自動検知 VPN
自動検出VPN(ADVPN)は、スポーク間にVPNトンネルを動的に確立し、ハブを介したトラフィックのルーティングを回避します。
自動検出VPNについて
自動検出VPN(ADVPN)は、中央ハブが2つのスポーク間のトラフィックのより良いパスをスポークに動的に通知できるようにするテクノロジーです。両方のスポークがハブからの情報を確認すると、ショートカット トンネルを確立し、ハブを介してトラフィックを送信せずに反対側に到達するようにホストのルーティング トポロジを変更します。
- ADVPN プロトコル
- ショートカットの確立
- ショートカットイニシエーターとレスポンダーの役割
- ショートカット属性
- ショートカットの終了
- PIM を使用したマルチキャストのサポート
- ADVPN 設定の制限事項
ADVPN プロトコル
ADVPN は、IKEv2 プロトコルの拡張機能を使用して 2 つのピア間でメッセージを交換し、スポークが互いの間にショートカット トンネルを確立できるようにします。ADVPN 拡張をサポートするデバイスは、最初の IKE 交換時に、その機能情報と ADVPN バージョン番号を含む ADVPN_SUPPORTED
通知を IKEv2 通知 ペイロードに送信します。ADVPN をサポートするデバイスは、 ショートカット サジェスター またはショートカット パートナーのいずれかとして機能しますが、両方として機能することはできません。
ショートカットの確立
IPsec VPNゲートウェイは、トラフィックがピアの1つと一緒にトンネルを出て、別のピアと一緒にトンネルに入ることを認識したときの ショートカットサジェストとして機能する ことができます。 図 1 、ハブを通過するスポーク1からスポーク3へのトラフィックを示しています。
デバイスで ADVPN が設定されている場合、ADVPN ショートカット機能情報がハブとスポークの間で交換されます。スポーク 1 とス 3 が以前に ADVPN ショートカット パートナー機能をハブにアドバタイズしている限り、ハブはスポーク 1 と 3 が互いにショートカットを確立することを提案できます。
ショートカット suggester は、ピアと既に確立されている IKEv2 SA を使用して、2 つのピアのいずれかとのショートカット交換を開始します。ピアがショートカット交換を受け入れると、ショートカット サジェスターは他のピアとのショートカット交換を開始します。ショートカット交換には、ピア( ショートカット パートナーと呼ばれる)が相互に IKE および IPsec SA を確立できるようにするための情報が含まれています。ショートカットパートナー間のショートカットの作成は、両方のピアがショートカット交換を受け入れた後にのみ開始されます。
図 2 は、スポーク 1 と 3 の間のショートカットを通過するトラフィックを示しています。スポーク 1 からスポーク 3 へのトラフィックは、ハブを通過する必要はありません。
ショートカットイニシエーターとレスポンダーの役割
ショートカット提案者は、ショートカットのイニシエーターとして機能するショートカットパートナーの 1 つを選択します。もう一方のパートナーはレスポンダーとして機能します。パートナーの1つがNATデバイスの背後にある場合、NATデバイスの背後にあるパートナーがイニシエーターとして選択されます。どのパートナーも NAT デバイスの背後にある場合、サジェスターはパートナーの 1 つをイニシエーターとしてランダムに選択します。もう一方のパートナーはレスポンダーとして機能します。両方のパートナーがNATデバイスの背後にある場合、それらの間にショートカットを作成することはできません。suggester は、どのピアにもショートカット交換を送信しません。
ショートカット サジェスターは、最初にレスポンダーとのショートカット交換を開始します。レスポンダがショートカットの提案を受け入れると、サジェスタはイニシエーターに通知します。
ショートカット イニシエーターは、ショートカット サジェスターの通知に含まれる情報を使用して、レスポンダとの IKEv2 交換を確立し、2 つのパートナー間で新しい IPsec SA を確立します。各パートナーで、パートナーの背後にあるネットワークへのルートが、パートナーと提案者の間のトンネルではなく、ショートカットを指すようになりました。一方のパートナーの背後で発信されたトラフィックは、もう一方のショートカット パートナーの背後にあるネットワークを宛先とし、ショートカット上を流れます。
パートナーがショートカットの提案を拒否した場合、パートナーは拒否の理由を提案者に通知します。この場合、パートナー間のトラフィックは引き続きショートカット サジェスターを通過します。
ショートカット属性
ショートカットはその属性の一部をショートカット サジェスターから受け取りますが、その他の属性はサジェスターパートナー VPN トンネル構成から継承されます。 表 1 は、ショートカットのパラメータを示しています。
属性 |
受信元/継承元 |
---|---|
ADVPN |
設定 |
アンチリプレイ |
設定 |
認証アルゴリズム |
設定 |
デッドピア検出 |
設定 |
DF ビット |
設定 |
暗号化アルゴリズム |
設定 |
トンネルの確立 |
サジェスタ |
外部インターフェイス |
設定 |
ゲートウェイポリシー |
設定 |
一般的な IKE ID |
設定 |
IKE バージョン |
設定 |
インストール間隔 |
設定 |
ローカルアドレス |
設定 |
ローカルID |
サジェスタ |
NAT トラバーサル |
設定 |
完全転送機密保持 |
設定 |
プロトコル |
設定 |
プロキシー ID |
適用外 |
リモート アドレス |
サジェスタ |
リモートID |
サジェスタ |
不適切な SPI への対応 |
設定 |
トラフィックセレクター |
適用外 |
ショートカットの終了
デフォルトでは、ショートカットは無期限に続きます。ショートカットパートナーは、指定された時間にトラフィックが指定されたレートを下回った場合にショートカットを終了します。デフォルトでは、トラフィックが300秒間毎秒5パケットを下回ると、ショートカットは終了します。アイドル時間とアイドルしきい値は、パートナーが構成できます。clear security ike security-association
または clear security ipsec security-association
コマンドを使用していずれかのショートカット パートナーのショートカットを手動で削除し、対応する IKE または IPsec SA をクリアできます。いずれかのショートカット パートナーは、IKEv2 削除ペイロードをもう一方のショートカット パートナーに送信することで、いつでもショートカットを終了できます。
ショートカットが終了すると、対応するIKE SAとすべての子IPsec SAが削除されます。ショートカットが終了すると、対応するルートが両方のショートカット パートナーから削除され、2 つのピア間のトラフィックが再びサジェスターを通過します。ショートカットの終了情報は、パートナーから提案者に送信されます。
ショートカットの有効期間は、ショートカット サジェスターとショートカット パートナー間のトンネルとは無関係です。ショートカットは、単にサジェスターとパートナー間のトンネルが終了したからといって終了することはありません。
PIM を使用したマルチキャストのサポート
SRXシリーズファイアウォールは、ADVPNインフラストラクチャのポイントツーマルチポイント(P2MP)モードでPIM(プロトコル独立マルチキャスト)をサポートします。P2MP モードでは、ファイアウォールのセキュア トンネル インターフェイス st0 で PIM を有効にすることができます。ADVPN での PIM を使用したマルチキャスト トラフィックのサポートは、AutoVPN で提供されるサポートと似ています。ADVPN は、マルチキャスト サポートを設定する際に AutoVPN と同じ考慮事項に従います。P2MP インフラストラクチャでの PIM を使用したマルチキャスト サポートの詳細については、次を参照してください: Auto VPN について。st0 P2MP インターフェイスで PIM を有効にするには
-
kmdプロセスを使用したIPsec VPNサービスの場合、Junos OSリリース19.2R1以降を実行する必要があります。SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、vSRX 2.0(2 vCPU使用)、vSRX 3.0(2 vCPU使用)の各プラットフォームを使用できます。
-
ikedプロセスを使用したIPsec VPNサービスの場合、Junos OSリリース24.2R1以降を実行する必要があります。SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、 SRX4600、vSRX 3.0などのプラットフォームを使用できます。
-
マルチノード高可用性環境では、P2MPマルチキャストはノードローカルトンネルを使用して実現されます。st0インターフェイス上のルーティングプロトコルは、同期状態トンネルをサポートしていません。マルチノード高可用性におけるIPsec VPNのサポートを参照してください。
SRXシリーズファイアウォールの1つはショートカットサジェスターであり、残りのファイアウォールはショートカットパートナーです。通常、マルチキャスト送信者はショートカット サジェスターの背後に存在し、マルチキャスト受信者はショートカット パートナーの背後にあります。マルチキャスト サポートの場合、サジェスターとパートナー デバイスのセキュア トンネル インターフェイス st0 は PIM P2MP モードで設定されます。これらの各デバイスで、st0 P2MP インターフェイスはネイバーごとのすべての PIM ジョイン を追跡し、マルチキャストの転送または複製がジョイン 状態のネイバーに対してのみ行われるようにします。
SRXシリーズファイアウォールは、st0 P2MPインターフェイスを介したPIMスパースモードでIPマルチキャストトラフィックをサポートします。サジェスターは、ファーストホップルーター(FHR)またはランデブーポイント(RP)として機能します。パートナーは、P2MP ネットワークで LHR(ラストホップ ルーター)として機能します。ネットワーク内のデバイスは、マルチキャスト グループ に参加しているネイバーにマルチキャスト データ パケットを複製します。
P2MP インフラストラクチャで PIM を設定する方法の詳細については、次を参照してください: P2MP インフラストラクチャでマルチキャスト サポートを設定する。
ADVPN 設定の制限事項
ADVPN を設定する際は、以下の制限事項に注意してください。
-
ADVPN は、サイト間の通信でのみサポートされます。ADVPN サジェスターの設定は、AutoVPN ハブでのみ許可されています。
-
提案者ロールとパートナー ロールの両方を設定することはできません。ゲートウェイで ADVPN が有効になっている場合、ゲートウェイでサジェスター ロールとパートナー ロールの両方を無効にすることはできません。
-
NAT デバイスの背後にあるパートナー間にショートカットを作成することはできません。サジェスターがショートカット交換を開始できるのは、パートナーの 1 つが NAT デバイスの背後にある場合、またはパートナーが NAT デバイスの背後にある場合のみです。
- ADVPN に IPv6 アドレスを使用するには、次の手順を実行します。
-
kmdプロセスを使用したIPsec VPNサービスの場合、SRXシリーズファイアウォールでJunos OSリリース18.1R1以降を実行する必要があります。
-
ikedプロセスを使用したIPsec VPNサービスの場合、SRXシリーズファイアウォールでJunos OSリリース24.2R1以降を実行する必要があります。
-
すべてのハブおよびスポーク デバイスで P2MP をサポートする st0 インターフェイスを設定する必要があります。
-
OSPFv3などの動的ルーティングプロトコル(DRP)を実行して、ルーティング設定をスタティックトンネル経由のショートカットトンネルに更新する必要があります。
-
IPv6 P2MP st0インターフェイスベースのADVPNではVPNモニター機能を設定できないことに注意してください。
-
-
ADVPN サービスは、IPv6 アドレスまたは IPv4 アドレスのいずれかをサポートする DRP で実行できますが、両方を同時にサポートすることはできません。
-
有効、無効化、役割の変更など、パートナーの構成変更の場合、ikedは以下を行います。
静的IKE SAとIPsec SAを破棄して再ネゴシエートし、新しい機能を交換します。
ショートカットIKE SAとIPsec SA、および存在する候補情報を消去します。
-
次のような ADVPN 以外の設定変更の場合:
静的IKE SAとIPsec SAの両方のクリアにつながる静的トンネル構成の変更により、ikedはショートカットIKE SAとIPsec SAを破棄します。ikedは提案情報をクリーンアップします。ショートカット トンネルは、提案者からショートカットの提案を受け取るまで、再度再ネゴシエートしません。
静的トンネルIPsec SAのみのクリアにつながる静的トンネル構成の変更により、ikedはショートカットIKE SAとIPsec SAを破棄します。ikedは提案情報をクリーンアップします。ショートカット トンネルは、提案者からショートカットの提案を受け取るまで、再度再ネゴシエートしません。
ADVPN では、kmd プロセスと iked プロセスの両方で、以下の設定はサポートされていません。
-
IKEv1
-
ポリシーベース VPN
-
IKEv2 構成ペイロード
-
トラフィックセレクター
-
ポイントツーポイントのセキュアなトンネルインターフェイス
-
シードされた事前共有鍵
-
共有事前共有鍵 - kmd プロセスには対応していません
ショートカットトンネルによるトラフィックルーティングについて
トンネルのフラップや致命的な変更により、静的トンネルとショートカット トンネルの両方がダウンする可能性があります。この場合、特定の宛先へのトラフィックが、予期されるスタティック トンネルではなく、予期しないショートカット トンネルを介してルーティングされる可能性があります。
図 3では、ハブと各スポークの間にスタティック トンネルが存在します。OSPF 隣接関係は、ハブとスポークの間に確立されます。また、スポーク A にはスポーク B とのショートカット トンネルがあり、スポーク間で OSPF 隣接関係が確立されています。ハブ(ショートカットサジェスター)は、ハブとスポークA間の接続がダウンした場合、スポークBとスポークAの間のショートカットトンネルを介してスポークAのネットワークに到達できることを認識します。
図 4では、ハブとスポーク A 間の静的トンネルがダウンしています。スポーク C からスポーク A への新しいトラフィックがある場合、スポーク C にはスポーク A とのショートカット トンネルがないため、スポーク C はトラフィックをハブに転送します。ハブにはスポーク A とのアクティブな静的トンネルはありませんが、スポーク A とスポーク B の間にショートカット トンネルがあることを認識し、スポーク C からスポーク B にトラフィックを転送します。
スポーク B とスポーク C の両方が ADVPN(自動検出 VPN)パートナー機能をサポートしている限り、ハブはスポークが相互に直接ショートカットを確立することを提案できます。これは、2 つのスポーク間に直接トラフィックがない場合でも発生します。スポーク C からスポーク A へのトラフィックは、スポーク C とスポーク B の間のショートカット トンネルを経由し、次にスポーク B とスポーク A の間のショートカット トンネルを通過します( 図 5 を参照)。
ハブとスポーク A 間の静的トンネルが再確立されると、トンネルはすべてのスポークにアドバタイズされます。スポーク C は、スポーク A に到達するためのより良いルートがあることを学習します。トラフィックをスポーク B に通す代わりに、スポーク A のトラフィックをハブに転送します。ハブは、スポーク C とスポーク A の間にショートカット トンネルを確立することを提案しています。スポーク C とスポーク A の間にショートカット トンネルが確立されると、トラフィックはショートカット トンネルを通過します( 図 6 を参照)。スポーク C とスポーク A 間のトラフィックはスポーク B を経由しなくなり、スポーク B とスポーク C の間のショートカット トンネルは最終的に消えます。
[edit security ike gateway gateway-name advpn partner
] 階層レベルで [connection-limit
] オプションを使用すると、特定のゲートウェイを使用して異なるショートカット パートナーで作成できるショートカット トンネルの最大数を設定できます。デフォルトでもある最大数は、プラットフォームによって異なります。
関連項目
例:自動検出 VPN 動的トンネルによるネットワーク リソース使用率の向上
AutoVPN ネットワークを展開する場合は、自動検出 VPN(ADVPN)を設定することで、ネットワーク リソースの使用率を高めることができる場合があります。AutoVPN ネットワークでは、トラフィックがスポーク間で移動している場合でも、VPN トラフィックはハブを通過します。ADVPN を使用すると、スポーク間で VPN トンネルを動的に確立できるため、ネットワーク リソースの使用率が向上します。この例では、AutoVPN ネットワークで動的なスポークツースポーク VPN トンネルを有効にするように ADVPN を設定するには、この例を使用します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
AutoVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール。
ADVPN をサポートする Junos OS リリース 12.3X48-D10 以降のリリース。
ハブに登録されているデジタル証明書と、デバイスが相互に認証できるようにするスポーク。
開始する前に、以下を実行します。
ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。ローカル証明書要求についてを参照してください。
各デバイスにデジタル証明書を登録します。「例 :CA 証明書とローカル証明書を手動で読み込む。
この例では、OSPF ダイナミック ルーティング プロトコルとスタティック ルート構成を使用して、VPN トンネル経由でパケットを転送します。VPN トンネルを介してパケットを転送するために使用される OSPF 動的ルーティング プロトコルについて理解している必要があります。
概要
この例では、ADVPN用のAutoVPNハブと2つのスポークの設定を示します。スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。トラフィックは最初にハブを介して一方のスポークから他方のスポークに渡されますが、ADVPNを使用すると、スポークは互いに直接セキュリティアソシエーションを確立できます。ハブはショートカットサジェスターとして機能します。ハブでは、ADVPN 設定によって partner
ロールが無効になります。スポークでは、ADVPN 設定によって suggester
ロールが無効になります。
AutoVPN ハブとスポークで設定された特定のフェーズ 1 およびフェーズ 2 IKE トンネル オプションは、同じ値を持つ必要があります。 表 2 に、この例で使用されている値を示します。
オプション |
値 |
---|---|
IKEプロポーザル: |
|
認証方法 |
rsa-signatures |
Diffie-Hellman(DH)グループ |
group5 |
認証アルゴリズム |
sha1 |
暗号化アルゴリズム |
aes-256-cbc |
IKEポリシー: |
|
証書 |
ローカル証明書 |
IKEゲートウェイ: |
|
バージョン |
v2 のみ |
IPsecプロポーザル: |
|
プロトコル |
esp |
認証アルゴリズム |
hmac-sha1-96 |
暗号化アルゴリズム |
aes-256-cbc |
IPsecポリシー: |
|
完全転送機密保持(PFS)グループ |
グループ5 |
ハブおよびスポークのIKEゲートウェイ設定には、VPNピアを識別するリモートおよびローカルの値が含まれます。 表 3 に、この例でのハブとスポークのIKEゲートウェイ設定を示します。
オプション |
ハブ |
スポーク |
---|---|---|
リモート IP アドレス |
動的 |
スポーク1: 11.1.1.1 スポーク2: 11.1.1.1 |
ローカルIPアドレス |
11.1.1.1 |
スポーク1: 21.1.1.2 スポーク2: 31.1.1.2 |
リモート IKE ID |
スポークの証明書の組織 (O) フィールドに文字列 "XYZ"、組織単位 (OU) フィールドに "Sales" が含まれる識別名 (DN) |
ハブの証明書の OU フィールドに文字列 "Sales" が含まれる DN |
ローカルIKE ID |
ハブの証明書の DN |
スポーク証明書のDN |
ハブは、スポークの証明書のサブジェクト フィールドに O フィールドに文字列 "XYZ" が含まれ、OU フィールドに "Sales" が含まれている場合、スポークの IKE ID を認証します。
この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。
設定
サジェスターの設定 (ハブ)
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルでCLIにコピーアンドペーストして、設定モードから commit
を入力します。
set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-0/0/4 gigether-options redundant-parent reth1 set interfaces ge-7/0/3 gigether-options redundant-parent reth0 set interfaces ge-7/0/4 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 10.1.1.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 11.1.1.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 172.16.1.1/24 set protocols ospf graceful-restart restart-duration 300 set protocols ospf graceful-restart notify-duration 300 set protocols ospf graceful-restart no-strict-lsa-checking set protocols ospf area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.1 metric 10 set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40 set protocols ospf area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf area 0.0.0.0 interface reth0.0 set routing-options graceful-restart set routing-options static route 21.1.1.0/24 next-hop 11.1.1.2 set routing-options static route 31.1.1.0/24 next-hop 11.1.1.2 set routing-options router-id 172.16.1.1 set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate Suggester_Certificate_ID set security ike gateway SUGGESTER_GW ike-policy IKE_POL set security ike gateway SUGGESTER_GW dynamic distinguished-name wildcard O=XYZ, OU=Sales set security ike gateway SUGGESTER_GW dynamic ike-user-type group-ike-id set security ike gateway SUGGESTER_GW dead-peer-detection set security ike gateway SUGGESTER_GW local-identity distinguished-name set security ike gateway SUGGESTER_GW external-interface reth1.0 set security ike gateway SUGGESTER_GW local-address 11.1.1.1 set security ike gateway SUGGESTER_GW advpn partner disable set security ike gateway SUGGESTER_GW advpn suggester set security ike gateway SUGGESTER_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn SUGGESTER_VPN bind-interface st0.1 set security ipsec vpn SUGGESTER_VPN ike gateway SUGGESTER_GW set security ipsec vpn SUGGESTER_VPN ike ipsec-policy IPSEC_POL set security pki ca-profile advpn ca-identity advpn set security pki ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/ set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
サジェスターを設定するには:
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-0/0/4 gigether-options redundant-parent reth1 user@host# set ge-7/0/3 gigether-options redundant-parent reth0 user@host# set ge-7/0/4 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 10.1.1.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 11.1.1.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 172.16.1.1/24
ルーティング プロトコルとスタティック ルートを設定します。
[edit protocols ospf] user@host# set graceful-restart restart-duration 300 user@host# set graceful-restart notify-duration 300 user@host# set graceful-restart no-strict-lsa-checking user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 metric 10 user@host# set area 0.0.0.0 interface st0.1 retransmit-interval 1 user@host# set area 0.0.0.0 interface st0.1 dead-interval 40 user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface reth0.0 [edit routing-options] user@host# set graceful-restart user@host# set static route 21.1.1.0/24 next-hop 11.1.1.2 user@host# set static route 31.1.1.0/24 next-hop 11.1.1.2 user@host# set router-id 172.16.1.1
フェーズ1のオプションを設定します。
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate Suggester_Certificate_ID [edit security ike gateway SUGGESTER_GW] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard O=XYZ, OU=Sales user@host# set dynamic ike-user-type group-ike-id user@host# set dead-peer-detection user@host# set local-identity distinguished-name user@host# set external-interface reth1.0 user@host# set local-address 11.1.1.1 user@host# set advpn partner disable user@host# set advpn suggester user@host# set version v2-only
フェーズ2のオプションを設定します。
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security isec vpn SUGGESTER_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway SUGGESTER_GW user@host# set ike ipsec-policy IPSEC_POL
証明書情報を構成します。
[edit security pki] user@host# set ca-profile advpn ca-identity advpn user@host# set ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/
ゾーンを設定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth1.0
デフォルトのセキュリティポリシーを設定します。
[edit security policies] user@host# set default-policy permit-all
結果
設定モードから、 show interfaces
、 show protocols
、 show routing-options
、 show security ike
、 show security ipsec
、 show security pki
、 show security zones
、および show security policies
コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/3 { gigether-options { redundant-parent reth0; } } ge-0/0/4 { gigether-options { redundant-parent reth1; } } ge-7/0/3 { gigether-options { redundant-parent reth0; } } ge-7/0/4 { gigether-options { redundant-parent reth1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 10.1.1.1/24; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 11.1.1.1/24; } } } st0 { unit 1 { multipoint; family inet { address 172.16.1.1/24; } } } [edit] user@host# show protocols ospf { graceful-restart { restart-duration 300; notify-duration 300; no-strict-lsa-checking; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; metric 10; retransmit-interval 1; dead-interval 40; demand-circuit; dynamic-neighbors; } interface reth0.0; } } [edit] user@host# show routing-options graceful-restart; static { route 21.1.1.0/24 next-hop 11.1.1.2; route 31.1.1.0/24 next-hop 11.1.1.2; } router-id 172.16.1.1; [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; certificate { local-certificate Suggester_Certificate_ID; } } gateway SUGGESTER_GW { ike-policy IKE_POL; dynamic { distinguished-name { wildcard O=XYZ, OU=Sales; } ike-user-type group-ike-id; } dead-peer-detection { } local-identity distinguished-name; external-interface reth1.0 local-address 11.1.1.1; advpn { partner { disable; } suggester { ] } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn SUGGESTER_VPN { bind-interface st0.1; ike { gateway SUGGESTER_GW; ipsec-policy IPSEC_POL; } } [edit] user@host# show security pki ca-profile advpn { ca-identity advpn; enrollment { url http://10.157.92.176:8080/scep/advpn/; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
