Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

グループ VPNv1

グループ VPN は、デバイスを送受信するプライベート WAN を介して IP マルチキャストグループトラフィックまたはユニキャストトラフィックを保護するために必要な一連の機能です。

グループ VPNv1 の概要

IPsec セキュリティーアソシエーション (SA) は、仮想プライベートネットワーク (VPN) の構成要素間で、認証と暗号化アルゴリズム、キー交換メカニズム、およびセキュア通信のために使用するルールを定義する一方向の取り決めです。現在の VPN 実装では、SA は2つのセキュリティデバイス間のポイントツーポイントトンネルです。Group VPNv1 は、IPsec アーキテクチャを拡張して、セキュリティデバイスのグループによって共有図 1される SAs をサポートします (を参照)。

図 1: 標準 IPsec VPN および Group VPNv1標準 IPsec VPN および Group VPNv1

Group VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 の各デバイスでサポートされています。Group VPNv1 を使用すると、外部ヘッダーにある元の送信元と宛先の IP アドレスを保持することで、自由な接続を実現できます。コアネットワークでは、クリアテキストマルチキャストパケットと同じ方法で、セキュアなマルチキャストパケットが複製されます。

Junos OS リリース 12.3 X48-D30 では、グループ VPNv1 メンバーをグループ VPNv2 サーバーと相互運用できます。

グループ VPNv1 には、RFC 6407、GDOI(Group Domain of Interpretation)に関する一部の制限があります。独自の制限なしでグループ VPN を使用するには、Group VPNv2 にアップグレードしてください。Group VPNv2 は、Junos OS の Release 15.1 X49-D30 から始まる vSRX のインスタンスでサポートされ、Junos OS リリース 15.1 X49-D40、MX シリーズデバイスから始まる SRX シリーズデバイスが Junos OS リリース 15.1 r2 から起動します。

Group VPNv1 の GDOI プロトコルについて

グループ VPNv1 は RFC 3547, The Group Domain of Interpretation(GDOI) に基づくもの。この RFC では、グループメンバーとグループサーバーの間のプロトコルについて説明し、グループメンバー間で SAs を確立します。GDOI メッセージは、デバイスのグループのために SAs を作成、維持、または削除します。GDOI プロトコルはポート848で実行されます。

インターネットセキュリティーアソシエーションとキー管理プロトコル (ISAKMP) では、2つのネゴシエーションフェーズを定義して、自動キー IKE IPsec トンネルの Sa を確立します。フェーズ 1 では、2 台のデバイスで ISAKMP SA を確立できます。フェーズ 2 では、GDOI などの他のセキュリティ プロトコル用の SA を確立します。

グループ VPN を使用すると、グループ サーバーとグループ メンバーの間で、フェーズ 1 ISAKMP SA ネゴシエーションが実行されます。サーバーとメンバーは同じ ISAKMP ポリシーを使用する必要があります。フェーズ 2 では、サーバーとメンバー間の GDOI 交換によって、他のグループ メンバーと共有されている SA が確立されます。グループメンバーは、他のグループメンバーと IPsec をネゴシエートする必要はありません。フェーズ 2 の GDOI 交換は、ISAKMP フェーズ 1 の SA で保護する必要があります。

GDOI には2つのタイプがあります。

  • groupkey-pull Exchange では、グループによってサーバーから共有された SAs とキーをメンバーが要求できます。

  • groupkey-push Exchange は、既存のグループ sa が期限切れになる前に、サーバーがグループ sa とキーをメンバーに送信することを可能にする単一のキー更新メッセージです。キー更新メッセージは、サーバーからメンバーに送信される一方的なメッセージです。

グループ VPNv1 の制限について

Group VPNv1 のこのリリースでは、以下のことがサポートされていません。

  • デフォルト以外のルーティングインスタンス

  • シャーシクラスター

  • サーバークラスター

  • ルートベースのグループ VPN

  • パブリックなインターネットベースの導入

  • SNMP

  • Cisco GET VPN サーバーからのポリシーを拒否する

  • J-Web インターフェイスの構成と監視

Junos OS リリース 12.3 X48-D30 では、SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX650 の各デバイスのグループ VPNv1 メンバーは、グループ VPNv2 サーバーと相互運用できます。Group VPNv2 サーバーで使用するためにグループ VPNv1 メンバーを構成する場合は、以下の制限事項に注意してください。

  • グループ VPNv2 は、IETFベースのアンチプレイ メカニズムについて、標準ドラフト仕様 IP 配信 遅延検知プロトコルをサポートしています。したがって、IP 配信遅延検知プロトコルベースのアンチリプレイはグループ VPNv1 メンバーではサポートされておらず、このdeactivate security group-vpn server group group-name anti-replay-time-windowコマンドを使用してグループ VPNv2 サーバー上で無効にする必要があります。

  • Group VPNv2 server は、グループサーバーとグループのメンバー機能が同じデバイスに存在するコロケーションをサポートしていません。

  • Group VPNv2 サーバーは、ハートビートの transmittals をサポートしていません。deactivate security group-vpn member ipsec vpn vpn-name heartbeat-thresholdコマンドを使用して、Group VPNv1 メンバーのハートビートを無効にする必要があります。再起動やグループ VPNv2 サーバーの中断によるトラフィックへの影響を回避するには、Group VPNv2 サーバークラスターを使用することをお勧めします。

  • グループ VPNv2 サーバーから送信されたグループキープッシュ メッセージは RFC 6407、GDOI(Group Domain of Interpretation) に基づいており、グループ VPNv1 メンバーではサポートされていません。したがって、Group VPNv2 server では、groupkey push メッセージをdeactivate security group-vpn server group group-name server-member-communicationコマンドで無効にする必要があります。

