Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

グループ VPNv1

グループ VPN は、デバイス上で発信またはデバイスを通過するプライベート WAN 上の IP マルチキャスト グループ トラフィックまたはユニキャスト トラフィックを保護するために必要な一連の機能です。

グループ VPNv1 の概要

SA(IPsec セキュリティ アソシエーション)とは、仮想プライベート ネットワーク(VPN)の参加者間の一方向契約で、認証および暗号化アルゴリズム、鍵交換メカニズム、セキュアな通信に使用するルールを定義します。現在の VPN 実装では、SA は 2 つのセキュリティ デバイス間のポイントツーポイント トンネルです。グループ VPNv1 は、IPsec アーキテクチャを拡張して、セキュリティ デバイスのグループによって共有される SA をサポートします(を参照 図 1)。

図 1: 標準 IPsec VPN およびグループ VPNv1標準 IPsec VPN およびグループ VPNv1

グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 のデバイスでサポートされています。グループ VPNv1 では、元の送信元と宛先の IP アドレスを外部ヘッダーに保持することで、any-to-any 接続を実現できます。セキュアなマルチキャスト パケットは、コア ネットワーク内のクリアテキスト マルチキャスト パケットと同じ方法で複製されます。

Junos OS リリース 12.3X48-D30 以降、グループ VPNv1 メンバーはグループ VPNv2 サーバーと相互運用できます。

グループVPNv1には、RFC 6407、 GdOI(Group Domain of Interpretation)に関する固有の制限があります。独自の制限なしにグループ VPN を使用するには、グループ VPNv2 にアップグレードします。グループ VPNv2 は、Junos OS リリース 15.1X49-D30 以降の vSRX インスタンス、Junos OS リリース 15.1X49-D40 以降の SRX シリーズ デバイス、および Junos OS リリース 15.1r2 以降の MX シリーズ デバイスでサポートされています。

グループ VPNv1 の GDOI プロトコルについて

グループVPNv1はRFC 3547、 GDOI(Group Domain of Interpretation )に基づいています。この RFC では、グループ メンバー間で SA を確立するためのグループ メンバーとグループ サーバー間のプロトコルについて説明します。GDOI メッセージは、デバイスのグループの SA を作成、保守、または削除します。GDOI プロトコルはポート 848 で動作します。

インターネット セキュリティ アソシエーションおよび鍵管理プロトコル(ISAKMP)は、AutoKey IKE IPsec トンネルの SA を確立するための 2 つのネゴシエーション フェーズを定義します。フェーズ 1 では、2 台のデバイスで ISAKMP SA を確立できます。フェーズ 2 では、GDOI などの他のセキュリティー プロトコルの SA を確立します。

グループ VPN では、グループ サーバーとグループ メンバーの間でフェーズ 1 ISAKMP SA ネゴシエーションが実行されます。サーバーとメンバーは、同じ ISAKMP ポリシーを使用する必要があります。フェーズ 2 では、GDOI はサーバーとメンバー間で交換し、他のグループ・メンバーと共有される SA を確立します。グループ メンバーは、他のグループ メンバーと IPsec をネゴシエートする必要はありません。フェーズ 2 の GDOI 交換は、ISAKMP フェーズ 1 SA によって保護する必要があります。

GDOI 交換には、次の 2 つのタイプがあります。

  • この交換により、メンバーは groupkey-pull サーバーからグループによって共有される SA とキーを要求できます。

  • groupkey-pushこの交換は、既存のグループ SA が期限切れになる前に、サーバーがグループ SA とキーをメンバーに送信できるようにする 1 つのキー交換メッセージです。鍵メッセージは、サーバーからメンバーに送信される非送信請求メッセージです。

グループ VPNv1 の制限事項について

グループ VPNv1 のこのリリースでは、以下はサポートされていません。

  • デフォルト以外のルーティング インスタンス

  • シャーシ クラスタ

  • サーバー クラスタ

  • ルートベースのグループ VPN

  • パブリック インターネットベースの導入

  • SNMP

  • Cisco GET VPN サーバーからのポリシーの拒否

  • 設定および監視用の J-Web インターフェイス

Junos OS リリース 12.3X48-D30 以降、SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX650 のグループ VPNv1 メンバーは、グループ VPNv2 サーバーと相互運用できます。グループ VPNv2 サーバーで使用するようにグループ VPNv1 メンバーを構成する場合は、以下の制限に注意してください。

  • グループ VPNv2 は、時間ベースのアンチプレイ メカニズム向けに IETF ドラフト仕様 IP 配信遅延検出プロトコル をサポートしています。そのため、IP 配信遅延検出プロトコルベースのアンチプレイは、グループ VPNv1 メンバーではサポートされないため、コマンドを使用してグループ VPNv2 サーバーで deactivate security group-vpn server group group-name anti-replay-time-window 無効にする必要があります。

  • グループ VPNv2 サーバーは、グループ サーバーとグループ メンバーの機能が同じデバイスに存在するコロケーションをサポートしていません。

  • グループ VPNv2 サーバーはハートビート転送をサポートしていません。ハートビートは、コマンドを使用してグループ VPNv1 メンバーで deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold 無効にする必要があります。グループ VPNv2 サーバー クラスタを使用して、グループ VPNv2 サーバーの再起動やその他の中断によるトラフィックへの影響を回避することをお勧めします。

  • グループVPNv2サーバーから送信されるグループキープッシュメッセージは、RFC 6407、 グループドメイン解釈(GDOI) をベースにしており、グループVPNv1メンバーではサポートされていません。そのため、コマンドを使用してグループ VPNv2 サーバーで groupkey-push メッセージを deactivate security group-vpn server group group-name server-member-communication 無効にする必要があります。

