Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ハブアンドスポークデバイス上の AutoVPN

AutoVPN は、リモート サイトへの複数のトンネル(スポークと呼ばれる)の単一終端ポイントとして機能する IPsec VPN アグリゲータ(ハブとして知られる)をサポートしています。AutoVPN を使用すると、ネットワーク管理者は現在と将来のスポーク用にハブを設定できます。

AutoVPN について

AutoVPN は、リモート サイトへの複数のトンネル(スポークと呼ばれる)の単一終端ポイントとして機能する IPsec VPN アグリゲータ( ハブとして知られる)をサポート しています。AutoVPN を使用すると、ネットワーク管理者は現在と将来のスポーク用にハブを設定できます。スポーク デバイスの追加や削除時にハブで設定を変更する必要がないため、管理者は大規模なネットワーク導入を柔軟に管理できます。

セキュアトンネルモード

AutoVPN はルートベースの IPsec VPN でサポートされています。ルートベース VPN の場合、セキュア トンネル(st0)インターフェイスを設定し、IPsec VPN トンネルにバインドします。AutoVPN ネットワークの st0 インターフェイスは、次の 2 つのモードのいずれかで設定できます。

  • ポイントツーポイント モード— デフォルトでは、[] 階層レベルでedit interfaces st0 unit x設定された st0 インターフェイスはポイントツーポイント モードになります。Junos OS リリース 17.4R1 以降、IPv6 アドレスは AutoVPN でサポートされています。

  • ポイントツーマルチポイント モード—このモードでは、 multipoint オプションは AutoVPN ハブとスポークの両方の[edit interfaces st0 unit x]階層レベルで設定されます。ハブとスポークの st0 インターフェイスには番号を付け、スポーク上に設定された IP アドレスはハブの st0 インターフェイス サブネットワークに存在する必要があります。

表 1 は、AutoVPNのポイントツーポイントおよびポイントツーマルチポイントのセキュアトンネルインターフェイスモードを比較しています。

表 1: AutoVPN ポイントツーポイントおよびポイントツーマルチポイント セキュア トンネル モードの比較

ポイントツーポイント モード

ポイントツーマルチポイント モード

IKEv1 または IKEv2 をサポートします。

IKEv1 または IKEv2 をサポートします。

IPv4 および IPv6 トラフィックをサポートします。

IPv4 または IPv6 をサポートします。

トラフィック セレクター

動的ルーティング プロトコル(OSPF、OSPFv3、iBGP)

デッドピア検知

デッドピア検知

スポーク デバイスを SRX シリーズまたはサードパーティー 製デバイスにできます。

このモードは、SRXシリーズ デバイスでのみサポートされています。

認証

AutoVPN のハブとスポークでサポートされる認証は、X.509 PKI(公開鍵基盤)証明書です。ハブに設定されたグループ IKE ユーザー タイプでは、スポーク証明書の代替サブジェクト フィールドと一致するように文字列を指定できます。スポーク証明書のサブジェクト フィールドの部分的な照合も指定できます。「AutoVPN 導入におけるスポーク認証について」を参照してください

Junos OS リリース 21.2R1 以降、SPC3 カードと vSRX が iked プロセスを実行している SRX5000 シリーズ デバイスは、シード済みの事前共有キーを使用した AutoVPN をサポートしています。SPC3 カードと vSRX を搭載した SRX5000 シリーズ デバイスは、junos-ike-package がインストールされている場合にのみ AutoVPN PSK をサポートします。

AutoVPN は次の 2 つのオプションでサポートされています。

  • 自動 VPN シード PSK: 複数のピアが、異なる事前共有キーを持つ同じゲートウェイに接続します。
  • 自動 VPN 共有 PSK: 同じ事前共有キーを持つ同じゲートウェイに接続する複数のピア。

シードPSKは、シードされていないPSK(つまり、同じ共有PSK)とは異なります。シード PSK はマスター キーを使用して、ピアの共有 PSK を生成します。そのため、各ピアは異なるPSKを同じゲートウェイに接続します。例えば、IKE IDを持つピア1とIKE ID user1@juniper.net を持つ user2@juniper.net ピア2がゲートウェイへの接続を試みるシナリオを考えてみましょう。このシナリオでは、マスター キーを含むゲートウェイとして HUB_GW 構成されたゲートウェイは、次のように ThisIsMySecretPreSharedkey 異なる PSK を持つことになります。

ピア 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a

ピア 2: 3db8385746f3d1e639435a882579a9f28464e5c7

つまり、ユーザーIDが異なるユーザーと同じマスターキーを持つ異なるユーザーに対して、異なるまたは一意の事前共有キーが生成されることを意味します。

Auto-VPN PSK には、次pre-shared-keyのいずれかをseeded-pre-shared-key使用できます。

  • 別の事前共有キー: が seeded-pre-shared-key 設定されている場合、VPN ゲートウェイは異なる IKE 事前共有鍵を使用して、各リモート ピアを認証します。ピア事前共有キーは、IKE ゲートウェイのセットを master-key 使用して生成され、ピア間で共有されます。

    VPN ゲートウェイが各リモート ピアの認証に異なる IKE 事前共有キー(PSK)を使用できるようにするには、新しい CLI コマンド seeded-pre-shared-key ascii-text を使用するか seeded-pre-shared-key hexadecimal 、階層レベルの下で [edit security ike policy policy_name] 使用します。

    このコマンドは、同じ階層のコマンドと pre-shared-key 相互に排他的です。

    ポリシーを参照してください。

  • 共有/同じ事前共有キー: 設定されていない場合 pre-shared-key-type 、PSK は共有と見なされます。VPN ゲートウェイでは、すべてのリモート ピアを認証するために、同じ IKE 事前共有キーが使用されます。

    すべてのリモート ピアの認証に同じ IKE PSK を使用するように VPN ゲートウェイを有効にするには、既存の CLI コマンド pre-sharedkey ascii-text または pre-shared-key hexadecimal.

VPN ゲートウェイでは、階層レベルの設定ステートメントを使用して general-ikeid IKE ID 検証を [edit security ike gateway gateway_name dynamic] バイパスできます。このオプションが設定されている場合、リモート ピアの認証中に、VPN ゲートウェイはリモート IKE ID 接続を許可します。を参照してください general-ikeid

SPC3 カードと vSRX が iked を実行している SRX5000 シリーズ デバイスは、次の IKE モードをサポートしています。

表 2: AutoVPN PSKのサポート

IKEモード

SPC3 カードと vSRX が iked プロセスを実行している SRX5000 シリーズ デバイス

共有PSK

シード PSK

IKEv2

任意の IKEv2remote-id

IKEv1 アグレッシブ モード

IKEv1 アグレッシブ モード( any-remote-id/general-ikeid

IKEv1 メイン モード

×

any-remote-id/ を備えた IKEv1 メイン モードgeneral-ikeid

×

例を参照してください 。事前共有キーを使用した AutoVPN の設定

構成および管理

AutoVPN は、CLI を使用して SRX シリーズ デバイスで設定および管理されます。1 台の SRX シリーズ デバイスで複数の AutoVPN ハブを設定できます。設定されたハブでサポートされるスポークの最大数は、SRX シリーズ デバイスのモデルに固有のものです。

AutoVPN の制限について

次の機能は AutoVPN ではサポートされていません。

  • ポリシーベース VPN はサポートされていません。

  • RIP ダイナミック ルーティング プロトコルは、AutoVPN トンネルではサポートされていません。

  • 手動鍵および事前共有鍵を使用した自動キー IKE はサポートされていません。

  • スポーク用ハブでの静的ネクストホップ トンネル バインディング(NHTB)の設定はサポートされていません。

  • マルチキャストはサポートされていません。

  • グループ IKE ID ユーザー タイプは、IKE ID として IP アドレスでサポートされていません。

  • グループ IKE ID ユーザー タイプを使用する場合、IKE ID は同じ外部インターフェイス上で設定された他の IKE ゲートウェイと重複しないようにする必要があります。

トラフィック セレクターを使用した AutoVPN について

AutoVPN ハブは、複数のトラフィック セレクターを使用して設定して、スポークへのトラフィックを保護できます。この機能には、以下のメリットがあります。

  • 1 つの VPN 設定でさまざまなピアをサポートできます。

  • VPN ピアは、SRX シリーズ以外のデバイスにできます。

  • 1 つのピアで、同じ VPN で複数のトンネルを確立できます。

  • 動的ルーティング プロトコルを使用する AutoVPN よりも多くのトンネルをサポートできます。

Junos OS リリース 17.4R1 以降、ポイントツーポイント モードでセキュア トンネル インターフェイスを使用する AutoVPN ネットワークは、トラフィック セレクターと IKE ピアで IPv6 アドレスをサポートします。

ハブツースポーク トンネルが確立されると、ハブは、以前のリリースでは RRI(Reverse Route Insertion)と呼ばれる ARI(自動ルート挿入)を使用して、ルーティング テーブルのスポーク プレフィックスにルートを挿入します。ARIルートをルーティングプロトコルにインポートし、コアネットワークに配信できます。

トラフィック セレクターを備えた AutoVPN は、IKEv1 と IKEv2 の両方のポイントツーポイント モードでセキュア トンネル(st0)インターフェイスを使用して設定できます。

