Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

外部インターフェイスを介したデュアルスタックトンネル

ルートベースのサイトツーサイト VPN では、デュアルスタック トンネル(単一の物理インターフェイスからピアへの IPv4 および IPv6 トンネル)がサポートされています。IPv4 と IPv6 の両方のアドレスを使用して構成された物理インターフェイスは、同一のピアまたは異なるピア上の IPv4 および IPv6 ゲートウェイの外部インターフェイスとして同時に使用できます。

VPN トンネルモードについて

VPN トンネル モードでは、IPsec は元の IP データグラム(元の IP ヘッダーを含む)を 2 番目の IP データグラム内にカプセル化します。外部 IP ヘッダーにはゲートウェイの IP アドレスが含まれ、内部ヘッダーには最終的な送信元と宛先の IP アドレスが含まれます。外部および内部 IP ヘッダーは、IPv4 または IPv6 のプロトコルフィールドを持つことができます。SRX シリーズデバイスは、ルートベースのサイトツーサイト Vpn に4つのトンネルモードをサポートしています。

Ipv4 パケットは、「」に図 1示すように、ipv4 をカプセル化しています。外部および内部ヘッダーの両方のプロトコルフィールドは IPv4 です。

図 1: IPv4 イン IPv4 トンネルIPv4 イン IPv4 トンネル

Ipv6 イン IPv6 トンネルは、ipv6 パケット内に ipv6 パケットをカプセル化し図 2ます。に示すように、外部および内部ヘッダーの両方のプロトコルフィールドは、IPv6 です。

図 2: IPv6 イン IPv6 トンネルIPv6 イン IPv6 トンネル

IPv6 in IPv4 トンネルは、に図 3示すように、ipv6 パケットを IPv4 パケット内にカプセル化します。外側のヘッダーのプロトコルフィールドは IPv4 であり、内部ヘッダーのプロトコルフィールドは IPv6 です。

図 3: IPv6 イン IPv4 トンネルIPv6 イン IPv4 トンネル

IPv4 マルチ IPv6 トンネルは、IPv6 パケット内に IPv4 パケットをカプセル化し図 4ます (を参照)。外側のヘッダーのプロトコルフィールドは IPv6 であり、内部ヘッダーのプロトコルフィールドは IPv4 になっています。

図 4: IPv4 イン IPv6 トンネルIPv4 イン IPv6 トンネル

1つの IPsec VPN トンネルで、IPv4 と IPv6 の両方のトラフィックを伝送できます。たとえば、ipv4 トンネルは ipv4/IPv4 と IPv6 イン IPv4 両方のトンネルモードで同時に動作できます。単一の IPsec VPN トンネル上で IPv4 と IPv6 の両方のトラフィックを許可するには、そのトンネルにバインドされfamily inetfamily inet6st0 インターフェイスをとの両方で構成する必要があります。

IPv4 および IPv6 アドレスの両方を使用して構成された物理インターフェイスは、ルートベースのサイトツーサイト VPN で、ピアへのパラレル IPv4 および IPv6 トンネルの外部インターフェイスとして使用できます。この機能はデュアルスタックトンネルとして知られており、トンネルごとに個別の st0 インターフェイスを必要とします。

ポリシーベースの Vpn では、IPv6 イン IPv6 はサポートされている唯一のトンネルモードであり、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでのみサポートされます。

外部インターフェイスを介したデュアルスタックトンネルの理解

ルートベースのサイトツーサイト VPN では、デュアルスタック トンネル(単一の物理インターフェイスからピアへの IPv4 および IPv6 トンネル)がサポートされています。IPv4 および IPv6 アドレスの両方を使用して構成された物理インターフェイスは、同一のピアまたは異なるピア上の IPv4 および IPv6 ゲートウェイへの外部インターフェイスとして同時に使用できます。で図 5は、物理インターフェイス reth 0.0 と、ge-0/0/0.1 は、2台のデバイス間のパラレル IPv4 および IPv6 トンネルをサポートします。

