IPsec VPNの概要
このトピックでは、IKEとIPsecのパケット処理、およびSRXシリーズファイアウォールでサポートされているIPSec VPNトポロジーについて説明します。junos-ikeパッケージを使用したサービス処理カード、暗号化アクセラレーション、および新しいikedプロセスサポートについても学習します。
VPN とは、公共ネットワークを使用して 2 つ以上のリモート サイトを接続するプライベート ネットワークのことです。VPN では、ネットワーク間に専用の接続を使用するのではなく、公共ネットワークを介してルーティング(トンネリング)される仮想接続を使用します。IPsec VPN は、VPN 接続の確立に使用される標準のセットで構成されたプロトコルです。
VPN は、リモート コンピューターがインターネットなどのパブリック WAN を介して安全に通信するための手段を提供します。
VPN 接続は、2 つの LAN(サイトツーサイト VPN)またはリモートのダイヤルアップ ユーザーと LAN をつなげることができます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。WAN を通過中の VPN 通信を保護するために、2 点間で IP セキュリティ(IPsec)トンネルが作成されます。
用語トンネルは、トンネルモードを示すことはありません。(トンネルモードでのパケット処理を参照してください)。これは IPsec 接続を意味しています。
SRXシリーズファイアウォール上のIPsec VPNトポロジー
JunosオペレーティングシステムでサポートされているIPsec VPNトポロジーの一部を以下に示します。
サイト間VPN:企業内の2つのサイトを相互に接続し、サイト間の安全な通信を可能にします。
ハブアンドスポークVPN:企業ネットワーク内の支社/拠点と本社を接続します。このトポロジーを使用し、ハブ経由でトラフィックを送信することで、スポーク同士を接続することもできます。
リモートアクセスVPN:自宅や外出先から会社のネットワークやリソースに接続できるようになります。このトポロジーは、end-to-site tunnelとも呼ばれます。
関連項目
ポリシーベースとルートベースのVPNの比較
ポリシーベースとルートベースのVPNの違いを理解する必要があって、他方が望まれる理由を知っておくことが必要です。
表 1ルートベースVPNとポリシーベースのVPNの違いを一覧表示します。
|
ルートベース VPN |
ポリシーベース VPN |
|---|---|
|
ルートベース VPN では、ポリシーは VPN トンネルを具体的に参照しません。 |
ポリシーベースのVPNトンネルでは、トンネルは送信元、宛先、アプリケーションおよびアクションとともに、VPNトラフィックを許可するトンネルポリシーを構成するオブジェクトとして扱われます。 |
|
ポリシーは、宛先アドレスを参照しています。 |
ポリシーベースの VPN構成では、トンネルポリシーは VPN トンネルを名前で参照しています。 |
|
作成するルートベース VPN トンネルの数は、ルートエントリーの数またはデバイスがサポートする st0 インターフェイスの数(最少値)に制限されます。 |
作成できるポリシーベースの VPN トンネルの数は、デバイスがサポートするポリシー数によって制限されます。 |
|
ルートベース VPN トンネル構成は、VPN トラフィックの詳細な制限を設定し、トンネル リソースを節約する場合、適切な選択になります。 |
ポリシーベースの VPN では、同じ VPN トンネルを参照する多数のトンネル ポリシーを作成できますが、各トンネル ポリシーのペアは、リモート ピアとともに個々の IPsec セキュリティアソシエーション (SA) を作成します。各 SA は、個別の VPN トンネルとしてカウントされます。 |
|
ルートベース方法により、トラフィックの規制は配信手段と相まれません。数十数のポリシーを設定して、2 つのサイト間の単一のVPNトンネルを通過するトラフィックを規制することができます。IPsec SAは 1 つだけ制作されます。また、ルートベース VPN 構成では、アクションが拒否されている VPN トンネルを介して到達する宛先を参照するポリシーを作成できます。 |
ポリシーベースの VPN構成では、アクションは許可されて、トンネルを含める必要があります。 |
|
ルートベース VPN では、VPN トンネルを介した動的なルーティング情報の交換をサポートしています。VPN トンネルにバインドされた st0 インターフェイス上で、OSPF などの動的ルーティング プロトコルのインスタンスを有効にすることができます。 |
ポリシーベースVPNでは、動的なルーティング情報の交換をサポートしていません。 |
|
ルートベース構成は、ハブアンドスポークスのトポロジーに使用されます。 |