トラフィック セレクターが設定されている場合、st0 インターフェイスでは動的ルーティング プロトコルはサポートされていません。

トラフィック セレクターを使用して AutoVPN を設定する場合は、次の点に注意してください。

  • 動的ルーティング プロトコルは、st0 インターフェイスをポイントツーポイント モードで使用するトラフィック セレクターではサポートされていません。

  • Auto Discovery VPN および IKEv2 設定ペイロード は、トラフィック セレクターを使用した AutoVPN では設定できません。

  • スポークは SRX シリーズ以外のデバイスにできます。ただし、以下の違いに注意してください。

    • IKEv2 では、SRX シリーズ以外のスポークで、1 つの SA ネゴシエーションで複数のトラフィック セレクターを提案できます。これは SRX シリーズ デバイスではサポートされず、ネゴシエーションは拒否されます。

    • SRX シリーズ以外のスポークは、トラフィック セレクターで使用する特定のポートまたはプロトコルを識別できます。SRX シリーズ デバイスのトラフィック セレクターでは、ポートとプロトコルはサポートされず、ネゴシエーションは拒否されます。

AutoVPN 導入におけるスポーク認証について

AutoVPN 導入では、ハブ アンド スポーク デバイスに有効な X.509 PKI 証明書がロードされている必要があります。コマンドを show security pki local-certificate detail 使用して、デバイスにロードされた証明書に関する情報を表示できます。

このトピックでは、スポークを認証してハブに接続できるようにするハブの設定について説明します。

ハブ上のグループ IKE ID 設定

グループ IKE ID 機能により、多数のスポーク デバイスがハブ上で IKE 設定を共有できます。各スポークの X.509 証明書のサブジェクトまたは代替サブジェクト フィールドの証明書所有者の ID には、すべてのスポークに共通する部分が含まれている必要があります。証明書識別の共通部分は、ハブ上の IKE 設定に対して指定されます。

たとえば、IKE ID example.net はハブ上で設定して、ホスト名 device1.example.net、、 device2.example.netおよび device3.example.netを使用してスポークを識別できます。各スポーク上の証明書には、フィールドの右端device1.example.netにある代替サブジェクト フィールドexample.netにホスト名 ID が含まれている必要があります。この例では、すべてのスポークが IKE ID ペイロードでこのホスト名 ID を使用します。IKE ネゴシエーション中、スポークからの IKE ID は、ハブ上で設定されたピア IKE アイデンティティの共通部分と一致させるために使用されます。有効な証明書がスポークを認証します。

証明書識別の一般的な部分は、次のいずれかになります。

  • たとえば example.net、証明書の代替サブジェクト フィールドの右端にある部分的なホスト名。

  • たとえば @example.net、証明書の代替サブジェクト フィールドの右端にある部分的な電子メール アドレス。

  • 証明書のサブジェクト フィールドに一致するコンテナ文字列、ワイルドカードのセット、またはその両方。件名フィールドには、ABSTRACT Syntax Notation One(ASN.1)識別名(DN)形式のデジタル証明書ホルダーの詳細が含まれています。フィールドには、組織、組織部門、国、地域、または共通名を含めることができます。

    証明書のサブジェクト フィールドと一致するようにグループ IKE ID を設定するには、次のタイプの ID の一致を指定できます。

    • コンテナ—スポークの証明書のサブジェクト フィールドがハブで設定された値と完全に一致する場合、ハブはスポークの IKE ID を認証します。各件名フィールドに複数のエントリーを指定できます(たとえば)。 ou=eng,ou=sw フィールドの値の順序は一致する必要があります。

    • ワイルドカード—スポークの証明書のサブジェクト フィールドがハブで設定された値と一致する場合、ハブはスポークの IKE ID を認証します。ワイルドカード一致では、フィールドごとに 1 つの値しかサポートされません(たとえば、 ou=eng または ou=sw サポートされていません ou=eng,ou=sw)。フィールドの順序は必須ではありません。

次の例では、証明書の代替サブジェクト フィールドに部分的なホスト名 example.net を使用してグループ IKE ID を設定します。

この例では、 example.net すべてのスポークに使用されるホスト名識別の一般的な部分です。スポーク上のすべての X.509 証明書には、右側にある代替サブジェクト フィールド example.net にホスト名 ID が含まれている必要があります。すべてのスポークは、IKE ID ペイロードでホスト名 ID を使用する必要があります。

次の例では、証明書の組織単位および組織のサブジェクト フィールドの値 salesexample 一致するように、ワイルドカードを使用してグループ IKE ID を設定します。

この例では、フィールド ou=sales,o=example はスポークから期待される証明書のサブジェクト フィールドの共通部分です。IKE ネゴシエーション中に、スポークが証明書のサブジェクト フィールド cn=alice,ou=sales,o=example を含む証明書を提示すると、認証は成功し、トンネルが確立されます。スポークが証明書のサブジェクト フィールド cn=thomas,ou=engineer,o=example を持つ証明書を提示した場合、組織単位は次のようにする必要があり、その証明書はハブによって拒否されます sales

スポーク接続の除外

特定のスポークをハブへの接続から除外するには、そのスポークの証明書を取り消す必要があります。ハブは、取り消された証明書のシリアル番号を含む CA から最新の証明書失効リスト(CRL)を取得する必要があります。その後、ハブは取り消されたスポークからの VPN 接続を拒否します。ハブで最新の CRL が使用可能になるまで、ハブは取り消されたスポークからトンネルを確立し続ける場合があります。詳細については、「 オンライン証明書ステータス プロトコルと証明書失効リスト について」および 「証明機関プロファイルについて」を参照してください

AutoVPN 設定の概要

次の手順では、ハブ アンド スポーク デバイスで AutoVPN を設定するための基本的なタスクについて説明します。AutoVPN ハブは、現在のスポークと新しいスポークすべてに 対して 1 回 設定されます。

AutoVPN ハブを設定するには、次の手順にしたがってください。

  1. CA 証明書とローカル証明書をデバイスに登録します。
  2. セキュア トンネル(st0)インターフェイスを作成し、ポイントツーマルチポイント モードで設定します。
  3. 単一の IKE ポリシーを設定します。
  4. すべてのスポークに共通するグループ IKE ID を使用して IKE ゲートウェイを設定します。
  5. 単一の IPsec ポリシーと VPN を設定します。
  6. 動的ルーティング プロトコルを設定します。

SRX シリーズ AutoVPN スポーク デバイスを設定するには、次の手順に従います。

  1. CA 証明書とローカル証明書をデバイスに登録します。

  2. st0 インターフェイスを作成し、ポイントツーマルチポイント モードで設定します。

  3. ハブで設定された IKE ポリシーと一致するように IKE ポリシーを設定します。

  4. ハブで設定されたグループ IKE ID と一致するように、ID を使用して IKE ゲートウェイを設定します。

  5. ハブで設定された IPsec ポリシーに一致するように IPsec ポリシーを設定します。

  6. 動的ルーティング プロトコルを設定します。

例:iBGP を使用した基本 AutoVPN の設定

この例では、AutoVPN ハブを単一の終端ポイントとして機能するように設定し、リモート サイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示しています。この例では、VPN トンネルを介してパケットを転送するように iBGP を設定します。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • 3 台の SRX シリーズ デバイスを AutoVPN ハブアンドスポークとしてサポート

  • Junos OS リリース 12.1X44-D10 以降、AutoVPN をサポート

開始する前に、以下を行います。

  • ローカル証明書の要求を送信するときに、証明機関(CA)のアドレスと、必要な情報(チャレンジ パスワードなど)を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルに精通している必要があります。動的ルーティング プロトコルの特定の要件の詳細については、「 ルーティング プロトコルの概要」を参照してください。

概要

この例では、AutoVPN ハブの設定と 2 つのスポークの後続の設定を示しています。

この例では、最初のステップは、シンプルな証明書登録プロトコル(SCEP)を使用して各デバイスにデジタル証明書を登録することです。スポークの証明書には、件名フィールドの組織部門(OU)値「SLT」が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへの IPsec VPN 接続を確立し、ハブ上のリソースと通信したり、リソースにアクセスしたりできます。AutoVPN ハブで設定されたフェーズ 1 およびフェーズ 2 IKE トンネル オプションと、すべてのスポークに同じ値が必要です。 表 3 は、この例で使用するオプションを示しています。

表 3: AutoVPN ハブアンドスポーク構成のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKEポリシー:

モード

Main

IPsec プロポーザル:

プロトコル

特に

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsec ポリシー:

PfS(Perfect Forward Secrecy)グループ

14

すべてのデバイスに同じ証明機関(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 4 は、ハブとすべてのスポークで設定されたオプションを示しています。

表 4: ハブスポークと全スポークの AutoVPN 設定

オプション

ハブ

すべてのスポーク

IKEゲートウェイ:

リモート IP アドレス

動的

10.1.1.1

リモート IKE ID

スポークの証明書の識別名(DN)と、組織単位(OU)フィールドの文字列SLT

ハブの証明書の DN

ローカル IKE ID

ハブの証明書の DN

スポークの証明書の DN

外部インターフェイス

ge-0/0/1.0

スポーク 1: fe-0/0/1.0

スポーク 2: ge-0/0/1.0

VPN:

バインド インターフェイス

st0.0

st0.0

トンネルの確立

(未構成)

