Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

自動検出 Vpn

自動検出 VPN (ADVPN) は、ハブを経由したトラフィックのルーティングを回避するために、スポーク間で VPN トンネルを動的に確立します。

自動検出 VPN について

自動検出 VPN (ADVPN) は、2スポーク間のトラフィックに適したパスについて、中央ハブがスポークに対して動的に通知できるようにする技術です。両方のスポークがハブから情報を確認すると、ハブを通ってトラフィックを送信せずに、他方の側に到達するように、ホストがショートカットトンネルを設定し、ルーティングトポロジを変更します。

ADVPN プロトコル

ADVPN では、IKEv2 プロトコルを拡張して 2 つのピア間でメッセージを交換します。これにより、スポークが互いにショートカット トンネルを確立できます。ADVPN 拡張をサポートするデバイスは、 ADVPN_SUPPORTED初期 IKE 交換時に、機能情報と ADVPN のバージョン番号を含む、IKEv2 通知ペイロードに通知を送信します。ADVPN をサポートするデバイスは、ショートカット suggesterとしても、ショートカットパートナーでも動作できますが、両方は可能ではありません。

ショートカットの確立

IPsec VPN ゲートウェイは、トラフィックがピアのいずれかを使用してトンネルを終了し、別のピアとのトンネルを開始していることに気づいた場合に、ショートカット suggesterとして機能します。図 1ハブを通過するスポーク1からスポーク3までのトラフィックを表示します。

図 1: ハブを通過するスポークツースポークのトラフィックハブを通過するスポークツースポークのトラフィック

デバイスで ADVPN が設定されている場合は、ハブとスポークの間で ADVPN のショートカット機能情報が交換されます。スポーク1と3が以前に ADVPN のショートカットパートナー機能をハブに提供している限り、ハブはスポーク1と3が相互にショートカットを確立することを提案します。

このショートカット suggester では、既に確立された IKEv2 Sa をピアとともに使用して、2つのピアのいずれかを使用してショートカットの交換を開始します。ピアがショートカットの交換を受け入れる場合、ショートカット suggester は他方のピアとのショートカットの交換を開始します。ショートカットには、ピア (ショートカットパートナーと呼ばれる) が相互に IKE と IPsec sa を確立するための情報が含まれています。ショートカットパートナー間のショートカットの作成は、両方のピアがショートカットの交換を受け入れた後にのみ開始されます。

図 21つのスポークから3番目までのショートカットを通過するトラフィックを表示します。スポーク1からスポーク3へのトラフィックは、ハブを通過する必要はありません。

図 2: スポークツースポーク型のトラフィックへのショートカットの引き渡し スポークツースポーク型のトラフィックへのショートカットの引き渡し

ショートカットの開始と応答側の役割

ショートカット suggester は、ショートカットのイニシエーターとして機能するショートカットパートナーの1つを選択します。もう1つのパートナーは応答側として動作します。いずれかのパートナーが NAT デバイスの背後にある場合は、NAT デバイスの背後にあるパートナーがイニシエーターとして選択されます。パートナーが NAT デバイスの背後にいない場合、suggester はそのパートナーの1つを発信者としてランダムに選択します。もう1つのパートナーは応答側として動作します。両方のパートナーが NAT デバイスの背後にある場合は、ショートカットを両者の間に作成することはできません。suggester は、どのピアにもショートカットを送信していません。

ショートカット suggester では、最初にレスポンダーを使用してショートカットの交換を開始します。応答側がショートカットの提案を受け入れた場合、suggester はイニシエーターに通知します。

ショートカット提案者の通知に含まれる情報を使用して、ショートカット イニシエーターが応答者との IKEv2 交換を確立し、2 つのパートナー間に新しい IPsec SA が確立されます。各パートナーでは、パートナー様の背後にあるネットワークへのルートが、パートナーと suggester 間のトンネルではなく、ショートカットをポイントするようになりました。他のショートカットパートナーの背後のネットワークに配信されたパートナーの1つに、そのショートカットを通ったトラフィックが発生します。

パートナー様が推奨するショートカットを拒否した場合、パートナー様は suggester に拒否の理由を通知します。この場合、パートナーとの間のトラフィックは、ショートカット suggester を通じて引き続きフローされます。