    Groupkey pull メッセージによるキーの配信がサポートされています。TEK hard lifetime が期限切れになる前に、Group VPNv1 メンバーが groupkey pull 操作を完了できない場合、スケーリングの問題が発生したときは、TEK の有効期間を延長して、メンバーが groupkey pull 操作を完了するのに十分な時間を確保することをお勧めします。ジュニパーのスケーリング数は、TEK のライフタイム 2 時間で認定されます。

  • Group VPNv2 サーバーが再起動またはアップグレードされた場合、またはグループの SAs が削除された場合、既存のメンバーに対して次のキー更新が行われるまで、新しいメンバーをネットワークに追加できません。新しいメンバーは、古いキーを持つ既存のメンバーにトラフィックを送信することはできません。回避策として、既存のグループ VPNv1 メンバーの Sa をclear security group-vpn member ipsec security-associationsコマンドでクリアします。

  • Group VPNv2 members ではマルチキャストデータトラフィックがサポートされていないため、グループ VPNv1 とグループ VPNv2 のメンバーが同じグループに対してネットワークに共存する場合は、マルチキャストデータトラフィックを使用できません。

Group VPNv1 のサーバーとメンバーについて

グループ VPN の中心となるのは、グループサーバーです。グループサーバーは、以下のタスクを実行します。

  • グループメンバーシップの制御

  • 暗号化鍵を生成します。

  • グループ Sa とキーを管理し、グループメンバーに配布します。

グループのメンバーは、グループ・サーバーによって提供されるグループ・ Sa と鍵に基づいてトラフィックを暗号化します。

グループサーバーは複数のグループを処理できます。1つのセキュリティデバイスは、複数のグループのメンバーになることができます。

各グループは、1 ~ 65535 の数字であるグループ識別子によって表されます。グループのサーバーとグループのメンバーは、グループ識別子によって相互にリンクされています。グループごとに1つのグループ識別子のみを指定できます。また、複数のグループが同じグループ識別子を使用することはできません。

グループ VPN サーバーとメンバーアクションの概要を以下に示します。

  1. グループサーバーは、UDP ポート848でメンバーによる登録を待機します。メンバー デバイスがグループに参加するには、フェーズ 1 IKE正しい認証を提供する必要があります。事前共有鍵認証は、メンバー単位でサポートされています。

  2. 認証と登録が成功すると、メンバーデバイスは GDOI groupkey-pull exchange を使用してサーバーからグループ sa とキーを取得します。

  3. サーバーは、グループのメンバーシップにメンバーを追加します。

  4. グループのメンバーは、グループ SA キーで暗号化されたパケットを交換します。

サーバーは、定期的に SA およびキーの更新情報を送信し、グループのgroupkey-pushメンバーにキー再配信 (GDOI) メッセージを表示します。キー更新メッセージは Sa が期限切れになる前に送信されます。これにより、グループメンバー間のトラフィックを暗号化するために、有効なキーを使用できるようになります。

また、サーバーは、グループメンバーシップに変更があったり、グループ SA が変更された場合に、キー更新メッセージを送信して、メンバーに新しいキーを提供します。

Group VPNv1 のサーバーメンバー通信について

Group VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 の各デバイスでサポートされています。サーバーメンバー通信によって、サーバーは GDOI groupkey-pushメッセージをメンバーに送信できます。グループに対してサーバーメンバー通信が構成されていない場合、メンバーはgroupkey-pull 、サーバーに登録して再登録するために GDOI メッセージを送信できますが、サーバーはキー更新メッセージをメンバーに送信できません。

[ edit security group-vpn server] 階層でserver-member-communication 構成ステートメントを使用して、グループに対してサーバーメンバー通信を構成します。以下のオプションを定義できます。

  • サーバーとメンバー間の通信に使用される暗号化アルゴリズムです。3des-cbc、aes-128-cbc、aes-192-cbc、aes-256-cbc、または des-cbc を指定できます。デフォルトのアルゴリズムはありません。

  • サーバーへのメンバーの認証に使用される認証アルゴリズム (md5 または sha1) です。デフォルトのアルゴリズムはありません。

  • サーバーがユニキャストまたはマルチキャストのキー更新メッセージを、通信タイプに関連するグループメンバーとパラメーターに送信するかどうか。

  • サーバーがグループメンバーにハートビートメッセージを送信する間隔。これにより、メンバーはサーバーが再起動されたかどうかを判断できます。これには、メンバーがサーバーに登録する必要があります。デフォルトは300秒です。

  • キー暗号化キー (KEK) の有効期間です。デフォルトは3600秒です。

グループサーバーがメンバーにキー更新メッセージを送信するには、サーバーメンバー通信を設定する必要がありますが、この現象が望ましくない場合もあります。たとえば、グループメンバーが動的ピア (ホームオフィスなど) である場合、デバイスは常に稼働しているわけではなく、デバイスの IP アドレスは電源投入時には異なる場合があります。動的ピアのグループに対してサーバーメンバー通信を構成すると、サーバーによる不要な伝送が発生する可能性があります。GDOI ネゴシエーションIKEフェーズ 1 SA ネゴシエーションを常に実行する場合は、サーバーメンバーの通信を設定しません。

グループのサーバーメンバー通信が構成されていない場合は、サーバーに登録show security group-vpn server registered-membersしたグループメンバーがコマンドによって表示されます。メンバーはアクティブにもできません。グループのサーバーメンバー通信が構成されている場合、グループメンバーシップリストはクリアされます。通信タイプがユニキャストとして設定さshow security group-vpn server registered-membersれている場合、このコマンドはアクティブなメンバーのみを表示します。通信タイプがマルチキャストとして設定さshow security group-vpn server registered-membersれている場合、このコマンドは、設定後にサーバーに登録したメンバーを表示します。メンバーは登録後に削除される可能性があるため、メンバーシップリストは必ずしもアクティブなメンバーを表しているわけではありません。

