Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ハブアンドスポークデバイスの自動 Vpn

AutoVPN は、リモートサイトへの複数のトンネル (スポーク) に対して、単一の終端ポイントとして機能する IPsec vpn アグリゲーター (ハブと呼ばれる) をサポートします。自動 Vpn により、ネットワーク管理者は、現在および将来のスポークに対応するハブを構成できます。

自動 Vpn について

AutoVPN は、リモートサイトへの複数のトンネル (スポーク) に対して、単一の終端ポイントとして機能する IPsec vpn アグリゲーター (ハブと呼ばれる) をサポートします。自動 Vpn により、ネットワーク管理者は、現在および将来のスポークに対応するハブを構成できます。スポークデバイスが追加または削除されてもハブには構成の変更は不要なため、管理者は大規模なネットワークの導入を柔軟に管理できます。

セキュアトンネルモード

ルートベースの IPsec Vpn では、自動 Vpn がサポートされています。ルートベースの Vpn では、セキュアトンネル (st0) インターフェイスを構成し、IPsec VPN トンネルにバインドします。自動 Vpn ネットワークの st0 インターフェイスは、以下の2つのモードのいずれかで設定できます。

  • ポイント to-point モード — デフォルトでは、[ ] 階層レベルに設定された st0 インターフェイスはポイント edit interfaces st0 unit x to-point モードになります。Junos OS リリース 17.4 R1 以降では、AutoVPN で IPv6 アドレスがサポートされています。

  • ポイントアンドマルチポイント モード — このモードでは、AutoVPN ハブとスポークの両方で [ ] 階層レベルでオプションを設定します。ハブとスポークの st0 インターフェイスには番号を付け、スポーク上に設定された IP アドレスはハブの multipoint st0 インターフェイス サブネットワークに存在する必要があります。 edit interfaces st0 unit x

表 1AutoVPN point-to-point およびポイントツーマルチポイントのセキュアトンネルインターフェイスモードを比較します。

表 1: 自動 Vpn ポイントツーポイントおよびマルチポイントのセキュアトンネルモードの比較

ポイントツーポイントモード

ポイントツーマルチポイントモード

IKEv1 または IKEv2 をサポートします。

IKEv1 または IKEv2 をサポートします。

IPv4 と IPv6 のトラフィックをサポートします。

IPv4 または IPv6 をサポートします。

トラフィック セレクター

ダイナミックルーティングプロトコル (OSPF、OSPFv3、iBGP)

デッドピア検知

デッドピア検知

スポークデバイスを SRX シリーズまたはサードパーティー製デバイスとして使用できるようにします。

このモードは、SRX シリーズデバイスでのみサポートされています。

認証

自動 Vpn ハブとスポークに対してサポートされている認証は、509の公開鍵インフラストラクチャ (PKI) 証明書です。ハブに設定されているグループ IKE ユーザータイプでは、スポーク証明書の代替サブジェクトフィールドに合わせて文字列を指定できます。スポーク証明書のサブジェクトフィールドの部分的な一致も指定できます。「自動 Vpn 導入におけるスポーク認証の理解」を参照してください。

SPC3 Junos OS リリース 21.2R1 から、SPC3 カードと vSRX を搭載したデバイスの SRX5000 シリーズ は、シード済みの事前共有鍵を使用して AutoVPN をサポートします。

次の2つのオプションで AutoVPNをサポートします:

  • 自動 VPN シード PSK: 同じゲートウェイに接続する複数のピアが、異なる事前共有キーを持つ。
  • 自動 VPN 共有 PSK: 同じ事前共有鍵を持つ同じゲートウェイに接続する複数のピア。

シードPSKは、シードされていないPSK(つまり、同じ共有PSK)とは異なります。シードされた PSK はマスター キーを使用して、ピアの共有 PSK を生成します。そのため、各ピアは同じゲートウェイに異なる PSK 接続を持つ必要があります。たとえば、以下のように記述します。ゲートウェイに接続しようとすると、IKE ID user1@juniper.net を持つピア1とピア2がIKE ID user2@juniper.net するシナリオを検討してください。このシナリオでは、として設定されたマスター キーを含むとして設定されたゲートウェイは、次のように異 HUB_GWThisIsMySecretPreSharedkey なるPSKを持つになります。

ピア 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a

ピア 2: 3db8385746f3d1e639435a882579a9f28464e5c7

つまり、異なるユーザー ID と同じマスター キーを持つユーザーによって、別の鍵または固有の事前共有鍵が生成されるのです。

Auto-VPN seeded-pre-shared-key PSK には、 pre-shared-key 以下のいずれかを使用できます。

  • 異なる事前共有鍵: が設定されている場合、VPN ゲートウェイがIKE共有鍵の異なる鍵を使用 seeded-pre-shared-key して、各リモート ピアを認証します。ピア事前共有鍵は、ゲートウェイ内のセットを使用してIKE生成され、ピア master-key 間で共有されます。

    各リモート ピアの認証に別の IKE 事前共有鍵(PSK)を使用する VPN ゲートウェイを有効にするには、新しい CLI コマンドまたは階層レベルの下で使用 seeded-pre-shared-key ascii-textseeded-pre-shared-key hexadecimal[edit security ike policy policy_name] します。

    このコマンドは、同じ階層の pre-shared-key 下のコマンドでは相互に限定されません。

    ポリシーを 参照してください

  • 共有/同一の事前共有鍵: 設定 pre-shared-key-type されていない場合は、PSK が共有されたと見なされます。VPN ゲートウェイIKEピアの認証には、事前共有鍵と同じ鍵が使用されます。

    VPN ゲートウェイですべてのリモート ピアの認証に同IKEを使用するには、既存の CLI コマンド pre-sharedkey ascii-text または を使用します pre-shared-key hexadecimal

VPN ゲートウェイでは、階層レベルの設定ステートメントIKE ID 検証を general-ikeid 迂回 [edit security ike gateway gateway_name dynamic] できます。このオプションが設定されている場合、リモートピアの認証中に、VPNゲートウェイが任意のリモートデバイスIKE ID接続を許可します。参照general-ikeidしてください。

SPC3 SRX5000 シリーズカードとデバイス カードを搭載したデバイスのvSRXは、次の機能モードIKEします。

表 2: AutoVPN PSKのサポート

IKE モード

SPC3カードとデバイスデバイスのSRX5000 vSRX

共有PSK

シード型 PSK

IKEv2

あり

あり

IKEv2(任意を含む)remote-id

あり

あり

IKEv1 アグレッシブ モード

あり

あり

IKEv1 アグレッシブ モード使用 any-remote-id /general-ikeid

あり

あり

IKEv1 メイン モード

あり

なし

any-remote-id/ を使用した IKEv1 メイン モードgeneral-ikeid

あり

なし

をご覧ください。事前共有キーを使用した AutoVPN の設定

構成および管理

自動 Vpn は、CLI を使用して SRX シリーズのデバイスで構成および管理されます。1つの SRX シリーズデバイス上で複数の自動 Vpn ハブを構成できます。構成済みハブによってサポートされる最大のスポーク数は、SRX シリーズデバイスのモデルによって異なります。

自動 Vpn の制約について

次の機能は、自動 Vpn ではサポートされていません。

  • ポリシーベースの Vpn はサポートされていません。

  • RIP ダイナミックルーティングプロトコルは、自動 Vpn トンネルではサポートされていません。

  • 事前共有鍵を使用した手動キーと自動キー IKE はサポートされていません。

  • ハブでの静的な next-hop トンネルのバインド (NHTB) の構成はサポートされていません。

  • マルチキャストはサポートされていません。

  • グループ IKE ID のユーザータイプは、IKE ID としての IP アドレスを使用してサポートされていません。

  • Group IKE ID のユーザータイプが使用されている場合、IKE ID は、同じ外部インターフェイス上で設定された他の IKE ゲートウェイと重複してはなりません。

トラフィックセレクターを使用した自動 Vpn の理解

自動 Vpn ハブは、複数のトラフィックセレクターで構成して、スポークへのトラフィックを保護することができます。この機能には、以下のようなメリットがあります。

  • 1つの VPN 構成で、さまざまなピアをサポートできます。

  • VPN ピアは、非 SRX シリーズデバイスとして使用できます。

  • 1つのピアで同一の VPN を使用して複数のトンネルを確立できます。

  • 動的なルーティングプロトコルを使用した自動 Vpn と比較して、より多くのトンネルをサポートできます。

Junos OS リリース 17.4 R1 から開始して、ポイントツーポイントモードでセキュアトンネルインターフェースを使用する自動 Vpn ネットワークは、トラフィックセレクターと IKE ピアの IPv6 アドレスをサポートします。

