Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

自動検知 VPN

自動検出VPN(ADVPN)は、スポーク間にVPNトンネルを動的に確立し、ハブを介したトラフィックのルーティングを回避します。

自動検出VPNについて

自動検出VPN(ADVPN)は、中央ハブが2つのスポーク間のトラフィックのより良いパスをスポークに動的に通知できるようにするテクノロジーです。両方のスポークがハブからの情報を確認すると、ショートカット トンネルを確立し、ハブを介してトラフィックを送信せずに反対側に到達するようにホストのルーティング トポロジを変更します。

ADVPN プロトコル

ADVPN は、IKEv2 プロトコルの拡張機能を使用して 2 つのピア間でメッセージを交換し、スポークが互いの間にショートカット トンネルを確立できるようにします。ADVPN 拡張をサポートするデバイスは、最初の IKE 交換時に、その機能情報と ADVPN バージョン番号を含む ADVPN_SUPPORTED 通知を IKEv2 通知 ペイロードに送信します。ADVPN をサポートするデバイスは、 ショートカット サジェスター またはショートカット パートナーのいずれかとして機能しますが、両方として機能することはできません。

ショートカットの確立

IPsec VPNゲートウェイは、トラフィックがピアの1つと一緒にトンネルを出て、別のピアと一緒にトンネルに入ることを認識したときの ショートカットサジェストとして機能する ことができます。 図 1 、ハブを通過するスポーク1からスポーク3へのトラフィックを示しています。

図 1: ハブを通過するスポークツースポークのトラフィック ハブを通過するスポークツースポークのトラフィック

デバイスで ADVPN が設定されている場合、ADVPN ショートカット機能情報がハブとスポークの間で交換されます。スポーク 1 とス 3 が以前に ADVPN ショートカット パートナー機能をハブにアドバタイズしている限り、ハブはスポーク 1 と 3 が互いにショートカットを確立することを提案できます。

ショートカット suggester は、ピアと既に確立されている IKEv2 SA を使用して、2 つのピアのいずれかとのショートカット交換を開始します。ピアがショートカット交換を受け入れると、ショートカット サジェスターは他のピアとのショートカット交換を開始します。ショートカット交換には、ピア( ショートカット パートナーと呼ばれる)が相互に IKE および IPsec SA を確立できるようにするための情報が含まれています。ショートカットパートナー間のショートカットの作成は、両方のピアがショートカット交換を受け入れた後にのみ開始されます。

図 2 は、スポーク 1 と 3 の間のショートカットを通過するトラフィックを示しています。スポーク 1 からスポーク 3 へのトラフィックは、ハブを通過する必要はありません。

図 2: ショートカットを通過するスポークツースポークトラフィック ショートカットを通過するスポークツースポークトラフィック

ショートカットイニシエーターとレスポンダーの役割

ショートカット提案者は、ショートカットのイニシエーターとして機能するショートカットパートナーの 1 つを選択します。もう一方のパートナーはレスポンダーとして機能します。パートナーの1つがNATデバイスの背後にある場合、NATデバイスの背後にあるパートナーがイニシエーターとして選択されます。どのパートナーも NAT デバイスの背後にある場合、サジェスターはパートナーの 1 つをイニシエーターとしてランダムに選択します。もう一方のパートナーはレスポンダーとして機能します。両方のパートナーがNATデバイスの背後にある場合、それらの間にショートカットを作成することはできません。suggester は、どのピアにもショートカット交換を送信しません。

ショートカット サジェスターは、最初にレスポンダーとのショートカット交換を開始します。レスポンダがショートカットの提案を受け入れると、サジェスタはイニシエーターに通知します。

ショートカット イニシエーターは、ショートカット サジェスターの通知に含まれる情報を使用して、レスポンダとの IKEv2 交換を確立し、2 つのパートナー間で新しい IPsec SA を確立します。各パートナーで、パートナーの背後にあるネットワークへのルートが、パートナーと提案者の間のトンネルではなく、ショートカットを指すようになりました。一方のパートナーの背後で発信されたトラフィックは、もう一方のショートカット パートナーの背後にあるネットワークを宛先とし、ショートカット上を流れます。