パートナーの設定(スポーク1)
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルでCLIにコピーアンドペーストして、設定モードから commit
を入力します。
set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-0/0/4 gigether-options redundant-parent reth1 set interfaces ge-7/0/3 gigether-options redundant-parent reth0 set interfaces ge-7/0/4 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 25.1.1.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 21.1.1.2/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 172.16.1.2/24 set protocols ospf graceful-restart restart-duration 300 set protocols ospf graceful-restart notify-duration 300 set protocols ospf graceful-restart no-strict-lsa-checking set protocols ospf area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.1 metric 15 set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40 set protocols ospf area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf area 0.0.0.0 interface reth0.0 set routing-options graceful-restart set routing-options static route 11.1.1.0/24 next-hop 21.1.1.1 set routing-options static route 31.1.1.0/24 next-hop 21.1.1.1 set routing-options router-id 172.16.1.2 set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate Partner1_Certificate_ID set security ike gateway PARTNER_GW ike-policy IKE_POL set security ike gateway PARTNER_GW address 11.1.1.1 set security ike gateway PARTNER_GW local-identity distinguished-name set security ike gateway PARTNER_GW remote-identity distinguished-name container OU=Sales set security ike gateway PARTNER_GW external-interface reth1 set security ike gateway PARTNER_GW local-address 21.1.1.2 set security ike gateway PARTNER_GW advpn suggester disable set security ike gateway PARTNER_GW advpn partner set security ike gateway PARTNER_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn PARTNER_VPN bind-interface st0.1 set security ipsec vpn PARTNER_VPN ike gateway PARTNER_GW set security ipsec vpn PARTNER_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn PARTNER_VPN establish-tunnels immediately set security pki ca-profile advpn ca-identity advpn set security pki ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/ set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
スポーク 1 を設定するには:
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-0/0/4 gigether-options redundant-parent reth1 user@host# set ge-7/0/3 gigether-options redundant-parent reth0 user@host# set ge-7/0/4 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 25.1.1.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 21.1.1.2/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 172.16.1.2/24
ルーティング プロトコルとスタティック ルートを設定します。
[edit protocols ospf] user@host# set graceful-restart restart-duration 300 user@host# set graceful-restart notify-duration 300 user@host# set graceful-restart no-strict-lsa-checking user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 metric 15 user@host# set area 0.0.0.0 interface st0.1 retransmit-interval 1 user@host# set area 0.0.0.0 interface st0.1 dead-interval 40 user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set protocols ospf area 0.0.0.0 interface reth0.0 [edit routing-options] user@host# set graceful-restart user@host# set static route 11.1.1.0/24 next-hop 21.1.1.1 user@host# set static route 31.1.1.0/24 next-hop 21.1.1.1 user@host# set router-id 172.16.1.2
フェーズ1のオプションを設定します。
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate Partner1_Certificate_ID [edit security ike gateway PARTNER_GW] user@host# set ike-policy IKE_POL user@host# set address 11.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=Sales user@host# set external-interface reth1 user@host# set local-address 21.1.1.2 user@host# set advpn suggester disable user@host# set advpn partner user@host# set version v2-only
フェーズ2のオプションを設定します。
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security isec vpn PARTNER_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway PARTNER_GW user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
証明書情報を構成します。
[edit security pki] user@host# set ca-profile advpn ca-identity advpn user@host# set ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/
ゾーンを設定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth1.0
デフォルトのセキュリティポリシーを設定します。
[edit security policies] user@host# set default-policy permit-all
結果
設定モードから、 show interfaces
、 show protocols
、 show routing-options
、 show security ike
、 show security ipsec
、 show security pki
、 show security zones
、および show security policies
コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/3 { gigether-options { redundant-parent reth0; } } ge-0/0/4 { gigether-options { redundant-parent reth1; } } ge-7/0/3 { gigether-options { redundant-parent reth0; } } ge-7/0/4 { gigether-options { redundant-parent reth1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 25.1.1.1/24; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 21.1.1.2/24; } } } st0 { unit 1 { multipoint; family inet { address 172.16.1.2/24; } } } [edit] user@host# show protocols ospf { graceful-restart { restart-duration 300; notify-duration 300; no-strict-lsa-checking; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; metric 15; retransmit-interval 1; dead-interval 40; demand-circuit; dynamic-neighbors; } interface reth0.0; } } [edit] user@host# show routing-options graceful-restart; static { route 11.1.1.0/24 next-hop 21.1.1.1; route 31.1.1.0/24 next-hop 21.1.1.1; } router-id 172.16.1.2; [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; certificate { local-certificate Partner1_Certificate_ID; } } gateway PARTNER_GW { ike-policy IKE_POL; address 11.1.1.1; local-identity distinguished-name; remote-identity distinguished-name container OU=Sales; external-interface reth1; local-address 21.1.1.2; advpn { suggester { disable; } partner { } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn PARTNER_VPN { bind-interface st0.1; ike { gateway PARTNER_GW; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security pki ca-profile advpn { ca-identity advpn; enrollment { url http://10.157.92.176:8080/scep/advpn/; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
パートナーの設定(スポーク2)
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルでCLIにコピーアンドペーストして、設定モードから commit
を入力します。
set interfaces ge-0/0/2 unit 0 family inet address 31.1.1.2/24 set interfaces ge-0/0/4 unit 0 family inet address 36.1.1.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 172.16.1.3/24 set protocols ospf graceful-restart restart-duration 300 set protocols ospf graceful-restart notify-duration 300 set protocols ospf graceful-restart no-strict-lsa-checking set protocols ospf area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.1 metric 15 set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40 set protocols ospf area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf area 0.0.0.0 interface ge-0/0/4.0 set routing-options graceful-restart set routing-options static route 11.1.1.0/24 next-hop 31.1.1.1 set routing-options static route 21.1.1.0/24 next-hop 31.1.1.1 set routing-options router-id 172.16.1.3 set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate Partner2_Certificate_ID set security ike gateway PARTNER_GW ike-policy IKE_POL set security ike gateway PARTNER_GW address 11.1.1.1 set security ike gateway PARTNER_GW dead-peer-detection set security ike gateway PARTNER_GW local-identity distinguished-name set security ike gateway PARTNER_GW remote-identity distinguished-name container OU=Sales set security ike gateway PARTNER_GW external-interface ge-0/0/2.0 set security ike gateway PARTNER_GW local-address 31.1.1.2 set security ike gateway PARTNER_GW advpn suggester disable set security ike gateway PARTNER_GW advpn partner set security ike gateway PARTNER_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn PARTNER_VPN bind-interface st0.1 set security ipsec vpn PARTNER_VPN ike gateway PARTNER_GW set security ipsec vpn PARTNER_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn PARTNER_VPN establish-tunnels immediately set security pki ca-profile advpn ca-identity advpn set security pki ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/ set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/4.0 set security zones security-zone trust interfaces st0.1 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/2.0 set security policies default-policy permit-all
