Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

自動検知 VPN

自動検出VPN(ADVPN)は、スポーク間にVPNトンネルを動的に確立し、ハブを介したトラフィックのルーティングを回避します。

自動検出VPNについて

自動検出VPN(ADVPN)は、中央 ハブ が2つのスポーク間のトラフィックのより良いパスをスポークに動的に通知できるようにするテクノロジーです。両方のスポークがハブからの情報を確認すると、ショートカット トンネルを確立し、ハブを介してトラフィックを送信せずに反対側に到達するようにホストのルーティング トポロジを変更します。

ADVPN プロトコル

ADVPN は、IKEv2 プロトコルの拡張を使用して2 つのピア間でメッセージを交換し、スポークが相互にショートカット トンネルを確立できるようにします。ADVPN 拡張をサポートするデバイスは、最初の IKE 交換時に、その機能情報と ADVPN バージョン番号を含む通知を IKEv2 通知ペイロードに送信します。ADVPN_SUPPORTED ADVPN をサポートするデバイスは、ショートカット サジェスターまたはショートカット パートナーのいずれかとして機能しますが、両方として機能することはできません。

ショートカットの確立

IPsec VPNゲートウェイは、トラフィックがピアの1つと一緒にトンネルを出て、別のピアと一緒にトンネルに入ることを認識したときの ショートカットサジェストとして機能する ことができます。 は、スポーク1からスポーク3 へのトラフィックがうーん。図 1

図 1: ハブを通過するスポークツースポークのトラフィックハブを通過するスポークツースポークのトラフィック

デバイスで ADVPN が設定されている場合、ADVPN ショートカット機能情報がハブとスポークの間で交換されます。スポーク 1 とス 3 が以前に ADVPN ショートカット パートナー機能を H ub にアドバタイズしている限り、Hub はスポーク 1 と 3 が互いにショートカットを確立することを提案できます。

ショートカット suggester は、ピアと既に確立されている IKEv2 SA を使用して、2 つのピアのいずれかとのショートカット交換を開始します。ピアがショートカット交換を受け入れると、ショートカット サジェスターは他のピアとのショートカット交換を開始します。ショートカット交換には、ピア( ショートカット パートナーと呼ばれる)が相互に IKE および IPsec SA を確立できるようにするための情報が含まれています。ショートカットパートナー間のショートカットの作成は、両方のピアがショートカット交換を受け入れた後にのみ開始されます。

は、スポーク 1 と 3 の間のショートカットを通過するトラフィックを示しています。スポーク 1 からスポーク 3 へのトラフィックは、Hub を通過する必要はありません。図 2

図 2: ショートカットを通過するスポークツースポークトラフィック ショートカットを通過するスポークツースポークトラフィック

ショートカットイニシエーターとレスポンダーの役割

ショートカット提案者は、ショートカットのイニシエーターとして機能するショートカットパートナーの 1 つを選択します。もう一方のパートナーはレスポンダーとして機能します。パートナーの1つがNATデバイスの背後にある場合、NATデバイスの背後にあるパートナーがイニシエーターとして選択されます。どのパートナーもNATデバイスの背後にある場合、サジェスターはランダムにパートナーの1つをイニシエーターとして選択します。もう一方のパートナーはレスポンダーとして機能します。両方のパートナーがNATデバイスの背後にある場合、それらの間にショートカットを作成することはできません。suggester は、どのピアにもショートカット交換を送信しません。

ショートカット サジェスターは、最初にレスポンダーとのショートカット交換を開始します。レスポンダがショートカットの提案を受け入れると、サジェスタはイニシエーターに通知します。

ショートカット イニシエーターは、ショートカット サジェスターの通知に含まれる情報を使用して、レスポンダとの IKEv2 交換を確立し、2 つのパートナー間で新しい IPsec SA を確立します。各パートナーで、パートナーの背後にあるネットワークへのルートが、パートナーと提案者の間のトンネルではなく、ショートカットを指すようになりました。一方のパートナーの背後で発信されたトラフィックは、もう一方のショートカット パートナーの背後にあるネットワークを宛先とし、ショートカット上を流れます。

パートナーがショートカットの提案を拒否した場合、パートナーは拒否の理由を提案者に通知します。この場合、パートナー間のトラフィックは引き続きショートカット サジェスターを通過します。