パートナーがショートカットの提案を拒否した場合、パートナーは拒否の理由を提案者に通知します。この場合、パートナー間のトラフィックは引き続きショートカット サジェスターを通過します。

ショートカット属性

ショートカットはその属性の一部をショートカット サジェスターから受け取りますが、その他の属性はサジェスターパートナー VPN トンネル構成から継承されます。 表 1 は、ショートカットのパラメータを示しています。

表 1: ショートカットパラメータ

属性

受信元/継承元

ADVPN

設定

アンチリプレイ

設定

認証アルゴリズム

設定

デッドピア検出

設定

DF ビット

設定

暗号化アルゴリズム

設定

トンネルの確立

サジェスタ

外部インターフェイス

設定

ゲートウェイポリシー

設定

一般的な IKE ID

設定

IKE バージョン

設定

インストール間隔

設定

ローカルアドレス

設定

ローカルID

サジェスタ

NAT トラバーサル

設定

完全転送機密保持

設定

プロトコル

設定

プロキシー ID

適用外

リモート アドレス

サジェスタ

リモートID

サジェスタ

不適切な SPI への対応

設定

トラフィックセレクター

適用外

ショートカットの終了

デフォルトでは、ショートカットは無期限に続きます。ショートカットパートナーは、指定された時間にトラフィックが指定されたレートを下回った場合にショートカットを終了します。デフォルトでは、トラフィックが300秒間毎秒5パケットを下回ると、ショートカットは終了します。アイドル時間とアイドルしきい値は、パートナーが構成できます。clear security ike security-association または clear security ipsec security-association コマンドを使用していずれかのショートカット パートナーのショートカットを手動で削除し、対応する IKE または IPsec SA をクリアできます。いずれかのショートカット パートナーは、IKEv2 削除ペイロードをもう一方のショートカット パートナーに送信することで、いつでもショートカットを終了できます。

ショートカットが終了すると、対応するIKE SAとすべての子IPsec SAが削除されます。ショートカットが終了すると、対応するルートが両方のショートカット パートナーから削除され、2 つのピア間のトラフィックが再びサジェスターを通過します。ショートカットの終了情報は、パートナーから提案者に送信されます。

ショートカットの有効期間は、ショートカット サジェスターとショートカット パートナー間のトンネルとは無関係です。ショートカットは、単にサジェスターとパートナー間のトンネルが終了したからといって終了することはありません。

PIM を使用したマルチキャストのサポート

SRXシリーズファイアウォールは、ADVPNインフラストラクチャのポイントツーマルチポイント(P2MP)モードでPIM(プロトコル独立マルチキャスト)をサポートします。P2MP モードでは、ファイアウォールのセキュア トンネル インターフェイス st0 で PIM を有効にすることができます。ADVPN での PIM を使用したマルチキャスト トラフィックのサポートは、AutoVPN で提供されるサポートと似ています。ADVPN は、マルチキャスト サポートを設定する際に AutoVPN と同じ考慮事項に従います。P2MP インフラストラクチャでの PIM を使用したマルチキャスト サポートの詳細については、次を参照してください: Auto VPN について。st0 P2MP インターフェイスで PIM を有効にするには

  • kmdプロセスを使用したIPsec VPNサービスの場合、Junos OSリリース19.2R1以降を実行する必要があります。SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、vSRX 2.0(2 vCPU使用)、vSRX 3.0(2 vCPU使用)の各プラットフォームを使用できます。

  • ikedプロセスを使用したIPsec VPNサービスの場合、Junos OSリリース24.2R1以降を実行する必要があります。SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、 SRX4600、vSRX 3.0などのプラットフォームを使用できます。

  • マルチノード高可用性環境では、P2MPマルチキャストはノードローカルトンネルを使用して実現されます。st0インターフェイス上のルーティングプロトコルは、同期状態トンネルをサポートしていません。マルチノード高可用性におけるIPsec VPNのサポートを参照してください。