設定コミット直後

表 5 は、スポークごとに異なる設定オプションを示しています。

表 5: スポーク構成の比較

オプション

スポーク 1

スポーク 2

st0.0インターフェイス

10.10.10.2/24

10.10.10.3/24

内部ネットワークへのインターフェイス

(fe-0.0/4.0) 10.60.60.1/24

(fe-0.0/4.0) 10.70.70.1/24

インターネットへのインターフェイス

(fe-0/0/1.0) 10.2.2.1/30

(ge-0/0/1.0) 10.3.3.1/30

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティ ポリシーがすべてのデバイスに使用されます。本番環境では、より制限の厳しいセキュリティ ポリシーを設定する必要があります。「セキュリティ ポリシーの概要」を参照してください。

トポロジ

図 1 は、この例で AutoVPN 用に設定する SRX シリーズ デバイスを示しています。

図 1: iBGP による基本的な AutoVPN 導入 iBGP による基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ アンド スポーク デバイス上のシンプルな証明書登録プロトコル(SCEP)を使用して、CA およびローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

手順

ハブ上で SCEP を使用してデジタル証明書を登録するには、以下の手順にしたがってください。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには、次の手順に準拠します。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

    [件名] フィールドに表示される組織部門(OU)は.SLT ハブ上の IKE 設定には、スポークを識別することが含まれます ou=SLT

手順

スポーク上で SCEP を使用してデジタル証明書を登録するには、2:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

    [件名] フィールドに表示される組織部門(OU)は.SLT ハブ上の IKE 設定には、スポークを識別することが含まれます ou=SLT

ハブの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

ハブを設定するには、次の手順にしたがっています。

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 、 、 show security ipsecshow protocolsshow security policiesshow routing-optionsshow security zonesshow security ikeおよび show security pki コマンドをshow interfaces入力して、設定を確認します。 show policy-options 出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

スポークの設定 1

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

スポーク 1 を設定するには、

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 、 、 show security ipsecshow protocolsshow security policiesshow routing-optionsshow security zonesshow security ikeおよび show security pki コマンドをshow interfaces入力して、設定を確認します。 show policy-options 出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

スポークの設定 2

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

スポークを設定するには 2:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 、 、 show security ipsecshow protocolsshow security policiesshow routing-optionsshow security zonesshow security ikeおよび show security pki コマンドをshow interfaces入力して、設定を確認します。 show policy-options 出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

IKE フェーズ 1 ステータスの検証

目的

IKE フェーズ 1 ステータスを検証します。

対処

動作モードから、コマンドを show security ike security-associations 入力します。

意味

このコマンドは show security ike security-associations 、すべてのアクティブな IKE フェーズ 1 SA をリストします。SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 1 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec フェーズ 2 ステータスの検証

目的

IPsec フェーズ 2 ステータスを確認します。

対処

動作モードから、コマンドを security ipsec security-associations 入力します。

意味

このコマンドは show security ipsec security-associations 、すべてのアクティブな IKE フェーズ 2 SA をリストします。SA がリストされていない場合は、フェーズ 2 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ネクスト ホップ トンネルの検証

目的

IPsec ネクスト ホップ トンネルを検証します。

対処

動作モードから、コマンドを show security ipsec next-hop-tunnels 入力します。

意味

ネクスト ホップ ゲートウェイは、スポークのインターフェイスの IP アドレス st0 です。ネクスト ホップは正しい IPsec VPN 名に関連付ける必要があります。

BGP の検証

目的

BGP がスポークのインターフェイスの IP アドレスを st0 参照していることを確認します。

対処

動作モードから、コマンドを show bgp summary 入力します。

学習したルートの検証

目的

スポークへのルートが学習されていることを確認します。

対処

動作モードから、コマンドを show route 10.60.60.0 入力します。

動作モードから、コマンドを show route 10.70.70.0 入力します。

例:IPv6 トラフィック用 iBGP を使用した基本的な AutoVPN の設定

この例では、AutoVPN ハブを単一の終端ポイントとして機能するように設定し、リモート サイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示しています。この例では、iBGP を使用して VPN トンネルを介してパケットを転送する IPv6 環境向け AutoVPN を設定しています。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • 3 台の SRX シリーズ デバイスを AutoVPN ハブアンドスポークとしてサポート。

  • Junos OS リリース 18.1R1 以降のリリース。

開始する前に、以下を行います。

  • ローカル証明書の要求を送信するときに、証明機関(CA)のアドレスと、必要な情報(チャレンジ パスワードなど)を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルに精通している必要があります。動的ルーティング プロトコルの特定の要件の詳細については、「 ルーティング プロトコルの概要」を参照してください。

概要

この例では、AutoVPN ハブの設定と 2 つのスポークの後続の設定を示しています。

この例では、最初のステップは、シンプルな証明書登録プロトコル(SCEP)を使用して各デバイスにデジタル証明書を登録することです。スポークの証明書には、件名フィールドの組織部門(OU)値「SLT」が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへの IPsec VPN 接続を確立し、ハブ上のリソースと通信したり、リソースにアクセスしたりできます。AutoVPN ハブで設定されたフェーズ 1 およびフェーズ 2 IKE トンネル オプションと、すべてのスポークに同じ値が必要です。 表 6 は、この例で使用するオプションを示しています。

表 6: AutoVPN ハブアンドスポーク構成のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

19

認証アルゴリズム

SHA-384

暗号化アルゴリズム

AES 256 CBC

IKEポリシー:

モード

Main

IPsec プロポーザル:

プロトコル

特に

ライフタイム(秒)

3000

暗号化アルゴリズム

AES 256 GCM

IPsec ポリシー:

PfS(Perfect Forward Secrecy)グループ

19

すべてのデバイスに同じ証明機関(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 7 は、ハブとすべてのスポークで設定されたオプションを示しています。

表 7: ハブスポークと全スポークの AutoVPN 設定

オプション

ハブ

すべてのスポーク

IKEゲートウェイ:

リモート IP アドレス

動的

2001:db8:2000::1

リモート IKE ID

スポークの証明書の識別名(DN)と、組織単位(OU)フィールドの文字列SLT

ハブの証明書の DN

ローカル IKE ID

ハブの証明書の DN

スポークの証明書の DN

外部インターフェイス

ge-0/0/0

スポーク 1: ge-0/0/0.0

スポーク 2: ge-0/0/0.0

VPN:

バインド インターフェイス

st0.1

st0.1

トンネルの確立

(未構成)

トラフィック上の確立トンネル

表 8 は、スポークごとに異なる設定オプションを示しています。

表 8: スポーク構成の比較

オプション

スポーク 1

スポーク 2

st0.0インターフェイス

2001:db8:7000::2/64

2001:db8:7000::3/64

内部ネットワークへのインターフェイス

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0)2001:db8:6000::1/64

インターネットへのインターフェイス

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0)2001:db8:5000::2/64

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティ ポリシーがすべてのデバイスに使用されます。本番環境では、より制限の厳しいセキュリティ ポリシーを設定する必要があります。「セキュリティ ポリシーの概要」を参照してください。

トポロジ

図 2 は、この例で AutoVPN 用に設定する SRX シリーズ デバイスを示しています。

図 2: iBGP による基本的な AutoVPN 導入 iBGP による基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ アンド スポーク デバイス上のシンプルな証明書登録プロトコル(SCEP)を使用して、CA およびローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

手順

ハブ上で SCEP を使用してデジタル証明書を登録するには、以下の手順にしたがってください。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには、次の手順に準拠します。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

    [件名] フィールドに表示される組織部門(OU)は.SLT ハブ上の IKE 設定には、スポークを識別することが含まれます ou=SLT

手順

スポーク上で SCEP を使用してデジタル証明書を登録するには、2:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

    [件名] フィールドに表示される組織部門(OU)は.SLT ハブ上の IKE 設定には、スポークを識別することが含まれます ou=SLT

ハブの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

ハブを設定するには、次の手順にしたがっています。

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 、 、 show security ipsecshow protocolsshow security policiesshow routing-optionsshow security zonesshow security ikeおよび show security pki コマンドをshow interfaces入力して、設定を確認します。 show policy-options 出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

スポークの設定 1

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

スポーク 1 を設定するには、

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 、 、 show security ipsecshow protocolsshow security policiesshow routing-optionsshow security zonesshow security ikeおよび show security pki コマンドをshow interfaces入力して、設定を確認します。 show policy-options 出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

スポークの設定 2

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

スポークを設定するには 2:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 、 、 show security ipsecshow protocolsshow security policiesshow routing-optionsshow security zonesshow security ikeおよび show security pki コマンドをshow interfaces入力して、設定を確認します。 show policy-options 出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

IKE ステータスの検証

目的

IKE ステータスを確認します。

対処

動作モードから、コマンドを show security ike sa 入力します。

意味

このコマンドは show security ike sa 、すべてのアクティブな IKE フェーズ 1 SA をリストします。SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 1 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ステータスの検証

目的

IPsec ステータスを確認します。

対処

動作モードから、コマンドを show security ipsec sa 入力します。

意味

このコマンドは show security ipsec sa 、すべてのアクティブな IKE フェーズ 2 SA をリストします。SA がリストされていない場合は、フェーズ 2 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ネクスト ホップ トンネルの検証

目的

IPsec ネクスト ホップ トンネルを検証します。

対処

動作モードから、コマンドを show security ipsec next-hop-tunnels 入力します。

意味

ネクスト ホップ ゲートウェイは、スポークのインターフェイスの IP アドレス st0 です。ネクスト ホップは正しい IPsec VPN 名に関連付ける必要があります。