ハブツースポーク型のトンネルが確立されると、ハブは、ルーティングテーブルのスポークプレフィックスにルートを挿入するために、以前のリリースで逆ルート挿入 (rri)として知られていた、ルートの自動挿入 (ARI)を使用します。その後、ARI ルートをルーティングプロトコルにインポートして、コアネットワークに配信することができます。

トラフィックセレクターを使用した自動 Vpn は、IKEv1 および IKEv2 の両方のポイントツーポイントモードでセキュアトンネル (st0) インターフェイスを使用して設定できます。

St0 インターフェイスでは、トラフィックセレクターが設定されている場合、動的ルーティングプロトコルはサポートされていません。

トラフィックセレクターを使用して自動 Vpn を設定する場合は、以下の点に注意してください。

  • ダイナミックルーティングプロトコルは、st0 インターフェイスをポイントツーポイントモードにしたトラフィックセレクターではサポートされていません。

  • 自動検出 VPN および IKEv2 構成ペイロードは、トラフィックセレクターを使用して自動 vpn で構成できません。

  • スポークは SRX シリーズ以外のデバイスでもかまいません。ただし、以下の点に注意してください。

    • IKEv2 では、非 SRX シリーズスポークは、1つの SA ネゴシエーションで複数のトラフィックセレクターを提案できます。これは SRX シリーズデバイスではサポートされておらず、ネゴシエーションは拒否されます。

    • 非 SRX シリーズスポークは、トラフィックセレクターが使用する特定のポートまたはプロトコルを識別できます。ポートとプロトコルは SRX シリーズデバイスのトラフィックセレクターでサポートされていないため、ネゴシエーションは拒否されます。

自動 Vpn 導入におけるスポーク認証について

自動 Vpn 導入では、ハブアンドスポークデバイスには、有効な X 509 PKI 証明書が読み込まれている必要があります。このshow security pki local-certificate detailコマンドを使用して、デバイスにロードされた証明書に関する情報を表示できます。

このトピックでは、スポークが認証を行い、ハブに接続できるようにするハブの構成について説明します。

ハブの IKE ID 構成をグループ化します。

Group IKE ID 機能を使用すると、多数のスポークデバイスでハブ上の IKE 構成を共有できます。各スポークの X.509 証明書の件名フィールドまたは代替サブジェクト フィールドに含まれる証明書保持者の識別には、すべてのスポークで共通する部分が含まれている必要があります。証明書識別の一般的な部分は、ハブのIKEに指定されています。

たとえば、ハブで IKE ID example.netを設定して、ホスト名device1.example.netdevice2.example.net、、およびdevice3.example.netの各スポークを識別することができます。各スポークの証明書には、フィールドの右側の部分example.netにある [代替サブジェクト] フィールドにホスト名アイデンティティを含める必要があります。たとえば、 device1.example.netのようになります。この例では、すべてのスポークがこのホスト id を IKE ID ペイロードで使用しています。IKE ネゴシエーションでは、スポークの IKE ID がハブで構成されたピア IKE id の共通部分と一致するように使用されます。有効な証明書によってスポークが認証されます。

証明書 id の共通部分には、以下のいずれかを指定できます。

  • 証明書の代替サブジェクトフィールドの一番右の部分にある部分的なホスト名。たとえばexample.net

  • 証明書の代替サブジェクトフィールドの右端の部分にある部分的な電子メールアドレス。たとえば@example.net

  • コンテナー文字列、ワイルドカード、またはその両方を、証明書のサブジェクトフィールドに一致させます。サブジェクトフィールドには、デジタル証明書の所有者の詳細が、抽象構文表記法 1 (ASN. 1) 形式 (DN) フォーマットで記載されています。フィールドには、組織、組織単位、国、地域、一般名称などを含めることができます。

    グループ IKE ID を構成して証明書のサブジェクトフィールドと一致させるには、次の種類のアイデンティティ一致を指定できます。

    • コンテナ — スポークの証明書のサブジェクト フィールドがハブIKEの値と正確に一致する場合、ハブがスポークの id を認証します。各件名フィールドに複数のエントリーを指定できます (などou=eng,ou=sw)。フィールド内の値の順序は一致している必要があります。

    • ワイルドカード — スポークの証明書のサブジェクト フィールドがハブで設定された値と一致する場合に、ハブがスポークの id を認証IKE ID を認証します。ワイルドカードの一致は、フィールドごとに1つの値ou=engのみou=swをサポートou=eng,ou=swします (たとえば、または)。フィールドの順序は重要ではありません。

次の例では、証明書の代替サブジェクトフィールドexample.netで部分的なホスト名を使用して、グループ IKE ID を設定しています。

この例ではexample.net 、すべてのスポークで使用されるホスト id の共通部分を示しています。スポーク上のすべての509証明書には、最上位の部分example.netにある代替サブジェクトフィールドにホスト名アイデンティティが含まれている必要があります。すべてのスポークは、IKE ID ペイロードでホスト名 id を使用する必要があります。

次の例では、グループ IKE ID をワイルドカードとともsalesに設定して、 example組織単位内の値や証明書の組織の主題フィールドに一致させます。

この例では、スポークou=sales,o=exampleから期待される証明書の subject フィールドには、一般的なフィールドが含まれています。IKE ネゴシエーション中に、スポークが証明書にサブジェクトフィールドcn=alice,ou=sales,o=exampleを含む証明書を提示すると、認証が成功し、トンネルが確立されます。スポークがその証明書に subject フィールドcn=thomas,ou=engineer,o=exampleを含む証明書を提示された場合、その証明書は組織単位がハブsalesによって拒否されることになります。

スポーク接続の除外

ハブに接続する特定のスポークを除外するには、そのスポークの証明書を取り消す必要があります。ハブは、失効した証明書のシリアル番号を含む CA から、最新の証明書失効リスト (CRL) を取得する必要があります。その後、ハブは、取り消されたスポークからの VPN 接続を拒否します。最新の CRL がハブで使用可能になるまでは、ハブは取り消されたスポークから引き続きトンネルを確立する可能性があります。詳細については、オンライン証明書ステータスプロトコルと証明書失効リストについて、および証明機関プロファイルについて説明します。

自動 Vpn 構成の概要

以下の手順では、ハブとスポークデバイスの自動 Vpn を構成するための基本的なタスクについて説明します。AutoVPN ハブは、現在のすべての新しいスポークに対して1 回だけ設定されます。

AutoVPN ハブを構成するには、次のようにします。

  1. CA 証明書とローカル証明書をデバイスに登録します。
  2. セキュアトンネル (st0) インターフェイスを作成して、ポイントツー multipoint モードに設定します。
  3. 1つの IKE ポリシーを構成します。
  4. すべてのスポークに共通するグループ IKE ID を使用して、IKE ゲートウェイを構成します。
  5. 単一の IPsec ポリシーと VPN を構成します。
  6. 動的ルーティングプロトコルを構成します。

SRX シリーズ自動 Vpn スポークデバイスを設定するには、次のようにします。

  1. CA 証明書とローカル証明書をデバイスに登録します。

  2. St0 のインターフェイスを作成し、ポイントツー multipoint モードに設定します。

  3. ハブで構成された IKE ポリシーと一致するように IKE ポリシーを設定します。

  4. ハブで構成されているグループ IKE ID と一致する ID を持つ IKE ゲートウェイを構成します。

  5. ハブで構成された IPsec ポリシーと一致するように、IPsec ポリシーを構成します。

  6. 動的ルーティングプロトコルを構成します。

例:IBGP を使用したベーシック自動 Vpn の構成

この例では、1つのターミネーションポイントとして機能するように自動 Vpn ハブを構成し、2つのスポークをリモートサイトへのトンネルとして構成する方法を示します。この例では、iBGP を構成して VPN トンネルを経由してパケットを転送します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 自動 Vpn ハブおよびスポークとしてサポートされている3つの SRX シリーズデバイス

  • Junos OS のリリース 12.1 X44-D10 以降、自動 Vpn をサポート

開始する前に:

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと、チャレンジパスワードなどの必要な情報を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。動的ルーティングプロトコルの特定の要件の詳細については、「ルーティングプロトコルの概要」を参照してください。