ショートカット属性

ショートカットは、ショートカット suggester から属性をいくつか受け取りますが、その他の属性は suggester パートナー VPN トンネル構成から継承されています。表 1ショートカットのパラメーターを表示します。

表 1: ショートカットパラメーター

属性

受信/継承元

ADVPN

構成

アンチリプレイ

構成

認証アルゴリズム

構成

デッドピア検知

構成

DF ビット

構成

暗号化アルゴリズム

構成

トンネルの確立

Suggester

外部インターフェイス

構成

ゲートウェイポリシー

構成

一般 IKE ID

構成

IKE バージョン

構成

インストール間隔

構成

ローカルアドレス

構成

ローカルアイデンティティ

Suggester

NAT トラバーサル

構成

完全な転送機密性

構成

プロトコル

構成

プロキシー ID

適用されません

リモートアドレス

Suggester

リモートアイデンティティ

Suggester

不正な SPI を応答

構成

トラフィックの選択

適用されません

ショートカットの終了

デフォルトでは、ショートカットは永久に存続します。ショートカットパートナーは、トラフィックが指定の時間が指定したレートを下回った場合、ショートカットを終了します。デフォルトでは、トラフィックが1秒あたり5パケット未満になると、ショートカットは900秒間終了します。アイドル時間とアイドルしきい値は、パートナー向けに設定できます。ショートカットは、 clear security ike security-associationまたはclear security ipsec security-associationコマンドを使用して、どちらかのショートカットパートナーで手動で削除し、対応する IKE または IPsec SA をクリアすることができます。どちらのショートカットパートナーも、他のショートカットパートナーに IKEv2 削除ペイロードを送信することで、いつでもショートカットを停止できます。

ショートカットが終了すると、対応する IKE SA とすべての子 IPsec Sa が削除されます。ショートカットが終了すると、対応するルートは、ショートカットパートナーと、2つのピア間のトラフィックが suggester を通して再度フローするように削除されます。ショートカットの終了情報は、パートナーから suggester に送信されます。

ショートカットの有効期間は、ショートカット suggester とショートカットパートナー間のトンネルとは無関係です。Suggester とパートナー間のトンネルが切断されているため、ショートカットが中断されることはありません。

ADVPN 構成の制限

ADVPN を設定する際には、以下の制限があります。

  • ADVPN は、サイトツーサイト通信でのみサポートされています。ADVPN suggester の構成は、自動 Vpn ハブでのみ許可されています。

  • Suggester とパートナーの両方の役割を設定することはできません。ゲートウェイで ADVPN が有効になっている場合、suggester とパートナーの両方の役割をゲートウェイで無効にすることはできません。

  • 前に説明したように、NAT デバイスの両方にあるパートナー様の間にショートカットを作成することはできません。Suggester は、1つのパートナーだけが NAT デバイスの背後にある場合、または NAT デバイスの後ろにいるパートナーがいない場合に、ショートカットの交換を開始することができます。

  • マルチキャストトラフィックはサポートされていません。

    1. Junos OS のリリースでは、SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、vSRX 2.0 (vCPUs 2 個)、vSRX 3.0 (2 個の vCPUs を使用)、(point-to-point) モードを使用したプロトコル非マルチキャスト (PIM) は、新しいp2mpインターフェイスタイプが pim に導入された自動検出 VPN をサポートしています。このp2mpインターフェイスは、近隣のすべての PIM 結合を追跡して、マルチキャスト転送またはレプリケーションが、参加状態にある近隣にのみ発生するようにします。

    2. ADVPN Junos OS のリリース18.1 を開始すると、IPv6 がサポートされます。

ADVPN では、以下の構成はサポートされていません。

  • IKEv1

  • ポリシーベースの VPN

  • IKEv2 構成ペイロード

  • トラフィック セレクター

  • 事前共有キー

  • ポイントツーポイントセキュアトンネルインターフェイス

ショートカットトンネルを使用したトラフィックルーティングについて

トンネルフラップまたは致命的な変更により、静的なトンネルとショートカットトンネルの両方が停止することがあります。この場合、特定の宛先へのトラフィックは、予期された静的なトンネルを経由するのではなく、予期しないショートカットトンネルを通してルーティングが行われることがあります。