SRXシリーズファイアウォールの1つはショートカットサジェスターであり、残りのファイアウォールはショートカットパートナーです。通常、マルチキャスト送信者はショートカット サジェスターの背後に存在し、マルチキャスト受信者はショートカット パートナーの背後にあります。マルチキャスト サポートの場合、サジェスターとパートナー デバイスのセキュア トンネル インターフェイス st0 は PIM P2MP モードで設定されます。これらの各デバイスで、st0 P2MP インターフェイスはネイバーごとのすべての PIM ジョイン を追跡し、マルチキャストの転送または複製がジョイン 状態のネイバーに対してのみ行われるようにします。

SRXシリーズファイアウォールは、st0 P2MPインターフェイスを介したPIMスパースモードでIPマルチキャストトラフィックをサポートします。サジェスターは、ファーストホップルーター(FHR)またはランデブーポイント(RP)として機能します。パートナーは、P2MP ネットワークで LHR(ラストホップ ルーター)として機能します。ネットワーク内のデバイスは、マルチキャスト グループ に参加しているネイバーにマルチキャスト データ パケットを複製します。

P2MP インフラストラクチャで PIM を設定する方法の詳細については、次を参照してください: P2MP インフラストラクチャでマルチキャスト サポートを設定する

ADVPN 設定の制限事項

ADVPN を設定する際は、以下の制限事項に注意してください。

  • ADVPN は、サイト間の通信でのみサポートされます。ADVPN サジェスターの設定は、AutoVPN ハブでのみ許可されています。

  • 提案者ロールとパートナー ロールの両方を設定することはできません。ゲートウェイで ADVPN が有効になっている場合、ゲートウェイでサジェスター ロールとパートナー ロールの両方を無効にすることはできません。

  • NAT デバイスの背後にあるパートナー間にショートカットを作成することはできません。サジェスターがショートカット交換を開始できるのは、パートナーの 1 つが NAT デバイスの背後にある場合、またはパートナーが NAT デバイスの背後にある場合のみです。

  • ADVPN に IPv6 アドレスを使用するには、次の手順を実行します。
    • kmdプロセスを使用したIPsec VPNサービスの場合、SRXシリーズファイアウォールでJunos OSリリース18.1R1以降を実行する必要があります。

    • ikedプロセスを使用したIPsec VPNサービスの場合、SRXシリーズファイアウォールでJunos OSリリース24.2R1以降を実行する必要があります。

    • すべてのハブおよびスポーク デバイスで P2MP をサポートする st0 インターフェイスを設定する必要があります。

    • OSPFv3などの動的ルーティングプロトコル(DRP)を実行して、ルーティング設定をスタティックトンネル経由のショートカットトンネルに更新する必要があります。

    • IPv6 P2MP st0インターフェイスベースのADVPNではVPNモニター機能を設定できないことに注意してください。

  • ADVPN サービスは、IPv6 アドレスまたは IPv4 アドレスのいずれかをサポートする DRP で実行できますが、両方を同時にサポートすることはできません。

  • 有効、無効化、役割の変更など、パートナーの構成変更の場合、ikedは以下を行います。

    1. 静的IKE SAとIPsec SAを破棄して再ネゴシエートし、新しい機能を交換します。

    2. ショートカットIKE SAとIPsec SA、および存在する候補情報を消去します。

  • 次のような ADVPN 以外の設定変更の場合:

    1. 静的IKE SAとIPsec SAの両方のクリアにつながる静的トンネル構成の変更により、ikedはショートカットIKE SAとIPsec SAを破棄します。ikedは提案情報をクリーンアップします。ショートカット トンネルは、提案者からショートカットの提案を受け取るまで、再度再ネゴシエートしません。

    2. 静的トンネルIPsec SAのみのクリアにつながる静的トンネル構成の変更により、ikedはショートカットIKE SAとIPsec SAを破棄します。ikedは提案情報をクリーンアップします。ショートカット トンネルは、提案者からショートカットの提案を受け取るまで、再度再ネゴシエートしません。

ADVPN では、kmd プロセスと iked プロセスの両方で、以下の設定はサポートされていません。

  • IKEv1

  • ポリシーベース VPN

  • IKEv2 構成ペイロード

  • トラフィックセレクター

  • ポイントツーポイントのセキュアなトンネルインターフェイス

  • シードされた事前共有鍵

  • 共有事前共有鍵 - kmd プロセスには対応していません

ショートカットトンネルによるトラフィックルーティングについて

トンネルのフラップや致命的な変更により、静的トンネルとショートカット トンネルの両方がダウンする可能性があります。この場合、特定の宛先へのトラフィックが、予期されるスタティック トンネルではなく、予期しないショートカット トンネルを介してルーティングされる可能性があります。