    リキーは、グループキープルメッセージでサポートされています。グループ VPNv1 メンバーが TEK ハード ライフタイムが期限切れになる前にグループキープル操作を完了できないスケーリングの問題がある場合は、TEK ライフタイムを長くして、メンバーがグループキープル操作を完了するのに十分な時間を確保することをお勧めします。ジュニパーのスケーリング数は、TEK ライフタイム 2 時間で満たされます。

  • グループ VPNv2 サーバーが再起動またはアップグレードされた場合、またはグループの SA がクリアされた場合、既存のメンバーに対して次のキーが実行されるまで、新しいメンバーをネットワークに追加できません。新しいメンバーは、古いキーを持つ既存のメンバーにトラフィックを送信できません。回避策として、コマンドを使用 clear security group-vpn member ipsec security-associations して既存のグループ VPNv1 メンバーの SA をクリアします。

  • グループ VPNv2 メンバーはマルチキャスト データ トラフィックをサポートしていないため、グループ VPNv1 メンバーとグループ VPNv2 メンバーが同じグループのネットワークに共存している場合、マルチキャスト データ トラフィックを使用できません。

グループ VPNv1 サーバーとメンバーについて

グループ VPN の中心はグループ サーバーです。グループ サーバーは、次のタスクを実行します。

  • グループ のメンバーシップを制御します。

  • 暗号化キーを生成します。

  • グループ SA とキーを管理し、それらをグループ メンバーに配布します。

グループ メンバーは、グループ SA とグループ サーバーによって提供されるキーに基づいてトラフィックを暗号化します。

グループ サーバーは、複数のグループにサービスを提供できます。1 台のセキュリティ デバイスを複数のグループのメンバーにできます。

各グループは、1~65,535 の数値であるグループ識別子で表されます。グループ サーバーとグループ メンバーは、グループ識別子によって一緒にリンクされます。グループごとに 1 つのグループ識別子しか存在できず、複数のグループは同じグループ識別子を使用できません。

グループ VPN サーバーとメンバー のアクションの概要を次に示します。

  1. グループ サーバーは、メンバーが登録できるように UDP ポート 848 でリッスンします。メンバー デバイスは、グループに参加するための正しい IKE フェーズ 1 認証を提供する必要があります。メンバーごとに事前共有鍵認証がサポートされています。

  2. 認証と登録が成功すると、メンバー デバイスは GDOI groupkey-pull 交換を使用してサーバーからグループ SA とキーを取得します。

  3. サーバーは、メンバーをグループのメンバーシップに追加します。

  4. グループメンバーは、グループSAキーで暗号化されたパケットを交換します。

サーバーは定期的に SA とキーの更新をキー(GDOI groupkey-push)メッセージを持つグループ メンバーに送信します。REKEY メッセージは SA が期限切れになる前に送信されます。これにより、グループ メンバー間のトラフィックを暗号化するための有効なキーが使用できるようになります。

また、サーバーは、グループ メンバーシップに変更がある場合、またはグループ SA が変更された場合に、新しいキーをメンバーに提供するために、再キー メッセージを送信します。

グループ VPNv1 サーバーメンバー間通信について

グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 のデバイスでサポートされています。サーバー・メンバー通信により、サーバーは GDOI groupkey-push メッセージをメンバーに送信できます。サーバー・メンバー間通信がグループに対して構成されていない場合、メンバーは GDOI groupkey-pull メッセージを送信してサーバーに登録して再登録できますが、サーバーはメンバーに鍵変更メッセージを送信できません。

[] 階層で構成 server-member-communication ステートメント を使用して、サーバー メンバー間の通信をグループにedit security group-vpn server対して構成します。以下のオプションを定義できます。

  • サーバーとメンバー間の通信に使用される暗号化アルゴリズム。3des-cbc、aes-128-cbc、aes-192-cbc、aes-256-cbc、または des-cbc を指定できます。デフォルトのアルゴリズムはありません。

  • サーバーへのメンバーの認証に使用される認証アルゴリズム(md5 または sha1)。デフォルトのアルゴリズムはありません。

  • サーバーがユニキャストまたはマルチキャストのキーキー メッセージを通信タイプに関連するグループ メンバーとパラメーターに送信するかどうか。

  • サーバーがハートビート・メッセージをグループ・メンバーに送信する間隔。これにより、メンバーはサーバーが再起動したかどうかを判断できます。この場合、メンバーはサーバーに再登録する必要があります。デフォルトは 300 秒です。

  • 鍵暗号化キー(KEK)の有効期間。デフォルトは 3600 秒です。

グループ・サーバーがリキー・メッセージをメンバーに送信するには、サーバー・メンバー間通信の構成が必要ですが、この動作が望ましくない場合があります。たとえば、グループ メンバーが動的ピア(ホーム オフィスなど)の場合、デバイスは常に稼働するとは限らず、デバイスの IP アドレスは電源投入のたびに異なる場合があります。動的ピアのグループに対してサーバー・メンバー通信を構成すると、サーバーによる不要な伝送が発生する可能性があります。IKE フェーズ 1 SA ネゴシエーションを常に実行して GDOI ネゴシエーションを保護する場合は、サーバー メンバー間の通信を設定しないでください。

グループのサーバー メンバー通信が構成されていない場合、コマンドによって show security group-vpn server registered-members 表示されるメンバーシップ リストには、サーバーに登録したグループ メンバーが表示されます。メンバーはアクティブかどうかが表示されます。グループのサーバー メンバー通信が構成されている場合、グループ メンバーシップ リストは消去されます。通信タイプがユニキャストとして設定されている場合、コマンドは show security group-vpn server registered-members アクティブメンバーのみを表示します。通信タイプがマルチキャストとして構成されている場合、コマンドは、 show security group-vpn server registered-members 構成後にサーバーに登録したメンバーを示します。メンバーが登録後にドロップする可能性があるため、メンバーシップ リストは必ずしもアクティブメンバーを表しているとは限りません。