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
スポーク 2 を設定するには:
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/2 unit 0 family inet address 31.1.1.2/24 user@host# set ge-0/0/4 unit 0 family inet address 36.1.1.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 172.16.1.3/24
ルーティング プロトコルとスタティック ルートを設定します。
[edit protocols ospf user@host# set graceful-restart restart-duration 300 user@host# set graceful-restart notify-duration 300 user@host# set graceful-restart no-strict-lsa-checking user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 metric 15 user@host# set area 0.0.0.0 interface st0.1 retransmit-interval 1 user@host# set area 0.0.0.0 interface st0.1 dead-interval 40 user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/4.0 [edit routing-options] user@host# set graceful-restart user@host# set static route 11.1.1.0/24 next-hop 31.1.1.1 user@host# set static route 21.1.1.0/24 next-hop 31.1.1.1 user@host# set router-id 172.16.1.3
フェーズ1のオプションを設定します。
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate Partner2_Certificate_ID [edit security ike gateway PARTNER_GW] user@host# set ike-policy IKE_POL user@host# set address 11.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=Sales user@host# set external-interface ge-0/0/2.0 user@host# set local-address 31.1.1.2 user@host# set advpn suggester disable user@host# set advpn partner user@host# set version v2-only
フェーズ2のオプションを設定します。
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security isec vpn PARTNER_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway PARTNER_GW user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
証明書情報を構成します。
[edit security pki] user@host# set ca-profile advpn ca-identity advpn user@host# set ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/
ゾーンを設定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/4.0 user@host# set interfaces st0.1 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/2.0
デフォルトのセキュリティポリシーを設定します。
[edit security policies] user@host# set default-policy permit-all
結果
設定モードから、 show interfaces
、 show protocols
、 show routing-options
、 show security ike
、 show security ipsec
、 show security pki
、 show security zones
、および show security policies
コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/2 { unit 0 { family inet { address 31.1.1.2/24; } } } ge-0/0/4{ unit 0 { family inet { address 36.1.1.1/24; } } } st0 { unit 1 { multipoint; family inet { address 172.16.1.3/24; } } } [edit] user@host# show protocols ospf { graceful-restart { restart-duration 300; notify-duration 300; no-strict-lsa-checking; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; metric 15; retransmit-interval 1; dead-interval 40; demand-circuit; dynamic-neighbors; } interface ge-0/0/4.0; } } [edit] user@host# show routing-options graceful-restart; static { route 11.1.1.0/24 next-hop 31.1.1.1; route 21.1.1.0/24 next-hop 31.1.1.1; } router-id 172.16.1.3; [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; certificate { local-certificate Partner2_Certificate_ID } } gateway PARTNER_GW { ike-policy IKE_POL; address 11.1.1.1; local-identity distinguished-name; remote-identity distinguished-name container OU=Sales; external-interface ge-0/0/2.0; local-address 31.1.1.2; advpn { suggester{ disable; } partner { } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn PARTNER_VPN { bind-interface st0.1; ike { gateway PARTNER_GW; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security pki ca-profile advpn { ca-identity advpn; enrollment { url http://10.157.92.176:8080/scep/advpn/; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/4.0; st0.1; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } } [edit] user@host# show security policies default-policy { permit-all; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認します。まず、AutoVPN ハブとスポークの間にトンネルが確立されていることを確認します。トラフィックがハブを介してあるスポークから別のスポークに渡される場合、スポーク間にショートカットを確立できます。ショートカットパートナーがショートカットパートナー間にトンネルを確立していること、およびピアへのルートがパートナーにインストールされていることを確認します。
ハブとスポーク間のトンネルの確認
目的
AutoVPN ハブとスポークの間にトンネルが確立されていることを確認します。あるスポークから別のスポークへの最初のトラフィックは、ハブを通過する必要があります。
アクション
動作モードから、ハブとスポークで show security ike security-associations
コマンドと show security ipsec security-associations
コマンドを入力します。
ハブで次のコマンドを入力します。
user@host> show security ike security-associations node1: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 10957048 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 31.1.1.2 10957049 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 21.1.1.2
user@host> show security ike security-associations detail node1: -------------------------------------------------------------------------- IKE peer 31.1.1.2, Index 10957048, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Lifetime: Expires in 28196 seconds Peer ike-id: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2030 Output bytes : 2023 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created IKE peer 21.1.1.2, Index 10957049, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Lifetime: Expires in 28219 seconds Peer ike-id: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2030 Output bytes : 2023 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node1: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <201326593 ESP:aes-cbc-256/sha1 44ccf265 2999/ unlim - root 500 31.1.1.2 >201326593 ESP:aes-cbc-256/sha1 a9d301b0 2999/ unlim - root 500 31.1.1.2 <201326594 ESP:aes-cbc-256/sha1 98a2b155 3022/ unlim - root 500 21.1.1.2 >201326594 ESP:aes-cbc-256/sha1 de912bcd 3022/ unlim - root 500 21.1.1.2
user@host> show security ipsec security-associations detail node1: -------------------------------------------------------------------------- ID: 201326593 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 31.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 2, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 12:57:48 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:57:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:57:48 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2991 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2414 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2991 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2414 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 201326594 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 21.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 3, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 12:58:11 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:58:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:58:11 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 3014 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2436 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 3014 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2436 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 28 destinations, 28 routes (27 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 25.1.1.0/24 *[OSPF/10] 00:00:27, metric 11 > to 172.16.1.2 via st0.1 36.1.1.0/24 *[OSPF/10] 00:00:27, metric 11 > to 172.16.1.3 via st0.1 172.16.1.2/32 *[OSPF/10] 00:00:27, metric 10 > to 172.16.1.2 via st0.1 172.16.1.3/32 *[OSPF/10] 00:00:27, metric 10 > to 172.16.1.3 via st0.1 224.0.0.5/32 *[OSPF/10] 00:00:48, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.3 st0.1 Full 172.16.1.3 128 - 172.16.1.2 st0.1 Full 172.16.1.2 128 -
以下のコマンドがスポーク 1 で入力されます。
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 578872 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 11.1.1.1