概要

この例は、自動 Vpn ハブの構成と2スポークのその後の構成を示しています。

この例では、最初の手順として、SCEP (Simple Certificate Enrollment Protocol) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、件名フィールドに組織単位(OU)値「SLT」が含まれている。ハブは、OU フィールドの値「SLT IKE一致するようにグループ ID を使用して設定されています。

スポークは、ハブへの IPsec VPN 接続を確立します。これにより、相互に通信したり、ハブのリソースにアクセスしたりすることができます。フェーズ1およびフェーズ 2 IKE AutoVPN ハブで構成されたトンネルオプションとすべてのスポークで同じ値を指定する必要があります。表 3は、この例で使用されているオプションを示しています。

表 3: 自動 Vpn ハブとスポーク構成のためのフェーズ1およびフェーズ2オプション

オプション

金額

IKE 提案:

認証方法

RSA デジタル証明書

Diffie-hellman (DH) グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKE ポリシー:

モード

Main

IPsec 提案:

プロトコル

ESP

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsec ポリシー:

完全順機密性 (PFS) グループ

14

すべてのデバイスで同じ認証機関 (CA) が構成されています。

Junos OS は、1つのレベルの証明書階層のみをサポートします。

表 4は、ハブおよびすべてのスポークに構成されているオプションを示しています。

表 4: ハブおよびすべてのスポークの自動 Vpn 構成

オプション

備え

すべてのスポーク

IKE ゲートウェイ:

リモート IP アドレス

動的

1.1.1.1

リモート IKE ID

OU(組織単位)フィールドに文字列を含むスポークの証明書の識別 SLT 名(DN)

ハブの証明書上のDDN

ローカル IKE ID

ハブの証明書上のDDN

スポーク証明書のDDN

外部インターフェイス

ge-0/0/1.0

スポーク 1: fe-0/0/1.0

スポーク 2: ge-0/0/1.0

/VPN

インターフェイスのバインド

st0.0

st0.0

トンネルの確立

(構成されていません)

直ちに設定のコミット

表 5は、各スポークで異なる設定オプションを示しています。

表 5: スポーク構成の比較

オプション

スポーク1

スポーク2

st 0.0 インターフェイス

10.10.10.2/24

10.10.10.3/24

内部ネットワークへのインターフェイス

(fe-0.0/4.0) 60.60.60.1/24

(fe-0.0/4.0) 70.70.70.1/24

インターフェイスからインターネットへ

(fe-0/0/1.0) 2.2.2.1/30

(ge-0/0/1.0) 3.3.3.1/30

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。

Topology

図 1この例では、自動 Vpn 用に構成される SRX シリーズデバイスを示しています。

図 1: IBGP を使用した基本的な自動 Vpn 導入IBGP を使用した基本的な自動 Vpn 導入

構成

自動 Vpn を構成するには、以下のタスクを実行します。

最初のセクションでは、ハブアンドスポークデバイスのシンプルな証明書登録プロトコル (SCEP) を使用して、CA とローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

順を追った手順

ハブで SCEP を使用してデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

順を追った手順

スポーク1の SCEP にデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

順を追った手順

スポーク2で SCEP を使用してデジタル証明書を登録するには、以下を実行します。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

ハブの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

ハブを構成するには、次のようにします。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesshow policy-optionsおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク1の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク1を構成するには、次のようになります。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesshow policy-optionsおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク2の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク2を構成するには:

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesshow policy-optionsおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

IKE フェーズ1のステータスを確認しています

目的

IKE フェーズ1のステータスを確認します。

アクション

動作モードから、 show security ike security-associations コマンドを入力します。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとスポークで一致している必要があります。

IPsec フェーズ2の状態を検証しています

目的

IPsec フェーズ2のステータスを確認します。

アクション

動作モードから、 security ipsec security-associations コマンドを入力します。

このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとスポークで一致している必要があります。

IPsec の次ホップトンネルを検証しています

目的

IPsec のネクストホップトンネルを確認します。

アクション

動作モードから、 show security ipsec next-hop-tunnels コマンドを入力します。

次ホップゲートウェイは、スポークのst0インターフェイスの IP アドレスです。次ホップは、正しい IPsec VPN 名と関連付けられている必要があります。

BGP の検証

目的

BGP が、スポークのst0インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードから、 show bgp summaryコマンドを入力します。

学習したルートの検証

目的

スポークへのルートが学習されたことを確認します。

アクション

動作モードから、 show route 60.60.60.0 コマンドを入力します。

動作モードから、 show route 70.70.70.0 コマンドを入力します。

例:IPv6 トラフィック用に iBGP とのベーシック自動 Vpn を構成しています

この例では、1つのターミネーションポイントとして機能するように自動 Vpn ハブを構成し、2つのスポークをリモートサイトへのトンネルとして構成する方法を示します。この例では、iBGP を使用して VPN トンネルを介してパケットを転送する、IPv6 環境の AutoVPN を構成します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 自動 Vpn ハブおよびスポークとしてサポートされている3つの SRX シリーズデバイス。

  • Junos OS リリース18.1 以降のリリースではありません。

開始する前に:

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと、チャレンジパスワードなどの必要な情報を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。動的ルーティングプロトコルの特定の要件の詳細については、「ルーティングプロトコルの概要」を参照してください。

概要

この例は、自動 Vpn ハブの構成と2スポークのその後の構成を示しています。

この例では、最初の手順として、SCEP (Simple Certificate Enrollment Protocol) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、件名フィールドに組織単位(OU)値「SLT」が含まれている。ハブは、OU フィールドの値「SLT IKE一致するようにグループ ID を使用して設定されています。

スポークは、ハブへの IPsec VPN 接続を確立します。これにより、相互に通信したり、ハブのリソースにアクセスしたりすることができます。フェーズ1およびフェーズ 2 IKE AutoVPN ハブで構成されたトンネルオプションとすべてのスポークで同じ値を指定する必要があります。表 6は、この例で使用されているオプションを示しています。

表 6: 自動 Vpn ハブとスポーク構成のためのフェーズ1およびフェーズ2オプション

オプション

金額

IKE 提案:

認証方法

RSA デジタル証明書

Diffie-hellman (DH) グループ

19

認証アルゴリズム

SHA-384

暗号化アルゴリズム

AES 256 CBC

IKE ポリシー:

モード

Main

IPsec 提案:

プロトコル

ESP

有効期間 (秒)

3000

暗号化アルゴリズム

AES 256 GCM

IPsec ポリシー:

完全順機密性 (PFS) グループ

19

すべてのデバイスで同じ認証機関 (CA) が構成されています。

Junos OS は、1つのレベルの証明書階層のみをサポートします。

表 7は、ハブおよびすべてのスポークに構成されているオプションを示しています。

表 7: ハブおよびすべてのスポークの自動 Vpn 構成

オプション

備え

すべてのスポーク

IKE ゲートウェイ:

リモート IP アドレス

動的

2001:db8:2000::1

リモート IKE ID

OU(組織単位)フィールドに文字列を含むスポークの証明書の識別 SLT 名(DN)

ハブの証明書上のDDN

ローカル IKE ID

ハブの証明書上のDDN

スポーク証明書のDDN

外部インターフェイス

ge-0/0/0

スポーク 1: ge-0/0/0.0

スポーク 2: ge-0/0/0.0

/VPN

インターフェイスのバインド

st0.1

st0.1

トンネルの確立

(構成されていません)

トンネルの確立-トラフィック

表 8は、各スポークで異なる設定オプションを示しています。

表 8: スポーク構成の比較

オプション

スポーク1

スポーク2

st 0.0 インターフェイス

2001:db8:7000::2/64

2001:db8:7000::3/64

内部ネットワークへのインターフェイス

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

インターフェイスからインターネットへ

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。

Topology

図 2この例では、自動 Vpn 用に構成される SRX シリーズデバイスを示しています。

図 2: IBGP を使用した基本的な自動 Vpn 導入IBGP を使用した基本的な自動 Vpn 導入

構成

自動 Vpn を構成するには、以下のタスクを実行します。

最初のセクションでは、ハブアンドスポークデバイスのシンプルな証明書登録プロトコル (SCEP) を使用して、CA とローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

順を追った手順

ハブで SCEP を使用してデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

順を追った手順

スポーク1の SCEP にデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

順を追った手順

スポーク2で SCEP を使用してデジタル証明書を登録するには、以下を実行します。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