ポリシーベースの VPNは、ハブアンドスポーク トポロジーには使用できません。 |
|
ルートベース VPN では、ポリシーは VPN トンネルを具体的に参照しません。 |
トンネルが動的ルーティングプロトコルを実行する大規模ネットワークを接続しなくて、トンネルを介して、トラフィックをフィルタリングするポリシーを定義する必要がない場合、ポリシーベースのトンネルが最適です。 |
|
ルートベース VPNは、リモートアクセス(ダイヤルアップ) VPN構成をサポートしていません。 |
ポリシーベースの VPN トンネルは、リモートアクセス(ダイヤルアップ) VPN 構成には必要です。 |
|
ルートベース VPNは、一部の第三者のベンダーでは正しく動作しない可能性があります。 |
ポリシーベースの VPNは、第三者が各リモートサブネットごとに個別の SA を必要としている場合、必須となる可能性があります。 |
|
セキュリティデバイスはルートルックアップで アドレスに到達するようなトラフィックを送信する必要がある場合、特定なVPN トンネルにに限界された安全なトンネル インターフェイス( ルートベース VPN トンネルでは、トンネルをトラフィック配信手段と見なし、ポリシーをトラフィック配信の許可または拒否の手段と見なします。 |
ポリシーベースVPNトンネルでは、トンネルをポリシーの構成要素とみなすことができます。 |
|
ルートベース VPNは、st0インターフェイスのNATをサポートします。 |
ポリシーベースの VPNは、トンネルトラフィックにNATが必要な場合、使用できません。 |
プロキシー ID は、ルートベースとポリシーベースの両方の VPN でサポートされます。ルートベーストンネルは、マルチプロキシ ID とも呼ばれる複数のトラフィック セレクターの使用も提供します。トラフィック セレクターは、指定されたローカルおよびリモート IP アドレスプレフィックス、送信元ポート範囲、宛先ポート範囲そしてプロトコルが一致する場合、トラフィックを許可する IKE ピアの合意です。特定のルートベース VPN 内でトラフィック セレクターを定義すると、複数のフェーズ 2 IPsec SA が生成されることがあります。トラフィック セレクターに適合したトラフィックのみが SA を介して許可されます。トラフィック セレクターは、リモート ゲートウェイ デバイスがジュニパーネットワークス以外のデバイスである場合によく必要とされます。
ポリシーベースのVPN は、SRX5400、SRX5600、SRX5800シリーズでのみサポートされます。プラットフォームのサポートは、インストールされた Junos OS のリリースによって異なります。
関連項目
ポリシーベース VPN とルートベース VPN の比較
表 2 に、ポリシーベースVPNとルートベースVPNの違いについてまとめてあります。
ポリシーベース VPN |
ルートベース VPN |
|---|---|
ポリシーベース VPN では、トンネルは、送信元、宛先、アプリケーション、アクションとともに、VPN トラフィックを許可するトンネル ポリシーを構成するオブジェクトとして扱われます。 |
ルートベースVPN では、ポリシーは特にVPNトンネルを参照することはありません。 |
トンネル ポリシーは、VPN トンネルを具体的に名前で参照します。 |
ルートは、宛先 IP アドレスに基づき、トンネルを介して送信されるトラフィックを決定します。 |
作成できるポリシーベースの VPN トンネルの数は、デバイスがサポートするトンネル数によって制限されます。 |
作成するルートベースの VPN トンネルの数は、st0 インターフェイスの数(ポイントツーポイント VPN の場合)またはデバイスがサポートするトンネル数(どちらか少ない方)によって制限されます。 |
ポリシーベースのVPNでは、同じVPNトンネルを参照する多数のトンネルポリシーを作成できますが、各トンネルポリシーのペアは、リモートピアで個々のIPsec SAを作成します。各 SA は、個別の VPN トンネルとしてカウントされます。 |
トンネルを通過するトラフィックは、ポリシーではなくルートにより決定されるため、1つのSAまたはVPNで複数のポリシーをサポートできます。 |
ポリシーベース VPN では、アクションが許可され、トンネルが含まれている必要があります。 |
ルートベース VPN では、トラフィックの規制はその配信方法と連携していません。 |
ポリシーベースVPNでは、動的なルーティング情報の交換をサポートしていません。 |
ルートベース VPN では、VPN トンネルを介した動的なルーティング情報の交換をサポートしています。VPN トンネルにバインドされた st0 インターフェイス上で、OSPF などの動的ルーティング プロトコルのインスタンスを有効にすることができます。 |
