論理システムの VPN
VPNとは、デバイスからネットワークへのインターネットを介した暗号化された接続のことです。暗号化された接続は、機密データが安全に送信されるようにするのに役立ちます。VPNは、トラフィックの不正アクセス傍受を防止し、ユーザーがリモートで作業を行うことを可能にします。詳細については、以下のトピックを参照してください。
論理システムにおけるルートベース VPN トンネルについて
VPN接続は、WAN上の論理システムとリモートサイトの間を通過するトラフィックを保護することができます。ルートベースVPNでは、論理システムで1つ以上のセキュリティポリシーを設定し、単一のIPセキュリティ(IPsec)トンネルを通過するトラフィックを規制します。各 IPsec トンネルには、プライマリ管理者がルート レベルで構成する必要がある IKE および IPsec セキュリティ アソシエーション(SA)のセットが 1 つあります。
ゲートウェイ設定の下に設定された外部インターフェイスは、ルート論理システムの一部にのみできます。
論理システムでは、ルートベース VPN のみがサポートされています。ポリシーベース VPN はサポートされていません。
プライマリ管理者は、VPNごとにIKEおよびIPsec SAを設定するだけでなく、ユーザー論理システムにセキュアトンネル(st0)インターフェイスを割り当てる必要があります。st0インターフェイスは、単一のユーザー論理システムにのみ割り当てることができます。ただし、複数のユーザー論理システムにそれぞれ独自のst0インターフェイスを割り当てることができます。
このインターフェイスにSAを設定できないため、st0ユニット0インターフェイスを論理システムに割り当てることはできません。
ユーザー論理システム管理者は、ユーザー論理システムに割り当てられたst0インターフェイスのIPアドレスやその他の属性を設定できます。ユーザー論理システム管理者は、ユーザー論理システムに割り当てられたst0インターフェイスを削除できません。
ルートベースVPNでは、セキュリティポリシーは特定のVPNトンネルではなく宛先アドレスを指します。ユーザー論理システムのクリアテキストトラフィックをカプセル化のためにVPNトンネルに送信するには、ユーザー論理システム管理者は以下の設定を行う必要があります。
指定された宛先へのトラフィックを許可するセキュリティ ポリシー。
st0インターフェイスをネクストホップとした宛先への静的ルート。
Junos OSがユーザー論理システムでルートを検索し、宛先アドレスへのトラフィック送信に使用するインターフェイスを見つけると、st0インターフェイスを介した静的ルートを見つけます。セキュリティポリシーアクションが許可されている限り、トラフィックはVPNトンネルにルーティングされます。
トラフィックセレクターは、論理システムではサポートされていません。
プライマリ論理システムとユーザー論理システムは、ルートベース VPN トンネルを共有できます。ユーザー論理システムに割り当てられたst0インターフェイスは、プライマリ論理システムでも使用できます。プライマリ論理システムの場合、プライマリ管理者は、リモート宛先へのトラフィックとst0インターフェイスをネクストホップとするリモート宛先への静的ルートを許可するセキュリティポリシーを設定します。
VPN監視は、プライマリ論理システムのプライマリ管理者によって設定されます。VPN監視ソースインターフェイスでは、プライマリ管理者はst0インターフェイスを指定する必要があります。ユーザー論理システムの物理インターフェイスを指定することはできません。
「」も参照
例:VPNトンネルのIKEおよびIPsec SAの設定(プライマリ管理者のみ)
プライマリ管理者は、st0インターフェイスをユーザー論理システムに割り当て、各VPNトンネルのルートレベルでIKEおよびIPsec SAを設定する必要があります。この例では、st0インターフェイスをユーザー論理システムに割り当て、IKEおよびIPsec SAパラメーターを設定する方法を示しています。
要件
開始する前に、以下を行います。
プライマリー管理者としてプライマリ論理システムにログインします。「プライマリ論理システムとプライマリ管理者ロールについて」を参照してください。
ルートベース IPsec VPN についてを参照してください。
概要
この例では、ls-product-design ユーザー論理システムの VPN トンネルを設定します。この例では、 表 1 で説明されている VPN トンネル パラメーターを設定します。
機能 |
名前 |
設定パラメータ |
|---|---|---|
トンネル インターフェイス |
st0 ユニット 1 |
ls 製品設計論理システムに割り当て |
IKEプロポーザル |
ike-phase1-proposal |
|
IKEポリシー |
|
|
IKEゲートウェイ |
ike-gw |
|
IPsecプロポーザル |
ipsec-phase2-proposal |
|
IPsec ポリシー |
vpn-policy1 |
|
Vpn |
ike-vpn |
|
VPN 監視 |
|
ike-vpn VPN の場合:
|
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set logical-systems ls-product-design interfaces st0 unit 1 set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text "$ABC123" set security ike gateway ike-gw ike-policy ike-phase1-policy set security ike gateway ike-gw address 2.2.2.2 set security ike gateway ike-gw external-interface ge-0/0/3.0 set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group2 set security ipsec policy vpn-policy1 proposals ipsec-phase2-proposal set security ipsec vpn ike-vpn bind-interface st0.1 set security ipsec vpn ike-vpn vpn-monitor source-interface st0.1 set security ipsec vpn ike-vpn vpn-monitor destination-ip 4.0.0.1 set security ipsec vpn ike-vpn ike gateway ike-gw set security ipsec vpn ike-vpn ike ipsec-policy vpn-policy1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
VPNトンネルインターフェイスをユーザー論理システムに割り当て、IKEおよびIPsec SAを設定するには、次の手順に従います。
プライマリ管理者としてプライマリ論理システムにログインし、設定モードに入ります。
[edit] admin@host> configure admin@host#
VPN トンネル インターフェイスを割り当てます。
[edit logical-systems ls-product-design] admin@host# set interfaces st0 unit 1
IKEプロポーザルを設定します。
[edit security ike] admin@host# set proposal ike-phase1-proposal authentication-method pre-shared-keys admin@host# set proposal ike-phase1-proposal dh-group group2 admin@host# set proposal ike-phase1-proposal authentication-algorithm sha1 admin@host# set proposal ike-phase1-proposal encryption-algorithm aes-128-cbc
IKEポリシーを設定します。