ショートカット属性

ショートカットはその属性の一部をショートカット サジェスターから受け取りますが、その他の属性はサジェスターパートナー VPN トンネル構成から継承されます。 ショートカットのパラメータを表示します。表 1

表 1: ショートカットパラメータ

属性

受信元/継承元

ADVPN

設定

アンチリプレイ

設定

認証アルゴリズム

設定

デッドピア検出

設定

DF ビット

設定

暗号化アルゴリズム

設定

トンネルの確立

サジェスタ

外部インターフェイス

設定

ゲートウェイポリシー

設定

一般的な IKE ID

設定

IKE バージョン

設定

インストール間隔

設定

ローカルアドレス

設定

ローカルID

サジェスタ

NAT トラバーサル

設定

完全転送機密保持

設定

プロトコル

設定

プロキシー ID

適用外

リモート アドレス

サジェスタ

リモートID

サジェスタ

不適切な SPI への対応

設定

トラフィックセレクター

適用外

ショートカットの終了

デフォルトでは、ショートカットは無期限に続きます。ショートカットパートナーは、指定された時間にトラフィックが指定されたレートを下回った場合にショートカットを終了します。デフォルトでは、トラフィックが300秒間にわたって毎秒5パケットを下回るとショートカットは終了します。アイドル時間とアイドルしきい値はパートナーが設定できます。ショートカットは、ショートカットパートナー または コマンドを使用して、対応するIKEまたはIPsec SAをクリアすることで、手動で削除できます。clear security ike security-associationclear security ipsec security-association いずれかのショートカット パートナーは、IKEv2 削除ペイロードをもう一方のショートカット パートナーに送信することで、いつでもショートカットを終了できます。

ショートカットが終了すると、対応するIKE SAとすべての子IPsec SAが削除されます。ショートカットが終了すると、対応するルートが両方のショートカット パートナーから削除され、2 つのピア間のトラフィックが再びサジェスターを通過します。ショートカットの終了情報は、パートナーから提案者に送信されます。

ショートカットの有効期間は、ショートカット サジェスターとショートカット パートナー間のトンネルとは無関係です。ショートカットは、単にサジェスターとパートナー間のトンネルが終了したからといって終了することはありません。

ADVPN 設定の制限事項

ADVPN を設定する際は、以下の制限事項に注意してください。

  • ADVPN は、サイト間の通信でのみサポートされます。ADVPN サジェスターの設定は、AutoVPN ハブでのみ許可されています。

  • 提案者ロールとパートナー ロールの両方を設定することはできません。ゲートウェイで ADVPN が有効になっている場合、ゲートウェイでサジェスター ロールとパートナー ロールの両方を無効にすることはできません。

  • 前述のように、NATデバイスの背後にあるパートナー間にショートカットを作成することはできません。パートナーの 1 人だけが NAT デバイスの背後にある場合、またはパートナーが NAT デバイスの背後にある場合、提案者はショートカット交換を開始できます。

  • マルチキャスト トラフィックはサポートされていません。

    1. Junos OSリリース19.2R1以降、SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、vSRX仮想ファイアウォール2.0(2つのvCPUを使用)、およびvSRX仮想ファイアウォール3.0(2つのvCPUを使用)シリーズデバイスでは、ポイントツーマルチポイント(P2MP)モードを使用するプロトコル非依存マルチキャスト(PIM)が、PIMに新しいインターフェイスタイプが導入された自動検出VPN をサポートします。p2mp このインターフェイスは 、ネイバーごとのすべての PIM ジョインを追跡し、マルチキャストの転送またはレプリケーションがジョイン状態のネイバーに対してのみ行われるようにします。p2mp

  • Junos OS リリース 18.1R1 以降、ADVPN は、ファイアウォールで kmd プロセスを使用して IPsec VPN サービスを実行する IPv6 をサポートしています。

  • 有効、無効化、役割の変更など、パートナーの構成変更の場合、ikedは以下を行います。

    1. 静的IKE SAとIPsec SAを破棄して再ネゴシエートし、新しい機能を交換します。

    2. ショートカットIKE SAとIPsec SA、および存在する候補情報を消去します。

  • 次のような ADVPN 以外の設定変更の場合:

    1. 静的IKE SAとIPsec SAの両方のクリアにつながる静的トンネル構成の変更により、ikedはショートカットIKE SAとIPsec SAを破棄します。ikedは提案情報をクリーンアップします。ショートカット トンネルは、提案者からショートカットの提案を受け取るまで、再度再ネゴシエートしません。