トンネルに送信されるトラフィックを指定するためにルートが提供できる以上のきめ細かな制御を行う必要がある場合は、セキュリティポリシーを使用するポリシーベースVPNの使用が最適です。 |
ルートベースVPN は、ルートを使ってトンネルに送信されるトラフィックを指定します。ポリシーが特にVPNトンネルを参照することはありません。 |
ポリシーベースVPNトンネルでは、トンネルをポリシーの構成要素とみなすことができます。 |
セキュリティ デバイスがルート ルックアップを実行して、アドレスへのトラフィック送信に必要なインターフェイスを見つける場合、セキュア トンネル(st0)インターフェイスを介したルートが検出されます。 ルートベース VPN トンネルでは、トンネルをトラフィック配信手段と見なし、ポリシーをトラフィック配信の許可または拒否の手段と見なします。 |
IKEとIPsecパケット処理について
IPsec VPNトンネルは、トンネルの設定とセキュリティの適用で構成されています。トンネルの設定時に、ピアによりSA(セキュリティ アソシエーション)が確立され、それらの間で送信されるトラフィックのセキュリティに関するパラメーターが定義されます。IPsecの概要を参照してください。 トンネルが確立されると、IPsecは、トンネル設定時にSAで定義されたセキュリティパラメーターを適用して、2つのトンネルエンドポイント間で送信されるトラフィックを保護します。Junos OS実装では、IPsecはトンネルモードで適用され、これはESP(セキュリティペイロードのカプセル化)および AH(認証ヘッダー)プロトコルをサポートしています。
このトピックは、以下のセクションで構成されています。
トンネルモードでのパケット処理
IPsecは、トランスポートとトンネルの2つのモードのいずれかで動作します。トンネルの両端がホストである場合、どちらのモードを使用してもかまいません。トンネルの少なくとも1つのエンドポイントが、Junos OSルーターやファイアウォールなどのセキュリティ ゲートウェイである場合、トンネルモードを使用する必要があります。ジュニパーネットワークスのデバイスは、常にIPsecトンネルのトンネルモードで動作します。
トンネルモードでは、図 1 に示されているように、元のIPパケットすべて(ペイロードとヘッダー)を別のIPペイロード内でカプセル化し、それに新しいヘッダーを付加します。元のパケット全体に対し、暗号化、認証、またはその両方を行うことができます。AH(認証ヘッダー)プロトコルを使用すると、AHと新しいヘッダーも認証されます。ESP(セキュリティペイロードのカプセル化)プロトコルを使用すると、ESPヘッダーも認証できます。
サイトツーサイトVPN では、新しいヘッダーで使用される送信元と宛先のアドレスは、発信インターフェイスのIPアドレスです。「図 2」を参照してください。
ダイヤルアップVPN では、トンネルのVPNダイヤルアップクライアントにトンネルゲートウェイはありません。トンネルは、クライアント自身に直接拡張されます(図 3 を参照)。この場合、ダイヤルアップクライアントから送信されたパケットでは、新しいヘッダーとカプセル化された元のヘッダーの両方が、クライアントのコンピュータのIPアドレスを含んでいます。
Netscreen-Remoteなどの一部のVPNクライアントは、仮想内部IPアドレス(「スティッキーアドレス」とも呼ばれます)を使用します。Netscreen-Remoteを使用して、仮想IPアドレスを指定できます。この場合、仮想内部IPアドレスは、クライアントから送信されたトラフィックの元のパケットヘッダー内の送信元IPアドレスであり、ISPがダイヤルアップクライアントに動的に割り当てるIPアドレスは、外部ヘッダー内の送信元IPアドレスです。
関連項目
複数の SPU における IKE と IPsec セッションの分散
SRX5400、SRX5600、SRX5800 デバイスでは、IKE は IPsec のトンネル管理機能を提供し、エンド エンティティを認証します。IKE は、Diffie-hellman(DH)鍵交換を実行して、ネットワーク デバイス間に IPsec トンネルを生成します。IKE によって生成される IPsec トンネルは、IP レイヤーのネットワーク デバイス間のユーザー トラフィックの暗号化、暗号解読、認証目的で使用されます。
VPN は、IKE と IPsec のワークロードをプラットフォームの複数の SPU(サービス処理ユニット)に分散することで作成されます。サイトツーサイト トンネルの場合、最小負荷の SPU がアンカー SPU として選択されます。複数の SPU が同じ最小負荷を持つ場合、それらのいずれかをアンカー SPU として選択できます。ここでは負荷は、サイトツーサイトのゲートウェイの数、または SPU に固定された手動 VPN トンネルに対応しています。動的トンネルの場合、新たに確立された動的トンネルがラウンドロビン アルゴリズムを使用して SPU を選択します。