グループ VPNv1 グループの主要な運用について

このトピックでは、以下のセクションについて説明します。

グループ キー

グループ サーバーは、VPN グループ、グループ メンバー、グループ キー間の関係を追跡するデータベースを維持します。サーバーがメンバーにダウンロードするグループ 鍵には、以下の 2 種類があります。

  • キー暗号化キー(KEK):キー再キー メッセージの暗号化に使用されます。グループごとに1つのKEKがサポートされています。

  • トラフィック暗号化キー(TEK): グループ メンバー間の IPsec データ トラフィックの暗号化と暗号化解除に使用されます。

SA に関連付けられたキーは、メンバーに一致するスコープ ポリシーが構成されている場合にのみ、グループ メンバーによって受け入れられます。拒否された鍵は破棄されるのに対し、受け入れられた鍵はグループ VPN にインストールされます。

メッセージのキーの再入力

グループがサーバー・メンバー通信用に構成されている場合、サーバーは定期的に SA と鍵の更新を、再キー (GDOI groupkey-push) メッセージを持つグループ・メンバーに送信します。REKEY メッセージは SA が期限切れになる前に送信されます。これにより、グループ メンバー間のトラフィックを暗号化するための有効なキーが使用できるようになります。

また、サーバーは、グループ メンバーシップの変更やグループ SA の変更(グループ ポリシーの追加または削除など)が発生した場合に、新しいキーをメンバーに提供するキー再キー メッセージも送信します。

サーバー・メンバー通信オプションは、サーバーが鍵メッセージをグループ・メンバーに送信できるように、サーバー上で構成する必要があります。これらのオプションは、以下のセクションで説明されているように、メッセージのタイプとメッセージの送信間隔を指定します。

キーの再キー メッセージには 2 種類あります。

  • ユニキャスト の再キー メッセージ — グループ サーバーは、各グループ メンバーにキーキー メッセージのコピーを 1 つ送信します。再キー メッセージを受信すると、メンバーは確認応答(ACK)をサーバーに送信する必要があります。サーバーがメンバーから ACK を受信しない場合(再キー メッセージの再送信を含む)、サーバーはメンバーが非アクティブであると見なして、メンバーをメンバーシップ リストから削除します。サーバーは、メンバーへのキー再キー メッセージの送信を停止します。

    サーバー・メンバー通信の構成ステートメントおよびretransmission-period構成ステートメントはnumber-of-retransmission、メンバーから ACK を受け取らない場合に、サーバーによる再キー・メッセージの再送信を制御します。

  • マルチキャスト リキー メッセージ — グループ サーバーは、指定された送信インターフェイスから設定済みのマルチキャスト グループ アドレスに、キーキー メッセージのコピーを 1 つ送信します。メンバーは、マルチキャスト の再キー メッセージの受信確認を送信しません。登録されたメンバーリストは、最初の登録後にメンバーがドロップアウトする可能性があるため、必ずしもアクティブなメンバーを表すわけではありません。グループのすべてのメンバーは、マルチキャスト メッセージをサポートするように構成する必要があります。

    IP マルチキャスト プロトコルは、ネットワーク内でマルチキャスト トラフィックの配信を許可するように設定する必要があります。ジュニパーネットワークス デバイスでのマルチキャスト プロトコルの設定の詳細については、「 マルチキャスト プロトコル ユーザー ガイド 」を参照してください。

サーバーが再キー メッセージを送信する間隔は、[] 階層のlifetime-seconds構成ステートメントedit security group-vpn server groupactivation-time-delay値に基づいて計算されます。間隔は、 として lifetime-seconds minus 4*(activation-time-delay)計算されます。

lifetime-seconds KEK の設定は、サーバー メンバー通信の一部です。デフォルトは 3600 秒です。lifetime-seconds TEK の設定は IPsec プロポーザルで、デフォルトは 3600 秒です。サーバー activation-time-delay 上のグループに対して設定され、デフォルトは 15 秒です。サーバーが再キー メッセージ3600 minus 4*15を送信する間隔のデフォルト値lifetime-secondsactivation-time-delay使用して、または 3540 秒です。

メンバー登録

現在の鍵が期限切れになる前に、グループ・メンバーがサーバーから新しい SA 鍵を受け取らない場合、そのメンバーはサーバーに再登録し、GDOI groupkey-pull 交換で更新された鍵を取得する必要があります。この場合、サーバーが再キー メッセージを送信する間隔は、次のように計算されます。lifetime-seconds マイナス3*(activation-time-delay)。および 、 activation-time-delayのデフォルト値lifetime-secondsを使用して、サーバーが鍵メッセージを送信する間隔は、3600 から 3*15、または 3555 秒を引いたものです。

メンバーの再登録は、次の理由で発生する可能性があります。

  • メンバーは、サーバーから受信したハートビートがない場合に、サーバーのリブートを検出します。

  • グループ サーバーからの再キー メッセージが失われたり遅延したりして、TEK ライフタイムが期限切れになりました。

主なアクティベーション

メンバーがサーバーから新しい鍵を受け取ると、その鍵を暗号化に使用するまで一定期間待機します。この期間は、 activation-time-delay 構成ステートメント 、およびサーバーから送信された鍵鍵メッセージを介して鍵を受け取るかどうか、またはメンバーがサーバーに再登録した結果として受け取られるかどうかによって決まります。

サーバーから送信された鍵鍵メッセージを介して鍵を受け取る場合、メンバーは鍵を使用する前に 2*(activation-time-delay) 秒待機します。キーがメンバー再登録によって受け取られた場合、メンバーは値で指定された秒数を activation-time-delay 待機します。