Group VPNv1 Group キー操作について

このトピックは、以下のセクションで構成されています。

グループキー

グループサーバーは、VPN グループ、グループメンバー、およびグループキー間の関係を追跡するためのデータベースを維持しています。サーバーがメンバーにダウンロードするグループキーには2つの種類があります。

  • 鍵暗号化キー(KEK) — 再キー メッセージの暗号化に使用します。グループごとに1つの KEK がサポートされています。

  • トラフィック暗号化キー(TEK) — グループ メンバー間の IPsec データ トラフィックの暗号化と暗号化解除に使用されます。

SA に関連付けられたキーは、メンバーに一致するスコープポリシーが設定されている場合にのみ、グループメンバーによって許可されることになります。グループ VPN に対しては受け付けられたキーがインストールされますが、拒否キーは破棄されます。

キー更新メッセージ

グループがサーバーメンバー通信用に構成されている場合、サーバーは定期的に SA およびキーの更新情報を送信してgroupkey-push、グループメンバーにキー再配信 (GDOI) メッセージを設定します。キー更新メッセージは Sa が期限切れになる前に送信されます。これにより、グループメンバー間のトラフィックを暗号化するために、有効なキーを使用できるようになります。

また、グループメンバーシップに変更があった場合やグループ SA が変更された場合 (グループポリシーが追加または削除された場合など) に、キー更新メッセージを送信して、メンバーに新しいキーを提供することもできます。

サーバーがグループメンバーにキー更新メッセージを送信できるようにするには、サーバーにサーバーメンバー通信オプションが設定されている必要があります。これらのオプションでは、以下のセクションで説明するように、メッセージのタイプと送信間隔を指定します。

次の2種類のキー更新メッセージがあります。

  • ユニキャスト再キー メッセージ — グループ サーバーは、再キー メッセージのコピーを各グループ メンバーに 1 つ送信します。キー更新メッセージを受信すると、メンバーは受信確認 (ACK) をサーバーに送信する必要があります。サーバーがメンバーから ACK (キー更新メッセージの再送信など) を受信しなかった場合、そのメンバーは非アクティブであると見なされ、メンバーシップリストから削除されます。サーバーは、メンバーへのキー更新メッセージの送信を停止します。

    メンバー number-of-retransmissionからretransmission-period ACK が受信されない場合、サーバーによるキー更新メッセージの再送信を制御するのは、サーバーメンバー通信用の設定ステートメントです。

  • マルチキャスト再キー メッセージ — グループ サーバーは、指定された発信インターフェイスから設定されたマルチキャスト グループ アドレスに、再キー メッセージのコピーを 1 つ送信します。メンバーは、マルチキャストのキー更新メッセージの受信確認を送信しません。登録されたメンバーシップリストは、最初の登録後にメンバーを削除する可能性があるため、アクティブなメンバーを表すとは限りません。グループのすべてのメンバーは、マルチキャストメッセージをサポートするように設定する必要があります。

    ネットワーク内でマルチキャストトラフィックを配信できるようにするには、IP マルチキャストプロトコルを構成する必要があります。ジュニパーネットワークスデバイスでのマルチキャストプロトコルの設定の詳細については、マルチキャストプロトコルのユーザーガイドを参照してください。

サーバーがキー更新メッセージを送信する間隔は、[ lifetime-secondsactivation-time-delayedit security group-vpn server group] 階層の and 設定ステートメントの値に基づいて計算されます。間隔は 以下のように計算 lifetime-seconds minus 4*(activation-time-delay) されます。

KEK のは、 lifetime-secondsサーバーメンバー通信の一部として構成されています。デフォルトは3600秒です。TEK lifetime-secondsのは、IPsec の提案に対して構成されています。デフォルトは3600秒です。はactivation-time-delay 、サーバー上のグループに対して構成されています。デフォルトは15秒です。および のデフォルト値を使用して、サーバーが再キー メッセージを送信する間隔は lifetime-secondsactivation-time-delay3600 minus 4*15 、3,540 秒です。

メンバー登録

現在のキーが期限切れになる前に、グループメンバーがサーバーから新しい SA キーを受信しなかった場合、そのメンバーはサーバーに登録し、GDOI groupkey-pull exchange で更新されたキーを取得する必要があります。この場合、サーバーがキー更新メッセージを送信する間隔は次のように計算されます。lifetime-secondsマイナス 3 * (activation-time-delay) とのlifetime-secondsデフォルト値を使用activation-time-delayすると、サーバーがキー更新メッセージを送信する間隔は、3600 ~ 3 * 15、つまり3555秒になります。

メンバー reregistration は、以下の理由で発生する可能性があります。

  • このメンバーは、サーバーから受信したハートビートがないことによってサーバーの再起動を検出します。

  • グループサーバーからのキー更新メッセージが紛失または遅延し、TEK の有効期限が切れています。

キーアクティブ化

メンバーは、新しいキーをサーバーから受け取ったとき、キーを暗号化に使用するまで、一定期間待機します。この期間は、 activation-time-delay 設定ステートメントによって決定され、サーバーから送信されたキー更新メッセージを通して鍵を受信するか、またはサーバーに reregistering しているメンバーの結果として取得されるかどうかによって決まります。

サーバーから送信されたキー更新メッセージを通して鍵が受信された場合、activation-time-delayメンバーは 2 * () 秒待機してからキーを使用します。キーがメンバー reregistration を通じて受信された場合、メンバーはactivation-time-delay値によって指定された秒数だけ待機します。