IPsec の場合、ワークロードは IKE を分散するものと同じアルゴリズムによって分散されます。指定された VPN トンネルの終端ポイント ペアのフェーズ 2 SA は、特定の SPU によって排他的に所有され、このフェーズ 2 SA に属するすべての IPsec パケットが、IPsec 処理のためにこの SA の アンカー SPU に転送されます。
複数の IPsec セッション(フェーズ 2 SA)は、1 つまたは複数の IKE セッションで動作します。IPsec セッションを固定するために選択された SPU は、基となる IKE セッションを固定している SPU に基づいています。そのため、1 つの IKE ゲートウェイで実行されるすべての IPsec セッションは、同じ SPU によってサービス提供され、複数の SPU で負荷分散されることはありません。
表 3は、3台のSPUで、3台のIKEゲートウェイ上に7台のIPsecトンネルを実行しているSRX5000シリーズの例を示しています。
SPU |
IKE ゲートウェイ |
IPSecトンネル |
|---|---|---|
SPU0 |
IKE-1 |
IPsec-1 |
IPsec-2 |
||
IPsec-3 |
||
SPU1 |
IKE-2 |
IPsec-4 |
IPsec-5 |
||
IPsec-6 |
||
SPU2 |
IKE-3 |
IPsec-7 |
3 つの SPU では、各 IKE ゲートウェイの負荷が均等に分散されています。新しい IKE ゲートウェイが作成された場合は、SPU0、SPU1、または SPU2 を選択して、IKE ゲートウェイとその IPsec セッションを固定できます。
既存の IPsec トンネルを設定、破棄しても、基となる IKE セッションや既存の IPsec トンネルには影響を与えません。
次の show コマンドを使用して、SPU ごとの現在のトンネル数を表示します。show security ike tunnel-map.
各ゲートウェイのアンカー ポイントを表示するには、コマンドの summary オプションを使用します。show security ike tunnel-map summary.
サービス処理カードの挿入に関するVPNサポート
SRX5400、SRX5600、SRX5800の各デバイスには、シャーシベースの分散型プロセッサアーキテクチャが搭載されています。フロー処理能力は共有され、SPC(サービス処理カード)の数によって決まります。新しいSPCをインストールすることで、デバイスの処理能力を拡張できます。
SRX5400、SRX5600、または SRX5800シャーシクラスターでは、既存のIKEまたはIPsec VPNトンネルのトラフィックに影響を与えたり中断したりすることなく、新しいSPCをデバイスに挿入できます。クラスターの各シャーシに新しいSPCを挿入しても、既存のトンネルは影響を受けず、トラフィックは中断されることなく流れ続けます。
Junos OSリリース19.4R1以降、すべてのSRX5000シリーズシャーシクラスターで、新しいSRX5K-SPC3(SPC3)またはSRX5K-SPC-4-15-320(SPC2)カードをSPC3カードが含まれる既存のシャーシに差し込むことができるようになりました。カードは、シャーシ上の既存の SPC3 カードよりも上位のスロットにのみ挿入できます。SPC3 を挿入した後、ノードを再起動してカードをアクティブにする必要があります。ノードの再起動が完了すると、IPsecトンネルがカードに分散されます。
しかし、既存のトンネルは、新しいSPCのSPU(サービス処理ユニット)の処理能力を利用できません。新しいSPUでは、新たに確立されたサイトツーサイトトンネルおよび動的トンネルを固定することができます。しかし、新たに設定されたトンネルは、新しい SPU で固定されることが保証されるわけではありません。
サイトツーサイト トンネルは、ロードバランシング アルゴリズムに基づき、別の SPU に固定されます。ロードバランシングアルゴリズムは、各SPUが使用している数値フロー スレッドに依存します。同じローカルおよびリモート ゲートウェイ IP アドレスに属するトンネルは、SPU で使用される別のフロー RT スレッドの同じ SPU に固定されます。最小負荷のSPUがアンカーSPUとして選択されます。各SPUは、特定のSPUでホストされているフローRTスレッドの数を管理しています。各SPUでホストされるフローRTスレッドの数は、SPUのタイプによって異なります。
トンネルの負荷係数 = SPU で固定されるトンネルの数 / SPU が使用するフロー RT スレッドの合計数
動的トンネルは、ラウンドロビンアルゴリズムに基づき、異なるSPUに固定されます。新たに設定された動的トンネルは、新しい SPC で固定されることが保証されるわけではありません。