    2. 静的トンネルIPsec SAのみのクリアにつながる静的トンネル構成の変更により、ikedはショートカットIKE SAとIPsec SAを破棄します。ikedは提案情報をクリーンアップします。ショートカット トンネルは、提案者からショートカットの提案を受け取るまで、再度再ネゴシエートしません。

以下の設定は、ADVPN の kmd プロセスと iked プロセスの両方ではサポートされていません。

  • IKEv1

  • ポリシーベース VPN

  • IKEv2 構成ペイロード

  • トラフィック セレクター

  • ポイントツーポイントのセキュアなトンネルインターフェイス

  • シードされた事前共有鍵

  • 共有事前共有鍵 - kmd プロセスには対応していません

  • IPv6 - iked プロセスではサポートされていません

ショートカットトンネルによるトラフィックルーティングについて

トンネルのフラップや致命的な変更により、静的トンネルとショートカット トンネルの両方がダウンする可能性があります。この場合、特定の宛先へのトラフィックが、予期されるスタティック トンネルではなく、予期しないショートカット トンネルを介してルーティングされる可能性があります。

では 図 3、ハブと各スポークの間にスタティック トンネルが存在します。OSPF 隣接関係は、ハブとスポークの間に確立されます。また、スポーク A にはスポーク B とのショートカット トンネルがあり、スポーク間で OSPF 隣接関係が確立されています。ハブ(ショートカットサジェスター)は、ハブとスポークA間の接続がダウンした場合、スポークBとスポークAの間のショートカットトンネルを介してスポークAのネットワークに到達できることを認識します。

図 3: ハブアンドスポーク ネットワークで確立された静的トンネルとショートカット トンネルハブアンドスポーク ネットワークで確立された静的トンネルとショートカット トンネル

では 、ハブとスポーク A の間の静的トンネルがダウンしています。図 4スポーク C からスポーク A への新しいトラフィックがある場合、スポーク C にはスポーク A とのショートカット トンネルがないため、スポーク C はトラフィックをハブに転送します。ハブにはスポーク A とのアクティブな静的トンネルはありませんが、スポーク A とスポーク B の間にショートカット トンネルがあることを認識し、スポーク C からスポーク B にトラフィックを転送します。

図 4: スポーク C からスポーク A へのトラフィック パススポーク C からスポーク A へのトラフィック パス

スポーク B とスポーク C の両方が ADVPN(自動検出 VPN)パートナー機能をサポートしている限り、ハブはスポークが相互に直接ショートカットを確立することを提案できます。これは、2 つのスポーク間に直接トラフィックがない場合でも発生します。スポーク C からスポーク A へのトラフィックは、スポーク C とスポーク B の間のショートカット トンネルを経由し、次にスポーク B とスポーク A の間のショートカット トンネルを通過します(を参照 )。図 5

図 5: ショートカット トンネルを経由するスポーク C からスポーク A へのトラフィック パスショートカット トンネルを経由するスポーク C からスポーク A へのトラフィック パス

ハブとスポーク A 間の静的トンネルが再確立されると、トンネルはすべてのスポークにアドバタイズされます。スポーク C は、スポーク A に到達するためのより良いルートがあることを学習します。トラフィックをスポーク B に通す代わりに、スポーク A のトラフィックをハブに転送します。ハブは、スポーク C とスポーク A の間にショートカット トンネルを確立することを提案しています。スポーク C とスポーク A の間にショートカット トンネルが確立されると、トラフィックはショートカット トンネルを通過します(「」を参照 )。図 6スポーク C とスポーク A 間のトラフィックはスポーク B を経由しなくなり、スポーク B とスポーク C の間のショートカット トンネルは最終的に消えます。

図 6: ショートカット トンネルを通るスポーク C からスポーク A へのトラフィック パスショートカット トンネルを通るスポーク C からスポーク A へのトラフィック パス

オプションを [] 階層レベルで使用して、特定のゲートウェイを使用して異なるショートカット パートナーで作成できるショートカット トンネルの最大数を設定できます。connection-limitedit security ike gateway gateway-name advpn partner デフォルトでもある最大数は、プラットフォームによって異なります。