メンバーは、メンバーにインストールされている各グループ SA について、サーバーから送信された最新の 2 つのキーを保持します。どちらの鍵も暗号化解除に使用できますが、最新の鍵は暗号化に使用されます。前のキーは、新しいキーがアクティブ化された後の activation-time-delay 値で指定された秒数を削除します。

設定ステートメントの activation-time-delay デフォルトは 15 秒です。この期間が小さすぎると、新しいキーがインストールされる前に、リモート グループ メンバーでパケットがドロップされる可能性があります。値を変更した場合のネットワーク トポロジーとシステム トランスポートの遅延を考慮します activation-time-delay 。ユニキャスト伝送の場合、システム トランスポートの遅延はグループ メンバーの数に比例します。

グループ VPNv1 サーバーは、リクエストに応答して複数のトラフィック暗号化キー(TEK)をグループ VPNv1 メンバーに groupkey-pull 送信できます。次に、グループ VPNv1 メンバーが既存の TEK およびサーバーから受け取る TEK をどのように処理するかについて説明します。

  • グループ VPNv1 メンバーが 2 つ以上の TEK を受信した場合、そのメンバーは最新の 2 つの TEK を保持し、既存の TEK を削除します。保持されている 2 つの TEK のうち、古い TEK は即時にアクティブ化され、グループ VPNv1 サーバー上の設定が経過した後 activation-time-delay に新しい TEK がアクティブになります(デフォルトは 15 秒)。

  • グループ VPNv1 メンバーが 1 つの TEK のみを受信した場合、またはサーバーからのメッセージを介して groupkey-push TEK を受信した場合、ハード ライフタイムが期限切れになるまで既存の TEK は削除されません。既存のTEKの寿命は短縮されません。

グループ VPNv1 メンバーは、TEK ライフタイムが値の 2 倍未満であっても、受信した TEK を引き続きインストールします activation-time-delay

グループ VPNv1 ハートビート メッセージについて

サーバー・メンバー通信が構成されている場合、グループ VPNv1 サーバーは、指定された間隔でハートビート・メッセージをメンバーに送信します (デフォルト間隔は 300 秒)。ハートビート・メカニズムを使用すると、指定された数のハートビートが受信されない場合に、メンバーがサーバーに再登録できるようになります。たとえば、メンバーはサーバーの再起動中にハートビート メッセージを受信しません。サーバーが再起動すると、メンバーはサーバーに再登録されます。

ハートビートはメッセージを介して groupkey-push 送信されます。シーケンス番号は、応答攻撃からメンバーを保護する各ハートビート メッセージで増加します。再キー メッセージとは異なり、ハートビート メッセージは受信者によって認識されず、サーバーによって再送信されません。

ハートビート・メッセージには、以下の情報が含まれています。

  • サーバー上のキーの現在の状態と構成

  • アンチプレイが有効になっている場合の相対時間

メンバーは、ハートビート内の情報を比較することにより、サーバー情報または再キー・メッセージが見逃されているかどうかを検出できます。メンバーは再登録して、それ自体をサーバーと同期します。

ハートビート メッセージは、ネットワークの輻輳を高め、不要なメンバーの再登録を引き起こす可能性があります。したがって、必要に応じてメンバーでハートビート検出を無効にできます。

グループ VPNv1 サーバー メンバー コロケーション モードについて

グループ・サーバーとグループ・メンバーの機能は分離されており、重複しません。サーバーとメンバーの機能は、コロケーション モードと呼ばれる同じ物理デバイスに共存できます。コロケーション モードでは、サーバーまたはメンバーの機能や動作に関して変更はありませんが、パケットを適切に配信できるように、サーバーとメンバーごとに異なる IP アドレスを割り当てる必要があります。コロケーション モードでは、サーバーに割り当てられる IP アドレスは 1 つ、グループ間でメンバーに割り当てられる IP アドレスは 1 つだけです。

グループ VPNv1 構成の概要

このトピックでは、グループ VPNv1 を構成するための主なタスクについて説明します。

グループ サーバーで、以下を構成します。

  1. IKE フェーズ 1 ネゴシエーション。[edit security group-vpn server ike] 階層を使用して IKE フェーズ 1 SA を設定します。「 グループ VPNv2 の IKE フェーズ 1 設定について 」を参照してください。
  2. フェーズ 2 IPsec SA。グループ VPNv1 の IPsec SA 設定についてを参照してください。
  3. VPN グループ。「グループ VPNv1 設定の概要」を参照してください。

グループ メンバーで、以下を構成します。

  1. IKE フェーズ 1 ネゴシエーション。[edit security group-vpn member ike] 階層を使用して IKE フェーズ 1 SA を設定します。「グループ VPNv1 の IKE フェーズ 1 設定について」を参照してください。

  2. フェーズ 2 IPsec SA。グループ VPNv1 の IPsec SA 設定についてを参照してください。

  3. メンバーにインストールされているグループ ポリシーを決定するスコープ ポリシー。「グループ VPNv1 の動的ポリシーについて」を参照してください。

パケットフラグメント化の問題を防ぐために、グループ メンバーが MPLS ネットワークへの接続に使用するインターフェイスは、1,400 バイト以下の MTU(最大伝送単位)サイズに対して設定することをお勧めします。MTU サイズを set interface mtu 設定するには、設定ステートメントを使用します。

VPN グループは、サーバー上で設定 group ステートメント を [edit security group-vpn server] 階層に設定します。

グループ情報は、以下の情報で構成されています。

  • グループ識別子 — VPN グループを識別する 1~ 65,535 の値。Autokey IKE のグループ メンバーに同じグループ識別子を設定する必要があります。

  • 設定ステートメントで ike-gateway 設定されたグループ メンバー。この設定ステートメントには複数のインスタンスがあり、グループのメンバーごとに 1 つずつ使用できます。