Junos OSリリース18.2R2および18.4R1以降、現在SRX5K-SPC3(SPC3)でのみサポートされている既存のすべてのIPsec VPN機能は、SRX5K-SPC-4-15-320(SPC2)およびSPC3カードがインストールされ、シャーシクラスタモードまたはスタンドアロンモードのデバイスで動作している場合に、SRX5400、SRX5600、SRX5800デバイスでもサポートされるようになります。
SPC2カードとSPC3カードの両方がインストールされている場合は、show security ipsec tunnel-distribution コマンドを使用して、別のSPUのトンネルマッピングを検証できます。
SPC2 カードのみが挿入された別の SPU のトンネル マッピングを表示するには、show security ike tunnel-map コマンドを使用します。SPC2 カードおよび SPC3 カードがインストールされている環境では、show security ike tunnel-map コマンドは無効です。
SPC3カードの挿入:ガイドラインと制限:
-
シャーシクラスタでは、ノードの1つに1つの SPC3 カードがあり、もう一方のノードに2つのSPC3カードがある場合、1つのSPC3カードがある方のノードへのフェイルオーバーはサポートされていません。
-
下位のスロットにある現在のSPC3より上位のスロットにある既存のシャーシに、SPC3またはSPC2を挿入する必要があります。
-
SPC3 ISHU を機能させるためには、新しい SPC3 カードをより上位のスロット番号に挿入する必要があります。
-
SRX5800 シャーシ クラスタでは、電力と熱分散に制限があるため、最上位スロット(スロット番号 11)に SPC3 カードを挿入しないでください。
-
SPC3の動作中の取り出しはサポートしていません。
表 4はkmd、またはikedプロセスをサポートするSPC2あるいはSPC3カードが含まれるSRX5000シリーズの概要です。
|
SRX5000シリーズ |
|
|---|---|
|
SPC2カードのみがインストールされたSRX5000シリーズ |
|
|
SPC3カードのみがインストールされたSRX5000シリーズ |
|
|
SPC2とSPC3カードの両方がインストールされたSRX5000シリーズ |
|
関連項目
SRX5K-SPC3カード、SRXミッドレンジプラットフォーム、vSRX仮想ファイアウォールでの暗号化アクセラレーションサポート
SRX5K-SPC3カード(サービス処理カード)を搭載したSRX5000シリーズ、SRXミッドレンジプラットフォーム(SRX4100、SRX4200、SRX1500、SRX4600シリーズファイアウォール)とvSRX仮想ファイアウォールでIPsec VPN機能をインストールおよび有効にするには、コントロールプレーンソフトウェアとしてjunos-ikeパッケージが必要です。
-
RE3を搭載したSRX5000シリーズでは、デフォルトで、
junos-ikeパッケージがJunos OSリリース20.1R2、20.2R2、20.3R2、20.4R1以降にインストールされます。このため、IPsecキー管理されたデーモン(kmd)ではなくikedおよびikemdプロセスが、デフォルトでルーティングエンジンで実行されます。SRX5K-SPC3を備えたSRX5000シリーズでは、暗号化操作をハードウェア暗号化エンジンへとオフロードします。 -
SRX1500、SRX4100、SRX4200、SRX4600シリーズファイアウォールをカバーするSRXミッドレンジプラットフォームは、
junos-ikeソフトウェアが実行されるデバイスで、DH、RSA、ECDSA暗号化操作をハードウェア暗号化エンジンにオフロードします。この機能は、junos-ikeパッケージがインストールされたデバイスで、Junos OSリリース23.2R1から利用できます。レガシーikedソフトウェア(kmdプロセス)を引き続き実行しているデバイスでは、この機能はサポートされません。 -
vSRX仮想ファイアウォールでは、データプレーンCPUスレッドがDH、RSA、ECDSA操作をオフロードします。これらのデバイスでは、ハードウェアアクセラレーションは利用できません。この機能は、デバイスに
junos-ikeパッケージがインストールされたJunos OSリリース23.2R1から利用できます。
表 5では、さまざまな暗号に対するハードウェアアクセラレーションサポートについて説明します。
| 暗号 | SRX1500 | SRX4100/SRX4200 | SRX4600 | SRX5K - SPC3 | vSRX3.0 | ||||
|---|---|---|---|---|---|---|---|---|---|