メンバーには、そのメンバーにインストールされている各グループ SA について、サーバーから送信された最新の2つのキーを保持します。どちらのキーも復号化に使用できますが、最新のキーは暗号化に使用されます。新しいキーがアクティブになると、以前のキーはactivation-time-delay値によって指定された秒数だけ削除されます。

activation-time-delay設定文のデフォルトは15秒です。この時間帯を設定すると、新しいキーがインストールされる前にリモートグループメンバーでパケットがドロップされる可能性があります。activation-time-delay値を変更する際には、ネットワークトポロジとシステムトランスポートの遅延について検討してください。ユニキャストの転送では、システムトランスポート遅延はグループメンバー数に比例します。

Group VPNv1 サーバーは、リクエストへの応答とgroupkey-pullして、グループ VPNv1 メンバーに複数のトラフィック暗号化鍵 (teks) を送信できます。以下では、group VPNv1 メンバーが既存の TEK と、サーバーから受信した TEKs を処理する方法について説明します。

  • Group VPNv1 メンバーが2台以上の TEKs を受信すると、最新の2つの TEKs 保持し、既存の TEK を削除します。2つの保持 TEKs のうち、古い TEK を即座にアクティブ化し、グループ VPNv1 サーバーのactivation-time-delay設定が終了した後、新しい TEK をアクティブ化します (デフォルトは15秒)。

  • Group VPNv1 メンバーが1つの TEK のみを受信する場合、またはサーバーからgroupkey-pushメッセージを通じて TEK を受信した場合、その既存 TEK は、ハードライフサイクルが満了するまで削除されません。既存の TEK に対する有効期限は短縮されません。

Group VPNv1 メンバーは、TEK lifetime が値のactivation-time-delay 2 倍未満の場合でも、受信した TEK をインストールします。

Group VPNv1 ハートビートメッセージについて

サーバーメンバー通信が設定されている場合、group VPNv1 サーバーは、ハートビートメッセージを指定された間隔でメンバーに送信します (デフォルトの間隔は300秒です)。ハートビートメカニズムによって、指定した数のハートビートが受信されない場合でも、サーバーへのメンバーの登録が許可されます。たとえば、メンバーはサーバーの再起動中にハートビートメッセージを受信しません。サーバーが再起動されると、メンバーがサーバーに登録されます。

メッセージによってgroupkey-pushハートビートが送信されます。各ハートビートメッセージのシーケンス番号が増加し、応答攻撃からメンバーを保護します。メールの更新とは異なり、ハートビートメッセージは受信者によって受信確認されず、サーバーによって再送信されません。

ハートビートメッセージには、以下の情報が含まれています。

  • サーバー上のキーの現在の状態と構成

  • 相対的な時間 (アンチリプレイが有効になっている場合)

ハートビートの情報を比較することで、メンバーはサーバー情報またはキーの更新を失っているかどうかを検出できます。メンバー reregisters は、サーバーとの同期を行います。

ハートビートメッセージによって、ネットワークの輻輳が増加し、不要なメンバー reregistrations が発生する可能性があります。そのため、必要に応じて、メンバーに対してハートビートの検出を無効にすることができます。

Group VPNv1 Server-Member コロケーション Mode について

グループサーバーとグループメンバー機能は分離されているため、重複することはありません。サーバーとメンバー機能は同じ物理デバイスに共存できます。これはコロケーションモードと呼ばれています。コロケーションモードでは、サーバーやメンバーの機能や動作の面で変化はありませんが、パケットが適切に配信されるように、それぞれのサーバーとメンバーに異なる IP アドレスを割り当てる必要があります。コロケーションモードでは、サーバーに割り当てられている IP アドレスは1つだけ、グループの間はメンバーに割り当てられた IP アドレスは一つだけです。

グループ VPNv1 の構成の概要

このトピックでは、グループ VPNv1 を構成するための主なタスクについて説明します。

グループサーバーで、以下の設定を行います。

  1. IKE フェーズ 1 ネゴシエーション。[ edit security group-vpn server ike ] 階層を使用して、フェーズ 1 SA IKEを設定します。「グループ VPNv2 のための第1段階の構成」を参照して IKE ください。
  2. フェーズ 2 IPsec SA。『 Group VPNv1 For IPSEC SA 構成について」を参照してください。
  3. VPN グループ。グループ VPNv1 の構成の概要を参照してください。

グループメンバーでは、以下のことを構成します。

  1. IKE フェーズ 1 ネゴシエーション。[ edit security group-vpn member ike ] 階層を使用して、フェーズ 1 SA IKE設定します。「グループ VPNv1 のための第1段階の構成」を参照して IKE ください。

  2. フェーズ 2 IPsec SA。『 Group VPNv1 For IPSEC SA 構成について」を参照してください。

  3. メンバーにどのグループポリシーがインストールされているかを決定するスコープポリシー。「 Group VPNv1 の動的なポリシーの詳細」を参照してください。

パケットフラグメントの問題を防止するには、グループメンバーが使用するインターフェイスを、1400バイト以内の最大送信単位 (MTU) に設定する MPLS ネットワークに接続することをお勧めします。set interface mtu構成文を使用して、MTU サイズを設定します。

VPN グループは、[ edit security group-vpn server] 階層のgroup 構成ステートメントを使用して、サーバー上で設定されます。

グループ情報は、以下の情報で構成されています。

  • グループ識別子 — VPNグループを識別する1~65,535の値。オートキー IKE には、グループメンバーに同じグループ識別子が設定されている必要があります。