user@host> show security ike security-associations detail node0: -------------------------------------------------------------------------- IKE peer 11.1.1.1, Index 578872, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 28183 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2023 Output bytes : 2030 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 de912bcd 2985/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 98a2b155 2985/ unlim - root 500 11.1.1.1
user@host> show security ipsec security-associations detail node0: -------------------------------------------------------------------------- ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 21.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:58:11 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:58:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:58:11 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 2980 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2358 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 2980 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2358 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 29 destinations, 29 routes (28 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:11:46, metric 16 > to 172.16.1.1 via st0.1 36.1.1.0/24 *[OSPF/10] 00:11:46, metric 26 > to 172.16.1.1 via st0.1 172.16.1.1/32 *[OSPF/10] 00:11:46, metric 15 > to 172.16.1.1 via st0.1 172.16.1.3/32 *[OSPF/10] 00:11:46, metric 25 > to 172.16.1.1 via st0.1 224.0.0.5/32 *[OSPF/10] 00:16:52, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.1 st0.1 Full 172.16.1.1 128 -
以下のコマンドがスポーク 2 で入力されます。
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2299162 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 11.1.1.1
user@host> show security ike security-associations detail IKE peer 11.1.1.1, Index 2299162, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 28135 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2023 Output bytes : 2030 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 a9d301b0 2936/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 44ccf265 2936/ unlim - root 500 11.1.1.1
user@host> show security ipsec security-associations detail ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 31.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:57:48 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:57:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:57:48 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2933 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2311 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2933 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2311 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 36 destinations, 36 routes (35 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:00:09, metric 16 > to 172.16.1.1 via st0.1 25.1.1.0/24 *[OSPF/10] 00:00:09, metric 26 > to 172.16.1.1 via st0.1 172.16.1.1/32 *[OSPF/10] 00:00:09, metric 15 > to 172.16.1.1 via st0.1 172.16.1.2/32 *[OSPF/10] 00:00:09, metric 25 > to 172.16.1.1 via st0.1 224.0.0.5/32 *[OSPF/10] 00:17:52, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.1 st0.1 Full 172.16.1.1 128 -
意味
show security ike security-associations
コマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。show security ipsec security-associations
コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。ハブには、各スポークに1つずつ、合計2つのアクティブなトンネルが表示されています。各スポークは、ハブへのアクティブなトンネルを示しています。
IKE フェーズ 1 の SA がリストされていない場合は、フェーズ 1 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメータは、ハブとスポークで一致する必要があります。
IKE フェーズ 2 に SA がリストされていない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。
show route protocol ospf
コマンドは、OSPF プロトコルから学習されたルーティング テーブル内のエントリを表示します。show ospf neighbor
コマンドは、OSPF ネイバーに関する情報を表示します。
パートナー間のショートカット トンネルの検証
目的
AutoVPN ハブは、トラフィックがそのスポークの 1 つでトンネルを出て、別のスポークでトンネルに入ることを認識した場合、ショートカット サジェストとして機能します。新しい IPsec SA (ショートカット) が、2 つのショートカット パートナー間で確立されます。各パートナーで、パートナーの背後にあるネットワークへのルートは、パートナーとサジェスター (ハブ) の間のトンネルではなく、ショートカット トンネルを指すようになりました。
アクション
動作モードから、スポークの show security ike security-associations
、 show security ipsec security-associations
、 show route protocol ospf
、および show ospf neighbor
コマンドを入力します。
ハブで次のコマンドを入力します。
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 10957048 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 31.1.1.2 10957049 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 21.1.1.2
user@host> show security ike security-associations detail node0: -------------------------------------------------------------------------- IKE peer 31.1.1.2, Index 10957048, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Lifetime: Expires in 27781 seconds Peer ike-id: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 260 Output bytes : 548 Input packets: 3 Output packets: 3 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created IKE peer 21.1.1.2, Index 10957049, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Lifetime: Expires in 27804 seconds Peer ike-id: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 244 Output bytes : 548 Input packets: 3 Output packets: 3 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- s Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <201326593 ESP:aes-cbc-256/sha1 44ccf265 2584/ unlim - root 500 31.1.1.2 >201326593 ESP:aes-cbc-256/sha1 a9d301b0 2584/ unlim - root 500 31.1.1.2 <201326594 ESP:aes-cbc-256/sha1 98a2b155 2607/ unlim - root 500 21.1.1.2 >201326594 ESP:aes-cbc-256/sha1 de912bcd 2607/ unlim - root 500 21.1.1.2
user@host> show security ipsec security-associations detail node0: -------------------------------------------------------------------------- ID: 201326593 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 31.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 13:09:48 -0800: Bind-interface's address received. Information updated (1 times) Tue Jan 13 2015 13:09:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Direction: inbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2578 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2001 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2578 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2001 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 201326594 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 21.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 13:09:48 -0800: Bind-interface's address received. Information updated (1 times) Tue Jan 13 2015 13:09:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Direction: inbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 2601 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2023 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 2601 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2023 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 28 destinations, 28 routes (27 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 25.1.1.0/24 *[OSPF/10] 00:04:49, metric 11 > to 172.16.1.2 via st0.1 36.1.1.0/24 *[OSPF/10] 00:04:49, metric 11 > to 172.16.1.3 via st0.1 172.16.1.2/32 *[OSPF/10] 00:04:49, metric 10 > to 172.16.1.2 via st0.1 172.16.1.3/32 *[OSPF/10] 00:04:49, metric 10 > to 172.16.1.3 via st0.1 224.0.0.5/32 *[OSPF/10] 00:05:10, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.3 st0.1 Full 172.16.1.3 128 - 172.16.1.2 st0.1 Full 172.16.1.2 128 -
以下のコマンドがスポーク 1 で入力されます。
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 578872 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 11.1.1.1 578873 UP 895e4d9c7c5da7a4 17de7f18b45139b4 IKEv2 31.1.1.2