| KMD | IKED | KMD | IKED | KMD | IKED | IKED | KMD | IKED | |
| DH(グループ1、2、5、14) | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| DH(グループ19、20) | なし | ◯ | なし | ◯ | なし | ◯ | ◯ | ◯ | ◯ |
| DH(グループ15、16) | なし | ◯ | なし | ◯ | なし | ◯ | ◯ | ◯ | ◯ |
| DHグループ21 | なし | ◯ | なし | ◯ | なし | ◯ | ◯ | ◯ | ◯ |
| DHグループ24 | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | なし | なし | なし |
| RSA | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| ECDSA(256、384、521) | なし | ◯ | なし | ◯ | なし | ◯ | ◯ | ◯ | ◯ |
SRXシリーズファイアウォールにJunos IKEパッケージをインストールするには、次のコマンドを使用します。
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
SPC3カードが搭載されていないSRX5000シリーズでIPsec VPN機能を有効にするためにkmdプロセスを使用するには、request system software delete junos-ikeコマンドを実行する必要があります。コマンドを実行した後、デバイスを再起動してください。
インストールされている junos-ike パッケージを確認するには、次のコマンドを使用します。
user@host> show version | grep ike
JUNOS ike [20190617.180318_builder_junos_182_x41]
JUNOS ike [20190617.180318_builder_junos_182_x41]
{primary:node0}
関連項目
新しいパッケージでのIPSec VPN機能サポート
ikedおよびikemdの2つのプロセスは、SRXシリーズファイアウォールでIPsec VPN機能をサポートします。ルーティングエンジンは、単一のikedおよびikemdインスタンスを1つずつ実行します。
デフォルトでは、RE3を搭載したSRX5K-SPC3では、Junos OSリリース19.4R1以降にjunos-ikeパッケージがインストールされます。ルーティングエンジンで実行されるikedプロセスとikemdプロセスの両方が、このパッケージで利用可能です。RE2を搭載したSRX5K-SPC3では、これはオプションのパッケージとなり、明示的にインストールする必要があります。
ルーチンエンジンでikemdプロセスを再起動するには、 restart ike-config-managementコマンドを使用します。
ルーティングエンジンでikedプロセスを再起動するには、 restart ike-key-managementコマンドを使用します。
表 6 に、junos-ikeパッケージが導入されるJunos OSリリースの詳細を示します。
|
プラットフォーム |
|
|---|---|
|
RE3を搭載したSRX5K-SPC3 |
デフォルトパッケージとして19.4R1以降 |
|
RE2を搭載したSRX5K-SPC3 |
オプションのパッケージとして18.2R1以降 |
|
vSRX 仮想ファイアウォール |
オプションのパッケージとして20.3R1以降 |
|
SRX1500 |
オプションのパッケージとして22.3R1以降 |
|
SRX4100、SRX4200、SRX4600 |
オプションのパッケージとして22.3R1以降 |
|
SRX1600、SRX2300 |
デフォルトパッケージとして23.4R1以降 |
|
SRX4300 |
デフォルトパッケージとして24.2R1以降 |
junos-ikeをインストールする際に指定されたJunos OSリリースバージョンを無視すると、サポートされていない機能が期待どおりに機能しないことがあります。
SRX5K-SPC3カードが搭載されていないSRX5000シリーズでレガシーkmdプロセスを使用してIPsec VPN機能を操作するには、request system software delete junos-ikeコマンドを実行し、デバイスを再起動する必要があります。SRX1600、SRX2300、SRX4300シリーズファイアウォールは、kmdプロセスをサポートしていません。
IPsec VPN機能はサポートされていません