図 3は、ハブとスポークの間に静的なトンネルが存在します。OSPF の隣接関係は、ハブとスポークの間で確立されています。スポーク A にも、スポーク B とのショートカットトンネルがあり、スポーク間の隣接関係は確立されています。 OSPF しています。ハブ(ショートカット提案者)は、ハブとスポーク A の間の接続がダウンすると、スポーク A のネットワークがスポーク B とスポーク A 間のショートカット トンネルを経由してアクセス可能だと認識します。

図 3: ハブアンドスポーク型ネットワークで静的トンネルとショートカットトンネルが確立されていますハブアンドスポーク型ネットワークで静的トンネルとショートカットトンネルが確立されています

図 4は、ハブとスポーク A の間の静的トンネルはダウンしています。スポーク c からスポーク A への新しいトラフィックがある場合、スポーク C はスポーク A とのショートカットトンネルがないため、ハブにトラフィックを転送します。ハブはスポーク A とのアクティブな静的トンネルを持っていませんが、スポーク A とスポーク B との間にショートカットトンネルがあることを認識しているため、スポーク C からスポーク B へのトラフィックが転送されます。

図 4: スポーク C からスポーク A へのトラフィックパススポーク C からスポーク A へのトラフィックパス

スポーク B とスポーク C の両方が自動検出 VPN (ADVPN) パートナー機能をサポートしている限り、ハブは、スポークが相互に直接ショートカットを確立することを提案します。この現象は、2つのスポーク間に直接のトラフィックがない場合でも発生します。スポーク C からスポーク a へのトラフィックは、スポーク C とスポーク B の間のショートカットトンネルを通って、スポーク B とスポーク A の間の図 5ショートカットトンネルを通過します (を参照)。

図 5: スポーク C からスポーク A への、ショートカットトンネルによるトラフィックパススポーク C からスポーク A への、ショートカットトンネルによるトラフィックパス

ハブとスポーク A の間の静的トンネルが再確立されると、トンネルはすべてのスポークにアドバタイズされます。スポーク C は、スポーク A に到達するためにより優れたルートがあることを学習しています。スポーク B を通過する代わりに、スポーク A がハブに向けてトラフィックを転送します。ハブは、スポーク C とスポーク A の間にショートカットトンネルを確立することを推奨しています。スポーク C とスポーク A の間にショートカットトンネルが確立されると、トラフィックはショートカット図 6トンネルを通過します (を参照)。スポーク C とスポーク A の間のトラフィックは、スポーク B を経由しなくなります。また、スポーク B とスポーク C のショートカットトンネルが最終的に消えてしまいます。

図 6: スポーク C からスポーク A へのショートカットトンネルによるトラフィックパススポーク C からスポーク A へのショートカットトンネルによるトラフィックパス

[connection-limit] 階層レベルedit security ike gateway gateway-name advpn partnerのオプションを使用して、特定のゲートウェイを使用して、さまざまなショートカットパートナーで作成できるショートカットトンネルの最大数を設定できます。デフォルトでも最大数は、プラットフォームによって異なります。

例:自動検出 VPN の動的トンネルによるネットワークリソースの利用率の向上

AutoVPN ネットワークを導入している場合、自動検出 VPN (ADVPN) を構成することによって、ネットワークリソースの利用率を高めることができます。自動 Vpn ネットワークにおいて、VPN トラフィックは、1つのスポークから他方へのトラフィックを転送している場合でも、ハブを通過します。ADVPN では、スポーク間で VPN トンネルを動的に確立できるため、ネットワークリソースの利用率が向上する可能性があります。この例を使用して、自動 Vpn ネットワークでの ADVPN の動的なスポークツースポーク VPN トンネルを可能にするように設定します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 自動 Vpn ハブおよびスポークとしてサポートされている3つの SRX シリーズデバイス。

  • Junos OS 12.3 X48-D10 またはそれ以降の ADVPN をサポートするリリース。

  • ハブとスポークに登録されているデジタル証明書は、デバイスが相互に認証することを可能にします。

開始する前に:

  1. ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと、チャレンジパスワードなどの必要な情報を取得します。「ローカル証明書の要求とは」を参照してください。