user@host> show security ike security-associations detail node0: -------------------------------------------------------------------------- IKE peer 11.1.1.1, Index 578872, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 27906 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2495 Output bytes : 2274 Input packets: 6 Output packets: 7 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created IKE peer 31.1.1.2, Index 578873, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Shortcut, Local Capability: Partner, Peer Capability: Partner Role: Initiator, State: UP Initiator cookie: 895e4d9c7c5da7a4, Responder cookie: 17de7f18b45139b4 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 21.1.1.2:500, Remote: 31.1.1.2:500 Lifetime: Expires in 28787 seconds Peer ike-id: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 1855 Output bytes : 1990 Input packets: 2 Output packets: 2 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 21.1.1.2:500, Remote: 31.1.1.2:500 Local identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 de912bcd 2709/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 98a2b155 2709/ unlim - root 500 11.1.1.1 <67108868 ESP:aes-cbc-256/sha1 75d0177b 3590/ unlim - root 500 31.1.1.2 >67108868 ESP:aes-cbc-256/sha1 e4919d73 3590/ unlim - root 500 31.1.1.2
user@host> show security ipsec security-associations detail node0: -------------------------------------------------------------------------- ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 21.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:58:11 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:58:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:58:11 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 2701 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2079 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 2701 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2079 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 67108868 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 21.1.1.2, Remote Gateway: 31.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Auto Discovery VPN: Type: Shortcut, Shortcut Role: Initiator Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x40608a29 Tunnel events: Tue Jan 13 2015 13:12:52 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 13:12:52 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 13:12:52 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: 75d0177b, AUX-SPI: 0 Hard lifetime: Expires in 3582 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2959 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: e4919d73, AUX-SPI: 0 Hard lifetime: Expires in 3582 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2959 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 29 destinations, 29 routes (28 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:03:29, metric 16 > to 172.16.1.1 via st0.1 36.1.1.0/24 *[OSPF/10] 00:00:35, metric 16 > to 172.16.1.3 via st0.1 172.16.1.1/32 *[OSPF/10] 00:03:29, metric 15 > to 172.16.1.1 via st0.1 172.16.1.3/32 *[OSPF/10] 00:00:35, metric 15 > to 172.16.1.3 via st0.1 224.0.0.5/32 *[OSPF/10] 00:20:22, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.3 st0.1 Full 172.16.1.3 128 - 172.16.1.1 st0.1 Full 172.16.1.1 128
以下のコマンドがスポーク 2 で入力されます。
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2299162 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 11.1.1.1 2299163 UP 895e4d9c7c5da7a4 17de7f18b45139b4 IKEv2 21.1.1.2
user@host> show security ike security-associations detail IKE peer 11.1.1.1, Index 2299162, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 27835 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2571 Output bytes : 2290 Input packets: 7 Output packets: 7 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created IKE peer 21.1.1.2, Index 2299163, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Shortcut, Local Capability: Partner, Peer Capability: Partner Role: Responder, State: UP Initiator cookie: 895e4d9c7c5da7a4, Responder cookie: 17de7f18b45139b4 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 31.1.1.2:500, Remote: 21.1.1.2:500 Lifetime: Expires in 28739 seconds Peer ike-id: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2066 Output bytes : 1931 Input packets: 3 Output packets: 3 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 31.1.1.2:500, Remote: 21.1.1.2:500 Local identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 a9d301b0 2638/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 44ccf265 2638/ unlim - root 500 11.1.1.1 <67108868 ESP:aes-cbc-256/sha1 e4919d73 3542/ unlim - root 500 21.1.1.2 >67108868 ESP:aes-cbc-256/sha1 75d0177b 3542/ unlim - root 500 21.1.1.2
user@host> show security ipsec security-associations detail ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 31.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:57:48 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:57:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:57:48 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2632 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2010 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2632 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2010 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 67108868 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 31.1.1.2, Remote Gateway: 21.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Auto Discovery VPN: Type: Shortcut, Shortcut Role: Responder Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x40608aa9 Tunnel events: Tue Jan 13 2015 13:12:52 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 13:12:52 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 13:12:52 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: e4919d73, AUX-SPI: 0 Hard lifetime: Expires in 3536 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2958 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 75d0177b, AUX-SPI: 0 Hard lifetime: Expires in 3536 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2958 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 36 destinations, 36 routes (35 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:03:55, metric 16 > to 172.16.1.1 via st0.1 25.1.1.0/24 *[OSPF/10] 00:01:02, metric 16 > to 172.16.1.2 via st0.1 172.16.1.1/32 *[OSPF/10] 00:03:55, metric 15 > to 172.16.1.1 via st0.1 172.16.1.2/32 *[OSPF/10] 00:01:02, metric 15 > to 172.16.1.2 via st0.1 224.0.0.5/32 *[OSPF/10] 00:21:38, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.2 st0.1 Full 172.16.1.2 128 - 172.16.1.1 st0.1 Full 172.16.1.1 128 -
意味
show security ike security-associations
コマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。show security ipsec security-associations
コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。ハブには、各スポークに 1 つずつ、合計 2 つのアクティブなトンネルが表示されています。各スポークには、ハブへのトンネルとショートカット パートナーへの 1 つのアクティブなトンネルが表示されます。
show route protocol ospf
コマンドは、パートナーとハブへのルートの追加を表示します。
例:IPv6トラフィック用のOSPFv3を使用したADVPNの設定
この例では、ADVPN ハブと 2 つのスポークを設定してショートカット トンネルを作成し、ハブを介してトラフィックを送信せずにホストが反対側に到達するようにルーティング トポロジを変更する方法を示します。この例では、VPN トンネルを介してパケットを転送するために、OSPFv3 を使用して IPv6 環境の ADVPN を設定します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
ADVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール
-
Junos OS リリース 18.1R1 または それ以降のリリース ファイアウォールが kmd プロセスを実行している場合。
-
ファイアウォールがikedプロセスを実行している場合は、Junos OSリリース24.2R1以降のリリース。
開始する前に、以下を実行します。
-
ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。
VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルについて理解している必要があります。
概要
この例では、ADVPN ハブの設定とそれに続く 2 つのスポークの設定を示します。
この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、サブジェクト フィールドに組織単位 (OU) 値 "SLT" が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。
スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。ADVPN ハブとすべてのスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネル オプションは、同じ値である必要があります。 表 4 に、この例で使用するオプションを示します。
オプション |
値 |
---|---|
IKEプロポーザル: |
|
認証方法 |
RSA デジタル証明書 |
Diffie-Hellman(DH)グループ |
19 |
認証アルゴリズム |
SHA-384 |
暗号化アルゴリズム |
AES 256 CBC |
IKEポリシー: |
|
モード |
メイン |
IPsecプロポーザル: |
|
プロトコル |
ESP |
ライフタイム秒 |
3000 |
暗号化アルゴリズム |
AES 256 GCM |
IPsecポリシー: |
|
完全転送機密保持(PFS)グループ |
19 |
すべてのデバイスで同じ認証局(CA)が設定されています。
表 5 は、ハブとすべてのスポークで設定されているオプションを示しています。
オプション |
ハブ |
すべてのスポーク |
---|---|---|
IKEゲートウェイ: |
||
リモート IP アドレス |
動的 |
2001:db8:2000::1 |
リモート IKE ID |
スポークの証明書の識別名(DN)と、組織単位(OU)フィールドに文字列 |
ハブの証明書の DN |
ローカルIKE ID |
ハブの証明書の DN |
スポークの証明書のDN |
