Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNv2 サーバークラスターのグループ化

Group VPNv2 サーバークラスターは、グループコントローラ/キーサーバー (GCKS) の冗長性を提供するため、グループの VPN ネットワーク全体で単一障害点が発生することはありません。

Group VPNv2 サーバークラスターについて

通訳のグループドメイン (GDOI) プロトコルでは、グループコントローラ/キーサーバー (GCKS) がグループ VPN セキュリティーアソシエーション (Sa) を管理し、暗号化キーを生成して、グループメンバーに配信します。グループのメンバーは、GCKS によって提供されるグループ Sa と鍵に基づいてトラフィックを暗号化します。GCKS に障害が発生した場合、グループメンバーはキーを登録したり取得したりすることはできません。グループ VPNv2 サーバークラスターは、GCKS の冗長性を提供するため、グループの VPN ネットワーク全体で単一障害点が発生することはありません。グループ VPNv2 サーバークラスターは、負荷分散、拡張、リンクの冗長化も提供できます。

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。Group VPNv2 サーバークラスター内のすべてのサーバーは、SRX シリーズデバイスまたは vSRX のインスタンスでサポートされている必要があります。グループ VPNv2 サーバー クラスターは、独自開発ジュニパーネットワークスのソリューションであり、他のベンダーの GCKS との相互運用性を備えはありません。

ルートサーバーとサブサーバー

Group VPNv2 サーバークラスターは、最大4つの接続サブサーバーを持つ1つのルートサーバーで構成されます。クラスター内のすべてのサーバーは、グループ VPNv2 メンバーに配布されているのと同じ SA および暗号化キーを共有しています。クラスター内のサーバーは、に図 1示すように、さまざまなサイトに配置できます。

図 1: Group VPNv2 サーバークラスターGroup VPNv2 サーバークラスター

クラスター内のサーバー間のメッセージは、IKE Sa によって暗号化および認証されます。ルートサーバーは、サブサーバーに暗号化キーを生成し、配布する役割を担います。このような役割を担うため、ルートサーバーをシャーシクラスターとして設定することをお勧めします。サブサーバーは単一のデバイスであり、シャーシクラスターにすることはできません。サブサーバー間の直接リンクは必須ではありませんが、その場合はルートサーバーに接続できなければなりません。

サブサーバーからルートサーバーへの接続が失われると、グループメンバーからのサブサーバーへの接続はすべて許可されなくなり、Sa が削除されます。そのため、別のリンクを使用して各サブサーバーをルートサーバーに接続することをお勧めします。

Group VPNv2 サーバークラスターは、[ server-clusteredit security group-vpn server group-name] 階層レベルのステートメントで構成されています。クラスター内の各サーバーには、以下の値を設定する必要があります。

  • サーバー ロール — または root-serversub-server を指定します。特定のサーバーは、複数のグループ VPNv2 サーバークラスターの一部にすることができますが、すべてのクラスターに同じサーバーの役割を持たせる必要があります。1つのグループにルートサーバーの役割を設定し、別のグループにサブサーバーの役割をサーバーに構成することはできません。

    グループ VPNv2 サーバークラスターについては、ルートサーバーが常に1台のみであることを確認する必要があります。

  • IKEゲートウェイ — [] 階層レベルで設定IKEゲートウェイの名前 edit security group-vpn server ike を指定します。ルートサーバーの場合、IKE ゲートウェイはクラスター内のサブサーバーである必要があります。最大4つのサブサーバーを指定できます。サブサーバーの場合は、IKE ゲートウェイをルートサーバーにする必要があります。

    ルートサーバーとサブサーバーは、でdead-peer-detection always-send構成されている必要があります。また、動的 (未指定) IP アドレスを使用するように構成することはできません。グループメンバーは、dead ピア検出で構成されていません。

Group VPNv2 の設定は、特定のグループの各サブサーバーで同じにする必要があります。

グループ VPNv2 サーバークラスター内の各サブサーバーは、メンバーの登録と削除のための通常の GCKS として動作します。メンバー登録が成功すると、登録するサーバーはメンバーに更新を送信する責任があります。特定のグループに対して、各サブサーバーによって受け付けられるグループ VPNv2 メンバーの最大数を設定できます。この数字は、クラスター内のすべてのサブサーバーで同じである必要があります。サブサーバーは、グループ VPNv2 メンバー数が設定された最大数に達すると、新しいメンバーによる登録要求に対する応答を停止します。参照負荷分散してください。