[edit security ike] admin@host# set policy ike-phase1-policy mode main admin@host# set policy ike-phase1-policy proposals ike-phase1-proposal admin@host# set policy ike-phase1-policy pre-shared-key ascii-text 395psksecr3t
IKEゲートウェイを設定します。
[edit security ike] admin@host# set gateway ike-gw external-interface ge-0/0/3.0 admin@host# set gateway ike-gw ike-policy ike-phase1-policy admin@host# set gateway ike-gw address 2.2.2.2
IPsecプロポーザルを設定します。
[edit security ipsec] admin@host# set proposal ipsec-phase2-proposal protocol esp admin@host# set proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 admin@host# set proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc
IPsecポリシーを設定します。
[edit security ipsec] admin@host# set policy vpn-policy1 proposals ipsec-phase2-proposal admin@host# set policy vpn-policy1 perfect-forward-secrecy keys group2
VPN を設定します。
[edit security ipsec] admin@host# set vpn ike-vpn bind-interface st0.1 admin@host# set vpn ike-vpn ike gateway ike-gw admin@host# set vpn ike-vpn ike ipsec-policy vpn-policy1
VPN監視を設定します。
[edit security ipsec] admin@host# set vpn ike-vpn vpn-monitor source-interface st0.1 admin@host# set vpn ike-vpn vpn-monitor destination-ip 4.0.0.1
結果
設定モードから、 、 、 show security ikeコマンドを入力して設定をshow interfacesshow security ipsec確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
admin@host# show interfaces
st0 {
unit 1;
}
[edit]
admin@host# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway ike-gw {
ike-policy ike-phase1-policy;
address 2.2.2.2;
external-interface ge-0/0/3.0;
}
[edit]
admin@host# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn ike-vpn {
bind-interface st0.1;
vpn-monitor {
source-interface st0.1;
destination-ip 4.0.0.1;
}
ike {
gateway ike-gw;
ipsec-policy vpn-policy1;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
論理システムでの IKE の検証
目的
論理システムでIKEサポートを確認します。
アクション
動作モードから、 コマンドを show security ike sa detail 入力します。
user@host> show security ike sa detail
IKE peer 2.2.2.2, Index 7796166, Gateway Name: GW1
Role: Initiator, State: UP
Initiator cookie: a1a6b1516bc43d54, Responder cookie: f0846e4239c817f8
Exchange type: Aggressive, Authentication method: Pre-shared-keys
Local: 3.3.3.2:500, Remote: 2.2.2.2:500
Lifetime: Expires in 3585 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 2.2.2.2
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha256-128
Encryption : aes256-cbc
Pseudo random function: hmac-sha256
Diffie-Hellman group : DH-group-14
Traffic statistics:
Input bytes : 1056
Output bytes : 1311
Input packets: 2
Output packets: 4
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Initiator, Message ID: 0
Local: 3.3.3.2:500, Remote: 2.2.2.2:500
Local identity: r0r2_store1@juniper.net
Remote identity: 2.2.2.2
Flags: IKE SA is created
意味
出力には、ikeの詳細に関する概要情報が表示されます。
論理システムでの IPsec の検証
目的
論理システムでIPsec SAがサポートされていることを確認します。
アクション
動作モードから、 コマンドを show security ipsec sa detail 入力します。
user@host> show security ipsec sa detail
ID: 67109793 Virtual-system: root, VPN Name: VPN1
Local Gateway: 3.3.3.2, Remote Gateway: 2.2.2.2
Traffic Selector Name: VPN1_TS1
Local Identity: ipv4(51.0.1.0-51.0.1.255)
Remote Identity: ipv4(41.0.1.0-41.0.1.255)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x2c608b29
Tunnel events:
Wed Aug 16 2017 23:50:07 -0700: IPSec SA negotiation successfully completed (1 times)
Wed Aug 16 2017 23:50:07 -0700: IKE SA negotiation successfully completed (1 times)
Wed Aug 16 2017 23:49:46 -0700: Negotiation failed with error code AUTHENTICATION_FAILED received from peer (2 times)
Wed Aug 16 2017 23:49:30 -0700: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Direction: inbound, SPI: e651d79e, AUX-SPI: 0, VPN Monitoring: -