BGP の検証

目的

BGP がスポークのインターフェイスの IP アドレスを st0 参照していることを確認します。

対処

動作モードから、コマンドを show bgp summary 入力します。

例:iBGP および ECMP による AutoVPN の設定

この例では、AutoVPN ハブとスポーク間に 2 つの IPsec VPN トンネルを設定する方法を示しています。この例では、VPN トンネルを介してパケットを転送するように、等価コスト マルチパス(ECMP)を使用して iBGP を設定します。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • 2 台の SRX シリーズ デバイスを AutoVPN ハブアンドスポークとしてサポート

  • Junos OS リリース 12.1X44-D10 以降、AutoVPN をサポート

開始する前に、以下を行います。

  • ローカル証明書の要求を送信するときに、証明機関(CA)のアドレスと、必要な情報(チャレンジ パスワードなど)を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルに精通している必要があります。

概要

この例では、AutoVPN ハブの設定と、2 つの IPsec VPN トンネルを使用したスポークを示しています。

この例では、最初のステップは、シンプルな証明書登録プロトコル(SCEP)を使用して各デバイスにデジタル証明書を登録することです。証明書は、ハブと各 IPsec VPN トンネルのスポークに登録されます。スポークの証明書の 1 つに、識別名(DN)に組織ユニット(OU)値「SLT」が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。スポークのもう 1 つの証明書には、DN の OU 値「SBU」が含まれています。ハブは、OU フィールドの値「SBU」と一致するようにグループ IKE ID で設定されています。

スポークによってハブへの IPsec VPN 接続が確立され、ハブ上のリソースにアクセスできるようになります。AutoVPN ハブとスポークで設定されたフェーズ 1 およびフェーズ 2 IKE トンネル オプションは、同じ値である必要があります。表 9 は、この例で使用するオプションを示しています。

表 9: AutoVPN ハブアンドスポーク iBGP ECMP 設定のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKEポリシー:

モード

Main

IPsec プロポーザル:

プロトコル

特に

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsec ポリシー:

PfS(Perfect Forward Secrecy)グループ

14

すべてのデバイスに同じ証明機関(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 10 は、ハブとスポークに設定されたオプションを示しています。

表 10: ハブアンドスポーク用 AutoVPN iBGP ECMP 設定 1

オプション

ハブ

スポーク 1

IKEゲートウェイ:

リモート IP アドレス

hub-to-spoke-gw-1: 動的

hub-to-spoke-gw-2: 動的

スポークツーハブgw-1: 10.1.1.1

スポークツーハブgw-2:10.1.2.1

リモート IKE ID

ハブツースポーク-gw-1: スポークの証明書のDNとOUフィールドの文字列SLT

ハブツースポーク-gw-2: スポークの証明書のDNとOUフィールドの文字列SBU

スポークツーハブgw-1: ハブの証明書の DN

スポークツーハブgw-2: ハブの証明書の DN

ローカル IKE ID

ハブの証明書の DN

スポークの証明書の DN

外部インターフェイス

ハブツースポーク-gw-1: ge-0/0/1.0

ハブツースポーク-gw-2: ge-0/0/2.0

スポークツーハブgw-1: fe-0/0/1.0

スポークツーハブgw-2: fe-0/0/2.0

VPN:

バインド インターフェイス

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

トンネルの確立

(未構成)

設定コミット直後

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティ ポリシーがすべてのデバイスに使用されます。本番環境では、より制限の厳しいセキュリティ ポリシーを設定する必要があります。「セキュリティ ポリシーの概要」を参照してください。

トポロジ

図 3 は、この例で AutoVPN 用に設定する SRX シリーズ デバイスを示しています。

図 3: iBGP および ECMP による AutoVPN 導入 iBGP および ECMP による AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ アンド スポーク デバイス上のシンプルな証明書登録プロトコル(SCEP)を使用して、CA およびローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

手順

ハブ上で SCEP を使用してデジタル証明書を登録するには、以下の手順にしたがってください。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. 各証明書のキー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには、次の手順に準拠します。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. 各証明書のキー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

    [件名] フィールドに表示される組織単位(OU)は、Local1 用と SBU Local2 用ですSLT。ハブ上の IKE 設定には、スポークを識別するための設定がOU=SBU含まれますOU=SLT

ハブの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

ハブを設定するには、次の手順にしたがっています。

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 、 、 show security ipsecshow protocolsshow security policiesshow routing-optionsshow security zonesshow security ikeおよび show security pki コマンドをshow interfaces入力して、設定を確認します。 show policy-options 出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

スポークの設定 1

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

スポーク 1 を設定するには、

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 、 、 show security ipsecshow protocolsshow security policiesshow routing-optionsshow security zonesshow security ikeおよび show security pki コマンドをshow interfaces入力して、設定を確認します。 show policy-options 出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

IKE フェーズ 1 ステータスの検証

目的

IKE フェーズ 1 ステータスを検証します。

対処

動作モードから、コマンドを show security ike security-associations 入力します。

意味

このコマンドは show security ike security-associations 、すべてのアクティブな IKE フェーズ 1 SA をリストします。SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 1 のプロポーザル パラメーターは、ハブアンドスポークで一致する必要があります。

IPsec フェーズ 2 ステータスの検証

目的

IPsec フェーズ 2 ステータスを確認します。

対処

動作モードから、コマンドを security ipsec security-associations 入力します。

意味

このコマンドは show security ipsec security-associations 、すべてのアクティブな IKE フェーズ 2 SA をリストします。SA がリストされていない場合は、フェーズ 2 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 2 のプロポーザル パラメーターは、ハブアンドスポークで一致する必要があります。

IPsec ネクスト ホップ トンネルの検証

目的

IPsec ネクスト ホップ トンネルを検証します。

対処

動作モードから、コマンドを show security ipsec next-hop-tunnels 入力します。

意味

ネクスト ホップ ゲートウェイは、スポークのインターフェイスの IP アドレス st0 です。ネクスト ホップは正しい IPsec VPN 名に関連付ける必要があります。

BGP の検証

目的

BGP がスポークのインターフェイスの IP アドレスを st0 参照していることを確認します。

対処

動作モードから、コマンドを show bgp summary 入力します。

学習したルートの検証

目的

スポークへのルートが学習されていることを確認します。

対処

動作モードから、コマンドを show route 10.60.60.0 detail 入力します。

転送テーブルでのルートインストールの検証

目的

スポークへのルートが転送テーブルにインストールされていることを確認します。

対処

動作モードから、コマンドを show route forwarding-table matching 10.60.60.0 入力します。

例:iBGP およびアクティブバックアップ トンネルを使用した AutoVPN の設定

この例では、AutoVPN ハブアンドスポーク間でアクティブおよびバックアップ IPsec VPN トンネルを設定する方法を示しています。この例では、VPN トンネルを介してトラフィックを転送するように iBGP を設定します。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • 2 台の SRX シリーズ デバイスを AutoVPN ハブアンドスポークとしてサポート

  • Junos OS リリース 12.1X44-D10 以降、AutoVPN をサポート

開始する前に、以下を行います。

  • ローカル証明書の要求を送信するときに、証明機関(CA)のアドレスと、必要な情報(チャレンジ パスワードなど)を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルに精通している必要があります。

概要

この例では、AutoVPN ハブの設定と、2 つの IPsec VPN トンネルを使用したスポークを示しています。

この例では、最初のステップは、シンプルな証明書登録プロトコル(SCEP)を使用して各デバイスにデジタル証明書を登録することです。証明書は、ハブと各 IPsec VPN トンネルのスポークに登録されます。スポークの証明書の 1 つに、識別名(DN)に組織ユニット(OU)値「SLT」が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。スポークのもう 1 つの証明書には、DN の OU 値「SBU」が含まれています。ハブは、OU フィールドの値「SBU」と一致するようにグループ IKE ID で設定されています。

スポークによってハブへの IPsec VPN 接続が確立され、ハブ上のリソースにアクセスできるようになります。AutoVPN ハブとスポークで設定されたフェーズ 1 およびフェーズ 2 IKE トンネル オプションは、同じ値である必要があります。 表 11 は、この例で使用するオプションを示しています。

表 11: AutoVPN ハブアンドスポーク iBGP アクティブバックアップ トンネル設定のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKEポリシー:

モード

Main

IPsec プロポーザル:

プロトコル

特に

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsec ポリシー:

PfS(Perfect Forward Secrecy)グループ

14

すべてのデバイスに同じ証明機関(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 12 は、ハブとスポークに設定されたオプションを示しています。

表 12: ハブアンドスポーク用 AutoVPN IBGP アクティブバックアップ トンネル設定 1

オプション

ハブ

スポーク 1

IKEゲートウェイ:

リモート IP アドレス

hub-to-spoke-gw-1: 動的

hub-to-spoke-gw-2: 動的

スポークツーハブgw-1: 10.1.1.1

スポークツーハブgw-2: 10.1.2.1

リモート IKE ID

ハブツースポーク-gw-1: スポークの証明書のDNとOUフィールドの文字列SLT

ハブツースポーク-gw-2: スポークの証明書のDNとOUフィールドの文字列SBU

スポークツーハブgw-1: ハブの証明書の DN

スポークツーハブgw-2: ハブの証明書の DN

ローカル IKE ID

ハブの証明書の DN

スポークの証明書の DN

外部インターフェイス

ハブツースポーク-gw-1: ge-0/0/1.0

ハブツースポーク-gw-2: ge-0/0/2.0

スポークツーハブgw-1: fe-0/0/1.0

スポークツーハブgw-2: fe-0/0/2.0

VPN:

バインド インターフェイス

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

VPN モニター

ハブツースポーク vpn-1: ge-0/0/1.0(ソース インターフェイス)

ハブツースポーク vpn-2: ge-0/0/2.0(ソース インターフェイス)

spoke-to-hub-1: 10.1.1.1(宛先 IP)

spoke-to-hub-2: 10.1.2.1(宛先 IP)

トンネルの確立

(未構成)

設定コミット直後

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティ ポリシーがすべてのデバイスに使用されます。本番環境では、より制限の厳しいセキュリティ ポリシーを設定する必要があります。「セキュリティ ポリシーの概要」を参照してください。

トポロジ

図 4 は、この例で AutoVPN 用に設定する SRX シリーズ デバイスを示しています。

図 4: iBGP およびアクティブバックアップ トンネルを使用した AutoVPN 導入 iBGP およびアクティブバックアップ トンネルを使用した AutoVPN 導入

この例では、ハブとスポーク 1 の間に 2 つの IPsec VPN トンネルが確立されています。ルーティング情報は、各トンネルの iBGP セッションを介して交換されます。10.60.60.0/24 へのルートの最長プレフィックス一致は、ハブ上の st0.0 インターフェイスを経由しています。したがって、ルートのプライマリ トンネルは、ハブとスポーク 1 の st0.0 インターフェイスを介します。デフォルト ルートは、ハブおよびスポーク 1 の st0.1 インターフェイス上のバックアップ トンネルを通ります。

VPN 監視はトンネルのステータスをチェックします。プライマリトンネルに問題が発生した場合(リモートトンネルゲートウェイが到達できないなど)、トンネルのステータスはダウンに変わり、10.60.60.0/24を宛先とするデータはバックアップトンネルを介して再ルーティングされます。

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ アンド スポーク デバイス上のシンプルな証明書登録プロトコル(SCEP)を使用して、CA およびローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

手順

ハブ上で SCEP を使用してデジタル証明書を登録するには、以下の手順にしたがってください。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. 各証明書のキー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには、次の手順に準拠します。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. 各証明書のキー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

    [件名] フィールドに表示される組織単位(OU)は、Local1 用と SBU Local2 用ですSLT。ハブ上の IKE 設定には、スポークを識別するための設定がOU=SBU含まれますOU=SLT

ハブの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

ハブを設定するには、次の手順にしたがっています。

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 、 、 show security ipsecshow protocolsshow security policiesshow routing-optionsshow security zonesshow security ikeおよび show security pki コマンドをshow interfaces入力して、設定を確認します。 show policy-options 出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

スポークの設定 1

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

スポーク 1 を設定するには、

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 、 、 show security ipsecshow protocolsshow security policiesshow routing-optionsshow security zonesshow security ikeおよび show security pki コマンドをshow interfaces入力して、設定を確認します。 show policy-options 出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

IKE フェーズ 1 ステータスの検証(両方のトンネルが稼働中)

目的

両方の IPSec VPN トンネルが稼働している場合、IKE フェーズ 1 ステータスを検証します。

対処

動作モードから、コマンドを show security ike security-associations 入力します。

意味

このコマンドは show security ike security-associations 、すべてのアクティブな IKE フェーズ 1 SA をリストします。SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 1 のプロポーザル パラメーターは、ハブアンドスポークで一致する必要があります。

IPsec フェーズ 2 ステータスの検証(両方のトンネルが稼働中)

目的

両方の IPsec VPN トンネルが稼働している場合は、IPsec フェーズ 2 ステータスを検証します。

対処

動作モードから、コマンドを security ipsec security-associations 入力します。

意味

このコマンドは show security ipsec security-associations 、すべてのアクティブな IKE フェーズ 2 SA をリストします。SA がリストされていない場合は、フェーズ 2 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 2 のプロポーザル パラメーターは、ハブアンドスポークで一致する必要があります。

IPsec ネクスト ホップ トンネルの検証(両方のトンネルが稼働中)

目的

IPsec ネクスト ホップ トンネルを検証します。

対処

動作モードから、コマンドを show security ipsec next-hop-tunnels 入力します。

意味

ネクストホップ ゲートウェイは、スポークのインターフェイスの st0 IP アドレスです。ネクスト ホップは正しい IPsec VPN 名に関連付ける必要があります。

BGP の検証(両方のトンネルが稼働中)

目的

両方の IPsec VPN トンネルが稼働している場合、 st0 BGP がスポークのインターフェイスの IP アドレスを参照していることを確認します。

対処

動作モードから、コマンドを show bgp summary 入力します。

学習したルートの検証(両方のトンネルが稼働中)

目的

両方のトンネルが稼働しているときにスポークへのルートが学習されたことを確認します。10.60.60.0/24へのルートはst0.0インターフェイスを経由し、デフォルトルートはst0.1インターフェイスを経由します。

対処

動作モードから、コマンドを show route 10.60.60.0 入力します。

動作モードから、コマンドを show route 0.0.0.0 入力します。

IKE フェーズ 1 ステータスの検証(プライマリ トンネルがダウンしている)

目的

プライマリ トンネルがダウンした場合の IKE フェーズ 1 ステータスを検証します。

対処

動作モードから、コマンドを show security ike security-associations 入力します。

意味

このコマンドは show security ike security-associations 、すべてのアクティブな IKE フェーズ 1 SA をリストします。SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 1 のプロポーザル パラメーターは、ハブアンドスポークで一致する必要があります。

IPsec フェーズ 2 ステータスの検証(プライマリ トンネルがダウンしている)

目的

プライマリ トンネルがダウンしている場合は、IPsec フェーズ 2 ステータスを検証します。

対処

動作モードから、コマンドを security ipsec security-associations 入力します。

意味

このコマンドは show security ipsec security-associations 、すべてのアクティブな IKE フェーズ 2 SA をリストします。SA がリストされていない場合は、フェーズ 2 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 2 のプロポーザル パラメーターは、ハブアンドスポークで一致する必要があります。

IPsec ネクスト ホップ トンネルの検証(プライマリ トンネルがダウンしている)

目的

IPsec ネクスト ホップ トンネルを検証します。

対処

動作モードから、コマンドを show security ipsec next-hop-tunnels 入力します。

意味

ネクストホップ ゲートウェイは、スポークのインターフェイスの st0 IP アドレスです。ネクスト ホップは、正しい IPsec VPN 名(この場合はバックアップ VPN トンネル)に関連付ける必要があります。

BGP の検証(プライマリ トンネルがダウンしている)

目的

プライマリ トンネルがダウンしている場合、 st0 BGP がスポークのインターフェイスの IP アドレスを参照していることを確認します。

対処

動作モードから、コマンドを show bgp summary 入力します。

学習したルートの検証(プライマリ トンネルがダウンしている)

目的

プライマリ トンネルがダウンしたときにスポークへのルートが学習されたことを確認します。10.60.60.0/24へのルートとデフォルトルートの両方がst0.1インターフェイスを経由しています。

対処

動作モードから、コマンドを show route 10.60.60.0 入力します。

動作モードから、コマンドを show route 0.0.0.0 入力します。

例:OSPF による基本 AutoVPN の設定

この例では、AutoVPN ハブを単一の終端ポイントとして機能するように設定し、リモート サイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示しています。この例では、VPN トンネルを介してパケットを転送するように OSPF を設定します。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • 3 台の SRX シリーズ デバイスを AutoVPN ハブアンドスポークとしてサポート

  • Junos OS リリース 12.1X44-D10 以降、AutoVPN をサポート

開始する前に、以下を行います。

  • ローカル証明書の要求を送信するときに、証明機関(CA)のアドレスと、必要な情報(チャレンジ パスワードなど)を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルに精通している必要があります。

概要

この例では、AutoVPN ハブの設定と 2 つのスポークの後続の設定を示しています。

この例では、最初のステップは、シンプルな証明書登録プロトコル(SCEP)を使用して各デバイスにデジタル証明書を登録することです。スポークの証明書には、件名フィールドの組織部門(OU)値「SLT」が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへの IPsec VPN 接続を確立し、ハブ上のリソースと通信したり、リソースにアクセスしたりできます。AutoVPN ハブで設定されたフェーズ 1 およびフェーズ 2 IKE トンネル オプションと、すべてのスポークに同じ値が必要です。 表 13 は、この例で使用するオプションを示しています。

表 13: AutoVPN ハブアンドスポークの基本 OSPF 設定のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKEポリシー:

モード

Main

IPsec プロポーザル:

プロトコル

特に

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsec ポリシー:

PfS(Perfect Forward Secrecy)グループ

14

すべてのデバイスに同じ証明機関(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 14 は、ハブとすべてのスポークで設定されたオプションを示しています。

表 14: ハブアンドオール スポーク用 AutoVPN Basic OSPF 設定

オプション

ハブ

すべてのスポーク

IKEゲートウェイ:

リモート IP アドレス

動的

10.1.1.1

リモート IKE ID

スポークの証明書の識別名(DN)と、組織単位(OU)フィールドの文字列SLT

ハブの証明書の DN

ローカル IKE ID

ハブの証明書の DN

スポークの証明書の DN

外部インターフェイス

ge-0/0/1.0

スポーク 1: fe-0/0/1.0

スポーク 2: ge-0/0/1.0

VPN:

バインド インターフェイス

st0.0

st0.0

トンネルの確立

(未構成)

設定コミット直後

表 15 は、スポークごとに異なる設定オプションを示しています。

表 15: 基本 OSPF スポーク構成の比較

オプション

スポーク 1

スポーク 2

st0.0インターフェイス

10.10.10.2/24

10.10.10.3/24

内部ネットワークへのインターフェイス

fe-0.0/4.0:100.60.60.1/24

fe-0.0/4.0:10.70.70.1/24

インターネットへのインターフェイス

fe-0/0/1.0:10.2.2.1/30

ge-0/0/1.0:10.3.3.1/30

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティ ポリシーがすべてのデバイスに使用されます。本番環境では、より制限の厳しいセキュリティ ポリシーを設定する必要があります。「セキュリティ ポリシーの概要」を参照してください。

トポロジ

図 5 は、この例で AutoVPN 用に設定する SRX シリーズ デバイスを示しています。

図 5: OSPF による基本的な AutoVPN 導入 OSPF による基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ アンド スポーク デバイス上のシンプルな証明書登録プロトコル(SCEP)を使用して、CA およびローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

手順

ハブ上で SCEP を使用してデジタル証明書を登録するには、以下の手順にしたがってください。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには、次の手順に準拠します。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

    [件名] フィールドに表示される組織部門(OU)は.SLT ハブ上の IKE 設定には、スポークを識別することが含まれます ou=SLT

手順

スポーク上で SCEP を使用してデジタル証明書を登録するには、2:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

    [件名] フィールドに表示される組織部門(OU)は.SLT ハブ上の IKE 設定には、スポークを識別することが含まれます ou=SLT

ハブの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

ハブを設定するには、次の手順にしたがっています。

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 show protocolsshow routing-optionsshow security ikeshow security zonesshow security ipsecshow security policiesおよび コマンドをshow interfaces入力して、設定をshow security pki確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

スポークの設定 1

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

スポーク 1 を設定するには、

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 show protocolsshow routing-optionsshow security ikeshow security zonesshow security ipsecshow security policiesおよび コマンドをshow interfaces入力して、設定をshow security pki確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

スポークの設定 2

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

スポークを設定するには 2:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 show protocolsshow routing-optionsshow security ikeshow security zonesshow security ipsecshow security policiesおよび コマンドをshow interfaces入力して、設定をshow security pki確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

IKE フェーズ 1 ステータスの検証

目的

IKE フェーズ 1 ステータスを検証します。

対処

動作モードから、コマンドを show security ike security-associations 入力します。

意味

このコマンドは show security ike security-associations 、すべてのアクティブな IKE フェーズ 1 SA をリストします。SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 1 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec フェーズ 2 ステータスの検証

目的

IPsec フェーズ 2 ステータスを確認します。

対処

動作モードから、コマンドを security ipsec security-associations 入力します。

意味

このコマンドは show security ipsec security-associations 、すべてのアクティブな IKE フェーズ 2 SA をリストします。SA がリストされていない場合は、フェーズ 2 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ネクスト ホップ トンネルの検証

目的

IPsec ネクスト ホップ トンネルを検証します。

対処

動作モードから、コマンドを show security ipsec next-hop-tunnels 入力します。

意味

ネクスト ホップ ゲートウェイは、スポークのインターフェイスの IP アドレス st0 です。ネクスト ホップは正しい IPsec VPN 名に関連付ける必要があります。

OSPF の検証

目的

OSPF がスポークのインターフェイスの IP アドレスを st0 参照していることを確認します。

対処

動作モードから、コマンドを show ospf neighbor 入力します。

学習したルートの検証

目的

スポークへのルートが学習されていることを確認します。

対処

動作モードから、コマンドを show route 60.60.60.0 入力します。

動作モードから、コマンドを show route 10.70.70.0 入力します。

例:IPv6 トラフィック用 OSPFv3 による AutoVPN の設定

この例では、AutoVPN ハブを単一の終端ポイントとして機能するように設定し、リモート サイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示しています。この例では、OSPFv3 を使用して VPN トンネルを介してパケットを転送する IPv6 環境向け AutoVPN を設定しています。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • 3 台の SRX シリーズ デバイスを AutoVPN ハブアンドスポークとしてサポート。

  • Junos OS リリース 18.1R1 以降のリリース。

開始する前に、以下を行います。

  • ローカル証明書の要求を送信するときに、証明機関(CA)のアドレスと、必要な情報(チャレンジ パスワードなど)を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルに精通している必要があります。

概要

この例では、ハブ上の OSPFv3 ルーティング プロトコルを使用した AutoVPN の設定と、2 つのスポークの後続の設定を示しています。

この例では、最初のステップは、シンプルな証明書登録プロトコル(SCEP)を使用して各デバイスにデジタル証明書を登録することです。スポークの証明書には、件名フィールドの組織部門(OU)値「SLT」が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへの IPsec VPN 接続を確立し、ハブ上のリソースと通信したり、リソースにアクセスしたりできます。AutoVPN ハブで設定されたフェーズ 1 およびフェーズ 2 IKE トンネル オプションと、すべてのスポークに同じ値が必要です。 表 16 は、この例で使用するオプションを示しています。

表 16: AutoVPN ハブアンドスポークの基本 OSPFv3 設定用のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

19

認証アルゴリズム

SHA-384

暗号化アルゴリズム

AES 256 CBC

IKEポリシー:

モード

Main

IPsec プロポーザル:

プロトコル

特に

ライフタイム(秒)

3000

暗号化アルゴリズム

AES 256 GCM

IPsec ポリシー:

PfS(Perfect Forward Secrecy)グループ

19

すべてのデバイスに同じ証明機関(CA)が設定されています。

表 17 は、ハブとすべてのスポークで設定されたオプションを示しています。

表 17: ハブ/オール スポーク用 AutoVPN OSPFv3 設定

オプション

ハブ

すべてのスポーク

IKEゲートウェイ:

リモート IP アドレス

動的

2001:db8:2000::1

リモート IKE ID

スポークの証明書の識別名(DN)と、組織単位(OU)フィールドの文字列SLT

ハブの証明書の DN

ローカル IKE ID

ハブの証明書の DN

スポークの証明書の DN

外部インターフェイス

ge-0/0/0

スポーク 1: ge-0/0/0.0

スポーク 2: ge-0/0/0.0

VPN:

バインド インターフェイス

st0.1

st0.1

トンネルの確立

(未構成)

設定コミット直後

表 18 は、スポークごとに異なる設定オプションを示しています。

表 18: OSPFv3 スポーク構成の比較

オプション

スポーク 1

スポーク 2

st0.1インターフェイス

2001:db8:7000::2/64

2001:db8:7000::3/64

内部ネットワークへのインターフェイス

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0)2001:db8:6000::1/64

インターネットへのインターフェイス

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0)2001:db8:5000::2/64

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティ ポリシーがすべてのデバイスに使用されます。本番環境では、より制限の厳しいセキュリティ ポリシーを設定する必要があります。「セキュリティ ポリシーの概要」を参照してください。

トポロジ

図 6 は、この例で AutoVPN 用に設定する SRX シリーズ デバイスを示しています。

図 6: OSPFv3 による基本的な AutoVPN 導入 OSPFv3 による基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ アンド スポーク デバイス上のシンプルな証明書登録プロトコル(SCEP)を使用して、CA およびローカル証明書をオンラインで取得する方法について説明します。

SCEP を使用したデバイス証明書の登録

手順

ハブ上で SCEP を使用してデジタル証明書を登録するには、以下の手順にしたがってください。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには、次の手順に準拠します。

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

    [件名] フィールドに表示される組織部門(OU)は.SLT ハブ上の IKE 設定には、スポークを識別することが含まれます ou=SLT

手順

スポーク上で SCEP を使用してデジタル証明書を登録するには、2:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトに入力 yes して CA 証明書をロードします。

  3. キー ペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を検証します。

    [件名] フィールドに表示される組織部門(OU)は.SLT ハブ上の IKE 設定には、スポークを識別することが含まれます ou=SLT

ハブの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

ハブを設定するには、次の手順にしたがっています。

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 show protocolsshow routing-optionsshow security ikeshow security zonesshow security ipsecshow security policiesおよび コマンドをshow interfaces入力して、設定をshow security pki確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

スポークの設定 1

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

スポーク 1 を設定するには、

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 show protocolsshow routing-optionsshow security ikeshow security zonesshow security ipsecshow security policiesおよび コマンドをshow interfaces入力して、設定をshow security pki確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

スポークの設定 2

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

スポークを設定するには 2:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ 1 オプションを設定します。

  4. フェーズ 2 オプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティ ポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 、 、 、 show protocolsshow routing-optionsshow security ikeshow security zonesshow security ipsecshow security policiesおよび コマンドをshow interfaces入力して、設定をshow security pki確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