図 3では、ハブと各スポークの間にスタティック トンネルが存在します。OSPF 隣接関係は、ハブとスポークの間に確立されます。また、スポーク A にはスポーク B とのショートカット トンネルがあり、スポーク間で OSPF 隣接関係が確立されています。ハブ(ショートカットサジェスター)は、ハブとスポークA間の接続がダウンした場合、スポークBとスポークAの間のショートカットトンネルを介してスポークAのネットワークに到達できることを認識します。

図 3: ハブアンドスポーク ネットワークで確立された静的トンネルとショートカット トンネルハブアンドスポーク ネットワークで確立された静的トンネルとショートカット トンネル

図 4では、ハブとスポーク A 間の静的トンネルがダウンしています。スポーク C からスポーク A への新しいトラフィックがある場合、スポーク C にはスポーク A とのショートカット トンネルがないため、スポーク C はトラフィックをハブに転送します。ハブにはスポーク A とのアクティブな静的トンネルはありませんが、スポーク A とスポーク B の間にショートカット トンネルがあることを認識し、スポーク C からスポーク B にトラフィックを転送します。

図 4: スポーク C からスポーク A へのトラフィック パススポーク C からスポーク A へのトラフィック パス

スポーク B とスポーク C の両方が ADVPN(自動検出 VPN)パートナー機能をサポートしている限り、ハブはスポークが相互に直接ショートカットを確立することを提案できます。これは、2 つのスポーク間に直接トラフィックがない場合でも発生します。スポーク C からスポーク A へのトラフィックは、スポーク C とスポーク B の間のショートカット トンネルを経由し、次にスポーク B とスポーク A の間のショートカット トンネルを通過します( 図 5 を参照)。

図 5: ショートカット トンネルを経由するスポーク C からスポーク A へのトラフィック パスショートカット トンネルを経由するスポーク C からスポーク A へのトラフィック パス

ハブとスポーク A 間の静的トンネルが再確立されると、トンネルはすべてのスポークにアドバタイズされます。スポーク C は、スポーク A に到達するためのより良いルートがあることを学習します。トラフィックをスポーク B に通す代わりに、スポーク A のトラフィックをハブに転送します。ハブは、スポーク C とスポーク A の間にショートカット トンネルを確立することを提案しています。スポーク C とスポーク A の間にショートカット トンネルが確立されると、トラフィックはショートカット トンネルを通過します( 図 6 を参照)。スポーク C とスポーク A 間のトラフィックはスポーク B を経由しなくなり、スポーク B とスポーク C の間のショートカット トンネルは最終的に消えます。

図 6: ショートカット トンネルを通るスポーク C からスポーク A へのトラフィック パスショートカット トンネルを通るスポーク C からスポーク A へのトラフィック パス

[edit security ike gateway gateway-name advpn partner] 階層レベルで [connection-limit] オプションを使用すると、特定のゲートウェイを使用して異なるショートカット パートナーで作成できるショートカット トンネルの最大数を設定できます。デフォルトでもある最大数は、プラットフォームによって異なります。

例:自動検出 VPN 動的トンネルによるネットワーク リソース使用率の向上

AutoVPN ネットワークを展開する場合は、自動検出 VPN(ADVPN)を設定することで、ネットワーク リソースの使用率を高めることができる場合があります。AutoVPN ネットワークでは、トラフィックがスポーク間で移動している場合でも、VPN トラフィックはハブを通過します。ADVPN を使用すると、スポーク間で VPN トンネルを動的に確立できるため、ネットワーク リソースの使用率が向上します。この例では、AutoVPN ネットワークで動的なスポークツースポーク VPN トンネルを有効にするように ADVPN を設定するには、この例を使用します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • AutoVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール。