  • グループメンバー、 ike-gateway設定ステートメントで構成されています。この構成ステートメントのインスタンスは、グループのメンバーごとに1つずつ、複数存在することができます。

  • サーバーの IP アドレス (ループバックインターフェイスアドレスが推奨されます)。

  • グループ ポリシー — メンバーにダウンロードするポリシー。グループポリシーには、SA とキーが適用されるトラフィックが記述されています。「 Group VPNv1 の動的なポリシーの詳細」を参照してください。

  • サーバーメンバー間の通信—サーバーが再キー メッセージをメンバーに送信できるオプションの設定。グループ VPNv1 の概要を参照してください。

  • アンチプレイ — パケット傍受とリプレイを検出するオプション設定。「 Group VPNv1 のアンチリプレイの理解」を参照してください。

Group VPNv1 の第1段階の構成に IKE ついて

グループ IKEとグループ メンバーの間のセキュリティ フェーズ 1 SA が、グループによって共有されている IPsec SA をネゴシエートするためのセキュアなチャネルを確立します。セキュリティ デバイス上の標準 IPsec VPN ジュニパーネットワークス、フェーズ 1 SA の設定は、IKE プロポーザル、ポリシー、ゲートウェイの指定で構成されています。グループ VPNv1 の場合、IKE フェーズ 1 SA の設定は標準 IPsec VPN の設定に似ていますが、 [ ] 階層で edit security group-vpn 実行されます。

IKE 提案の設定では、認証方法と、参加者間のセキュアなチャネルを開くために使用される認証アルゴリズムと暗号化方式を設定します。IKE ポリシー設定では、フェーズ 1 チャネルがネゴシエートされるモード(メインまたはアグレッシブ)を設定し、使用する鍵交換のタイプを指定して、フェーズ 1 のプロポーザルを参照します。ゲートウェイのIKEでは、フェーズ 1 ポリシーを参照します。

Group VPNv2 は強力なアルゴリズムをサポートするsha-256だけであるため、認証アルゴリズムオプションがサポートされているのは、SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX650 の各デバイスでグループ VPNv1 のメンバーを対象としています。グループの VPNv1 メンバーがグループ VPNv2 サーバーと相互運用する場合、このオプションは、このedit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256コマンドを使用して、グループ VPNv1 のメンバーに設定する必要があります。Group VPNv2 サーバー上ではauthentication-algorithm sha-256 、IKE 案に対して設定authentication-algorithm hmac-sha-256-128する必要があります。また、IPsec の提案に対して設定する必要があります。

グループ VPNv1 メンバー上の IKE ゲートウェイが複数のゲートウェイ アドレスを持つ設定されている場合は、設定のコミット時に、「IKE ゲートウェイ設定ごとに 1 つのリモート アドレスのみ設定できます」というエラー メッセージが表示されます。

グループ サーバー IKEのフェーズ 1 の設定は、グループ メンバーのIKEのフェーズ 1 の設定と一致している必要があります。

Group VPNv1 の IPsec SA 構成について

サーバーとメンバーがフェーズ 1 ネゴシエーションでセキュアで認証されたチャネルを確立した後、フェーズ 2 に進みます。フェーズ 2 ネゴシエーションでは、メンバー間で送信されるデータを保護するためにグループ メンバーによって共有される IPsec SA が確立されます。グループ VPN 用の IPsec SA 構成は、標準 Vpn の設定に似ていますが、グループメンバーは他のグループメンバーと SA をネゴシエートする必要はありません。

グループ VPNv1 のフェーズ 2 IPsec 設定は、以下の情報で構成されています。

  • SA に使用されるセキュリティープロトコル、認証、暗号化アルゴリズムの提案。IPsec SA 提案は、[ edit security group-vpn server ipsec] 階層にあるproposal 構成ステートメントを使用して、グループサーバー上で設定されます。

  • 提案を参照するグループポリシー。グループポリシーは、SA とキーが適用されるトラフィック (プロトコル、発信元アドレス、送信元ポート、宛先アドレス、宛先ポート) を指定します。グループポリシーは、[ ipsec-saedit security group-vpn server group ] 階層にある構成ステートメントを使用して、サーバー上で設定されます。

  • Autokey IKE は、グループ識別子、グループサーバー ( ike-gateway設定ステートメントで設定)、メンバーがグループに接続するために使用するインターフェイスを参照します。Autokey IKE は、[ ipsec vpnedit security group-vpn member] 階層の構成ステートメントでメンバーに設定されています。

Group VPNv1 の動的なポリシーを理解する

グループサーバーは、グループ Sa とキーを指定されたグループのメンバーに配信します。同じグループに所属するすべてのメンバーは、同じ IPsec Sa のセットを共有できます。ただし、グループに対して構成されているすべての Sa がすべてのグループメンバーにインストールされているわけではありません。特定のメンバーにインストールされている SA は、グループ SA に関連付けられたポリシーと、そのメンバーに設定されているセキュリティポリシーによって決まります。

VPN グループでは、サーバーがメンバーにプッシュする各グループ SA とキーは、グループポリシーに関連付けられています。このグループポリシーでは、プロトコル、発信元アドレス、発信元ポート、宛先アドレス、宛先ポートなど、このキーを使用すべきトラフィックが記述されています。

同じ送信元アドレス、宛先アドレス、発信元ポート、宛先ポート、およびプロトコル値を使用して設定された同一のグループポリシーは、単一のグループには存在できません。グループに対して同一のグループポリシーを含む構成をコミットしようとすると、エラーが返されます。その場合は、同一のグループポリシーの1つを削除する必要があります。