  2. 各デバイスにデジタル証明書を登録します。例をご覧ください。CA とローカル証明書を手動で読み込みます。

この例では、OSPF 動的ルーティングプロトコルと静的ルート構成を使用して、VPN トンネルを介してパケットを転送します。VPN トンネルを経由してパケットを転送するために使用される OSPF 動的ルーティングプロトコルについて理解している必要があります。

概要

この例は、ADVPN 用の自動 Vpn ハブと2つのスポークの構成を示しています。スポークは、ハブへの IPsec VPN 接続を確立します。これにより、相互に通信したり、ハブのリソースにアクセスしたりできます。1つのスポークから他方へのトラフィックはハブから渡されますが、ADVPN ではスポークが相互に直接セキュリティアソシエーションを確立できます。ハブは、ショートカット suggester として動作します。ハブでは、ADVPN の構成によっpartnerて役割が無効になっています。スポークでは、ADVPN 設定がsuggesterロールを無効にします。

AutoVPN ハブとスポークで構成されている特定のフェーズ1およびフェーズ 2 IKE トンネルオプションには、同じ値を設定する必要があります。表 2は、この例で使用されている値を示しています。

表 2: ADVPN の自動 Vpn ハブおよびスポーク向けフェーズ1およびフェーズ2オプション

オプション

金額

IKE 提案:

認証方法

rsa 署名

Diffie-hellman (DH) グループ

group5

認証アルゴリズム

sha1

暗号化アルゴリズム

aes-256-cbc

IKE ポリシー:

ローカル証明書

IKE ゲートウェイ:

バージョン

v2-only

IPsec 提案:

プロトコル

esp

認証アルゴリズム

hmac-sha1-96

暗号化アルゴリズム

aes-256-cbc

IPsec ポリシー:

完全順機密性 (PFS) グループ

group5

ハブとスポークの IKE ゲートウェイ構成には、VPN ピアを識別するリモートおよびローカル値が含まれています。表 3は、この例でハブとスポークの IKE ゲートウェイ構成を示しています。

表 3: ADVPN の IKE ゲートウェイの構成例

オプション

備え

スポーク

リモート IP アドレス

動的

スポーク 1: 11.1.1.1

スポーク 2: 11.1.1.1

ローカル IP アドレス

11.1.1.1

スポーク 1: 21.1.1.2

スポーク 2: 31.1.1.2

リモート IKE ID

スポークの証明書の OU(組織単位)フィールドに「セールス」と入力した文字列「DN」(識別名)

ハブの証明書の OU フィールドに文字列「Sales」を含む DN

ローカル IKE ID

ハブの証明書上のDDN

スポーク証明書のDDN

スポークの証明書のサブジェクト フィールドに O フィールドに「IKE」、OU フィールドに「Sales」という文字列が含まれている場合、ハブはスポークの IKE ID を認証します。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。

Topology

図 7この例に設定する SRX シリーズデバイスを示します。

図 7: ADVPN を使用した自動 Vpn 導入ADVPN を使用した自動 Vpn 導入

構成

Suggester (ハブ) の設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Suggester を設定するには、次のようにします。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルと静的ルートを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. 証明書情報を構成します。

  6. ゾーンを構成します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security zonesshow security policiesコマンドshow routing-optionsshow security ike入力show security ipsecshow security pkiして設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

パートナーの構成 (スポーク 1)

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

スポーク1を構成するには、次のようになります。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルと静的ルートを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. 証明書情報を構成します。

  6. ゾーンを構成します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security zonesshow security policiesコマンドshow routing-optionsshow security ike入力show security ipsecshow security pkiして設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

パートナーの構成 (スポーク 2)

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

スポーク2を構成するには:

  1. インターフェイスを構成します。

  2. ルーティングプロトコルと静的ルートを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. 証明書情報を構成します。

  6. ゾーンを構成します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security zonesshow security policiesコマンドshow routing-optionsshow security ike入力show security ipsecshow security pkiして設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。まず、AutoVPN ハブとスポークの間でトンネルが確立されていることを確認します。ハブから別のスポークにトラフィックが渡されると、スポーク間のショートカットを確立できます。ショートカットパートナーがそれらの間にトンネルを確立していること、およびピアへのルートがパートナーにインストールされていることを確認してください。