図 5: デュアルスタックトンネルデュアルスタックトンネル

図 5は、IPsec VPN トンネルごとに個別のセキュアトンネル (st0) インターフェイスを構成する必要があります。同一の st0 インターフェイスにバインドされているパラレル IPv4 および IPv6 トンネルはサポートされていません。

1つの IPsec VPN トンネルで、IPv4 と IPv6 の両方のトラフィックを伝送できます。たとえば、ipv4 トンネルは ipv4/IPv4 と IPv6 イン IPv4 両方のトンネルモードで同時に動作できます。単一の IPsec VPN トンネル上で IPv4 と IPv6 の両方のトラフィックを許可するには、そのトンネルにバインドされfamily inetfamily inet6st0 インターフェイスをとの両方で構成する必要があります。

同じアドレスファミリ内の複数のアドレスが VPN ピアに対して同じ外部インターフェイス上に構成されている場合local-address 、[edit security ike gateway gateway-name] 階層レベルでの構成をお勧めします。

local-address設定されている場合は、指定した IPv4 または IPv6 アドレスがローカルゲートウェイアドレスとして使用されます。物理外部インターフェイス上に IPv4 アドレスと1つの IPv6 住所だけが構成local-addressされている場合、構成は不要です。

このlocal-address値は、SRX シリーズデバイスのインターフェイスで構成されている IP アドレスにする必要があります。IKE ゲートウェイのlocal-address外部インターフェースに属していることをお勧めします。IKE local-addressゲートウェイの外部インターフェイスに属していない場合、そのインターフェイスは IKE ゲートウェイの外部インターフェイスと同じゾーンにある必要があります。また、トラフィックを許可するようにゾーン内セキュリティーポリシーを設定する必要があります。

local-address値とリモート IKE ゲートウェイアドレスは、IPv4 または IPv6 のいずれかで、同じアドレスファミリーに存在する必要があります。

構成local-addressされていない場合、ローカルゲートウェイアドレスはリモートゲートウェイアドレスに基づいています。リモートゲートウェイアドレスが IPv4 アドレスである場合、ローカルゲートウェイアドレスは外部物理インターフェイスのプライマリ IPv4 アドレスになります。リモートゲートウェイアドレスが IPv6 アドレスである場合、ローカルゲートウェイアドレスは、外部物理インターフェイスのプライマリ IPv6 アドレスです。

例:外部インターフェイス上でのデュアルスタックトンネルの設定

この例では、ルートベースのサイトツーサイト Vpn を実現するために、単一の外部物理インターフェイス上でピアに対してパラレル IPv4 および IPv6 トンネルを構成する方法を示します。

要件

開始する前に、 VPN トンネルモードを理解しておくことをお読みください。

この例で示されている構成は、ルートベースのサイトツーサイト Vpn でのみサポートされています。

概要

この例では、ローカルデバイスに冗長化されたイーサネットインターフェイスを使用して、ピアデバイスへのパラレル IPv4 および IPv6 トンネルをサポートしています。

  • IPv4 トンネルは IPv6 トラフィックを伝送します。IPv6 イン IPv4 トンネルモードで動作します。IPv4 トンネルにバインドされるセキュアトンネルインターフェイス st 0.0 は、ファミリー inet6 のみで構成されています。

  • IPv6 トンネルは、IPv4 と IPv6 の両方のトラフィックを伝送します。この機能は、IPv4 イン IPv6 と ipv6 イン ipv6 両方のトンネルモードで動作します。IPv6 トンネルへのセキュアトンネルインターフェイスセント0.1 は、family inet と family inet6 の両方を使用して設定されています。

表 1は、この例で使用されているフェーズ1のオプションを示しています。第1段階の構成には、2つの IKE ゲートウェイ構成が含まれ、1つは IPv6 ピアに、もう一方は IPv4 ピアになります。