グループのメンバーには、サーバーからダウンロードされたグループポリシーのスコープを定義するスコープポリシーを設定する必要があります。サーバーから配信されたグループポリシーと、そのメンバーで構成されたスコープポリシーを比較します。メンバーにグループポリシーをインストールするには、以下の条件を満たしている必要があります。

  • グループポリシーに指定されているアドレスは、スコープポリシーに指定されたアドレス範囲内でなければなりません。

  • グループポリシーで指定された送信元ポート、宛先ポート、およびプロトコルは、スコープポリシーに設定されているものと一致している必要があります。

メンバーにインストールされているグループポリシーは、動的なポリシーと呼ばれます。

スコープポリシーは、特定のゾーンとゾーンのコンテキストに対応した、順序付けされたセキュリティポリシーリストの一部にすることができます。Junos OS は、順序付きリストの先頭から開始して、受信パケットに対してセキュリティポリシールックアップを実行します。

セキュリティポリシーの順序付きリスト内でのスコープポリシーの位置に応じて、動的なポリシールックアップには次のような可能性があります。

  • スコープポリシーが検討される前に受信パケットがセキュリティポリシーに一致した場合、動的なポリシールックアップは行われません。

  • 受信ポリシーがスコープポリシーに一致した場合、検索プロセスは、一致する動的ポリシーを継続して実行されます。一致する動的ポリシーがある場合は、そのポリシーアクション (許可) が実行されます。一致する動的ポリシーがない場合、検索プロセスでは、スコープポリシーより下のポリシーを検索し続けます。

    このリリースでは、スコープtunnelポリシーに対するアクションのみが許可されています。その他のアクションはサポートされていません。

[ edit security] 階層にあるpolicies 構成ステートメントを使用して、グループメンバーにスコープポリシーを設定します。許可トンネルipsec-group-vpnルールの構成文を使用して、グループ VPN を参照します。これにより、グループメンバーは1つの SA を共有できるようになります。

Group VPNv1 のアンチリプレイについて

アンチリプレイは IPsec 機能であり、パケットが傍受されてから、攻撃者によるリプレイを検知することができます。グループ vpn のデフォルトではアンチリプレイが有効になっていますが、 no-anti-replay 設定文を使用してグループに対しては無効にすることができます。

アンチリプレイが有効になっている場合、グループサーバーはグループメンバー間の時間を同期します。各 IPsec パケットにはタイムスタンプが含まれています。グループ メンバーは、パケットのタイムスタンプが設定された値内にあるかどうかを確認します(デフォルト anti-replay-time-window は 100 秒です)。タイムスタンプが値を超えた場合、パケットがドロップされます。

例:Group VPNv1 サーバーおよびメンバーの構成

この例では、グループ VPNv1 を構成して、セキュリティデバイスのグループによって共有されている Sa をサポートするように IPsec アーキテクチャを拡張する方法について説明します。Group VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 の各デバイスでサポートされています。

要件

開始する前に:

  • ネットワーク通信のためのジュニパーネットワークスセキュリティデバイスを構成します。

  • サーバーおよびメンバーデバイスのネットワークインターフェイスを構成します。セキュリティーデバイスのユーザーガイドを参照してください。

概要

図 2は、グループ VPN は2つのメンバーデバイス (member1 および member2) とグループサーバー (サーバー上のループバックインターフェイスの IP アドレスは 20.0.0.1) で構成されています。グループ識別子は1です。

図 2: サーバーメンバーの構成例サーバーメンバーの構成例

フェーズ 2 グループ VPN SA は、フェーズ 1 SA で保護する必要があります。そのため、グループ VPN の設定には、グループ サーバー IKE メンバーの両方におけるフェーズ 1 ネゴシエーションの設定を含める必要があります。さらに、グループサーバーとグループメンバーの両方に同じグループ識別子が設定されている必要があります。

グループポリシーはグループサーバー上で構成されています。グループに対して構成されているすべてのグループポリシーは、グループのメンバーにダウンロードされます。グループのメンバーに設定されているスコープポリシーは、そのメンバーに実際にインストールされているグループポリシーを決定します。この例では、すべてのグループメンバーにダウンロードするために、以下のグループポリシーがグループサーバー上で設定されています。

  • p1 — 10.1.0.0/16 から 10.2.0.0./16 まで、すべてのトラフィックを許可します。

  • p2 — 10.2.0.0./16 から 10.1.0.0/16 まで、すべてのトラフィックを許可します。

  • p3 — 10.1.1.1/32 からのマルチキャスト トラフィックを許可します。

Member1 デバイスは、10.0.0.0/8 サブネットワークとの間のすべてのユニキャストトラフィックを許可するスコープポリシーを使用して設定されています。マルチキャストトラフィックを許可するために、member1 上に設定されたスコープポリシーはありません。そのため、SA ポリシー p3 が member1 にインストールされていません。

Member2 デバイスは、10.1.0.0/16 から、信頼されたゾーンから untrust ゾーンへのトラフィックをドロップするスコープポリシーを使用して設定されており、untrust ゾーンからトラストゾーンまで、10.1.0.0/16 が対象となっています。そのため、SA ポリシー p2 が member2 にインストールされていません。

構成

グループサーバーの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

グループサーバーを構成するには、次のようにします。

  1. デバイスのループバックアドレスを設定します。

  2. フェーズ 1 SA IKE設定します(この設定は、グループ メンバーで設定されたフェーズ 1 SA と一致する必要があります)。

  3. IKE ポリシーを定義し、リモートゲートウェイを設定します。

  4. フェーズ 2 SA 交換を設定します。

  5. グループ識別子と IKE ゲートウェイを設定します。

  6. サーバー間通信を構成します。

  7. グループのメンバーにダウンロードするようにグループポリシーを設定します。

結果

設定モードから、 show security group-vpn serverコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