ハブとスポークの間のトンネルを確認する

目的

AutoVPN ハブとスポークの間にトンネルが確立されていることを確認します。スポーク間の初期トラフィックは、ハブを通って移動する必要があります。

アクション

運用モードから、ハブとshow security ike security-associationsスポークshow security ipsec security-associationsにとコマンドを入力します。

ハブには、以下のコマンドが入力されています。

スポーク1には、以下のコマンドが入力されています。

スポーク2では、以下のコマンドが入力されています。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。ハブは2つのアクティブなトンネルを表示します。1つはスポークです。各スポークは、ハブへのアクティブなトンネルを示しています。

IKE フェーズ1で Sa がリストに表示されない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとスポークで一致している必要があります。

IKE フェーズ2で Sa が表示されない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとスポークで一致している必要があります。

このshow route protocol ospfコマンドを実行すると、OSPF プロトコルから学習したルーティングテーブルのエントリが表示されます。このshow ospf neighborコマンドは、OSPF 近隣ノードに関する情報を表示します。

パートナー間のショートカットトンネルの確認

目的

自動 Vpn ハブは、トラフィックがそのスポークの1つを使用していて別のスポークとのトンネルに入っていることに気づいた場合に、ショートカット suggester として機能します。2つのショートカットパートナーの間に新しい IPsec SA またはショートカットが確立されています。各パートナーでは、パートナーの背後にあるネットワークへのルートは、パートナーと suggester (ハブ) 間のトンネルではなく、ショートカットトンネルを指すようになりました。

アクション

運用モードから、スポークにshow security ike security-associationsshow security ipsec security-associationsshow route protocol ospf、およびshow ospf neighborコマンドを入力します。

ハブには、以下のコマンドが入力されています。

スポーク1には、以下のコマンドが入力されています。

スポーク2では、以下のコマンドが入力されています。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。ハブは引き続き2つのアクティブトンネルを表示します。1つはスポークです。各スポークでは、2つのアクティブトンネル、1つはハブ、もう1つはショートカットパートナーを示しています。

このshow route protocol ospfコマンドは、パートナーとハブへのルートの追加を示しています。

例:IPv6 トラフィック用に OSPFv3 を使用して ADVPN を構成する

この例では、ADVPN ハブと2つのスポークを設定して、ショートカットトンネルを作成し、ハブを経由してトラフィックを送信せずに、他方の側に到達するようにホストのルーティングトポロジを変更する方法を示します。この例では、OSPFv3 を使用してパケットを VPN トンネル経由で転送するように、IPv6 環境の ADVPN を設定しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • ADVPN ハブおよびスポークとしてサポートされている3つの SRX シリーズデバイス

  • Junos OS リリース18.1、それ以降のリリースではありません。

開始する前に:

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと、チャレンジパスワードなどの必要な情報を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。

概要

この例は、ADVPN ハブの構成と2スポークのその後の構成を示しています。

この例では、最初の手順として、SCEP (Simple Certificate Enrollment Protocol) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、件名フィールドに組織単位(OU)値「SLT」が含まれている。ハブは、OUフィールドの値「SLT IKE一致するように、グループIDを使用して設定されています。

スポークは、ハブへの IPsec VPN 接続を確立します。これにより、相互に通信したり、ハブのリソースにアクセスしたりすることができます。ADVPN ハブで構成されたフェーズ1およびフェーズ 2 IKE トンネルオプションはすべて同じ値でなければなりません。表 4は、この例で使用されているオプションを示しています。

表 4: ADPN ハブアンドスポーク基本 OSPFv3 構成のフェーズ1およびフェーズ2オプション

オプション

金額

IKE 提案:

認証方法

RSA デジタル証明書

Diffie-hellman (DH) グループ

19

認証アルゴリズム

SHA-384

暗号化アルゴリズム

AES 256 CBC

IKE ポリシー:

モード

Main

IPsec 提案:

プロトコル

ESP

有効期間 (秒)

3000

暗号化アルゴリズム

AES 256 GCM

IPsec ポリシー:

完全順機密性 (PFS) グループ

19

すべてのデバイスで同じ認証機関 (CA) が構成されています。

表 5は、ハブおよびすべてのスポークに構成されているオプションを示しています。

表 5: ADVPN OSPFv3 のハブおよびすべてのスポークの設定

オプション

備え

すべてのスポーク

IKE ゲートウェイ:

リモート IP アドレス

動的

2001:db8:2000::1

リモート IKE ID

OU(組織単位)フィールドに文字列を含むスポークの証明書の識別 SLT 名(DN)

ハブの証明書上のDDN

ローカル IKE ID

ハブの証明書上のDDN

スポーク証明書のDDN

外部インターフェイス

reth1

スポーク 1: ge-0/0/0.0

スポーク 2: ge-0/0/0.0

/VPN

インターフェイスのバインド

st0.1

st0.1

トンネルの確立

(構成されていません)

直ちにトンネルを確立

表 6は、各スポークで異なる設定オプションを示しています。

表 6: OSPFv3 スポーク構成の比較

オプション

スポーク1

スポーク2

セント0.1 インターフェイス

2001:db8:9000::2/64

2001:db8:9000::3/64

内部ネットワークへのインターフェイス

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

インターフェイスからインターネットへ

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。

Topology

図 8は SRX シリーズ、この例で ADVPN に設定されているデバイスを示しています。

図 8: OSPFv3 を使用した ADVPN の導入OSPFv3 を使用した ADVPN の導入

構成

ADVPN を構成するには、以下のタスクを実行します。

最初のセクションでは、ハブアンドスポークデバイスのシンプルな証明書登録プロトコル (SCEP) を使用して、CA とローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

順を追った手順

ハブで SCEP を使用してデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

順を追った手順

スポーク1の SCEP にデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

順を追った手順

スポーク2で SCEP を使用してデジタル証明書を登録するには、以下を実行します。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

ハブの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

ハブを構成するには、次のようにします。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

  8. シャーシクラスターの構成

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pki show chassis clusterコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク1の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク1を構成するには、次のようになります。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク2の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク2を構成するには:

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

IKE ステータスの確認

目的

IKE のステータスを確認します。

アクション

動作モードから、 show security ike saコマンドを入力します。

このshow security ike saコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとスポークで一致している必要があります。

IPsec ステータスの確認

目的

IPsec のステータスを確認します。

アクション

動作モードから、 show security ipsec sa コマンドを入力します。

このshow security ipsec saコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとスポークで一致している必要があります。

IPsec の次ホップトンネルを検証しています

目的

IPsec のネクストホップトンネルを確認します。

アクション

動作モードから、 show security ipsec next-hop-tunnelsコマンドを入力します。

次ホップゲートウェイは、スポークのst0インターフェイスの IP アドレスです。次ホップは、正しい IPsec VPN 名と関連付けられている必要があります。

OSPFv3 の検証

目的

OSPFv3 がスポークのst0インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードから、 show ospf3 neighbor interfaceコマンドを入力します。

ADVPN のショートカットトンネルが確立された後で迅速にルートを更新するための OSPF の有効化

説明

OSPF は、ルーティングテーブルのショートカットルートを更新するまでに最大で9秒かかります。トラフィックがショートカットトンネルに転送されるまでには、最大で10秒ほどかかる場合があります。

症状

2つのショートカットパートナー間でショートカットトンネルが確立されると、OSPF は OSPF hello パケットを開始します。ショートカットトンネルの確立と OSPF の近隣設置のタイミングが原因で、トンネル内の最初のパケットが削除される場合があります。これにより、OSPF が OSPF 隣接関係を確立するための再試行が行われる場合があります。

デフォルトでは、OSPF が隣接関係の確立を再試行する間隔は10秒です。ショートカットトンネルが確立された後は、パートナーとの間に隣接関係を確立するために OSPF に10秒以上かかることがあります。

ソリューション

1秒から2時間など、より短い再試行間隔を設定すると、OSPF を使用してショートカットトンネル上で隣接関係を迅速に確立できます。たとえば、次のような構成を使用します。

リリース履歴テーブル
リリース
説明
19.2R1
Junos OS のリリースでは、SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、vSRX 2.0 (vCPUs 2 個)、vSRX 3.0 (2 個の vCPUs を使用)、(point-to-point) モードを使用したプロトコル非マルチキャスト (PIM) は、新しいp2mpインターフェイスタイプが pim に導入された自動検出 VPN をサポートしています。
18.1R1
ADVPN Junos OS のリリース18.1 を開始すると、IPv6 がサポートされます。