  • ADVPN をサポートする Junos OS リリース 12.3X48-D10 以降のリリース。

  • ハブに登録されているデジタル証明書と、デバイスが相互に認証できるようにするスポーク。

開始する前に、以下を実行します。

  1. ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。ローカル証明書要求についてを参照してください。

  2. 各デバイスにデジタル証明書を登録します。「例 :CA 証明書とローカル証明書を手動で読み込む

この例では、OSPF ダイナミック ルーティング プロトコルとスタティック ルート構成を使用して、VPN トンネル経由でパケットを転送します。VPN トンネルを介してパケットを転送するために使用される OSPF 動的ルーティング プロトコルについて理解している必要があります。

概要

この例では、ADVPN用のAutoVPNハブと2つのスポークの設定を示します。スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。トラフィックは最初にハブを介して一方のスポークから他方のスポークに渡されますが、ADVPNを使用すると、スポークは互いに直接セキュリティアソシエーションを確立できます。ハブはショートカットサジェスターとして機能します。ハブでは、ADVPN 設定によって partner ロールが無効になります。スポークでは、ADVPN 設定によって suggester ロールが無効になります。

AutoVPN ハブとスポークで設定された特定のフェーズ 1 およびフェーズ 2 IKE トンネル オプションは、同じ値を持つ必要があります。 表 2 に、この例で使用されている値を示します。

表 2: ADVPN の AutoVPN ハブとスポークのフェーズ 1 およびフェーズ 2 オプションの例

オプション

IKEプロポーザル:

認証方法

rsa-signatures

Diffie-Hellman(DH)グループ

group5

認証アルゴリズム

sha1

暗号化アルゴリズム

aes-256-cbc

IKEポリシー:

証書

ローカル証明書

IKEゲートウェイ:

バージョン

v2 のみ

IPsecプロポーザル:

プロトコル

esp

認証アルゴリズム

hmac-sha1-96

暗号化アルゴリズム

aes-256-cbc

IPsecポリシー:

完全転送機密保持(PFS)グループ

グループ5

ハブおよびスポークのIKEゲートウェイ設定には、VPNピアを識別するリモートおよびローカルの値が含まれます。 表 3 に、この例でのハブとスポークのIKEゲートウェイ設定を示します。

表 3: ADVPN の IKE ゲートウェイ設定の例

オプション

ハブ

スポーク

リモート IP アドレス

動的

スポーク1: 11.1.1.1

スポーク2: 11.1.1.1

ローカルIPアドレス

11.1.1.1

スポーク1: 21.1.1.2

スポーク2: 31.1.1.2

リモート IKE ID

スポークの証明書の組織 (O) フィールドに文字列 "XYZ"、組織単位 (OU) フィールドに "Sales" が含まれる識別名 (DN)

ハブの証明書の OU フィールドに文字列 "Sales" が含まれる DN

ローカルIKE ID

ハブの証明書の DN

スポーク証明書のDN

ハブは、スポークの証明書のサブジェクト フィールドに O フィールドに文字列 "XYZ" が含まれ、OU フィールドに "Sales" が含まれている場合、スポークの IKE ID を認証します。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 7 は、この例用に設定するSRXシリーズファイアウォールを示しています。

図 7: ADVPN を使用した AutoVPN の導入ADVPN を使用した AutoVPN の導入

設定

サジェスターの設定 (ハブ)

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

サジェスターを設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルとスタティック ルートを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. 証明書情報を構成します。

  6. ゾーンを設定します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pkishow security zones、および show security policies コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

パートナーの設定(スポーク1)

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルとスタティック ルートを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. 証明書情報を構成します。

  6. ゾーンを設定します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pkishow security zones、および show security policies コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

パートナーの設定(スポーク2)

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルとスタティック ルートを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. 証明書情報を構成します。

  6. ゾーンを設定します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pkishow security zones、および show security policies コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。まず、AutoVPN ハブとスポークの間にトンネルが確立されていることを確認します。トラフィックがハブを介してあるスポークから別のスポークに渡される場合、スポーク間にショートカットを確立できます。ショートカットパートナーがショートカットパートナー間にトンネルを確立していること、およびピアへのルートがパートナーにインストールされていることを確認します。

ハブとスポーク間のトンネルの確認

目的

AutoVPN ハブとスポークの間にトンネルが確立されていることを確認します。あるスポークから別のスポークへの最初のトラフィックは、ハブを通過する必要があります。