IKE ステータスの検証

目的

IKE ステータスを確認します。

対処

動作モードから、コマンドを show security ike sa 入力します。

意味

このコマンドは show security ike sa 、すべてのアクティブな IKE フェーズ 1 SA をリストします。SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 1 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ステータスの検証

目的

IPsec ステータスを確認します。

対処

動作モードから、コマンドを show security ipsec sa 入力します。

意味

このコマンドは show security ipsec sa 、すべてのアクティブな IKE フェーズ 2 SA をリストします。SA がリストされていない場合は、フェーズ 2 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ネクスト ホップ トンネルの検証

目的

IPsec ネクスト ホップ トンネルを検証します。

対処

動作モードから、コマンドを show security ipsec next-hop-tunnels 入力します。

意味

ネクスト ホップ ゲートウェイは、スポークのインターフェイスの IP アドレス st0 です。ネクスト ホップは正しい IPsec VPN 名に関連付ける必要があります。

OSPFv3 の検証

目的

OSPFv3 がスポークのインターフェイスの IP アドレスを st0 参照していることを確認します。

対処

動作モードから、コマンドを show ospf3 neighbor detail 入力します。

ハブ:

スポーク 1:

スポーク 2:

例:トラフィック セレクターを使用した AutoVPN トンネルを介したトラフィックの転送

この例では、AutoVPN 導入で VPN トンネルを介してパケットを転送するように、動的ルーティング プロトコルの代わりにトラフィック セレクターを設定する方法を示しています。トラフィック セレクターが設定されている場合、セキュア トンネル(st0)インターフェイスはポイントツーポイント モードである必要があります。トラフィック セレクターは、ハブ デバイスとスポーク デバイスの両方で設定されます。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • シャーシ クラスタに接続および設定された 2 台の SRX シリーズ デバイス。シャーシ クラスタは AutoVPN ハブです。

  • AutoVPN スポークとして設定された SRX シリーズ デバイス。

  • Junos OS リリース 12.3X48-D10 以降。

  • ハブに登録されたデジタル証明書と、デバイス同士の認証を可能にするスポーク デバイス。

開始する前に、以下を行います。

概要

この例では、トラフィック セレクターは AutoVPN ハブアンドスポーク上で設定されています。設定されたトラフィック セレクターに準拠したトラフィックのみがトンネルを介して転送されます。ハブでは、トラフィック セレクターは、ローカル IP アドレス 192.0.0.0/8 とリモート IP アドレス 172.0.0.0/8 で構成されています。スポークでは、トラフィック セレクターはローカル IP アドレス 172.0.0.0/8 とリモート IP アドレス 192.0.0.0/8 で設定されています。

スポーク上に設定されたトラフィック セレクター IP アドレスは、ハブで設定されたトラフィック セレクター IP アドレスのサブセットである場合があります。これは、 トラフィック セレクターの柔軟な一致と呼ばれます。

AutoVPN のハブおよびスポークで設定されたフェーズ 1 およびフェーズ 2 IKE トンネル オプションには、同じ値が必要です。 表 19 は、この例で使用する値を示しています。

表 19: トラフィック セレクターを使用した AutoVPN ハブおよびスポークのフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

rsa-signatures

Diffie-Hellman(DH)グループ

group5

認証アルゴリズム

sha-1

暗号化アルゴリズム

aes-256-cbc

IKEポリシー:

モード

メイン

証明 書

ローカル証明書

IKEゲートウェイ:

動的

識別名ワイルドカード DC=Common_component

IKE ユーザー タイプ

グループ IKE ID

ローカル ID

識別名

バージョン

v1-only

IPsec プロポーザル:

プロトコル

特に

認証アルゴリズム

hmac-sha1-96

暗号化アルゴリズム

aes-192-cbc

有効 期間

3600 秒

150,000 キロバイト

IPsec ポリシー:

PfS(Perfect Forward Secrecy)グループ

グループ5

トポロジ

図 7 は、この例で設定する SRX シリーズ デバイスを示しています。

図 7: トラフィック セレクターを使用した AutoVPN トラフィック セレクターを使用した AutoVPN

設定

ハブの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

Junos OS リリース 15.1X49-D120 以降では、[] 階層レベルでedit security ike gateway gateway-name dynamic CLI オプションreject-duplicate-connectionを設定して、既存のトンネル セッションを保持し、同じ IKE ID を持つ新しいトンネルのネゴシエーション要求を拒否できます。デフォルトでは、同じ IKE ID を持つ新しいトンネルが確立されると、既存のトンネルは破棄されます。このreject-duplicate-connectionオプションは、IKEゲートウェイaaa access-profile profile-nameに対して設定されている場合ike-user-type group-ike-idike-user-type shared-ike-idにのみサポートされます。このオプションでは設定はサポートされていません。

同じ IKE ID を持つ新しいトンネルの再確立を拒否することが確実である場合にのみ、CLI オプション reject-duplicate-connection を使用します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

ハブを設定するには、次の手順にしたがっています。

  1. インターフェイスを設定します。

  2. フェーズ 1 オプションを設定します。

  3. フェーズ 2 オプションを設定します。

  4. 証明書情報を設定します。

  5. セキュリティ ゾーンを設定します。

結果

設定モードから、 、 、 、 show security ikeshow security pkishow security ipsecshow security zonesおよび コマンドをshow interfaces入力して設定をshow security policies確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

スポークの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

ハブを設定するには、次の手順にしたがっています。

  1. インターフェイスを設定します。

  2. フェーズ 1 オプションを設定します。

  3. フェーズ 2 オプションを設定します。

  4. 証明書情報を設定します。

  5. セキュリティ ゾーンを設定します。

結果

設定モードから、 、 、 、 show security ikeshow security pkishow security ipsecshow security zonesおよび コマンドをshow interfaces入力して設定をshow security policies確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

トンネルの検証

目的

AutoVPN ハブアンドスポーク間にトンネルが確立されていることを確認します。

対処

動作モードから、ハブの show security ike security-associations and show security ipsec security-associations コマンドを入力します。

動作モードから、スポークに show security ike security-associations and show security ipsec security-associations コマンドを入力します。

意味

このコマンドは show security ike security-associations 、すべてのアクティブな IKE フェーズ 1 SA をリストします。このコマンドは show security ipsec security-associations 、すべてのアクティブな IKE フェーズ 2 SA をリストします。ハブはスポークへの 1 つのアクティブ トンネルを示し、スポークはハブへの 1 つのアクティブトンネルを示します。

IKE フェーズ 1 に SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 1 のプロポーザル パラメーターは、ハブアンドスポークで一致する必要があります。

IKE フェーズ 2 に SA が表示されていない場合、フェーズ 2 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 2 のプロポーザル パラメーターは、ハブアンドスポークで一致する必要があります。

トラフィック セレクターの検証

目的

トラフィック セレクターを検証します。

対処

動作モードから、ハブでコマンドを show security ipsec traffic-selector interface-name st0.1 入力します。

動作モードから、スポーク上に show security ipsec traffic-selector interface-name st0.1 コマンドを入力します。

意味

トラフィック セレクターは、IKE ピア間で、トラフィックが指定されたローカル アドレスとリモート アドレスのペアと一致する場合にトンネルを通過するトラフィックを許可する契約です。SA を介して許可されるのは、トラフィック セレクターに準拠したトラフィックのみです。トラフィック セレクターは、イニシエーターとレスポンダー(SRX シリーズ ハブ)の間でネゴシエートされます。

例:AutoVPN とトラフィック セレクターによる VPN トンネルの可用性の確保

Georedundancy とは、地理的に離れた複数のサイトを導入することです。そのため、サイトに影響を与える停電、自然災害、その他の致命的なイベントが発生した場合でも、トラフィックがプロバイダ ネットワーク上を流れ続けることができます。モバイル プロバイダ ネットワークでは、SRX シリーズ デバイス上の地理的に冗長な IPsec VPN ゲートウェイを介して、複数の eNodeB(Evolved Node B)デバイスをコア ネットワークに接続できます。eNodeB デバイスへの代替ルートは、動的ルーティング プロトコルを使用してコア ネットワークに配信されます。

この例では、SRX シリーズ デバイス上で複数のトラフィック セレクターを使用して AutoVPN ハブを設定し、eNodeB デバイスに地理的に冗長な IPsec VPN ゲートウェイが存在することを確認します。ARI(自動ルート挿入)を使用して、ハブ上のルーティング テーブル内の eNodeB デバイスにルートを自動的に挿入します。その後、ARIルートはBGPを介してプロバイダのコアネットワークに配信されます。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • シャーシ クラスタに接続および設定された 2 台の SRX シリーズ デバイス。シャーシ クラスタは AutoVPN ハブ A です。

  • AutoVPN ハブ B として設定された SRX シリーズ デバイス。

  • Junos OS リリース 12.3X48-D10 以降。

  • AutoVPN ハブを使用して IPsec VPN トンネルを確立できる eNodeB デバイス。eNodeB デバイスは、AutoVPN ハブを使用して VPN トンネルを開始するサードパーティー製ネットワーク機器プロバイダです。

  • ハブに登録されたデジタル証明書と、デバイス同士の認証を許可する eNodeB デバイス。

開始する前に、以下を行います。

この例では、BGP ダイナミック ルーティング プロトコルを使用して、eNodeB デバイスへのルートをコア ネットワークにアドバタイズします。

概要

この例では、2 つの AutoVPN ハブが SRX シリーズ デバイスで複数のトラフィック セレクターを使用して設定され、地理的に冗長な IPsec VPN ゲートウェイを eNodeB デバイスに提供します。ARIは、ハブ上のルーティングテーブル内のeNodeBデバイスにルートを自動的に挿入します。その後、ARIルートはBGPを介してプロバイダのコアネットワークに配信されます。