例:自動検出 VPN 動的トンネルによるネットワーク リソース使用率の向上

AutoVPN ネットワークを展開する場合は、自動検出 VPN(ADVPN)を設定することで、ネットワーク リソースの使用率を高めることができる場合があります。AutoVPN ネットワークでは、トラフィックがスポーク間で移動している場合でも、VPN トラフィックはハブを通過します。ADVPN を使用すると、スポーク間で VPN トンネルを動的に確立できるため、ネットワーク リソースの使用率が向上します。この例では、AutoVPN ネットワークで動的なスポークツースポーク VPN トンネルを有効にするように ADVPN を設定するには、この例を使用します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • AutoVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール。

  • ADVPN をサポートする Junos OS リリース 12.3X48-D10 以降のリリース。

  • ハブに登録されているデジタル証明書と、デバイスが相互に認証できるようにするスポーク。

開始する前に、以下を実行します。

  1. ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。ローカル証明書要求についてを参照してください。

  2. 各デバイスにデジタル証明書を登録します。「例 :CA 証明書とローカル証明書を手動で読み込む。

この例では、OSPF ダイナミック ルーティング プロトコルとスタティック ルート構成を使用して、VPN トンネル経由でパケットを転送します。VPN トンネルを介してパケットを転送するために使用される OSPF 動的ルーティング プロトコルについて理解している必要があります。

概要

この例では、ADVPN用のAutoVPNハブと2つのスポークの設定を示します。スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。トラフィックは最初にハブを介して一方のスポークから他方のスポークに渡されますが、ADVPNを使用すると、スポークは互いに直接セキュリティアソシエーションを確立できます。ハブはショートカットサジェスターとして機能します。ハブでは、ADVPN 構成によってロールが無効になります 。partner スポークでは、ADVPN 設定によってロール が無効になります。suggester

AutoVPN ハブとスポークで設定された特定のフェーズ 1 およびフェーズ 2 IKE トンネル オプションは、同じ値を持つ必要があります。 に、この例で使用されている値を示します。表 2

表 2: ADVPN の AutoVPN ハブとスポークのフェーズ 1 およびフェーズ 2 オプションの例

オプション

IKEプロポーザル:

認証方法

rsa-signatures

Diffie-Hellman(DH)グループ

group5

認証アルゴリズム

sha1

暗号化アルゴリズム

aes-256-cbc

IKEポリシー:

証明 書

ローカル証明書

IKEゲートウェイ:

バージョン

v2 のみ

IPsecプロポーザル:

プロトコル

esp

認証アルゴリズム

hmac-sha1-96

暗号化アルゴリズム

aes-256-cbc

IPsecポリシー:

完全転送機密保持(PFS)グループ

グループ5

ハブおよびスポークのIKEゲートウェイ設定には、VPNピアを識別するリモートおよびローカルの値が含まれます。 この例では、ハブとスポークのIKEゲートウェイ設定を示しています。表 3

表 3: ADVPN の IKE ゲートウェイ設定の例

オプション

ハブ

スポーク

リモート IP アドレス

動的

スポーク1: 11.1.1.1

スポーク2: 11.1.1.1

ローカルIPアドレス

11.1.1.1

スポーク1: 21.1.1.2

スポーク2: 31.1.1.2

リモート IKE ID

スポークの証明書の組織 (O) フィールドに文字列 "XYZ"、組織単位 (OU) フィールドに "Sales" が含まれる識別名 (DN)

ハブの証明書の OU フィールドに文字列 "Sales" が含まれる DN

ローカルIKE ID

ハブの証明書の DN

スポーク証明書のDN

ハブは、スポークの証明書のサブジェクト フィールドに O フィールドに文字列 "XYZ" が含まれ、OU フィールドに "Sales" が含まれている場合、スポークの IKE ID を認証します。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 7 は、この例用に設定するSRXシリーズファイアウォールを示しています。

図 7: ADVPN を使用した AutoVPN の導入ADVPN を使用した AutoVPN の導入

設定

サジェスターの設定 (ハブ)

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

サジェスターを設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルとスタティック ルートを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. 証明書情報を構成します。

  6. ゾーンを設定します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、 、 、 コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pkishow security zonesshow security policies 出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

パートナーの設定(スポーク1)

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルとスタティック ルートを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. 証明書情報を構成します。

  6. ゾーンを設定します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、 、 、 コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pkishow security zonesshow security policies 出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

パートナーの設定(スポーク2)

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルとスタティック ルートを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. 証明書情報を構成します。