  • サーバーの IP アドレス(ループバック インターフェイス アドレスをお勧めします)。

  • グループ ポリシー — メンバーにダウンロードするポリシー。グループ ポリシーでは、SA とキーが適用されるトラフィックについて説明します。「グループ VPNv1 の動的ポリシーについて」を参照してください。

  • サーバー メンバー間の通信 —オプションの構成により、サーバーはリキー メッセージをメンバーに送信できます。「グループ VPNv1 の概要」を参照してください。

  • アンチリプレイ—パケット傍受とリプレイを検出するオプションの設定。「グループ VPNv1 のアンチプレイについて」を参照してください。

グループ VPNv1 の IKE フェーズ 1 設定について

グループ サーバーとグループ メンバー間の IKE フェーズ 1 SA により、グループが共有する IPsec SA をネゴシエートするセキュア チャネルが確立されます。ジュニパーネットワークスのセキュリティ デバイス上の標準 IPsec VPN の場合、フェーズ 1 SA 設定では、IKE プロポーザル、ポリシー、ゲートウェイを指定します。グループ VPNv1 の場合、IKE フェーズ 1 SA 設定は標準 IPsec VPN の設定と似ていますが、[] 階層でedit security group-vpn実行されます。

IKE プロポーザル設定では、参加者間のセキュア チャネルを開くために使用する認証方法と認証および暗号化アルゴリズムを設定します。IKE ポリシー設定では、フェーズ 1 チャネルがネゴシエートされるモード(メインまたはアグレッシブ)を設定し、使用する鍵交換のタイプを指定し、フェーズ 1 プロポーザルを参照します。IKE ゲートウェイ設定では、フェーズ 1 ポリシーを参照します。

グループ VPNv2 は強力なアルゴリズムのみをサポートしているため、 sha-256 認証アルゴリズム オプションは SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX650 デバイスのグループ VPNv1 メンバーでサポートされています。グループ VPNv1 メンバーがグループ VPNv2 サーバーと相互運用する場合、このオプションは、コマンドを使用してグループ VPNv1 メンバー上で構成する edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 必要があります。グループ VPNv2 サーバーでは、IKE プロポーザル用に設定しauthentication-algorithm hmac-sha-256-128authentication-algorithm sha-256 IPsec プロポーザル用に設定する必要があります。

グループ VPNv1 メンバー上の IKE ゲートウェイが複数のゲートウェイ アドレスで設定されている場合、設定がコミットされると、「IKE ゲートウェイ設定ごとに 1 つのリモート アドレスのみ設定できます」というエラー メッセージが表示されます。

グループ サーバー上の IKE フェーズ 1 設定は、グループ メンバーの IKE フェーズ 1 設定と一致する必要があります。

グループ VPNv1 の IPsec SA 設定について

サーバーとメンバーは、フェーズ 1 ネゴシエーションでセキュアで認証されたチャネルを確立した後、フェーズ 2 を進みます。フェーズ 2 ネゴシエーションは、グループ メンバーが共有する IPsec SA を確立し、メンバー間で送信されるデータを保護します。グループ VPN の IPsec SA 設定は標準 VPN の設定と似ていますが、グループ メンバーは SA を他のグループ メンバーとネゴシエートする必要はありません。

グループ VPNv1 のフェーズ 2 IPsec 設定は、次の情報で構成されています。

  • SA に使用するセキュリティ プロトコル、認証、暗号化アルゴリズムの提案。IPsec SA プロポーザルは、[] 階層の proposal 設定ステートメント を使用してグループ サーバー上でedit security group-vpn server ipsec設定されます。

  • プロポーザルを参照するグループ ポリシー。グループ ポリシーは、SA とキーが適用されるトラフィック(プロトコル、送信元アドレス、送信元ポート、宛先アドレス、宛先ポート)を指定します。グループ ポリシーは、サーバー上で設定ステートメントを ipsec-sa [edit security group-vpn server group ] 階層に設定します。

  • グループ識別子、グループ サーバー(設定ステートメントで ike-gateway 設定)、メンバーがグループに接続するために使用するインターフェイスを参照する Autokey IKE。Autokey IKE は、メンバー上で設定ステートメントを ipsec vpn [edit security group-vpn member] 階層に設定します。

グループ VPNv1 の動的ポリシーについて

グループ サーバーは、グループ SA とキーを指定したグループのメンバーに配布します。同じグループに属するすべてのメンバーは、同じ IPsec SA のセットを共有できます。ただし、グループに対して設定されたすべての SA がすべてのグループ メンバーにインストールされているわけではありません。特定のメンバーにインストールされた SA は、グループ SA に関連付けられたポリシーとメンバーに設定されたセキュリティ ポリシーによって決まります。

VPN グループでは、サーバーがメンバーにプッシュする各グループ SA とキーがグループ ポリシーに関連付けられています。グループ ポリシーでは、プロトコル、送信元アドレス、送信元ポート、宛先アドレス、宛先ポートなど、キーを使用するトラフィックについて説明します。

同一のグループ ポリシー(同じ送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、プロトコル値で設定)は、1 つのグループに対して存在できません。グループに対して同一のグループ ポリシーを含む設定をコミットしようとすると、エラーが返されます。この場合は、同じグループ ポリシーのいずれかを削除する必要があります。

グループ メンバーでは、サーバーからダウンロードしたグループ ポリシーのスコープを定義するスコープ ポリシーを構成する必要があります。サーバーから配布されたグループ ポリシーは、メンバーに設定されたスコープ ポリシーと比較されます。メンバーにグループ ポリシーをインストールするには、次の条件を満たす必要があります。