ハブの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

ハブを構成するには、次のようにします。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesshow policy-optionsおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク1の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク1を構成するには、次のようになります。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesshow policy-optionsおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク2の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク2を構成するには:

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesshow policy-optionsおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

IKE ステータスの確認

目的

IKE のステータスを確認します。

アクション

動作モードから、 show security ike saコマンドを入力します。

このshow security ike saコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとスポークで一致している必要があります。

IPsec ステータスの確認

目的

IPsec のステータスを確認します。

アクション

動作モードから、 show security ipsec saコマンドを入力します。

このshow security ipsec saコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとスポークで一致している必要があります。

IPsec の次ホップトンネルを検証しています

目的

IPsec のネクストホップトンネルを確認します。

アクション

動作モードから、 show security ipsec next-hop-tunnelsコマンドを入力します。

次ホップゲートウェイは、スポークのst0インターフェイスの IP アドレスです。次ホップは、正しい IPsec VPN 名と関連付けられている必要があります。

BGP の検証

目的

BGP が、スポークのst0インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードから、 show bgp summaryコマンドを入力します。

例:IBGP および ECMP を使用した自動 Vpn の構成

この例は、AutoVPN ハブとスポーク間で2つの IPsec VPN トンネルを構成する方法を示しています。この例では、iBGP を同等のコストのマルチパス (ECMP) で構成し、VPN トンネルを通過してパケットを転送します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 自動 Vpn ハブおよびスポークとしてサポートされている2台の SRX シリーズデバイス

  • Junos OS のリリース 12.1 X44-D10 以降、自動 Vpn をサポート

開始する前に:

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと、チャレンジパスワードなどの必要な情報を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。

概要

この例では、自動 Vpn ハブと、2つの IPsec VPN トンネルを持つスポークを構成しています。

この例では、最初の手順として、SCEP (Simple Certificate Enrollment Protocol) を使用して各デバイスにデジタル証明書を登録します。証明書は、ハブとスポークの各 IPsec VPN トンネルに登録されます。スポークの証明書の 1 つは、識別名(DN)に組織単位(OU)値「SLT」が含まれている場合、ハブは、OUフィールドの値「SLT IKE一致するように、グループIDを使用して設定されています。スポークのもう 1 つの証明書には、DN 内の OU 値「SBU」が含されています。ハブは、グループ ID と一致するようにIKEのグループ ID を設定して、OU フィールドの値「SBU」と一致するようにします。

スポークは、ハブへの IPsec VPN 接続を確立し、ハブ上のリソースへのアクセスを可能にします。フェーズ1およびフェーズ 2 IKE 自動 Vpn ハブで構成されたトンネルオプションとスポークは、同じ値を持つ必要があります。表 9は、この例で使用されているオプションを示しています。

表 9: 自動 Vpn ハブおよびスポーク iBGP ECMP 構成用のフェーズ1およびフェーズ2オプション

オプション

金額

IKE 提案:

認証方法

RSA デジタル証明書

Diffie-hellman (DH) グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKE ポリシー:

モード

Main

IPsec 提案:

プロトコル

ESP

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsec ポリシー:

完全順機密性 (PFS) グループ

14

すべてのデバイスで同じ認証機関 (CA) が構成されています。

Junos OS は、1つのレベルの証明書階層のみをサポートします。

表 10は、ハブとスポークで構成されているオプションを示しています。

表 10: ハブアンドスポーク1用の自動 Vpn iBGP ECMP Configuration

オプション

備え

スポーク1

IKE ゲートウェイ:

リモート IP アドレス

hub-to-spoke-gw-1: 動的

hub-to-spoke-gw-2: 動的

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

リモート IKE ID

hub-to-spoke-gw-1: OUフィールドに文字列を使用したスポーク証明書 SLT 上のD DN

hub-to-spoke-gw-2: OUフィールドに文字列を使用したスポーク証明書 SBU 上のD DN

spoke-to-hub-gw-1: ハブの証明書上のDDN

spoke-to-hub-gw-2: ハブの証明書上のDDN

ローカル IKE ID

ハブの証明書上のDDN

スポーク証明書のDDN

外部インターフェイス

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

/VPN

インターフェイスのバインド

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

トンネルの確立

(構成されていません)

直ちに設定のコミット

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。

Topology

図 3この例では、自動 Vpn 用に構成される SRX シリーズデバイスを示しています。

図 3: IBGP および ECMP を使用した自動 Vpn 導入IBGP および ECMP を使用した自動 Vpn 導入

構成

自動 Vpn を構成するには、以下のタスクを実行します。

最初のセクションでは、ハブアンドスポークデバイスのシンプルな証明書登録プロトコル (SCEP) を使用して、CA とローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

順を追った手順

ハブで SCEP を使用してデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 各証明書の鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

順を追った手順

スポーク1の SCEP にデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 各証明書の鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT ) は Local1 SBUおよび Local2 用です。ハブの IKE 構成には、 OU=SLTスポークOU=SBUを特定するためのものが含まれています。

ハブの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

ハブを構成するには、次のようにします。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesshow policy-optionsおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク1の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク1を構成するには、次のようになります。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesshow policy-optionsおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

IKE フェーズ1のステータスを確認しています

目的

IKE フェーズ1のステータスを確認します。

アクション

動作モードから、 show security ike security-associations コマンドを入力します。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとスポークで一致している必要があります。

IPsec フェーズ2の状態を検証しています

目的

IPsec フェーズ2のステータスを確認します。

アクション

動作モードから、 security ipsec security-associations コマンドを入力します。

このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとスポークで一致している必要があります。

IPsec の次ホップトンネルを検証しています

目的

IPsec のネクストホップトンネルを確認します。

アクション

動作モードから、 show security ipsec next-hop-tunnels コマンドを入力します。

次ホップゲートウェイは、スポークのst0インターフェイスの IP アドレスです。次ホップは、正しい IPsec VPN 名と関連付けられている必要があります。

BGP の検証

目的

BGP がスポークのst0インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードから、 show bgp summaryコマンドを入力します。

学習したルートの検証

目的

スポークへのルートが学習されたことを確認します。

アクション

動作モードから、 show route 60.60.60.0 detailコマンドを入力します。

転送テーブルでのルートのインストールの確認

目的

スポークへのルートが転送テーブルにインストールされていることを確認します。

アクション

動作モードから、 show route forwarding-table matching 60.60.60.0コマンドを入力します。

例:IBGP およびアクティブなバックアップトンネルを使用した自動 Vpn の構成

この例では、自動 Vpn ハブとスポークの間でアクティブおよびバックアップの IPsec VPN トンネルを構成する方法を示しています。この例では、iBGP を構成して VPN トンネルを経由してトラフィックを転送します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 自動 Vpn ハブおよびスポークとしてサポートされている2台の SRX シリーズデバイス

  • Junos OS のリリース 12.1 X44-D10 以降、自動 Vpn をサポート

開始する前に:

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと、チャレンジパスワードなどの必要な情報を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。

概要

この例では、自動 Vpn ハブと、2つの IPsec VPN トンネルを持つスポークを構成しています。

この例では、最初の手順として、SCEP (Simple Certificate Enrollment Protocol) を使用して各デバイスにデジタル証明書を登録します。証明書は、ハブとスポークの各 IPsec VPN トンネルに登録されます。スポークの証明書の 1 つは、識別名(DN)に組織単位(OU)値「SLT」が含まれている場合、ハブは、OUフィールドの値「SLT IKE一致するように、グループIDを使用して設定されています。スポークのもう 1 つの証明書には、DN 内の OU 値「SBU」が含されています。ハブは、グループ ID と一致するようにIKEのグループ ID を設定して、OU フィールドの値「SBU」と一致するようにします。

スポークは、ハブへの IPsec VPN 接続を確立し、ハブ上のリソースへのアクセスを可能にします。フェーズ1およびフェーズ 2 IKE 自動 Vpn ハブで構成されたトンネルオプションとスポークは、同じ値を持つ必要があります。表 11は、この例で使用されているオプションを示しています。

表 11: 自動 Vpn ハブおよびスポーク iBGP アクティブ/バックアップトンネル構成用のフェーズ1およびフェーズ2オプション

オプション

金額

IKE 提案:

認証方法

RSA デジタル証明書

Diffie-hellman (DH) グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKE ポリシー:

モード

Main

IPsec 提案:

プロトコル

ESP

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsec ポリシー:

完全順機密性 (PFS) グループ

14

すべてのデバイスで同じ認証機関 (CA) が構成されています。

Junos OS は、1つのレベルの証明書階層のみをサポートします。

表 12は、ハブとスポークで構成されているオプションを示しています。

表 12: ハブアンドスポーク1用の自動 Vpn IBGP Active-Backup トンネル構成

オプション

備え

スポーク1

IKE ゲートウェイ:

リモート IP アドレス

hub-to-spoke-gw-1: 動的

hub-to-spoke-gw-2: 動的

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

リモート IKE ID

hub-to-spoke-gw-1: OUフィールドに文字列を使用したスポーク証明書 SLT 上のD DN

hub-to-spoke-gw-2: OUフィールドに文字列を使用したスポーク証明書 SBU 上のD DN

spoke-to-hub-gw-1: ハブの証明書上のDDN

spoke-to-hub-gw-2: ハブの証明書上のDDN

ローカル IKE ID

ハブの証明書上のDDN

スポーク証明書のDDN

外部インターフェイス

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

/VPN

インターフェイスのバインド

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

VPN モニター

hub-to-spoke-vpn-1: ge-0/0/1.0 (ソースインターフェイス)

hub-to-spoke-vpn-2: ge-0/0/2.0 (ソースインターフェイス)

spoke-to-hub-1: 1.1.1.1 (宛先 IP)

spoke-to-hub-2: 1.1.2.1 (宛先 IP)

トンネルの確立

(構成されていません)

直ちに設定のコミット

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。

Topology

図 4この例では、自動 Vpn 用に構成される SRX シリーズデバイスを示しています。

図 4: IBGP とアクティブなバックアップトンネルを使用した自動 Vpn 導入IBGP とアクティブなバックアップトンネルを使用した自動 Vpn 導入

この例では、ハブとスポーク1の間に2つの IPsec VPN トンネルが確立されています。ルーティング情報は、各トンネルの iBGP セッションを通じて交換されます。60.60.60.0/24 へのルートに対するプレフィックスの最長一致は、ハブ上の st 0.0 インターフェイスを介して実行されます。したがって、ルートのプライマリトンネルは、ハブとスポーク1の st 0.0 インターフェイスを通過しています。デフォルトルートは、ハブアンドスポーク1の st-0.1 インターフェイス上のバックアップトンネルを通過しています。

VPN の監視によってトンネルのステータスが確認されます。プライマリトンネルに問題がある場合 (リモートトンネルゲートウェイに到達できない場合など) は、トンネルの状態が [停止] に変わり、60.60.60.0/24 に配信されたデータがバックアップトンネルによって再ルーティングの対象となります。

構成

自動 Vpn を構成するには、以下のタスクを実行します。

最初のセクションでは、ハブアンドスポークデバイスのシンプルな証明書登録プロトコル (SCEP) を使用して、CA とローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

順を追った手順

ハブで SCEP を使用してデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 各証明書の鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

順を追った手順

スポーク1の SCEP にデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 各証明書の鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT ) は Local1 SBUおよび Local2 用です。ハブの IKE 構成には、 OU=SLTスポークOU=SBUを特定するためのものが含まれています。

ハブの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

ハブを構成するには、次のようにします。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesshow policy-optionsおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク1の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク1を構成するには、次のようになります。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesshow policy-optionsおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

IKE フェーズ1のステータス (トンネルが稼働) を確認します。

目的

両方の IPSec VPN トンネルが稼働しているときに IKE フェーズ1のステータスを確認します。

アクション

動作モードから、 show security ike security-associations コマンドを入力します。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとスポークで一致している必要があります。

IPsec フェーズ2のステータスの検証 (両方のトンネルが稼働している場合)

目的

Ipsec の両方の VPN トンネルが稼働しているときに、IPsec フェーズ2ステータスを確認します。

アクション

動作モードから、 security ipsec security-associations コマンドを入力します。

このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとスポークで一致している必要があります。

IPsec ネクストホップトンネル (トンネルの両方) を確認しています

目的

IPsec のネクストホップトンネルを確認します。

アクション

動作モードから、 show security ipsec next-hop-tunnels コマンドを入力します。

次ホップゲートウェイは、スポークのst0インターフェイスの IP アドレスです。次ホップは、正しい IPsec VPN 名と関連付けられている必要があります。

BGP の検証 (両方のトンネルが稼働)

目的

IPsec VPN トンネルが両方とも稼働しst0ている場合に、BGP がスポークのインターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードから、 show bgp summaryコマンドを入力します。

学習したルート (両方のトンネルが稼働) の検証

目的

両方のトンネルが稼働しているときにスポークへのルートが学習されたことを確認します。60.60.60.0/24 へのルートは st 0.0 インターフェイスを通過し、デフォルトルートは st-0.1 インターフェイスを通過しています。

アクション

動作モードから、 show route 60.60.60.0 コマンドを入力します。

動作モードから、 show route 0.0.0.0コマンドを入力します。

IKE フェーズ1のステータスを確認します (プライマリトンネルはダウン)

目的

プライマリトンネルがダウンしたときの IKE フェーズ1ステータスを確認します。

アクション

動作モードから、 show security ike security-associations コマンドを入力します。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとスポークで一致している必要があります。

IPsec フェーズ2のステータスを検証する (プライマリトンネルはダウン)

目的

プライマリトンネルが停止したときの IPsec フェーズ2ステータスを確認します。

アクション

動作モードから、 security ipsec security-associations コマンドを入力します。

このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとスポークで一致している必要があります。

IPsec の次ホップトンネルを検証する (プライマリトンネルはダウン)

目的

IPsec のネクストホップトンネルを検証します。

アクション

動作モードから、 show security ipsec next-hop-tunnels コマンドを入力します。

次ホップゲートウェイは、スポークのst0インターフェイスの IP アドレスです。次ホップは、正しい IPsec VPN 名に関連付けられている必要があります。この場合は、バックアップ VPN トンネルとなります。

BGP の検証 (プライマリトンネルはダウン)

目的

プライマリトンネルがダウンしたときに、 st0 BGP がスポークのインターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードから、 show bgp summaryコマンドを入力します。

学習したルートの確認 (プライマリトンネルは停止)

目的

プライマリトンネルがダウンしたときにスポークへのルートが学習されたことを確認します。60.60.60.0/24 へのルートとデフォルトルートの両方が st 0.1 インターフェイスを介して実行されています。

アクション

動作モードから、 show route 60.60.60.0 コマンドを入力します。

動作モードから、 show route 0.0.0.0コマンドを入力します。

例:OSPF を使用したベーシック自動 Vpn の構成

この例では、1つのターミネーションポイントとして機能するように自動 Vpn ハブを構成し、2つのスポークをリモートサイトへのトンネルとして構成する方法を示します。この例では、VPN トンネルを介してパケットを転送するように OSPF を設定しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 自動 Vpn ハブおよびスポークとしてサポートされている3つの SRX シリーズデバイス

  • Junos OS のリリース 12.1 X44-D10 以降、自動 Vpn をサポート

開始する前に:

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと、チャレンジパスワードなどの必要な情報を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。

概要

この例は、自動 Vpn ハブの構成と2スポークのその後の構成を示しています。

この例では、最初の手順として、SCEP (Simple Certificate Enrollment Protocol) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、件名フィールドに組織単位(OU)値「SLT」が含まれている。ハブは、OU フィールドの値「SLT IKE一致するようにグループ ID を使用して設定されています。

スポークは、ハブへの IPsec VPN 接続を確立します。これにより、相互に通信したり、ハブのリソースにアクセスしたりすることができます。フェーズ1およびフェーズ 2 IKE AutoVPN ハブで構成されたトンネルオプションとすべてのスポークで同じ値を指定する必要があります。表 13は、この例で使用されているオプションを示しています。

表 13: 自動 Vpn ハブとスポークの基本 OSPF 設定用のフェーズ1およびフェーズ2のオプション

オプション

金額

IKE 提案:

認証方法

RSA デジタル証明書

Diffie-hellman (DH) グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKE ポリシー:

モード

Main

IPsec 提案:

プロトコル

ESP

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsec ポリシー:

完全順機密性 (PFS) グループ

14

すべてのデバイスで同じ認証機関 (CA) が構成されています。

Junos OS は、1つのレベルの証明書階層のみをサポートします。

表 14は、ハブおよびすべてのスポークに構成されているオプションを示しています。

表 14: ハブおよびすべてのスポークのための自動 Vpn 基本 OSPF 構成

オプション

備え

すべてのスポーク

IKE ゲートウェイ:

リモート IP アドレス

動的

1.1.1.1

リモート IKE ID

OU(組織単位)フィールドに文字列を含むスポークの証明書の識別 SLT 名(DN)

ハブの証明書上のDDN

ローカル IKE ID

ハブの証明書上のDDN

スポーク証明書のDDN

外部インターフェイス

ge-0/0/1.0

スポーク 1: fe-0/0/1.0

スポーク 2: ge-0/0/1.0

/VPN

インターフェイスのバインド

st0.0

st0.0

トンネルの確立

(構成されていません)

直ちに設定のコミット

表 15は、各スポークで異なる設定オプションを示しています。

表 15: 基本的な OSPF スポーク構成の比較

オプション

スポーク1

スポーク2

st 0.0 インターフェイス

10.10.10.2/24

10.10.10.3/24

内部ネットワークへのインターフェイス

fe-0.0/4.0: 60.60.60.1/24

fe-0.0/4.0: 70.70.70.1/24

インターフェイスからインターネットへ

fe-0/0/1.0: 2.2.2.1/30

ge-0/0/1.0: 3.3.3.1/30

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。

Topology

図 5この例では、自動 Vpn 用に構成される SRX シリーズデバイスを示しています。

図 5: OSPF を使用した基本的な自動 Vpn 導入OSPF を使用した基本的な自動 Vpn 導入

構成

自動 Vpn を構成するには、以下のタスクを実行します。

最初のセクションでは、ハブアンドスポークデバイスのシンプルな証明書登録プロトコル (SCEP) を使用して、CA とローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

順を追った手順

ハブで SCEP を使用してデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

順を追った手順

スポーク1の SCEP にデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

順を追った手順

スポーク2で SCEP を使用してデジタル証明書を登録するには、以下を実行します。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

ハブの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

ハブを構成するには、次のようにします。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク1の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク1を構成するには、次のようになります。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク2の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク2を構成するには:

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

IKE フェーズ1のステータスを確認しています

目的

IKE フェーズ1のステータスを確認します。

アクション

動作モードから、 show security ike security-associations コマンドを入力します。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとスポークで一致している必要があります。

IPsec フェーズ2の状態を検証しています

目的

IPsec フェーズ2のステータスを確認します。

アクション

動作モードから、 security ipsec security-associations コマンドを入力します。

このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとスポークで一致している必要があります。

IPsec の次ホップトンネルを検証しています

目的

IPsec のネクストホップトンネルを確認します。

アクション

動作モードから、 show security ipsec next-hop-tunnels コマンドを入力します。

次ホップゲートウェイは、スポークのst0インターフェイスの IP アドレスです。次ホップは、正しい IPsec VPN 名と関連付けられている必要があります。

OSPF の検証

目的

OSPF が、スポークのst0インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードから、 show ospf neighbor コマンドを入力します。

学習したルートの検証

目的

スポークへのルートが学習されたことを確認します。

アクション

動作モードから、 show route 60.60.60.0 コマンドを入力します。

動作モードから、 show route 70.70.70.0 コマンドを入力します。

例:OSPFv3 を使用した自動 Vpn の IPv6 トラフィックの設定

この例では、1つのターミネーションポイントとして機能するように自動 Vpn ハブを構成し、2つのスポークをリモートサイトへのトンネルとして構成する方法を示します。この例では、OSPFv3 を使用して、VPN トンネルを介してパケットを転送する、IPv6 環境の AutoVPN を構成しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 自動 Vpn ハブおよびスポークとしてサポートされている3つの SRX シリーズデバイス。

  • Junos OS リリース18.1 以降のリリースではありません。

開始する前に:

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと、チャレンジパスワードなどの必要な情報を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティングプロトコルについて理解している必要があります。

概要

この例は、OSPFv3 ルーティングプロトコルを使用した、ハブ上の自動 Vpn と2スポークのその後の構成を示しています。

この例では、最初の手順として、SCEP (Simple Certificate Enrollment Protocol) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、件名フィールドに組織単位(OU)値「SLT」が含まれている。ハブは、OU フィールドの値「SLT IKE一致するようにグループ ID を使用して設定されています。

スポークは、ハブへの IPsec VPN 接続を確立します。これにより、相互に通信したり、ハブのリソースにアクセスしたりすることができます。フェーズ1およびフェーズ 2 IKE AutoVPN ハブで構成されたトンネルオプションとすべてのスポークで同じ値を指定する必要があります。表 16は、この例で使用されているオプションを示しています。

表 16: 自動 Vpn ハブとスポークの基本 OSPFv3 構成のためのフェーズ1およびフェーズ2のオプション

オプション

金額

IKE 提案:

認証方法

RSA デジタル証明書

Diffie-hellman (DH) グループ

19

認証アルゴリズム

SHA-384

暗号化アルゴリズム

AES 256 CBC

IKE ポリシー:

モード

Main

IPsec 提案:

プロトコル

ESP

有効期間 (秒)

3000

暗号化アルゴリズム

AES 256 GCM

IPsec ポリシー:

完全順機密性 (PFS) グループ

19

すべてのデバイスで同じ認証機関 (CA) が構成されています。

表 17は、ハブおよびすべてのスポークに構成されているオプションを示しています。

表 17: ハブおよびすべてのスポークの自動 Vpn OSPFv3 構成

オプション

備え

すべてのスポーク

IKE ゲートウェイ:

リモート IP アドレス

動的

2001:db8:2000::1

リモート IKE ID

OU(組織単位)フィールドに文字列を含むスポークの証明書の識別 SLT 名(DN)

ハブの証明書上のDDN

ローカル IKE ID

ハブの証明書上のDDN

スポーク証明書のDDN

外部インターフェイス

ge-0/0/0

スポーク 1: ge-0/0/0.0

スポーク 2: ge-0/0/0.0

/VPN

インターフェイスのバインド

st0.1

st0.1

トンネルの確立

(構成されていません)

直ちに設定のコミット

表 18は、各スポークで異なる設定オプションを示しています。

表 18: OSPFv3 スポーク構成の比較

オプション

スポーク1

スポーク2

セント0.1 インターフェイス

2001:db8:7000::2/64

2001:db8:7000::3/64

内部ネットワークへのインターフェイス

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

インターフェイスからインターネットへ

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。

Topology

図 6この例では、自動 Vpn 用に構成される SRX シリーズデバイスを示しています。

図 6: OSPFv3 を使用した基本的な自動 Vpn 導入OSPFv3 を使用した基本的な自動 Vpn 導入

構成

自動 Vpn を構成するには、以下のタスクを実行します。

最初のセクションでは、ハブアンドスポークデバイスのシンプルな証明書登録プロトコル (SCEP) を使用して、CA とローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

順を追った手順

ハブで SCEP を使用してデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

順を追った手順

スポーク1の SCEP にデジタル証明書を登録するには、次のようにします。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

順を追った手順

スポーク2で SCEP を使用してデジタル証明書を登録するには、以下を実行します。

  1. CA を構成します。

  2. CA 証明書を登録します。

    プロンプト yes に入力し、証明書をCAします。

  3. 鍵ペアを生成します。

  4. ローカルの証明書を登録します。

  5. ローカルの証明書を確認します。

    サブジェクトフィールドに表示されている組織単位 (OU SLT) はです。スポークを識別するために、 ou=SLTハブの IKE 構成が含まれています。

ハブの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

ハブを構成するには、次のようにします。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク1の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク1を構成するには、次のようになります。

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

スポーク2の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

スポーク2を構成するには:

  1. インターフェイスを構成します。

  2. ルーティングプロトコルを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. ゾーンを構成します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、、、、、、、 show interfacesおよびshow protocolsshow security policiesshow security pkiコマンドshow routing-optionsshow security ike入力show security ipsecshow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

IKE ステータスの確認

目的

IKE のステータスを確認します。

アクション

動作モードから、 show security ike saコマンドを入力します。

このshow security ike saコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとスポークで一致している必要があります。

IPsec ステータスの確認

目的

IPsec のステータスを確認します。

アクション

動作モードから、 show security ipsec sa コマンドを入力します。

このshow security ipsec saコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとスポークで一致している必要があります。