Hard lifetime: Expires in 2552 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1988 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha256-128, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 8ac9ce8, AUX-SPI: 0, VPN Monitoring: -
Hard lifetime: Expires in 2552 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1988 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha256-128, Encryption: aes-cbc (256 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
意味
出力には、ipsecの詳細に関する概要情報が表示されます。
例:ユーザー論理システムでのルートベース VPN トンネルの設定
この例では、ユーザー論理システムでルートベース VPN トンネルを設定する方法を示します。
要件
開始する前に、以下を行います。
論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム構成の概要を参照してください。
st0インターフェイスがユーザー論理システムに割り当てられ、IKEとIPsec SAがプライマリ管理者によってルートレベルで設定されていることを確認します。 例: VPNトンネルのIKEおよびIPsec SAの設定(プライマリ管理者のみ)を参照してください。
概要
この例では、「 例: ユーザー論理システム、管理者、ユーザー、および相互接続論理システムの作成」に示すように、ls-product-design ユーザー論理システムを設定します。
表 2 で説明されているルートベース VPN パラメーターを設定します。
機能 |
名前 |
設定パラメータ |
|---|---|---|
トンネル インターフェイス |
st0 ユニット 1 |
|
スタティック ルート |
|
|
セキュリティ ポリシー |
~vpn |
以下のトラフィックを許可します。
|
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set interfaces st0 unit 1 family inet address 10.11.11.150/24 set routing-options static route 192.168.168.0/24 next-hop st0.1 set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy through-vpn match source-address any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy through-vpn match destination-address 192.168.168.0/24 set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy through-vpn match application any set security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy through-vpn then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
ユーザー論理システムでルートベース VPN トンネルを設定するには:
論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。
[edit] lsdesignadmin1@host:ls-product-design>configure lsdesignadmin1@host:ls-product-design#
VPN トンネル インターフェイスを設定します。
[edit interfaces] lsdesignadmin1@host:ls-product-design# set st0 unit 1 family inet address 10.11.11.150/24
リモート宛先への静的ルートを作成します。
[edit routing-options] lsdesignadmin1@host:ls-product-design# set static route 192.168.168.0/24 next-hop st0.1
リモート宛先へのトラフィックを許可するセキュリティポリシーを設定します。
[edit security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy through-vpn match source-address any lsdesignadmin1@host:ls-product-design# set policy through-vpn match destination-address 192.168.168.0/24 lsdesignadmin1@host:ls-product-design# set policy through-vpn match application any lsdesignadmin1@host:ls-product-design# set policy through-vpn then permit
結果
設定モードから、 、 、 show routing-optionsコマンドを入力して設定をshow interfaces st0show security policies確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
lsdesignadmin1@host:ls-product-design# show interfaces st0
unit 1 {
family inet {
address 10.11.11.150/24;
}
}
lsdesignadmin1@host:ls-product-design# show routing-options
static {
route 192.168.168.0/24 next-hop st0.1;
}
[edit]
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy through-vpn {
match {
source-address any;
destination-address 192.168.168.0/24;
application any;
}
then {
permit;
}
}
...
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正しく機能していることを確認します。
検証プロセスを開始する前に、ユーザー論理システム内のホストから192.168.168.0/24ネットワーク内のホストにトラフィックを送信する必要があります。例えば、ls-product-designユーザー論理システムの12.1.1.0/24サブネット内のホストからホスト192.168.168.10にpingを開始します。
IKEフェーズ1ステータスの確認
目的
IKEフェーズ1のステータスを確認します。
アクション
動作モードから、 コマンドを show security ike security-associations 入力します。コマンドからインデックス番号を取得した後、 コマンドを show security ike security-associations index index_number detail 使用します。
出力と意味の例については、「 例: ルートベースVPNの設定」の「検証」セクションを参照してください。
IPsecフェーズ2のステータスの確認
目的
IPsecフェーズ2のステータスを確認します。
アクション
動作モードから、 コマンドを show security ipsec security-associations 入力します。コマンドからインデックス番号を取得した後、 コマンドを show security ipsec security-associations index index_number detail 使用します。
出力と意味の例については、「 例: ルートベースVPNの設定」の「検証」セクションを参照してください。