表 1: デュアルスタックトンネル構成のフェーズ1オプション

オプション

金額

IKE 提案

ike_proposal

認証方法

事前共有鍵

認証アルゴリズム

MD5

暗号化アルゴリズム

3DES CBC

3600秒

IKE ポリシー

ike_policy

モード

態勢

IKE 提案

ike_proposal

事前共有キー

ASCII テキスト

IPv6 IKE ゲートウェイ

ike_gw_v6

IKE ポリシー

ike_policy

ゲートウェイアドレス

2000::2

外部インターフェイス

1.0 番目

IKE バージョン

IKEv2

IPv4 IKE ゲートウェイ

ike_gw_v4

IKE ポリシー

ike_policy

ゲートウェイアドレス

20.0.0.2

外部インターフェイス

1.0 番目

表 2は、この例で使用されているフェーズ2オプションを示しています。フェーズ2オプション構成には、IPv6 トンネル用と IPv4 トンネル用の2つの VPN 構成が含まれています。

表 2: デュアルスタックトンネル構成のフェーズ2オプション

オプション

金額

IPsec 提案

ipsec_proposal

プロトコル

ESP

認証アルゴリズム

HMAC SHA-1 96

暗号化アルゴリズム

3DES CBC

IPsec ポリシー

ipsec_policy

提案

ipsec_proposal

IPv6 VPN

test_s2s_v6

インターフェイスのバインド

st0.1

IKE ゲートウェイ

ike_gw_v6

IPsec ポリシーの IKE

ipsec_policy

トンネルの確立

同時

IPv4 VPN

test_s2s_v4

インターフェイスのバインド

st0.0

IKE ゲートウェイ

ike_gw_4

IPsec ポリシーの IKE

ipsec_policy

次の静的ルートは、IPv6 ルーティングテーブルで構成されています。

  • IPv6 トラフィックを 3000::1/128 ~ st 0.0 にルーティングします。

  • IPv6 トラフィックを 3000::2/128 ~ セント0.1 にルーティングします。

静的ルートは、デフォルト (IPv4) ルーティングテーブルで構成され、IPv4 トラフィックを 30.0.0.0/24 からセント0.1 へルーティングします。

[ mode flow-basededit security forwarding-options family inet6] 階層レベルの設定オプションで、IPv6 トラフィックのフローベースの処理を有効にする必要があります。

Topology

図 6は、SRX シリーズデバイス a はデバイス B への Ipv4 および ipv6 トンネルをサポートしています。3000::1/128 への ipv6 トラフィックは ipv4 トンネルを介してルーティングされ、ipv6 トラフィックを3000::2/128、ipv4 トラフィックを 30.0.0.0/24 にルーティングして、ipv6 トンネルを経由します。

図 6: デュアルスタックトンネルの例デュアルスタックトンネルの例

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの Junos OS CLI 使用 」を 参照してください

デュアルスタックトンネルを構成するには、次のようにします。

  1. 外部インターフェイスを構成します。

  2. セキュアトンネルインターフェイスを構成します。

  3. フェーズ1のオプションを構成します。

  4. フェーズ2オプションを構成します。

  5. 静的ルートを構成します。

  6. IPv6 のフローベースの転送を有効にします。

結果

設定モードから、、、、 show interfacesおよびshow security ikeshow security ipsecshow routing-optionsshow security forwarding-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

IKE フェーズ1のステータスを確認しています

目的

IKE フェーズ1のステータスを確認します。

アクション

動作モードから、 show security ike security-associationsコマンドを入力します。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ1提案パラメーターは、ピアデバイスで一致する必要があります。

IPsec フェーズ2の状態を検証しています

目的

IPsec フェーズ2のステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。

このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ピアデバイスで一致しなければなりません。

ルートの確認

目的

アクティブなルートを確認します。

アクション

動作モードから、 show routeコマンドを入力します。

このshow routeコマンドは、ルーティングテーブル内のアクティブなエントリーをリストします。