  • グループ ポリシーで指定されたアドレスは、スコープ ポリシーで指定されたアドレスの範囲内にある必要があります。

  • グループ ポリシーで指定された送信元ポート、宛先ポート、プロトコルは、スコープ ポリシーで設定されているものと一致する必要があります。

メンバーにインストールされるグループ ポリシーは、動的ポリシーと呼ばれます。

スコープ ポリシーは、特定の from-zone および to-zone コンテキストのセキュリティ ポリシーの順序付け済みリストの一部として使用できます。Junos OS は、注文済みリストの先頭から受信パケットに対してセキュリティ ポリシー ルックアップを実行します。

セキュリティ ポリシーの順序付け済みリスト内のスコープ ポリシーの位置に応じて、動的ポリシー ルックアップにはいくつかの可能性があります。

  • スコープ ポリシーが検討される前に受信パケットがセキュリティ ポリシーと一致した場合、動的ポリシー ルックアップは実行されません。

  • 受信ポリシーがスコープ ポリシーと一致する場合、検索プロセスは一致する動的ポリシーを引き続き実行します。一致する動的ポリシーがある場合、そのポリシー アクション(許可)が実行されます。一致する動的ポリシーがない場合、検索プロセスはスコープ ポリシーの下のポリシーを引き続き検索します。

    このリリースでは、スコープ ポリシーに tunnel 対するアクションのみが許可されます。その他のアクションはサポートされていません。

[edit security] 階層でpolicies 設定ステートメントを使用して、グループ メンバーのスコープ ポリシーを設定します。グループ VPN を ipsec-group-vpn 参照するには、許可トンネル ルールの設定ステートメントを使用します。これにより、グループ メンバーは単一の SA を共有できます。

グループ VPNv1 のアンチプレイについて

アンチリプレイは、パケットが傍受された後、攻撃者によって再生されたときに検出できる IPsec 機能です。アンチプレイはデフォルトでグループ VPN で有効になっていますが、 no-anti-replay 設定ステートメントを使用したグループでは無効にできます。

アンチプレイが有効になっている場合、グループ サーバーはグループ メンバー間の時間を同期します。各 IPsec パケットにはタイムスタンプが含まれています。グループ メンバーは、パケットのタイムスタンプが設定された anti-replay-time-window 値内にあるかどうかをチェックします(デフォルトは 100 秒)。タイムスタンプが値を超えると、パケットは破棄されます。

例:グループ VPNv1 サーバーおよびメンバーの構成

この例では、グループ VPNv1 を設定して IPsec アーキテクチャを拡張して、セキュリティ デバイスのグループによって共有される SA をサポートする方法を示しています。グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 のデバイスでサポートされています。

要件

開始する前に、以下を行います。

  • ネットワーク通信用にジュニパーネットワークスのセキュリティ デバイスを設定します。

  • サーバーデバイスとメンバーデバイスでネットワークインターフェイスを設定します。『Interfaces User Guide for Security Devices』を参照してください。

概要

図 2、グループVPNは、2つのメンバーデバイス(メンバー1とメンバー2)とグループサーバー(サーバー上のループバックインターフェイスのIPアドレスは20.0.0.1)で構成されています。グループ識別子は 1 です。

図 2: サーバー メンバーの構成例サーバー メンバーの構成例

フェーズ 2 グループ VPN SA は、フェーズ 1 SA で保護する必要があります。そのため、グループ VPN 設定には、グループ サーバーとグループ メンバーの両方で IKE フェーズ 1 ネゴシエーションを設定する必要があります。さらに、グループ サーバーとグループ メンバーの両方で同じグループ識別子を構成する必要があります。

グループ ポリシーは、グループ サーバー上で構成されます。グループに対して設定されたすべてのグループ ポリシーがグループ メンバーにダウンロードされます。グループ メンバーに設定されたスコープ ポリシーによって、メンバーに実際にインストールされているグループ ポリシーが決まります。この例では、以下のグループ ポリシーがグループ サーバー上で設定され、すべてのグループ メンバーにダウンロードされます。

  • p1 —10.1.0.0/16 から 10.2.0.0./16 までのすべてのトラフィックを許可します。

  • p2 —10.2.0.0./16 から 10.1.0.0/16 までのすべてのトラフィックを許可

  • p3 —10.1.1.1/32 からのマルチキャスト トラフィックを許可

member1 デバイスは、10.0.0.0/8 サブネットワークとの間のすべてのユニキャスト トラフィックを許可するスコープ ポリシーで構成されています。メンバー 1 でマルチキャスト トラフィックを許可するように設定されたスコープ ポリシーはありません。そのため、SA ポリシー p3 はメンバー 1 にインストールされていません。

member2 デバイスは、10.1.0.0/16 から trust ゾーン、および 10.1.0.0/16 から untrust ゾーンから trust ゾーンへのトラフィックをドロップするスコープ ポリシーを設定します。したがって、SA ポリシー p2 はメンバー 2 にインストールされていません。

設定

グループ サーバーの構成

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

グループ サーバーを構成するには、以下の手順に従います。

  1. デバイスでループバック アドレスを設定します。

  2. IKE フェーズ 1 SA を設定します(この設定は、グループ メンバーで設定されたフェーズ 1 SA と一致する必要があります)。

  3. IKE ポリシーを定義し、リモート ゲートウェイを設定します。

  4. フェーズ 2 SA 交換を設定します。

  5. グループ識別子と IKE ゲートウェイを設定します。

  6. サーバー間通信を構成します。

  7. グループ メンバーにダウンロードするグループ ポリシーを設定します。

結果

設定モードから、コマンドを入力して設定を show security group-vpn server 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

メンバーの構成1

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

メンバーを構成するには1:

  1. フェーズ 1 SA を設定します(この設定は、グループ サーバーで設定されたフェーズ 1 SA と一致する必要があります)。

  2. IKE ポリシーを定義し、リモート ゲートウェイを設定します。

  3. メンバー1のグループ識別子、IKEゲートウェイ、インターフェイスを設定します。

    パケットフラグメント化の問題を防ぐために、グループ メンバーが MPLS ネットワークへの接続に使用するインターフェイスを、1400 バイト以下の MTU サイズに設定することをお勧めします。MTU サイズを set interface mtu 設定するには、設定ステートメントを使用します。

  4. アドレス帳を作成し、ゾーンを添付します。

  5. trust ゾーンから、10.0.0.0/8 サブネットワーク間のユニキャスト トラフィックを許可する untrust ゾーンにスコープ ポリシーを設定します。

  6. untrust ゾーンから trust ゾーンまで、10.0.0.0/8 サブネットワーク間のユニキャスト トラフィックを許可するスコープ ポリシーを設定します。

結果

設定モードから、and show security policies コマンドを入力して設定をshow security group-vpn member確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

メンバーの構成2

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

メンバーを構成するには2:

  1. フェーズ 1 SA を設定します(この設定は、グループ サーバーで設定されたフェーズ 1 SA と一致する必要があります)。

  2. IKE ポリシーを定義し、リモート ゲートウェイを設定します。

  3. メンバー2のグループ識別子、IKEゲートウェイ、インターフェイスを設定します。

    パケットフラグメント化の問題を防ぐために、グループ メンバーが MPLS ネットワークへの接続に使用するインターフェイスを、1400 バイト以下の MTU サイズに設定することをお勧めします。MTU サイズを set interface mtu 設定するには、設定ステートメントを使用します。

  4. アドレス 帳を作成し、信頼ゾーンにアタッチします。

  5. 別のアドレス 帳を作成し、untrust ゾーンに添付します。

  6. trust ゾーンから、10.1.0.0/16 からのトラフィックをブロックする untrust ゾーンにスコープ ポリシーを設定します。

  7. untrust ゾーンから 10.1.0.0/16 へのトラフィックをブロックする trust ゾーンにスコープ ポリシーを設定します。

結果

設定モードから、and show security policies コマンドを入力して設定をshow security group-vpn member確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認するには、次のタスクを実行します。

メンバーの動的ポリシーの検証1

目的

メンバー1にインストールされている動的ポリシーを表示します。

対処

グループ・サーバーがメンバー 1 に鍵をダウンロードした後、コマンドを show security dynamic-policies 動作モードから入力します。

意味

サーバーからのマルチキャスト ポリシー p3 は、マルチキャスト トラフィックを許可するメンバー 1 にスコープ ポリシーが設定されていないため、メンバー 1 にインストールされていません。

メンバーの動的ポリシーの検証2

目的

メンバー 2 にインストールされている動的ポリシーを表示します。

対処

グループ サーバが member2 にキーをダウンロードした後、動作モードからコマンドを show security dynamic-policies 入力します。

意味

サーバーからのポリシー p2(10.1.0.0/16 から 10.2.0.0/16 へのトラフィックの場合)は、member2 で設定された deny2 セキュリティー ポリシーと一致するため、member2 にインストールされていません。

例:ユニキャスト リキー メッセージ用のグループ VPNv1 サーバー メンバー通信の設定

この例では、サーバーがユニキャスト の再キー メッセージをグループ メンバーに送信して、グループ メンバー間のトラフィックを暗号化するために有効なキーを使用できるようにする方法を示しています。グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 のデバイスでサポートされています。

要件

開始する前に、以下を行います。

  • IKE フェーズ 1 ネゴシエーションのグループ サーバーとメンバーを設定します。

  • フェーズ 2 IPsec SA のグループ サーバーとメンバーを設定します。

  • グループ サーバーでグループ g1 を構成します。

概要

この例では、グループ g1に次のサーバーメンバー通信パラメーターを指定します。

  • サーバーは、ユニキャスト のキー変更メッセージをグループ メンバーに送信します。

  • 3des-cbc は、サーバーとメンバー間のトラフィックを暗号化するために使用されます。

  • sha1 はメンバー認証に使用されます。

デフォルト値は、サーバーのハートビート、KEK ライフタイム、および再送信に使用されます。

設定

手順

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

サーバーメンバー通信を設定するには、以下の手順に応じます。

  1. 通信タイプを設定します。

  2. 暗号化アルゴリズムを設定します。

  3. メンバー認証を設定します。

検証

設定が正常に機能していることを確認するには、コマンドを show security group-vpn server group g1 server-member-communication 入力します。

例:マルチキャスト 再キー メッセージ用のグループ VPNv1 サーバー メンバー通信の設定

この例では、サーバーがグループ メンバー間のトラフィックを暗号化するために有効なキーを使用できるように、グループ メンバーにマルチキャスト 再キー メッセージを送信できるようにする方法を示しています。グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 のデバイスでサポートされています。

要件

開始する前に、以下を行います。

概要

この例では、グループ g1に対して以下のサーバーメンバー通信を指定します。

  • サーバーは、マルチキャスト アドレス 226.1.1.1 およびインターフェイス ge-0/0/1.0 を使用して、マルチキャスト リキー メッセージをグループ メンバーに送信します。

  • 3des-cbc は、サーバーとメンバー間のトラフィックを暗号化するために使用されます。

  • sha1 はメンバー認証に使用されます。

デフォルト値は、サーバーのハートビート、KEK ライフタイム、および再送信に使用されます。

設定

手順

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

マルチキャスト リキー メッセージ用にサーバーメンバー通信を設定するには、次の手順に基います。

  1. 通信タイプを設定します。

  2. マルチキャスト グループを設定します。

  3. 送信マルチキャスト メッセージのインターフェイスを設定します。

  4. 暗号化アルゴリズムを設定します。

  5. メンバー認証を設定します。

結果

設定モードから、コマンドを入力して設定を show security group-vpn server group g1 server-member-communication 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認するには、次のタスクを実行します。