  6. ゾーンを設定します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、 、 、 コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pkishow security zonesshow security policies 出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。まず、AutoVPN ハブとスポークの間にトンネルが確立されていることを確認します。トラフィックがハブを介してあるスポークから別のスポークに渡される場合、スポーク間にショートカットを確立できます。ショートカットパートナーがショートカットパートナー間にトンネルを確立していること、およびピアへのルートがパートナーにインストールされていることを確認します。

ハブとスポーク間のトンネルの確認

目的

AutoVPN ハブとスポークの間にトンネルが確立されていることを確認します。あるスポークから別のスポークへの最初のトラフィックは、ハブを通過する必要があります。

アクション

動作モードから、ハブとスポークで および コマンドを入力します。show security ike security-associationsshow security ipsec security-associations

ハブで次のコマンドを入力します。

以下のコマンドがスポーク 1 で入力されます。

以下のコマンドがスポーク 2 で入力されます。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。ハブには、各スポークに1つずつ、合計2つのアクティブなトンネルが表示されています。各スポークは、ハブへのアクティブなトンネルを示しています。

IKE フェーズ 1 の SA がリストされていない場合は、フェーズ 1 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメータは、ハブとスポークで一致する必要があります。

IKE フェーズ 2 に SA がリストされていない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

コマンドは 、OSPFプロトコルから学習されたルーティングテーブル内のエントリーを表示します。show route protocol ospf コマンドは、 OSPF ネイバーに関する情報を表示します。show ospf neighbor

パートナー間のショートカット トンネルの検証

目的

AutoVPN ハブは、トラフィックがそのスポークの 1 つでトンネルを出て、別のスポークでトンネルに入ることを認識した場合、ショートカット サジェストとして機能します。新しい IPsec SA (ショートカット) が、2 つのショートカット パートナー間で確立されます。各パートナーで、パートナーの背後にあるネットワークへのルートは、パートナーとサジェスター (ハブ) の間のトンネルではなく、ショートカット トンネルを指すようになりました。

アクション

動作モードから、スポークで 、 、 、および コマンドを入力します。show security ike security-associationsshow security ipsec security-associationsshow route protocol ospfshow ospf neighbor

ハブで次のコマンドを入力します。

以下のコマンドがスポーク 1 で入力されます。

以下のコマンドがスポーク 2 で入力されます。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。ハブには、各スポークに 1 つずつ、合計 2 つのアクティブなトンネルが表示されています。各スポークには、ハブへのトンネルとショートカット パートナーへの 1 つのアクティブなトンネルが表示されます。

コマンドは、パートナーとハブへのルートの追加を示しています。show route protocol ospf

例:IPv6トラフィック用のOSPFv3を使用したADVPNの設定

この例では、ADVPN ハブと 2 つのスポークを設定してショートカット トンネルを作成し、ハブを介してトラフィックを送信せずにホストが反対側に到達するようにルーティング トポロジを変更する方法を示します。この例では、VPN トンネルを介してパケットを転送するために、OSPFv3 を使用して IPv6 環境の ADVPN を設定します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • ADVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール

  • Junos OS リリース 18.1R1 以降のリリース。

開始する前に、以下を実行します。

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルについて理解している必要があります。

概要

この例では、ADVPN ハブの設定とそれに続く 2 つのスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、サブジェクト フィールドに組織単位 (OU) 値 "SLT" が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。ADVPN ハブとすべてのスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネル オプションは、同じ値である必要があります。 表 4 に、この例で使用するオプションを示します。

表 4: ADPN ハブ アンド スポークの基本的な OSPFv3 設定のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

19

認証アルゴリズム

SHA-384

暗号化アルゴリズム

AES 256 CBC

IKEポリシー:

モード

Main

IPsecプロポーザル:

プロトコル

ESP

ライフタイム秒

3000

暗号化アルゴリズム

AES 256 GCM

IPsecポリシー:

完全転送機密保持(PFS)グループ

19

すべてのデバイスで同じ認証局(CA)が設定されています。

表 5 は、ハブとすべてのスポークで設定されているオプションを示しています。

表 5: ハブおよびすべてのスポークに対する ADVPN OSPFv3 の設定

オプション

ハブ

すべてのスポーク

IKEゲートウェイ:

リモート IP アドレス

動的

2001:db8:2000::1

リモート IKE ID

組織単位(OU)フィールドに文字列 が含まれるスポークの証明書の識別名(DN)SLT

ハブの証明書の DN

ローカルIKE ID

ハブの証明書の DN

スポークの証明書のDN

外部インターフェイス

レス1

スポーク1: ge-0/0/0.0

スポーク2: ge-0/0/0.0

VPN:

バインド インターフェイス

st0.1

st0.1

トンネルの確立

(未設定)

establish-tunnels immediately

表 6 は、スポークごとに異なる構成オプションを示しています。

表 6: OSPFv3 スポーク構成の比較

オプション

スポーク 1

スポーク 2

st0.1インターフェイス

2001:db8:9000::2/64

2001:db8:9000::3/64

内部ネットワークへのインターフェイス

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

インターネットへのインターフェース

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 8 この例では、ADVPN用に設定するSRXシリーズファイアウォールを示しています。

図 8: OSPFv3 を使用した ADVPN の導入OSPFv3 を使用した ADVPN の導入

設定

ADVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ デバイスとスポーク デバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで を入力して 、CA 証明書を読み込みます。yes

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで を入力して 、CA 証明書を読み込みます。yes

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    サブジェクト フィールドに表示される組織単位 (OU) は です。SLT ハブのIKE設定には、スポークを識別するための が含まれています 。ou=SLT

ステップバイステップでの手順

スポーク 2 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで を入力して 、CA 証明書を読み込みます。yes

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    サブジェクト フィールドに表示される組織単位 (OU) は です。SLT ハブのIKE設定には、スポークを識別するための が含まれています 。ou=SLT

ハブの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

  8. シャーシ クラスタの設定

結果

設定モードから、 、 、 コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pkishow chassis cluster 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク2の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 コマンドを入力して設定を確認します。show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki 出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEステータスの確認

目的

IKEステータスを検証します。

アクション

動作モードからshow security ike saコマンドを入力します。

意味

show security ike saコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメータは、ハブとスポークで一致する必要があります。

IPsecステータスの検証

目的

IPsecステータスを検証します。

アクション

動作モードからshow security ipsec sa コマンドを入力します。

意味

show security ipsec sa コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ネクストホップ トンネルの検証

目的

IPsec ネクストホップ トンネルを検証します。

アクション

動作モードからshow security ipsec next-hop-tunnelsコマンドを入力します。

意味

ネクストホップ ゲートウェイは、スポークのインターフェイスの IP アドレスです。st0 Next hopは、適切なIPsec VPN名に関連付けられているはずです。

OSPFv3 の検証

目的

OSPFv3 がスポークのインターフェイスの IP アドレスを参照していることを確認します。st0

アクション

動作モードからshow ospf3 neighbor interfaceコマンドを入力します。

ADVPNショートカットトンネルの確立後、OSPFが迅速にルートを更新できるようにする

問題点

説明

OSPFがルーティングテーブル内のショートカットルートを更新するのに最大9秒かかることがあります。トラフィックがショートカット トンネルに転送されるまでに最大 10 秒かかることがあります。

症状

2 つのショートカット パートナー間でショートカット トンネルが確立されると、OSPF は OSPF hello パケットを開始します。ショートカット トンネルの確立と OSPF ネイバーのインストールのタイミングが原因で、トンネル内の最初のパケットがドロップされる場合があります。これにより、OSPF は OSPF 隣接関係の確立を再試行する可能性があります。

デフォルトでは、OSPF が隣接関係の確立を再試行する間隔は 10 秒です。ショートカット トンネルが確立された後、OSPF がパートナー間の隣接関係を確立するまでに 10 秒以上かかることがあります。

ソリューション

1 秒や 2 秒など、より短い再試行間隔を設定することで、OSPF はショートカット トンネル上でより迅速に隣接関係を確立できます。たとえば、次の構成を使用します。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
23.4R1
iked プロセスによる ADVPN のサポートが Junos OS リリース 23.4R1 で追加されました。
19.2R1
Junos OSリリース19.2R1以降、SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、vSRX仮想ファイアウォール2.0(2つのvCPUを使用)、およびvSRX仮想ファイアウォール3.0(2つのvCPUを使用)シリーズデバイスでは、ポイントツーマルチポイント(P2MP)モードを使用するプロトコル非依存マルチキャスト(PIM)が、PIMに新しいインターフェイスタイプが導入された自動検出VPN をサポートします。p2mp
18.1R1
Junos OS Release 18.1R1以降、ADVPNはkmdプロセスでIPv6をサポートしています。