IPsec の次ホップトンネルを検証しています

目的

IPsec のネクストホップトンネルを確認します。

アクション

動作モードから、 show security ipsec next-hop-tunnelsコマンドを入力します。

次ホップゲートウェイは、スポークのst0インターフェイスの IP アドレスです。次ホップは、正しい IPsec VPN 名と関連付けられている必要があります。

OSPFv3 の検証

目的

OSPFv3 がスポークのst0インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードから、 show ospf3 neighbor detailコマンドを入力します。

備え

スポーク 1:

スポーク 2:

例:トラフィックセレクターを使用した自動 Vpn トンネルを介したトラフィックの転送

この例では、動的なルーティングプロトコルではなく、トラフィックセレクターを構成して、自動 Vpn 導入の VPN トンネルを通過するようにパケットを転送する方法を示します。トラフィックセレクターが設定されている場合、セキュアトンネル (st0) インターフェイスはポイントツーポイントモードになっている必要があります。トラフィックセレクターは、ハブとスポークデバイスの両方で構成されています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • シャーシクラスターで接続され、構成される2台の SRX シリーズデバイス。シャーシクラスターは自動 Vpn ハブです。

  • AutoVPN スポークとして設定された SRX シリーズデバイスです。

  • Junos OS 12.3 X48-D10 またはそれ以降をリリースします。

  • ハブとスポークデバイスに登録されているデジタル証明書は、デバイスが相互に認証することを可能にします。

開始する前に:

概要

この例では、自動 Vpn ハブとスポークでトラフィックセレクターが設定されています。構成されたトラフィックセレクターに準拠しているトラフィックのみがトンネルを経由して転送されます。ハブでは、ローカル IP アドレス 192.0.0.0/8 とリモート IP アドレス 172.0.0.0/8 を使用してトラフィックセレクターが設定されます。スポークでは、ローカル IP アドレス 172.0.0.0/8 とリモート IP アドレス 192.0.0.0/8 を使用してトラフィックセレクターが設定されます。

スポークで構成されたトラフィックセレクター IP アドレスは、ハブで構成されたトラフィックセレクター IP アドレスのサブセットにすることができます。これは、トラフィックの選択という柔軟な一致として知られています。

AutoVPN ハブとスポークで構成されている特定のフェーズ1およびフェーズ 2 IKE トンネルオプションには、同じ値を設定する必要があります。表 19は、この例で使用されている値を示しています。

表 19: トラフィックセレクターを使用した自動 Vpn ハブとスポークのフェーズ1およびフェーズ2オプション

オプション

金額

IKE 提案:

認証方法

rsa 署名

Diffie-hellman (DH) グループ

group5

認証アルゴリズム

sha-1

暗号化アルゴリズム

aes-256-cbc

IKE ポリシー:

モード

重要

ローカル証明書

IKE ゲートウェイ:

動的

識別名ワイルドカード DC = Common_component

IKE ユーザータイプ

グループ IKE id

ローカルアイデンティティ

識別名

バージョン

v1-only

IPsec 提案:

プロトコル

esp

認証アルゴリズム

hmac-sha1-96

暗号化アルゴリズム

aes-192-cbc

3600秒

15万 kb

IPsec ポリシー:

完全順機密性 (PFS) グループ

group5

Topology

図 7この例に設定する SRX シリーズデバイスを示します。

図 7: トラフィックセレクターを使用した自動 Vpn トラフィックセレクターを使用した自動 Vpn

構成

ハブの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

Junos OS リリース 15.1 X49-D120 では、[ reject-duplicate-connectionedit security ike gateway gateway-name dynamic] 階層レベルで CLI オプションを設定して、既存のトンネルセッションを維持し、同じ IKE ID を持つ新しいトンネルのネゴシエーション要求を拒否することができます。デフォルトでは、同じ IKE ID を持つ新しいトンネルが確立されると、既存のトンネルは破棄されます。このreject-duplicate-connectionオプションは、IKE ゲートウェイike-user-type group-ike-idike-user-type shared-ike-id設定した場合にのみサポートされます。このaaa access-profile profile-name設定は、このオプションではサポートされていません。

CLI オプションreject-duplicate-connectionを使用するのは、同じ IKE ID を持つ新しいトンネルの reestablishment が拒否されるようにする必要がある場合のみにしてください。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ハブを構成するには、次のようにします。

  1. インターフェイスを構成します。

  2. フェーズ1のオプションを構成します。

  3. フェーズ2オプションを構成します。

  4. 証明書情報を構成します。

  5. セキュリティゾーンを構成します。

結果

設定show interfacesモードから、、、、、およびshow security ikeshow security ipsecshow security pkishow security zonesshow security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

スポークの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ハブを構成するには、次のようにします。

  1. インターフェイスを構成します。

  2. フェーズ1のオプションを構成します。

  3. フェーズ2オプションを構成します。

  4. 証明書情報を構成します。

  5. セキュリティゾーンを構成します。

結果

設定show interfacesモードから、、、、、およびshow security ikeshow security ipsecshow security pkishow security zonesshow security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

トンネルの確認

目的

AutoVPN ハブとスポークの間にトンネルが確立されていることを確認します。

アクション

動作モードから、ハブにshow security ike security-associationsshow security ipsec security-associationsコマンドを入力します。

運用モードから、スポークにshow security ike security-associationsshow security ipsec security-associationsコマンドを入力します。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。ハブは、1つのアクティブトンネルをスポークに表示しますが、スポークはハブへのアクティブなトンネルを1つ示します。

IKE フェーズ1で Sa がリストに表示されない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとスポークで一致している必要があります。

IKE フェーズ2で Sa が表示されない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとスポークで一致している必要があります。

トラフィックのセレクターの確認

目的

トラフィックセレクターを確認します。

アクション

動作モードから、ハブでshow security ipsec traffic-selector interface-name st0.1 コマンドを入力します。

運用モードから、スポークでshow security ipsec traffic-selector interface-name st0.1 コマンドを入力します。

トラフィックの選択は、トラフィックがローカルおよびリモートアドレスの指定されたペアと一致する場合に、トンネルを通過するトラフィックを許可する IKE ピア間の取り決めです。SA によって許可されるトラフィックのみが、トラフィックセレクターに準拠しています。発信元と応答側 (SRX シリーズハブ) の間で、トラフィックセレクターがネゴシエートされます。

例:自動 Vpn およびトラフィックセレクターで VPN トンネルの可用性を確保する

Georedundancy は、地理的に離れた複数のサイトを導入し、サイトに影響を与える停電、自然災害、その他の致命的イベントが発生した場合でも、プロバイダネットワーク上でトラフィックが継続してフローできるようにします。モバイルプロバイダネットワークでは、SRX シリーズデバイス上の georedundant の IPsec VPN ゲートウェイを介して、コアネットワークに複数の進化したノード B デバイスを接続できます。その他のデバイスへの代替ルートは、動的なルーティングプロトコルを使用してコアネットワークに配信されます。

この例では、SRX シリーズデバイスで複数のトラフィックセレクターを備えた AutoVPN ハブを構成し、georedundant の IPsec VPN ゲートウェイには、次のようなデバイスが存在することを確認します。自動ルート挿入 (ARI) を使用して、ハブのルーティングテーブルにある出力 Deb デバイスのルートを自動的に挿入します。その後、ARI ルートは、仮想ネットワークを介してプロバイダのコア ネットワークBGP。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • シャーシクラスターで接続され、構成される2台の SRX シリーズデバイス。シャーシクラスターは、自動 Vpn ハブ A です。

  • 自動 Vpn ハブ B として設定された SRX シリーズデバイスです。

  • Junos OS 12.3 X48-D10 またはそれ以降をリリースします。

  • 、自動 Vpn ハブを使用して IPsec VPN トンネルを確立できる、その他のデバイスです。このサードパーティー製のデバイスは、自動 Vpn ハブを使用して VPN トンネルを開始します。

  • ハブに登録されたデジタル証明書と、デバイスが相互に認証できるようにするための、中で使用されているデバイスです。

開始する前に:

この例では、BGP ダイナミックルーティングプロトコルを使用して、コアネットワークへのルートを、デバイスに通知します。

概要

この例では、SRX シリーズのデバイスで複数のトラフィックセレクターで georedundant の IPsec VPN ゲートウェイを提供して、2つの AutoVPN ハブを構成しています。ARI は、ハブのルーティングテーブル内の実行中のデバイスに対して、ルートを自動的に挿入します。その後、ARI ルートは、仮想ネットワークを介してプロバイダのコア ネットワークBGP。