AutoVPN ハブと eNodeB デバイスで設定されている特定のフェーズ 1 およびフェーズ 2 IKE トンネル オプションには、同じ値が必要です。 表 20 は、この例で使用する値を示しています。

表 20: 地理的に冗長な AutoVPN ハブのフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

rsa-signatures

Diffie-Hellman(DH)グループ

group5

認証アルゴリズム

sha-1

暗号化アルゴリズム

aes-256-cbc

IKEポリシー:

証明 書

ローカル証明書

IKEゲートウェイ:

動的

識別名ワイルドカード DC=Common_component

IKE ユーザー タイプ

グループ IKE ID

デッドピア検知

プローブアイドルトンネル

ローカル ID

識別名

バージョン

v2-only

IPsec プロポーザル:

プロトコル

特に

認証アルゴリズム

hmac-sha1-96

暗号化アルゴリズム

aes-256-cbc

IPsec ポリシー:

PfS(Perfect Forward Secrecy)グループ

グループ5

この例では、すべてのトラフィックを許可するデフォルトのセキュリティ ポリシーがすべてのデバイスに使用されます。本番環境では、より制限の厳しいセキュリティ ポリシーを設定する必要があります。「セキュリティ ポリシーの概要」を参照してください。SRX シリーズ デバイスの設定を簡素化するために、あらゆるタイプのインバウンド トラフィックを許可します。この設定は、実稼働環境では推奨されません。

トポロジ

図 8 は、この例で設定する SRX シリーズ デバイスを示しています。

図 8: eNodeB デバイスへの地理的に冗長な IPsec VPN ゲートウェイ eNodeB デバイスへの地理的に冗長な IPsec VPN ゲートウェイ

設定

ハブ A の設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

ハブ A を設定するには、次の手順に関する手順にしてください。

  1. インターフェイスを設定します。

  2. フェーズ 1 オプションを設定します。

  3. フェーズ 2 オプションを設定します。

  4. BGP ルーティング プロトコルを設定します。

  5. ルーティング オプションを設定します。

  6. 証明書情報を設定します。

  7. セキュリティ ゾーンを設定します。

結果

設定モードから、 、 、 、 show policy-optionsshow security zonesshow security ipsecshow protocols bgpshow security pkiおよび コマンドをshow interfaces show security ike入力して、設定をshow security policies確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

ハブ B の設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

ハブ B を構成するには、以下の手順に関する手順に関する手順

  1. インターフェイスを設定します。

  2. フェーズ 1 オプションを設定します。

  3. フェーズ 2 オプションを設定します。

  4. BGP ルーティング プロトコルを設定します。

  5. ルーティング オプションを設定します。

  6. 証明書情報を設定します。

  7. セキュリティ ゾーンを設定します。

結果

設定モードから、 、 、 、 show security ipsecshow security pkishow protocols bgpshow security zonesおよび コマンドをshow interfaces show security ike入力して設定をshow security policies確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

eNodeB の設定(サンプル構成)

手順
  1. この例の eNodeB 設定は、参考のために提供されています。eNodeB の詳細な設定情報は、このドキュメントの範囲を超えています。eNodeB 設定には、次の情報を含める必要があります。

    • ローカル証明書(X.509v3)およびIKEアイデンティティ情報

    • SRX シリーズ IKE アイデンティティ情報とパブリック IP アドレス

    • SRX シリーズ ハブの設定に一致するフェーズ 1 およびフェーズ 2 のプロポーザル

結果

この例の eNodeB デバイスでは、IPsec ベースの VPN 接続に strongSwan オープン ソース ソフトウェアを使用しています。

検証

設定が正しく機能していることを確認します。

AutoVPN ハブ上のトンネルの検証

目的

AutoVPN ハブと eNodeB デバイスの間にトンネルが確立されていることを確認します。

対処

動作モードから、ハブの show security ike security-associations and show security ipsec security-associations コマンドを入力します。

意味

このコマンドは show security ike security-associations 、すべてのアクティブな IKE フェーズ 1 SA をリストします。このコマンドは show security ipsec security-associations 、すべてのアクティブな IKE フェーズ 2 SA をリストします。ハブには、各 eNodeB デバイスに 1 つずつ、2 つのアクティブ トンネルが表示されます。

IKE フェーズ 1 に SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 1 のプロポーザル パラメーターは、ハブ デバイスと eNodeB デバイスで一致する必要があります。

IKE フェーズ 2 に SA が表示されていない場合、フェーズ 2 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。フェーズ 2 プロポーザル パラメーターは、ハブデバイスと eNodeB デバイスで一致する必要があります。

トラフィック セレクターの検証

目的

トラフィック セレクターを検証します。

対処

動作モードから、コマンドを show security ipsec traffic-selector interface-name st0.1 入力します。

意味

トラフィック セレクターは、IKE ピア間で、トラフィックが指定されたローカル アドレスとリモート アドレスのペアと一致する場合にトンネルを通過するトラフィックを許可する契約です。SA を介して許可されるのは、トラフィック セレクターに準拠したトラフィックのみです。トラフィック セレクターは、イニシエーターとレスポンダー(SRX シリーズ ハブ)の間でネゴシエートされます。

ARIルートの検証

目的

ARI ルートがルーティング テーブルに追加されていることを確認します。

対処

動作モードから、コマンドを show route 入力します。

意味

ARI(自動ルート挿入)は、リモートネットワークの静的ルートを自動的に挿入し、リモートトンネルエンドポイントによって保護されたホストをホストします。ルートは、トラフィック セレクターで設定されたリモート IP アドレスに基づいて作成されます。トラフィック セレクターの場合、設定されたリモート アドレスは、VPN にバインドされている st0 インターフェイスに関連付けられたルーティング インスタンスにルートとして挿入されます。

eNodeB 宛先 10 へのスタティック ルート。30.1.0/24 および 10。50.1.0/24は、SRXシリーズハブのルーティングテーブルに追加されます。これらのルートは st0.1 インターフェイスを介して到達可能です。

例:事前共有キーを使用した AutoVPN の設定

この例では、VPN ゲートウェイがリモート ピアを認証するために使用するさまざまな IKE 事前共有キーを設定する方法を示しています。同様に、VPN ゲートウェイがリモート ピアの認証に使用したのと同じ IKE 事前共有キーを設定します。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • AutoVPNをサポートするMX240、MX480、MX960、MX-SPC3およびJunos OSリリース21.1R1
  • または、SPC3およびJunos OSリリース21.2R1を搭載したSRX5000シリーズデバイスで、AutoVPNをサポート
  • ikedを実行するvSRXと、AutoVPNをサポートするJunos OSリリース21.2R1

別の IKE 事前共有キーを設定する

VPN ゲートウェイがリモート ピアの認証に使用する別の IKE 事前共有キーを設定するには、これらのタスクを実行します。

  1. AutoVPN ハブを使用して、デバイス内の IKE ポリシー用にシード済みの事前共有を設定します。

    または

    例えば、

    または

  2. ゲートウェイ名とユーザー ID を pre-shared key 使用してリモート ピアのを表示します。

    例えば、

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. リモート ピア デバイス上の ike ポリシーで、生成された PSK(「79e4ea39f5c06834a3c4c031e37c6de24d46798a」)を ステップ 2 で設定します。

    例えば、

  4. (オプション)IKE ID検証をバイパスし、すべてのIKE IDタイプを許可するには、ゲートウェイの[セキュリティikeゲートウェイgateway_nameダイナミックを編集]階層レベルで構成ステートメントを設定general-ikeidします。

結果

設定モードから、show security コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

同じ IKE 事前共有鍵を設定する

VPN ゲートウェイがリモート ピアの認証に使用するのと同じ IKE 事前共有キーを設定するには、これらのタスクを実行します。

  1. AutoVPN ハブを使用して、デバイスの一般的 pre-shared-key な ike ポリシーを設定します。

    例えば、

  2. リモート ピア デバイスの ike ポリシーで共通 pre-shared-key を設定します。

    例えば、

  3. (オプション)IKE ID検証をバイパスし、すべてのIKE IDタイプを許可するには、ゲートウェイの[セキュリティikeゲートウェイgateway_nameダイナミックを編集]階層レベルで構成ステートメントを設定general-ikeidします。

結果

設定モードから、show security コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

リリース履歴テーブル
リリース
説明
17.4R1
Junos OS リリース 17.4R1 以降、IPv6 アドレスは AutoVPN でサポートされています。
17.4R1
Junos OS リリース 17.4R1 以降、ポイントツーポイント モードでセキュア トンネル インターフェイスを使用する AutoVPN ネットワークは、トラフィック セレクターと IKE ピアで IPv6 アドレスをサポートします。
15.1X49-D120
Junos OS リリース 15.1X49-D120 以降では、[] 階層レベルでedit security ike gateway gateway-name dynamic CLI オプションreject-duplicate-connectionを設定して、既存のトンネル セッションを保持し、同じ IKE ID を持つ新しいトンネルのネゴシエーション要求を拒否できます。