Member1 の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

Member1 を構成するには

  1. フェーズ 1 SA を設定します(この設定は、グループ サーバーで設定されたフェーズ 1 SA と一致する必要があります)。

  2. IKE ポリシーを定義し、リモートゲートウェイを設定します。

  3. Member1 のグループ識別子、IKE ゲートウェイ、およびインターフェイスを構成します。

    パケットフラグメントの問題を防止するために、グループメンバーが MPLS ネットワークへの接続に使用するインターフェイスを、1400バイト以内の MTU サイズに設定することをお勧めします。set interface mtu構成文を使用して、MTU サイズを設定します。

  4. アドレスブックを作成し、それにゾーンを接続します。

  5. 10.0.0.0/8 サブネットワークとの間でユニキャストトラフィックを許可する信頼ゾーンから非信頼ゾーンに、スコープポリシーを構成します。

  6. Untrust ゾーンから、10.0.0.0/8 サブネットワークとの間でユニキャストトラフィックを許可する信頼ゾーンへのスコープポリシーを構成します。

結果

設定モードから、 show security group-vpn membershow security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

Member2 の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

Member2 を構成するには

  1. フェーズ 1 SA を設定します(この設定は、グループ サーバーで設定されたフェーズ 1 SA と一致する必要があります)。

  2. IKE ポリシーを定義し、リモートゲートウェイを設定します。

  3. Member2 のグループ識別子、IKE ゲートウェイ、およびインターフェイスを構成します。

    パケットフラグメントの問題を防止するために、グループメンバーが MPLS ネットワークへの接続に使用するインターフェイスを、1400バイト以内の MTU サイズに設定することをお勧めします。set interface mtu構成文を使用して、MTU サイズを設定します。

  4. アドレスブックを作成し、信頼ゾーンに添付します。

  5. 別のアドレスブックを作成し、untrust ゾーンにアタッチします。

  6. 10.1.0.0/16 からのトラフィックをブロックする、信頼ゾーンから untrust ゾーンへのスコープポリシーを構成します。

  7. Untrust ゾーンから 10.1.0.0/16 へのトラフィックをブロックする信頼ゾーンに、スコープポリシーを設定します。

結果

設定モードから、 show security group-vpn membershow security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

Member1 の動的ポリシーを確認する

目的

Member1 にインストールされている動的なポリシーを表示します。

アクション

グループサーバーによって member1 にキーがダウンロードさshow security dynamic-policiesれた後、運用モードからコマンドを入力します。

マルチキャストトラフィックを許可する member1 に設定されているスコープポリシーがないため、サーバーからのマルチキャストポリシー p3 は、member1 にインストールされていません。

Member2 の動的ポリシーの確認

目的

メンバー2にインストールされている動的なポリシーを表示します。

アクション

グループサーバーによって member2 にキーがshow security dynamic-policiesダウンロードされた後、運用モードからコマンドを入力します。

サーバーからのポリシー p2 (10.1.0.0/16 ~ 10.2.0.0/16) からのトラフィックは、member2 に設定された deny2 セキュリティポリシーと一致するため、member2 にはインストールされていません。

例:ユニキャストキー更新メッセージ用のグループ VPNv1 サーバーメンバー通信の構成

この例では、サーバーからユニキャストキー更新メッセージをグループメンバーに送信できるようにして、グループメンバー間のトラフィックを暗号化するために有効なキーを使用できるようにする方法について説明します。Group VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 の各デバイスでサポートされています。

要件

開始する前に:

  • IKE フェーズ1ネゴシエーション用にグループサーバーとメンバーを構成します。

  • フェーズ 2 IPsec SA のグループサーバーとメンバーを構成します。

  • グループサーバー上g1のグループを構成します。

概要

この例では、グループg1に対して次のようなサーバーメンバーの通信パラメーターを指定します。

  • サーバーは、グループメンバーにユニキャストキー更新メッセージを送信します。

  • 3des-cbc は、サーバーとメンバー間のトラフィックを暗号化するために使用されます。

  • sha1 はメンバー認証に使用されます。

デフォルト値は、サーバーハートビート、KEK の有効期間、再送信に使用されます。

構成

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

サーバーメンバー通信を構成するには、次のようにします。

  1. 通信タイプを設定します。

  2. 暗号化アルゴリズムを設定します。

  3. メンバー認証を設定します。

検証

構成が正常に機能していることをshow security group-vpn server group g1 server-member-communication確認するには、コマンドを入力します。

例:マルチキャストキー更新メッセージ用のグループ VPNv1 サーバーメンバー通信の構成

この例では、サーバーからグループメンバーにマルチキャストキー更新メッセージを送信して、グループメンバー間のトラフィックの暗号化に有効なキーを使用できるようにする方法について説明します。Group VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 の各デバイスでサポートされています。

要件

開始する前に:

概要

この例では、グループg1に対して次のサーバーメンバーとの通信を指定します。

  • サーバーは、マルチキャストアドレス226.1.1.1 とインターフェイスの 0/0/1.0 を通じて、グループメンバーにマルチキャストのキー更新メッセージを送信します。

  • 3des-cbc は、サーバーとメンバー間のトラフィックを暗号化するために使用されます。

  • sha1 はメンバー認証に使用されます。

デフォルト値は、サーバーハートビート、KEK の有効期間、再送信に使用されます。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

マルチキャストのキー更新メッセージに対してサーバーメンバー通信を構成するには、以下のようにします。

  1. 通信タイプを設定します。

  2. マルチキャストグループを設定します。

  3. 発信マルチキャストメッセージ用のインターフェイスを設定します。

  4. 暗号化アルゴリズムを設定します。

  5. メンバー認証を設定します。

結果

設定モードから、 show security group-vpn server group g1 server-member-communicationコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