AutoVPN ハブと/Deb デバイスに構成されている特定のフェーズ1およびフェーズ 2 IKE トンネルオプションには、同じ値を設定する必要があります。表 20は、この例で使用されている値を示しています。

表 20: Georedundant AutoVPN ハブのフェーズ1とフェーズ2のオプション

オプション

金額

IKE 提案:

認証方法

rsa 署名

Diffie-hellman (DH) グループ

group5

認証アルゴリズム

sha-1

暗号化アルゴリズム

aes-256-cbc

IKE ポリシー:

ローカル証明書

IKE ゲートウェイ:

動的

識別名ワイルドカード DC = Common_component

IKE ユーザータイプ

グループ IKE id

デッドピア検知

探査-アイドル・トンネル

ローカルアイデンティティ

識別名

バージョン

v2-only

IPsec 提案:

プロトコル

esp

認証アルゴリズム

hmac-sha1-96

暗号化アルゴリズム

aes-256-cbc

IPsec ポリシー:

完全順機密性 (PFS) グループ

group5

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。シンプルさを追求するために、SRX シリーズデバイスでの設定はあらゆるタイプの受信トラフィックを許可しています。この構成は、実稼働環境への導入には推奨されません。

Topology

図 8この例に設定する SRX シリーズデバイスを示します。

図 8: Georedundant の IPsec VPN ゲートウェイからのデバイスへの、Georedundant の IPsec VPN ゲートウェイからのデバイスへの、

構成

ハブ A を構成する

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ハブ A を構成するには、以下のようになります。

  1. インターフェイスを構成します。

  2. フェーズ1のオプションを構成します。

  3. フェーズ2オプションを構成します。

  4. BGP ルーティングプロトコルを構成します。

  5. ルーティングオプションを構成します。

  6. 証明書情報を構成します。

  7. セキュリティゾーンを構成します。

結果

構成モードから、、、、、 show interfaces show security ikeshow security ipsecshow protocols bgpshow policy-optionsshow security zones、、およびshow security policiesコマンドを入力show security pkiして設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

ハブ B の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ハブ B を構成するには、次のようになります。

  1. インターフェイスを構成します。

  2. フェーズ1のオプションを構成します。

  3. フェーズ2オプションを構成します。

  4. BGP ルーティングプロトコルを構成します。

  5. ルーティングオプションを構成します。

  6. 証明書情報を構成します。

  7. セキュリティゾーンを構成します。

結果

show interfaces show security ike設定モードから、、、、、およびshow security policiesコマンドをshow security ipsec入力show protocols bgpshow security pkishow security zonesして設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

構成 (サンプル設定) の構成

順を追った手順
  1. この例では、参照用に表示されています。詳細なマニュアルの構成情報は、本書の範囲外です。この構成には、以下の情報が含まれている必要があります。

    • ローカル証明書 (X 509v3) および IKE のアイデンティティ情報

    • SRX シリーズ IKE id 情報とパブリック IP アドレス

    • SRX シリーズハブの設定と一致するフェーズ1およびフェーズ2の提案

結果

この例の strongSwan Deb デバイスでは、IPsec ベースの VPN 接続用のオープンソースソフトウェアを使用しています。

検証

構成が正常に機能していることを確認します。

AutoVPN ハブでトンネルを確認しています

目的

AutoVPN ハブと/Deb デバイスの間にトンネルが確立されていることを確認します。

アクション

動作モードから、ハブにshow security ike security-associationsshow security ipsec security-associationsコマンドを入力します。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。ハブは2つのアクティブなトンネルを表示します。1つは、各各 Deb デバイスについてです。

IKE フェーズ1で Sa がリストに表示されない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ハブとののデバイスで一致している必要があります。

IKE フェーズ2で Sa が表示されない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ハブとののデバイスで一致している必要があります。

トラフィックのセレクターの確認

目的

トラフィックセレクターを確認します。

アクション

動作モードから、 show security ipsec traffic-selector interface-name st0.1コマンドを入力します。

トラフィックの選択は、トラフィックがローカルおよびリモートアドレスの指定されたペアと一致する場合に、トンネルを通過するトラフィックを許可する IKE ピア間の取り決めです。SA によって許可されるトラフィックのみが、トラフィックセレクターに準拠しています。発信元と応答側 (SRX シリーズハブ) の間で、トラフィックセレクターがネゴシエートされます。

ARI ルートの検証

目的

ARI ルートがルーティングテーブルに追加されていることを確認します。

アクション

動作モードから、 show routeコマンドを入力します。

自動ルート挿入 (ARI)は、リモートネットワークおよびリモートトンネルエンドポイントによって保護されるホストの静的ルートを自動的に挿入します。トラフィックセレクターに構成されたリモート IP アドレスに基づいてルートが作成されます。トラフィックセレクターの場合、設定されたリモートアドレスは、VPN にバインドされた st0 インターフェイスに関連付けられたルーティングインスタンスにルートとして挿入されます。

SRX シリーズハブのルーティングテーブルには、30.1.1.0 の宛先への静的ルートと 50.1.1.0/24 が追加されています。これらのルートは、st 0.1 インターフェイスを介して到達可能です。

例:事前共有キーを使用した AutoVPN の設定

この例では、VPNゲートウェイがリモート ピアを認証IKE、事前共有鍵の異なる設定方法を示しています。同様に、VPN ゲートウェイが使用IKE共有鍵と同じ鍵を設定して、リモート ピアを認証します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MX240、MX480、AutoVPN MX960サポートする MX-SPC3 および Junos OS リリース 21.1R1 を使用した場合
  • AutoVPN SRX5000 シリーズサポートするSPC3およびJunos OSリリース21.2R1のデバイスの数
  • AutoVPN vSRXサポートJunos OSリリース21.2R1からリリース21.2R1まで

事前共有鍵IKEを設定する

VPN ゲートウェイがリモート IKE認証するために使用する事前共有鍵を異なるポリシーで設定するには、これらのタスクを実行します。

  1. AutoVPN ハブを使用して、デバイスでシードIKE共有ポリシーを設定します。

    または

    たとえば、以下のように記述します。

    または

  2. ゲートウェイ名 pre-shared key とユーザー ID を使用してリモート ピアのデータ を表示します。

    たとえば、以下のように記述します。

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. リモート ピア デバイス上の ike ポリシーに、生成された PSK(「79e4ea39f5c06834a3c4c031e37c6de24d4d46798a」)を設定します。 2

    たとえば、以下のように記述します。

  4. (オプション)IKE ID 検証を迂回し、すべての IKE ID タイプを許可するには、ゲートウェイの general-ikeid [edit security ike gateway gateway_name dynamic] 階層レベルで設定ステートメントを設定します。

生じる

設定モードから、 show security コマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

事前共有鍵IKE設定

VPN ゲートウェイがリモート ピアIKEに使用する事前共有鍵と同じポリシーを設定するには、これらのタスクを実行します。

  1. pre-shared-key AutoVPN ハブを使用してデバイスで ike ポリシーの共通設定を行います。

    たとえば、以下のように記述します。

  2. リモート ピア デバイス pre-shared-key の ike ポリシーで共通の設定を行います。

    たとえば、以下のように記述します。

  3. (オプション)IKE ID 検証を迂回し、すべての IKE ID タイプを許可するには、ゲートウェイの general-ikeid [edit security ike gateway gateway_name dynamic] 階層レベルで設定ステートメントを設定します。

生じる

設定モードから、 show security コマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

リリース履歴テーブル
リリース
説明
17.4R1
Junos OS リリース 17.4 R1 以降では、AutoVPN で IPv6 アドレスがサポートされています。
17.4R1
Junos OS リリース 17.4 R1 から開始して、ポイントツーポイントモードでセキュアトンネルインターフェースを使用する自動 Vpn ネットワークは、トラフィックセレクターと IKE ピアの IPv6 アドレスをサポートします。
15.1X49-D120
Junos OS リリース 15.1 X49-D120 では、[ reject-duplicate-connectionedit security ike gateway gateway-name dynamic] 階層レベルで CLI オプションを設定して、既存のトンネルセッションを維持し、同じ IKE ID を持つ新しいトンネルのネゴシエーション要求を拒否することができます。