マルチキャスト キー キー メッセージのサーバー メンバー通信の検証

目的

グループ メンバー間のトラフィックを暗号化するために有効なキーが使用されていることを確認するために、マルチキャスト キー メッセージ用のサーバー メンバー通信パラメーターが適切に構成されていることを確認します。

対処

動作モードから、コマンドを show security group-vpn server group g1 server-member-communication 入力します。

例:サーバーメンバーコロケーションを使用したグループVPNv1の設定

この例では、同じ物理デバイス上でサーバーとメンバーの機能を共存できるようにするコロケーション モードのデバイスを構成する方法を示しています。グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 のデバイスでサポートされています。

要件

開始する前に、以下を行います。

  • ネットワーク通信用にジュニパーネットワークスのセキュリティ デバイスを設定します。

  • サーバーデバイスとメンバーデバイスでネットワークインターフェイスを設定します。『Interfaces User Guide for Security Devices』を参照してください。

概要

コロケーション モードを設定すると、グループ サーバーとグループ メンバーの機能を同じデバイスに共存できます。コロケーション モードでは、パケットが適切に配信されるように、サーバーとメンバーは異なる IP アドレスを持つ必要があります。

図 3、グループVPN(グループ識別子は1)は、2つのメンバー(メンバー1とメンバー2)とグループサーバー(ループバックインターフェイスのIPアドレスは20.0.0.1)で構成されています。メンバー 1 は、グループ サーバーと同じデバイスに共存します。この例では、member1 が MPLS ネットワークへの接続に使用するインターフェイス(ge-0/1/0)に IP アドレス 10.1.0.1/32 が割り当てられます。

図 3: サーバーメンバーコロケーションの例サーバーメンバーコロケーションの例

このトピックの設定手順では、コロケーション モード用にグループ サーバーメンバー1デバイスを設定する方法について説明します。member2 を構成するには、例を参照してください 。グループ VPNv1 サーバーとメンバーの構成

パケットフラグメント化の問題を防ぐために、グループ メンバーが MPLS ネットワークに接続するために使用するインターフェイスを、1400 バイト以下の MTU サイズに設定することをお勧めします。MTU サイズを set interface mtu 設定するには、設定ステートメントを使用します。

設定

手順

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

サーバーメンバーコロケーションを使用してグループVPNを設定するには、次の手順に従います。

  1. デバイスでループバック アドレスを設定します。

  2. メンバー 1 が MPLS ネットワークへの接続に使用するインターフェイスを設定します。

  3. デバイスでグループ VPN コロケーションを設定します。

  4. サーバーの IKE フェーズ 1 SA を設定します(この設定は、グループ メンバーで設定されたフェーズ 1 SA と一致する必要があります)。

  5. IKE ポリシーを定義し、リモート ゲートウェイを設定します。

  6. サーバーのフェーズ 2 SA 交換を設定します。

  7. サーバー上でグループ識別子、IKEゲートウェイ、アンチプレイ時間、サーバーアドレスを設定します。

  8. メンバー通信に対してサーバーを構成します。

  9. グループ メンバーにダウンロードするグループ ポリシーを設定します。

  10. メンバー1のフェーズ1 SAを設定します(この設定は、グループサーバーに設定されたフェーズ1 SAと一致する必要があります)。

  11. ポリシーを定義し、member1 のリモート ゲートウェイを設定します。

  12. メンバー1のグループ識別子、IKEゲートウェイ、インターフェイスを設定します。

  13. アドレス帳を作成し、ゾーンに添付します。

  14. trust ゾーンから、10.0.0.0/8 サブネットワーク間のユニキャスト トラフィックを許可する untrust ゾーンにスコープ ポリシーを設定します。

  15. untrust ゾーンから trust ゾーンまで、10.0.0.0/8 サブネットワーク間のユニキャスト トラフィックを許可するスコープ ポリシーを設定します。

結果

設定モードから、and show security policies コマンドを入力して設定をshow security group-vpn 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

設定済みのセキュリティ ポリシーのリストで、デフォルト ポリシーの前にスコープ ポリシーが表示されていることを確認します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認するには、次のタスクを実行します。

グループ VPN メンバー登録の確認

目的

グループ VPN メンバーが正しく登録されていることを確認します。

対処

動作モードから、コマンドを show security group-vpn registered-members 入力します。

IKE のグループ VPN サーバー セキュリティ アソシエーションの検証

目的

IKE のグループ VPN サーバーの SA を検証します。

対処

動作モードから、コマンドを show security group-vpn server ike security-associations 入力します。

IPsec のグループ VPN サーバー セキュリティー アソシエーションの検証

目的

IPsec のグループ VPN サーバーの SA を検証します。

対処

動作モードから、コマンドを show security group-vpn server ipsec security-associations 入力します。

IKEのグループVPNメンバーセキュリティアソシエーションの検証

目的

IKE のグループ VPN メンバーの SA を検証します。

対処

動作モードから、コマンドを show security group-vpn member ike security-associations 入力します。

IPsec のグループ VPN メンバー セキュリティ アソシエーションの検証

目的

IPsec のグループ VPN メンバーの SA を検証します。

対処

動作モードから、コマンドを show security group-vpn member ipsec security-associations 入力します。

リリース履歴テーブル
リリース
説明
12.3X48-D30
Junos OS リリース 12.3X48-D30 以降、グループ VPNv1 メンバーはグループ VPNv2 サーバーと相互運用できます。
12.3X48-D30
Junos OS リリース 12.3X48-D30 以降、SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX650 のグループ VPNv1 メンバーは、グループ VPNv2 サーバーと相互運用できます。