトンネルに対して定義されているものと一致することを確認します。送信フィルターは、暗号化する受信トラフィックのLANまたはWANインターフェイスに適用されます。インバウンド フィルタが ES PIC に適用され、リモート ホストから受信するトラフィックのポリシーをチェックします。パケットを転送するようにルーターを設定するのは複雑なため、設定が正しいことを確認するための自動チェックは実行されません。

メモ:

IPsec の有効なファイアウォール フィルター ステートメントは destination-port、 、 source-portprotocol、 、 destination-addresssource-addressです。

図 1 では、ゲートウェイ A がネットワーク10.1.1.0/24を保護し、ゲートウェイ B がネットワーク10.2.2.0/24を保護します。ゲートウェイは IPsec トンネルによって接続されます。ファイアウォールの詳細については、「ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサーのユーザー ガイド」を参照してください

図 1:例:セキュリティ ゲートウェイを接続する Example: IPsec Tunnel Connecting Security Gateways IPsec トンネル

セキュリティ ゲートウェイ A の SA および ES インターフェイスは次のように設定されています。

セキュリティ アソシエーションの設定

SA を設定するには、階層レベルで security-association ステートメントを [edit security] 含めます。

SA の設定の詳細については、「 ルーティング デバイス用 Junos OS 管理ライブラリ」を参照してください。SA をインターフェイスに適用する方法については、「147531暗号化インターフェイスのセキュリティ アソシエーション名の指定」を参照してください

アウトバウンド トラフィック フィルタの設定

アウトバウンド トラフィック フィルタを設定するには、階層レベルに filter ステートメントを [edit firewall] 含めます。

詳細については、「 ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサーのユーザー ガイド」を参照してください

例:アウトバウンド トラフィック フィルタの設定

送信トラフィック用のファイアウォール フィルターは、トラフィックを目的の IPsec トンネルを通過させ、トンネリングされたトラフィックが適切なインターフェイスから出て行くようにします( 図 1 を参照)。ここでは、セキュリティ ゲートウェイ A に送信ファイアウォール フィルターが作成されます。暗号化するトラフィックを識別し、内部仮想プライベートネットワーク(VPN)トラフィックを伝送するインターフェイスの入力側に追加します。

メモ:

アウトバウンド トラフィック フィルタの送信元アドレス、ポート、プロトコルは、インバウンド トラフィック フィルタ上の宛先アドレス、ポート、プロトコルと一致する必要があります。アウトバウンド トラフィック フィルタの宛先アドレス、ポート、プロトコルは、インバウンド トラフィック フィルタ上の送信元アドレス、ポート、プロトコルと一致する必要があります。

アウトバウンド トラフィック フィルタの適用

送信ファイアウォール フィルタを設定したら、階層レベルで[edit interfaces interface-name unit logical-unit-number family inet]ステートメントをfilter含めて適用します。

例:アウトバウンド トラフィック フィルタの適用

送信トラフィック フィルタを適用します。アウトバウンド フィルタは、階層レベルのファスト イーサネット インターフェイスに[edit interfaces fe-0/0/1 unit 0 family inet]適用されます。ファスト イーサネット インターフェイス上で設定された入力フィルタ(term 1)の IPsec アクション条件(ipsec-encrypt-policy-filter)に一致するすべてのパケットは、階層レベルで ES PIC インターフェイスに[edit interfaces es-0/1/0 unit 0 family inet]送信されます。したがって、パケットが送信元アドレスから到着し、宛先アドレス10.1.1.0/2410.2.2.0/24に移動すると、パケット転送エンジンは、SA で設定された ES PIC インターフェイスにパケットをmanual-sa1誘導します。ES PIC はパケットを受信し、SA をmanual-sa1適用して、トンネルを介してパケットを送信します。

ルーターにはトンネル エンドポイントへのルートが必要です。必要に応じて静的ルートを追加します。

インバウンド トラフィック フィルタの設定

インバウンド トラフィック フィルタを設定するには、階層レベルで filter ステートメントを [edit firewall] 含めます。

詳細については、「 ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサーのユーザー ガイド」を参照してください

例:インバウンド トラフィック フィルタの設定

インバウンド ファイアウォール フィルタを設定します。このフィルターは、最終的な IPsec ポリシー チェックを実行し、セキュリティ ゲートウェイ A に作成されます。ポリシー チェックにより、このトンネルに設定されたトラフィックと一致するパケットのみが受け入れられます。

暗号化インターフェイスへのインバウンド トラフィック フィルタの適用

インバウンド ファイアウォール フィルタを作成した後、ES PIC に適用できます。ES PICにフィルタを適用するには、階層レベルに filter ステートメントを [edit interfaces es-fpc/pic/port unit logical-unit-number family inet filter] 含めます。

入力フィルタは、受信トラフィックに適用されるフィルタの名前です。設定例については、「 例:インバウンド トラフィック フィルタの設定」を参照してください。ファイアウォール フィルターの詳細については、「 ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサーのユーザー ガイド」を参照してください