マルチキャストのキー更新メッセージに対するサーバーメンバー通信の確認

目的

グループメンバー間のトラフィックの暗号化に有効なキーを使用できるように、「マルチキャストキー更新のサーバーメンバー通信パラメーター」メッセージが適切に構成されていることを確認します。

アクション

動作モードから、 show security group-vpn server group g1 server-member-communicationコマンドを入力します。

例:サーバーメンバーコロケーションを使用したグループ VPNv1 の構成

この例では、デバイスをコロケーションモードに設定する方法を示しています。これにより、サーバーとメンバーの機能を同じ物理デバイス上に共存させることができます。Group VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 の各デバイスでサポートされています。

要件

開始する前に:

  • ネットワーク通信のためのジュニパーネットワークスセキュリティデバイスを構成します。

  • サーバーおよびメンバーデバイスのネットワークインターフェイスを構成します。セキュリティーデバイスのユーザーガイドを参照してください。

概要

コロケーションモードが設定されている場合、グループサーバーとグループのメンバー機能を同じデバイスに共存できます。コロケーションモードでは、サーバーとメンバーは、パケットが適切に配信されるように、異なる IP アドレスを持っている必要があります。

図 3は、グループ VPN (グループ識別子は 1) は2つのメンバー (member1 および member2) とグループサーバー (ループバックインターフェイスの IP アドレスは 20.0.0.1) で構成されています。Member1 共存がグループサーバーと同じデバイスにあることに注意してください。この例では、member1 が MPLS ネットワークに接続するために使用しているインターフェイス (ge-0/1/0) に IP アドレス 10.1.0.1/32 が割り当てられています。

図 3: サーバーメンバーコロケーションの例サーバーメンバーコロケーションの例

このトピックの構成手順では、グループサーバー/member1 デバイスをコロケーションモードに設定する方法について説明します。member2を設定するには、次の例を 参照してください。Group VPNv1 サーバーとメンバーを構成しています。

パケットフラグメントの問題を防止するには、グループメンバーが使用するインターフェイスを、1400バイト以内の MTU サイズになるように MPLS ネットワークに接続するように設定することをお勧めします。set interface mtu構成文を使用して、MTU サイズを設定します。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

サーバーメンバーコロケーションを使用してグループ VPN を構成するには、次のようにします。

  1. デバイスのループバックアドレスを設定します。

  2. Member1 が MPLS ネットワークに接続するために使用するインターフェイスを構成します。

  3. デバイス上でグループの VPN コロケーションを構成します。

  4. サーバー IKEのフェーズ 1 SA を設定します(この設定は、グループ メンバーで設定されたフェーズ 1 SA と一致している必要があります)。

  5. IKE ポリシーを定義し、リモートゲートウェイを設定します。

  6. サーバーのフェーズ 2 SA 交換を設定します。

  7. サーバー上で、グループ識別子、IKE ゲートウェイ、アンチリプレイ時間、サーバーアドレスを構成します。

  8. サーバーからメンバーへの通信を構成します。

  9. グループのメンバーにダウンロードするようにグループポリシーを設定します。

  10. メンバー1のフェーズ1 SAを設定します(この設定は、グループ サーバーに設定されたフェーズ1 SAと一致する必要があります)。

  11. ポリシーを定義し、member1 のリモートゲートウェイを設定します。

  12. Member1 のグループ識別子、IKE ゲートウェイ、およびインターフェイスを構成します。

  13. アドレスブックを作成し、ゾーンに追加します。

  14. 10.0.0.0/8 サブネットワークとの間でユニキャストトラフィックを許可する信頼ゾーンから非信頼ゾーンに、スコープポリシーを構成します。

  15. Untrust ゾーンから、10.0.0.0/8 サブネットワークとの間でユニキャストトラフィックを許可する信頼ゾーンへのスコープポリシーを構成します。

結果

設定モードから、 show security group-vpn and show security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

設定済みのセキュリティポリシーのリストで、デフォルトポリシーの前にスコープポリシーが表示されていることを確認します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

グループ VPN メンバー登録を検証しています

目的

グループの VPN メンバーが正しく登録されていることを確認します。

アクション

動作モードから、 show security group-vpn registered-membersコマンドを入力します。

IKE のグループ VPN サーバーのセキュリティアソシエーションを確認しています

目的

IKE のグループ VPN サーバーの SAs を確認します。

アクション

動作モードから、 show security group-vpn server ike security-associationsコマンドを入力します。

IPsec のグループ VPN サーバーのセキュリティアソシエーションを確認しています

目的

IPsec 用のグループ VPN サーバーの SAs を確認します。

アクション

動作モードから、 show security group-vpn server ipsec security-associationsコマンドを入力します。

IKE に対するグループの VPN メンバーのセキュリティアソシエーションを検証する

目的

IKE のグループ VPN メンバーの SAs を検証します。

アクション

動作モードから、 show security group-vpn member ike security-associationsコマンドを入力します。

IPsec に対するグループ VPN メンバーのセキュリティアソシエーションを確認しています

目的

IPsec のグループ VPN メンバーの Sa を確認します。

アクション

動作モードから、 show security group-vpn member ipsec security-associationsコマンドを入力します。

リリース履歴テーブル
リリース
説明
12.3X48-D30
Junos OS リリース 12.3 X48-D30 では、グループ VPNv1 メンバーをグループ VPNv2 サーバーと相互運用できます。
12.3X48-D30
Junos OS リリース 12.3 X48-D30 では、SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX650 の各デバイスのグループ VPNv1 メンバーは、グループ VPNv2 サーバーと相互運用できます。