このセクションでは、SRX5K-SPC3を搭載したSRX5000シリーズとvSRX仮想ファイアウォールインスタンスでサポートされていない、IPsec VPN機能と設定の概要について説明します。
ある機能が特定のプラットフォームまたは Junos OS リリースでサポートされているかどうかを確認するには、「機能エクスプローラー」を参照してください。
表 7は、ikedプロセスを実行しているSRXシリーズファイアウォールとvSRX仮想ファイアウォールでサポートされていないIPsec VPN機能の概要です:
|
機能 |
SRX5K-SPC3とvSRX仮想ファイアウォールインスタンスを備えたSRX5000シリーズのサポート |
|---|---|
|
AutoVPN PIM(プロトコル非依存マルチキャスト)ポイントツーマルチポイントモード |
なし。ただし、vSRX 3.0ではサポートされています |
|
IPsec VPN でのフォワーディングクラスの設定 |
なし |
|
グループ VPN |
なし |
|
IPsecデータパス検証用パケットサイズ設定。 |
なし |
|
ポリシーベースのIPsec VPN |
なし |
IPsec VPN トンネルでのルーティングプロトコル サポート
ジュニパーでは、OSPF、BGP、PIM、RIP、BFDなどのルーティングプロトコルが、またはikedプロセスを実kmd行するSRXシリーズファイアウォールやMXシリーズルーターのIPsecトンネルで実行できるようにサポートします。プロトコル サポートは、IP アドレスリング スキームや、st0 インターフェイスのタイプ、ポイントツーポイント(P2P)またはポイントツーマルチポイント(P2MP)によって異なります。
表 8は、SRXシリーズファイアウォールとMXルーターにおけるOSPFプロトコルサポートの概要です。
| OSPF | ||||
|---|---|---|---|---|
| デバイス | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 | ◯ | なし | ◯ | なし |
| SRX5K-SPC3 | ◯ | なし | ◯ | なし |
| SRX5Kは 混合モードで(SPC3+SPC2) | ◯ | なし | ◯ | なし |
| vSRX仮想ファイアウォール3.0 | ◯ | なし | ◯ | なし |
| MX-SPC3 | ◯ | なし | なし | なし |
表 9はSRXシリーズファイアウォールとMXルーターにおけるOSPFv3プロトコルサポートの概要です。
| OSPFv3 | ||||
|---|---|---|---|---|
| デバイス | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 | なし | ◯ | なし | ◯ |
| SRX5K-SPC3 | なし | ◯ | なし | ◯ |
| SRX5Kは 混合モードで(SPC3+SPC2) | なし | ◯ | なし | ◯ |
| vSRX仮想ファイアウォール3.0 | なし | ◯ | なし | ◯ |
| MX-SPC3 | なし | ◯ | なし | なし |
表 10はSRXシリーズファイアウォールとMXルーターにおけるBGPプロトコルサポートの概要です。
| BGP | ||||
|---|---|---|---|---|
| デバイス | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 | ◯ | ◯ | ◯ | ◯ |
| SRX5K-SPC3 | ◯ | ◯ | ◯ | ◯ |
| SRX5Kは 混合モードで(SPC3+SPC2) | ◯ | ◯ | ◯ | ◯ |
| vSRX仮想ファイアウォール3.0 | ◯ | ◯ | ◯ | ◯ |
| MX-SPC3 | ◯ | ◯ | なし | なし |
表 11はSRXシリーズファイアウォールとMXルーターでのPIMプロトコルサポートの概要です。
| PIM | ||||
|---|---|---|---|---|
| デバイス | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX550 HM、SRX650、SRX1400、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 | ◯ | なし | なし | なし |
| SRX300、SRX320、SRX340、SRX345、SRX380 および SRX1500 | ◯ | なし | ◯ | なし |
| SRX5K-SPC3 | ◯ | なし | なし | なし |
| SRX5Kは 混合モードで(SPC3+SPC2) | ◯ | なし | なし | なし |
| vSRX 仮想ファイアウォール | ◯ | なし | ◯ 注:
マルチスレッドはサポートされません。 |
なし |
| MX-SPC3 | ◯ | なし | なし | なし |