外部インターフェイス |
レス1 |
スポーク1: ge-0/0/0.0 スポーク2: ge-0/0/0.0 |
VPN: |
||
バインド インターフェイス |
st0.1 |
st0.1 |
トンネルの確立 |
(未設定) |
establish-tunnels immediately |
表 6 は、スポークごとに異なる構成オプションを示しています。
オプション |
スポーク 1 |
スポーク 2 |
---|---|---|
st0.1インターフェイス |
2001:db8:9000::2/64 |
2001:db8:9000::3/64 |
内部ネットワークへのインターフェイス |
(ge-0/0/1.0) 2001:db8:4000::1/64 |
(ge-0/0/1.0) 2001:db8:6000::1/64 |
インターネットへのインターフェース |
(ge-0/0/0.0) 2001:db8:3000::2/64 |
(ge-0/0/0.0) 2001:db8:5000::2/64 |
すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。
この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。
設定
ADVPN を設定するには、次のタスクを実行します。
最初のセクションでは、ハブ デバイスとスポーク デバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。
SCEP へのデバイス証明書の登録
ステップバイステップでの手順
ハブで SCEP にデジタル証明書を登録するには:
-
CA を設定します。
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
CA 証明書を登録します。
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。
-
キーペアを生成します。
user@host> request security pki generate-key-pair certificate-id Local1
-
ローカル証明書を登録します。
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
ローカル証明書を確認します。
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
ステップバイステップでの手順
スポーク 1 で SCEP を使用してデジタル証明書を登録するには:
-
CA を設定します。
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
CA 証明書を登録します。
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。
-
キーペアを生成します。
user@host> request security pki generate-key-pair certificate-id Local1
-
ローカル証明書を登録します。
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
ローカル証明書を確認します。
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
件名フィールドに表示される組織単位 (OU) は
SLT
。ハブのIKE設定には、スポークを識別するためのou=SLT
が含まれています。
ステップバイステップでの手順
スポーク 2 で SCEP を使用してデジタル証明書を登録するには:
-
CA を設定します。
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
CA 証明書を登録します。
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。
-
キーペアを生成します。
user@host> request security pki generate-key-pair certificate-id Local1
-
ローカル証明書を登録します。
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
-
ローカル証明書を確認します。
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
件名フィールドに表示される組織単位 (OU) は
SLT
。ハブのIKE設定には、スポークを識別するためのou=SLT
が含まれています。
ハブの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルでCLIにコピーアンドペーストして、設定モードから commit
を入力します。
set chassis cluster reth-count 2 set chassis cluster node 0 set chassis cluster node 1 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 254 set chassis cluster redundancy-group 1 node 1 priority 1 set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate HUB set security ike gateway IKE_GWA_1 ike-policy IKE_POL set security ike gateway IKE_GWA_1 dynamic distinguished-name wildcard OU=SLT set security ike gateway IKE_GWA_1 dynamic ike-user-type group-ike-id set security ike gateway IKE_GWA_1 dead-peer-detection always-send set security ike gateway IKE_GWA_1 dead-peer-detection interval 10 set security ike gateway IKE_GWA_1 dead-peer-detection threshold 3 set security ike gateway IKE_GWA_1 local-identity distinguished-name set security ike gateway IKE_GWA_1 external-interface reth1 set security ike gateway IKE_GWA_1 advpn partner disable set security ike gateway IKE_GWA_1 version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPNA_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPNA_1 ike gateway IKE_GWA_1 set security ipsec vpn IPSEC_VPNA_1 ike ipsec-policy IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces reth0.0 set interfaces ge-0/0/0 gigether-options redundant-parent reth1 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-7/0/0 gigether-options redundant-parent reth1 set interfaces ge-7/0/1 gigether-options redundant-parent reth0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet set interfaces reth0 unit 0 family inet6 address 2001:db8:1000::1/64 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet set interfaces reth1 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:9000::1/64 set routing-options rib inet6.0 static route 2001:db8:3000::0/64 next-hop 2001:db8:2000::2 set routing-options rib inet6.0 static route 2001:db8:5000::0/64 next-hop 2001:db8:2000::2 set protocols ospf3 area 0.0.0.0 interface reth0.0 set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。
ハブを設定するには:
-
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth1 user@host# set ge-0/0/1 gigether-options redundant-parent reth0 user@host# set ge-7/0/0 gigether-options redundant-parent reth1 user@host# set ge-7/0/1 gigether-options redundant-parent reth0 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet user@host# set reth0 unit 0 family inet6 address 2001:db8:1000::1/64 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet user@host# set reth1 unit 0 family inet6 address 2001:db8:2000::1/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:9000::1/64
-
ルーティング プロトコルを設定します。
[edit protocols ospf3] user@host# set ospf3 area 0.0.0.0 interface reth0.0 user@host# set ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:3000::0/64 next-hop 2001:db8:2000::2 user@host# set rib inet6.0 static route 2001:db8:5000::0/64 next-hop 2001:db8:2000::2
-
フェーズ1のオプションを設定します。
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate HUB [edit security ike gateway IKE_GWA_1] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set ike-user-type group-ike-id user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set external-interface reth1 user@host# set version v2-only
-
フェーズ2のオプションを設定します。
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_1 user@host# set ike ipsec-policy IPSEC_POL
-
ゾーンを設定します。
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces reth1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces reth0.0
-
デフォルトのセキュリティポリシーを設定します。
[edit security policies] user@host# set default-policy permit-all
-
CA プロファイルを設定します。
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set pki ca-profile ROOT-CA revocation-check disable
-
シャーシ クラスタの設定
[edit chassis cluster] set reth-count 2 set node 0 set node 1 set redundancy-group 0 node 0 priority 254 set redundancy-group 0 node 1 priority 1 set redundancy-group 1 node 0 priority 254 set redundancy-group 1 node 1 priority 1
結果
設定モードから、 show interfaces
、 show protocols
、 show routing-options
、 show security ike
、 show security ipsec
、 show security zones
、 show security policies
、および show security pki
show chassis cluster
コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/0 { gigether-options { redundant-parent reth1; } } ge-0/0/1 { gigether-options { redundant-parent reth0; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet; family inet6 { address 2001:db8:1000::1/64; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet; family inet6 { address 2001:db8:2000::1/64; } } } st0 { unit 1 { multipoint; family inet6 { address 2001:db8:9000::1/64 { primary; } } } } [edit] user@host# show protocols ospf3 { area 0.0.0.0 { interface st0.1 { interface-type p2mp; demand-circuit; dynamic-neighbors; } interface ge-0/0/1.0; interface reth0.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:3000::/64 next-hop 2001:db8:2000::2; route 2001:db8:5000::/64 next-hop 2001:db8:2000::2; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate HUB; } } gateway IKE_GWA_1 { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=SLT; } ike-user-type group-ike-id; } dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; external-interface reth1; advpn { partner { disable; } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPNA_1 { bind-interface st0.1; ike { gateway IKE_GWA_1; ipsec-policy IPSEC_POL; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { st0.1; reth1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { reth0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
スポーク1の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルでCLIにコピーアンドペーストして、設定モードから commit
を入力します。
