VPN 監視の概要
このトピックをお読みいただき、VPNを監視することが重要な理由と、VPNを監視するためにJunos OSが提供するものをご確認ください。
VPN監視は、安全な通信のための中断のないチャネルを持つという点で重要な機能です。セキュアなチャネルの確立に関連するすべての要素(セキュリティアソシエーション、エンドポイント、トンネルなど、VPNを監視しシームレスに機能するようにVPNの全体的な健全性を追跡することに重点を置きます。
たとえば、SRXシリーズファイアウォールSRX1とSRX2の間にVPNを確立しているとします。 通常、VPNは問題なくシームレスに動作すると想定しています。ただし、実際のシナリオではそうではありません。2つのファイアウォール間のVPNトンネルに関連して、次の問題が発生する可能性があります:
-
リモートピアからのトラフィックの受信を停止した:VPNトンネルを使用しようとしているクライアントがいないかどうか、またはデータパスに別のファイアウォールがトラフィックをブロックしているかどうかかどうかをどうやって知るのか?
-
トンネルは正常に確立されていますが(IKEフェーズ 1とフェーズ2が完了しています)、リモートVPNエンドポイントに到達できなくなっています。 ファイアウォール はこの問題を検出し、ピアが到達不能になった場合にトンネルの状態が更新されるようにしていますか?
-
リモート VPN エンドポイントに到達可能であることがわかっているが、リモート ネットワーク上の特定のホストも到達可能であることを確認したい場合はどうすればよいでしょうか。
-
VPNピアが突然同期しなくなった場合はどうなりますか?
このトピックで説明する VPN 監視手法は、これらの問題を検出できます。
VPNを監視する方法
Junos OSでは、VPNを監視する複数の方法を提供しています。できます:
-
VPN トンネルを構成する前に、IPsec データパスを監視します。
-
デッドピア検出(DPD)プロトコルを有効にして、IKEピアの可用性を確認します。
-
VPN監視機能を有効にして、VPNトンネルの活性を確認します。
-
SPI(セキュリティ パラメーター インデックス)をチェックして、セキュリティ アソシエーションを一意に識別します。
-
VPN アラームとトンネル イベントを監視します。