表 12はSRXシリーズファイアウォールとMXルーターでのRIPプロトコルサポートの概要です。
| RIP | ||||
|---|---|---|---|---|
| デバイス | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 | ◯ | ◯ | なし | なし |
| SRX5K-SPC3 | ◯ | ◯ | なし | なし |
| SRX5Kは 混合モードで(SPC3+SPC2) | ◯ | ◯ | なし | なし |
| vSRX仮想ファイアウォール3.0 | ◯ | ◯ | なし | なし |
| MX-SPC3 | ◯ | ◯ | なし | なし |
表 13はSRXシリーズファイアウォールとMXルーターでのBFPプロトコルサポートの概要です。
| BFD | ||||
|---|---|---|---|---|
| デバイス | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 | ◯ | ◯ | ◯ | ◯ |
| SRX5K-SPC3 | ◯ | ◯ | ◯ | ◯ |
| SRX5Kは 混合モードで(SPC3+SPC2) | ◯ | ◯ | ◯ | ◯ |
| vSRX仮想ファイアウォール3.0 | ◯ | ◯ | ◯ | ◯ |
| MX-SPC3 | ◯ | ◯ | なし | なし |
アンチリプレイ ウィード
SRXシリーズファイアウォールでは、 anti-replay-window はデフォルトで有効になっており、ウィンドウサイズ値は64です。
SPC3カードが装着されたSRXシリーズ5000シリーズでは、 anti-replay-window サイズを64〜8192(2の累乗)の範囲で設定できます。ウィンドウ サイズを設定するには、新しい オanti-replay-window-sizeプションを使用します。anti-replay-window-size受信パケットは、設定された に基づいてリプレイ攻撃について検証されます。
2 つの異なるレベルreplay-window-sizeで を設定できます。
-
Global level—[
edit security ipsec] 階層レベルで設定されます。たとえば、以下のように表示されます。
[edit security ipsec] user@host# set anti-replay-window-size <64..8192>;
-
VPN object—[
edit security ipsec vpn vpn-name ike] 階層レベルで設定されます。たとえば、以下のように表示されます。
[edit security ipsec vpn vpn-name ike] user@host# set anti-replay-window-size <64..8192>;
両方のレベルでアンチリプレイが設定されている場合、VPN オブジェクト レベルに設定されたウィンドウ サイズがグローバル レベルで設定されたウィンドウ サイズよりも優先されます。アンチリプレイが設定されていない場合、ウィンドウ サイズはデフォルトでは 64 です。
VPN オブジェクトでアンチリプレイ ウィンドウ オプションを無効にするには、[edit security ipsec vpn vpn-name ike] 階層レベルで コマset no-anti-replayンドを使用します。グローバル レベルでアンチリプレイを無効にできません。
VPN オブジェクトでは anti-replay-window-sizeと の両方no-anti-replayを設定できません。
関連項目
ハブアンドスポーク方式 VPN について
デバイスで終端する2つのVPNトンネルを作成した場合、ルートのペアを設定して、トラフィックが1つのトンネルからもう1つのトンネルに向かうように、デバイスで誘導するように設定できます。また、トラフィックが1つのトンネルからもう1つのトンネルに向けて通過することを許可するポリシーを作成する必要もあります。このような設定は、ハブアンドスポーク方式 VPN と呼ばれます(「図 4」を参照してください。)
また、複数の VPN を設定し、任意の 2 つのトンネル間でトラフィックをルーティングすることもできます。
SRXシリーズファイアウォールでは、ルートベースのハブアンドスポーク機能のみがサポートされています。
関連項目
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
junos-ikeパッケージはRE3を備えたSRX5000シリーズ向けに、Junos OSリリース20.1R2、20.2R2、20.3R2、20.4R1以降にインストールされます。その結果、iked と ikemdはデフォルトでは、IPsec kmd(キー管理デーモン)ではなく、ルーティングエンジンで実行されます。