アクション

動作モードから、ハブとスポークで show security ike security-associations コマンドと show security ipsec security-associations コマンドを入力します。

ハブで次のコマンドを入力します。

以下のコマンドがスポーク 1 で入力されます。

以下のコマンドがスポーク 2 で入力されます。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。ハブには、各スポークに1つずつ、合計2つのアクティブなトンネルが表示されています。各スポークは、ハブへのアクティブなトンネルを示しています。

IKE フェーズ 1 の SA がリストされていない場合は、フェーズ 1 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメータは、ハブとスポークで一致する必要があります。

IKE フェーズ 2 に SA がリストされていない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

show route protocol ospf コマンドは、OSPF プロトコルから学習されたルーティング テーブル内のエントリを表示します。show ospf neighbor コマンドは、OSPF ネイバーに関する情報を表示します。

パートナー間のショートカット トンネルの検証

目的

AutoVPN ハブは、トラフィックがそのスポークの 1 つでトンネルを出て、別のスポークでトンネルに入ることを認識した場合、ショートカット サジェストとして機能します。新しい IPsec SA (ショートカット) が、2 つのショートカット パートナー間で確立されます。各パートナーで、パートナーの背後にあるネットワークへのルートは、パートナーとサジェスター (ハブ) の間のトンネルではなく、ショートカット トンネルを指すようになりました。

アクション

動作モードから、スポークの show security ike security-associationsshow security ipsec security-associationsshow route protocol ospf、および show ospf neighbor コマンドを入力します。

ハブで次のコマンドを入力します。

以下のコマンドがスポーク 1 で入力されます。

以下のコマンドがスポーク 2 で入力されます。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。ハブには、各スポークに 1 つずつ、合計 2 つのアクティブなトンネルが表示されています。各スポークには、ハブへのトンネルとショートカット パートナーへの 1 つのアクティブなトンネルが表示されます。

show route protocol ospf コマンドは、パートナーとハブへのルートの追加を表示します。

例:IPv6トラフィック用のOSPFv3を使用したADVPNの設定

この例では、ADVPN ハブと 2 つのスポークを設定してショートカット トンネルを作成し、ハブを介してトラフィックを送信せずにホストが反対側に到達するようにルーティング トポロジを変更する方法を示します。この例では、VPN トンネルを介してパケットを転送するために、OSPFv3 を使用して IPv6 環境の ADVPN を設定します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • ADVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール

  • Junos OS リリース 18.1R1 または それ以降のリリース ファイアウォールが kmd プロセスを実行している場合。

  • ファイアウォールがikedプロセスを実行している場合は、Junos OSリリース24.2R1以降のリリース。

開始する前に、以下を実行します。

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルについて理解している必要があります。

概要

この例では、ADVPN ハブの設定とそれに続く 2 つのスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、サブジェクト フィールドに組織単位 (OU) 値 "SLT" が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。ADVPN ハブとすべてのスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネル オプションは、同じ値である必要があります。 表 4 に、この例で使用するオプションを示します。

表 4: ADPN ハブ アンド スポークの基本的な OSPFv3 設定のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

19

認証アルゴリズム

SHA-384

暗号化アルゴリズム

AES 256 CBC

IKEポリシー:

モード

メイン

IPsecプロポーザル:

プロトコル

ESP

ライフタイム秒

3000

暗号化アルゴリズム

AES 256 GCM

IPsecポリシー:

完全転送機密保持(PFS)グループ

19

すべてのデバイスで同じ認証局(CA)が設定されています。

表 5 は、ハブとすべてのスポークで設定されているオプションを示しています。

表 5: ハブおよびすべてのスポークに対する ADVPN OSPFv3 の設定

オプション

ハブ

すべてのスポーク

IKEゲートウェイ:

リモート IP アドレス

動的

2001:db8:2000::1

リモート IKE ID

スポークの証明書の識別名(DN)と、組織単位(OU)フィールドに文字列 SLT

ハブの証明書の DN

ローカルIKE ID

ハブの証明書の DN

スポークの証明書のDN

外部インターフェイス

レス1

スポーク1: ge-0/0/0.0

スポーク2: ge-0/0/0.0

VPN:

バインド インターフェイス

st0.1

st0.1

トンネルの確立

(未設定)

establish-tunnels immediately

表 6 は、スポークごとに異なる構成オプションを示しています。

表 6: OSPFv3 スポーク構成の比較

オプション

スポーク 1

スポーク 2

st0.1インターフェイス

2001:db8:9000::2/64

2001:db8:9000::3/64

内部ネットワークへのインターフェイス

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

インターネットへのインターフェース

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 8 この例では、ADVPN用に設定するSRXシリーズファイアウォールを示しています。

図 8: OSPFv3 を使用した ADVPN の導入OSPFv3 を使用した ADVPN の導入

設定

ADVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ デバイスとスポーク デバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は SLT。ハブのIKE設定には、スポークを識別するための ou=SLT が含まれています。

ステップバイステップでの手順

スポーク 2 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は SLT。ハブのIKE設定には、スポークを識別するための ou=SLT が含まれています。

ハブの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

  8. シャーシ クラスタの設定

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki show chassis cluster コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク2の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEステータスの確認

目的

IKEステータスを検証します。

アクション

動作モードからshow security ike saコマンドを入力します。

意味

show security ike saコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメータは、ハブとスポークで一致する必要があります。

IPsecステータスの検証

目的

IPsecステータスを検証します。

アクション

動作モードからshow security ipsec sa コマンドを入力します。

意味

show security ipsec sa コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ネクストホップ トンネルの検証

目的

IPsec ネクストホップ トンネルを検証します。

アクション

動作モードからshow security ipsec next-hop-tunnelsコマンドを入力します。

意味

ネクストホップ ゲートウェイは、スポークの st0 インターフェイスの IP アドレスです。Next hopは、適切なIPsec VPN名に関連付けられているはずです。

OSPFv3 の検証

目的

OSPFv3 がスポークの st0 インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードからshow ospf3 neighbor interfaceコマンドを入力します。

ADVPNショートカットトンネルの確立後、OSPFが迅速にルートを更新できるようにする

問題点

説明

OSPFがルーティングテーブル内のショートカットルートを更新するのに最大9秒かかることがあります。トラフィックがショートカット トンネルに転送されるまでに最大 10 秒かかることがあります。

症状

2 つのショートカット パートナー間でショートカット トンネルが確立されると、OSPF は OSPF hello パケットを開始します。ショートカット トンネルの確立と OSPF ネイバーのインストールのタイミングが原因で、トンネル内の最初のパケットがドロップされる場合があります。これにより、OSPF は OSPF 隣接関係の確立を再試行する可能性があります。

デフォルトでは、OSPF が隣接関係の確立を再試行する間隔は 10 秒です。ショートカット トンネルが確立された後、OSPF がパートナー間の隣接関係を確立するまでに 10 秒以上かかることがあります。

ソリューション

1 秒や 2 秒など、より短い再試行間隔を設定することで、OSPF はショートカット トンネル上でより迅速に隣接関係を確立できます。たとえば、次の構成を使用します。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
24.2R1
Junos OSリリース24.2R1で、ikedプロセスを実行するファイアウォールのADVPNによるIPv6アドレスのサポートが追加されました。
24.2R1
Junos OSリリース24.2R1では、ikedプロセスを実行しているファイアウォールで、ADVPNによるマルチキャストトラフィック(IPv4アドレス)のサポートが追加されました。
23.4R1
Junos OSリリース23.4R1で、ikedプロセスを実行するファイアウォールでのADVPNのサポートが追加されました。
19.2R1
Junos OSリリース19.2R1以降、SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、vSRX仮想ファイアウォール2.0(2つのvCPUを使用)、およびvSRX仮想ファイアウォール3.0(2つのvCPUを使用)シリーズデバイスでは、ポイントツーマルチポイント(P2MP)モードを使用するプロトコル非依存マルチキャスト(PIM)が、PIMに新しい p2mp インターフェイスタイプが導入された自動検出VPNをサポートします。
18.1R1
Junos OS Release 18.1R1以降、ADVPNはkmdプロセスでIPv6をサポートしています。