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE1 set security ike gateway IKE_GW_SPOKE_1 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_1 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_1 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_1 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_1 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_1 advpn suggester disable set security ike gateway IKE_GW_SPOKE_1 version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike gateway IKE_GW_SPOKE_1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_1 establish-tunnels immediately set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:9000::2/64 set routing-options rib inet6.0 static route 2001:db8:2000::0/64 next-hop 2001:db8:3000::1 set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。
スポーク 1 を設定するには:
-
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:9000::2/64
-
ルーティング プロトコルを設定します。
[edit protocols ospf3] set area 0.0.0.0 interface ge-0/0/1.0 set area 0.0.0.0 interface st0.1 interface-type p2mp set area 0.0.0.0 interface st0.1 dynamic-neighbors [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1
-
フェーズ1のオプションを設定します。
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE1 [edit security ike gateway IKE_GW_SPOKE_1] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set advpn suggester disable user@host# set version v2-only
-
フェーズ2のオプションを設定します。
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_1 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
-
ゾーンを設定します。
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0
-
デフォルトのセキュリティポリシーを設定します。
[edit security policies] user@host# set default-policy permit-all
-
CA プロファイルを設定します。
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
結果
設定モードから、 show interfaces
、 show protocols
、 show routing-options
、 show security ike
、 show security ipsec
、 show security zones
、 show security policies
、および show security pki
コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:3000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:4000::1/64; } } } st0 { unit 1 { multipoint; family inet6 { address 2001:db8:9000::2/64; } } } [edit] user@host# show protocols ospf3 { area 0.0.0.0 { interface st0.1 { interface-type p2mp; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ]; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE1; } } gateway IKE_GW_SPOKE_1 { ike-policy IKE_POL; address 2001:db8:2000::1; dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; remote-identity distinguished-name container OU=SLT; external-interface ge-0/0/0.0; advpn { suggester { disable; } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPN_SPOKE_1 { bind-interface st0.1; ike { gateway IKE_GW_SPOKE_1; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { st0.1; ge-0/0/0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
スポーク2の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルでCLIにコピーアンドペーストして、設定モードから commit
を入力します。
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE2 set security ike gateway IKE_GW_SPOKE_2 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_2 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_2 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_2 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_2 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_2 advpn suggester disable set security ike gateway IKE_GW_SPOKE_2 version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_2 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike gateway IKE_GW_SPOKE_2 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_2 establish-tunnels immediately set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:9000::3/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。
スポーク 2 を設定するには:
-
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:9000::3/64
-
ルーティング プロトコルを設定します。
[edit protocols ospf3] user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1
-
フェーズ1のオプションを設定します。
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE2 [edit security ike gateway IKE_GW_SPOKE_2] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set advpn suggester disable user@host# set version v2-only
-
フェーズ2のオプションを設定します。
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_2] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_2 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
-
ゾーンを設定します。
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0
-
デフォルトのセキュリティポリシーを設定します。
[edit security policies] user@host# set default-policy permit-all
-
CA プロファイルを設定します。
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
結果
設定モードから、 show interfaces
、 show protocols
、 show routing-options
、 show security ike
、 show security ipsec
、 show security zones
、 show security policies
、および show security pki
コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:5000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:6000::1/64; } } } st0 { unit 1 { family inet6 { address 2001:db8:9000::3/64; } } } [edit] user@host# show protocols ospf3 { area 0.0.0.0 { interface st0.1 { interface-type p2mp; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ]; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE2; } } gateway IKE_GW_SPOKE_2 { ike-policy IKE_POL; address 2001:db8:2000::1; dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; remote-identity distinguished-name container OU=SLT; external-interface ge-0/0/0.0; advpn { suggester { disable } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPN_SPOKE_2 { bind-interface st0.1; ike { gateway IKE_GW_SPOKE_2; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認します。
IKEステータスの確認
目的
IKEステータスを検証します。
アクション
動作モードからshow security ike saコマンドを入力します。
user@host> show security ike sa Index State Initiator cookie Responder cookie Mode Remote Address 4295070 UP 2001:db8:1ad4ba7a115fa229 2001:db8:32e6382a058bb296 Main 2001:db8:3000::2 295069 UP 2001:db8:88a1520c20cbbe04 2001:db8:7fa4c8e365393c48 Main 2001:db8:5000::2
意味
show security ike sa
コマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメータは、ハブとスポークで一致する必要があります。
IPsecステータスの検証
目的
IPsecステータスを検証します。
アクション
動作モードからshow security ipsec sa コマンドを入力します。
user@host> show security ipsec sa Total active tunnels: 2 Total Ipsec sas: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108881 ESP:aes-gcm-256/None 3dba3f80 2979/ unlim - root 500 2001:db8:5000::2 >67108881 ESP:aes-gcm-256/None 46746d5d 2979/ unlim - root 500 2001:db8:5000::2 <67108882 ESP:aes-gcm-256/None 16dceb60 2992/ unlim - root 500 2001:db8:3000::2 >67108882 ESP:aes-gcm-256/None 681209c2 2992/ unlim - root 500 2001:db8:3000::2
意味
show security ipsec sa
コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。
IPsec ネクストホップ トンネルの検証
目的
IPsec ネクストホップ トンネルを検証します。
アクション
動作モードからshow security ipsec next-hop-tunnelsコマンドを入力します。
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 2001:db8:9000::2 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8:9000::3 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:10c8 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:112f st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available
意味
ネクストホップ ゲートウェイは、スポークの st0
インターフェイスの IP アドレスです。Next hopは、適切なIPsec VPN名に関連付けられているはずです。
OSPFv3 の検証
目的
OSPFv3 がスポークの st0
インターフェイスの IP アドレスを参照していることを確認します。
アクション
動作モードからshow ospf3 neighbor interfaceコマンドを入力します。
user@host> show ospf3 neighbor interface ID Interface State Pri Dead 2001:db8:9000:2 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:110e 2001:db8:20:54:49.693 INFO ${ret} = ID Interface State Pri Dead 2001:db8:9000:3 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:110e
ADVPNショートカットトンネルの確立後、OSPFが迅速にルートを更新できるようにする
問題点
説明
OSPFがルーティングテーブル内のショートカットルートを更新するのに最大9秒かかることがあります。トラフィックがショートカット トンネルに転送されるまでに最大 10 秒かかることがあります。
症状
2 つのショートカット パートナー間でショートカット トンネルが確立されると、OSPF は OSPF hello パケットを開始します。ショートカット トンネルの確立と OSPF ネイバーのインストールのタイミングが原因で、トンネル内の最初のパケットがドロップされる場合があります。これにより、OSPF は OSPF 隣接関係の確立を再試行する可能性があります。
デフォルトでは、OSPF が隣接関係の確立を再試行する間隔は 10 秒です。ショートカット トンネルが確立された後、OSPF がパートナー間の隣接関係を確立するまでに 10 秒以上かかることがあります。
ソリューション
1 秒や 2 秒など、より短い再試行間隔を設定することで、OSPF はショートカット トンネル上でより迅速に隣接関係を確立できます。たとえば、次の構成を使用します。
[edit] set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40
関連項目
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
p2mp
インターフェイスタイプが導入された自動検出VPNをサポートします。