例:インバウンド トラフィック フィルタを暗号化インターフェイスに適用する

インバウンド ファイアウォール フィルタ(ipsec-decrypt-policy-filter)を復号化されたパケットに適用し、最終的なポリシー チェックを実行します。IPsec manual-sa1 SA は階層レベルで [edit interfaces es-1/2/0 unit 0 family inet] 参照され、受信パケットを復号化します。

パケット転送エンジンは、IPsec パケットを ES PIC に転送します。パケットの SPI(セキュリティ パラメーター インデックス)、プロトコル、宛先アドレスを使用して、ES インターフェイスの 1 つで設定された SA を検索します。IPsec manual-sa1 SA は階層レベルで [edit interfaces es-1/2/0 unit 0 family inet] 参照され、受信パケットの暗号化解除に使用されます。パケットが処理されると(暗号化解除、認証、またはその両方)、入力ファイアウォール フィルタ(ipsec-decrypt-policy-filter)が復号化されたパケットに適用され、最終的なポリシー チェックが実行されます。 term1 暗号化解除された(および検証済みの)トラフィックを定義し、必要なポリシー チェックを実行します。詳細については term1、「 例:インバウンド トラフィック フィルタの設定」を参照してください

メモ:

インバウンド トラフィック フィルタは、ES PIC がパケットを処理した後に適用されるため、復号化されたトラフィックは、リモート ゲートウェイが暗号化してこのルーターに送信するトラフィックとして定義されます。IKE は、このフィルタを使用してトンネルに必要なポリシーを決定します。このポリシーは、リモート ゲートウェイとのネゴシエーション中に、一致する SA 設定を検索するために使用されます。

レイヤー 3 VPN の ES トンネル インターフェイスの設定

レイヤー 3 VPN の ES トンネル インターフェイスを設定するには、PE(プロバイダ エッジ)ルーターとカスタマー エッジ(CE)ルーターで ES トンネル インターフェイスを設定する必要があります。また、PE および CE ルーターで IPsec を設定する必要があります。レイヤー 3 VPN の ES トンネルの設定の詳細については、「 ルーティング デバイス用 Junos OS VPN ライブラリ」を参照してください。

ES PIC 冗長性の設定

複数のES PICを持つMシリーズおよびTシリーズルーターでES PICの冗長性を設定できます。ES PIC 冗長化では、1 つの ES PIC がアクティブになり、別の ES PIC がスタンバイ状態になります。プライマリ ES PIC にサービス障害が発生すると、バックアップはアクティブになり、すべてのトンネルと SA を継承し、IPsec トラフィックの新しいネクスト ホップとして機能します。バックアップ ES PIC 上でトンネルを再確立しても、新しい IKE(インターネット鍵交換)ネゴシエーションは必要ありません。プライマリ ES PIC がオンラインの場合、プライマリ ES PIC はスタンバイ状態のままで、バックアップをプリエンプションしません。現在アクティブなPICを確認するには、コマンドを show ipsec redundancy 使用します。

メモ:

M シリーズおよび T シリーズ ルーターでは、ES PIC の冗長性がサポートされています。

ES PIC をバックアップとして設定するには、階層レベルに backup-interface ステートメントを [edit interfaces fpc/pic/port es-options] 含めます。

例:ES PIC冗長化の設定

インバウンド ファイアウォール フィルタを作成した後、プライマリ ES PIC に適用します。ここで、最終ポリシー チェックを実行するために、復号化されたパケットにインバウンド ファイアウォール フィルタ(ipsec-decrypt-policy-filter)が適用されます。IPsec manual-sa1 SA は階層レベルで [edit interfaces es-1/2/0 unit 0 family inet] 参照され、受信パケットを復号化します。この例では、SA とフィルターの設定は表示されません。SA とフィルターの設定の詳細については、 ルーティング デバイスの Junos OS 管理ライブラリルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサーのユーザー ガイドおよび例: インバウンド トラフィック フィルタの設定を参照してください。

IPsec トンネル冗長性の設定

バックアップ宛先アドレスを指定することで、IPsec トンネルの冗長性を設定できます。ローカル ルーターはキープアライブを送信して、リモート サイトの到達可能性を判断します。ピアに到達できなくなった場合、新しいトンネルが確立されます。フェイルオーバー中に最大60 秒間、通知が送信されずにトラフィックが破棄されます。 図2 は、IPsecプライマリおよびバックアップトンネルを示しています。

図 2:IPsec トンネル冗長化 IPsec Tunnel Redundancy

IPsec トンネルの冗長性を設定するには、階層レベルで backup-destination ステートメントを [edit interfaces unit logical-unit-number tunnel] 含めます。

メモ:

トンネル冗長化は、M シリーズおよび T シリーズ ルーターでサポートされています。

プライマリとバックアップの宛先は、異なるルーター上にある必要があります。

トンネルは相互に異なり、ポリシーは一致する必要があります。

トンネルの詳細については、 MX シリーズ ルーターのトンネル インターフェイス設定の概要を参照してください。