サーバークラスターへのメンバー登録をグループ化

グループメンバーは、特定のグループの Group VPNv2 サーバークラスター内の任意のサーバーに登録できます。ただし、メンバーは、ルートサーバーにではなく、サブサーバーにのみ接続することをお勧めします。各グループメンバーには最大4つのサーバーアドレスを設定できます。グループのメンバーに設定されているサーバーアドレスは異なることがあります。以下の例では、グループメンバー A はサブサーバー 1 ~ 4 に設定されており、メンバー B はサブサーバー4と3に設定されています。

グループメンバー A:

グループメンバー B:

サーバーアドレス:

サブサーバー1

サブサーバー2

サブサーバー3

サブサーバー4

サブサーバー4

サブサーバー3

サーバーアドレスがメンバーに設定されている順序は重要です。グループメンバーが最初に設定されたサーバーに登録しようとしています。構成されたサーバーへの登録が成功しない場合、グループメンバーは次に構成されたサーバーへの登録を試みます。

グループ VPNv2 サーバークラスター内の各サーバーは、メンバーの登録と削除のための通常の GCKS として動作します。登録に成功した場合、登録サーバーは、交換によっgroupkey-pushてメンバーに更新を送信する責任を負います。特定のグループに対して、各サーバーが受け付けることができるグループメンバーの最大数を構成できます。ただし、この番号は、特定のグループに対応するクラスター内のすべてのサーバーで同じにする必要があります。構成されたグループメンバーの最大数に達すると、サーバーは新しいメンバーからの登録要求に応答しなくなります。詳細負荷分散については、を参照してください。

デッドピア検知

Group VPNv2 server cluster のピアサーバーの可用性を検証するには、ピアへの送信 IPsec トラフィックがあるかどうかに関係なく、クラスター内の各サーバーを設定して、dead ピア検知 (DPD) 要求を送信する必要があります。これは、[ dead-peer-detection always-sendedit security group-vpn server ike gateway gateway-name] 階層レベルのステートメントで構成されています。

Group VPNv2 サーバークラスター内のアクティブなサーバーは、DPD プローブをサーバークラスターで構成された IKE ゲートウェイに送信します。複数のグループが同じピアサーバー IKE ゲートウェイ構成を共有できるため、DPD をグループに設定することはできません。DPD がサーバーが停止していることを検知すると、そのサーバーとの IKE SA が削除されます。すべてのグループでサーバーが非アクティブとしてマークされ、サーバーに対して DPD が停止しています。

DPD は、グループメンバー上の IKE ゲートウェイ用に設定するべきではありません。

DPD がルートサーバーを非アクティブとしてマークすると、サブサーバーは新しいグループメンバー要求への応答を停止しますが、現在のグループメンバーに対する既存の SAs はアクティブなままです。非アクティブなサブサーバーは、Sa がまだ有効になっている可能性があるため、削除をグループメンバーに送信しません。グループメンバーは既存の Sa を使用し続けることができます。

ピアサーバーがアクティブになっているときに IKE SA の有効期限が切れると、DPD は SA ネゴシエーション IKE をトリガーします。この両方のルートサーバーとサブサーバーは、DPD を通じて Sa を IKE トリガーすることができるので、同時ネゴシエーションによって複数の IKE SAs が発生する可能性があります。この場合、サーバークラスター機能に影響を与えることはありません。

負荷分散

Group VPNv2 サーバークラスターでのロードバランシングを実現するには、グループmember-thresholdの適切な値を構成します。サーバーに登録されているメンバーの数がmember-thresholdこの値を超えると、そのサーバーの後続のメンバー登録が拒否されます。メンバーの登録は、グループメンバーに設定されている次のサーバーに、まだ到達member-thresholdしていないサーバーに到達するまでフェイルオーバーします。

の構成には、 member-threshold以下の2つの制約があります。

  • 特定のグループに対して、 member-thresholdルートサーバーとグループサーバークラスター内のすべてのサブサーバーに同じ値を設定する必要があります。グループ内のメンバー数が設定member-threshold値を超えた場合、新しいメンバーにgroupkey-pullよって開始された登録は拒否 (サーバーが応答を送信しません) したことになります。

  • サーバーは、複数のグループのメンバーをサポートできます。各サーバーには、サポート可能なグループメンバーの最大数があります。サーバーがサポートできるメンバーの最大数に達すると、新しいメンバーにgroupkey-pullよって開始された登録は、特定のmember-thresholdグループの値に到達していない場合でも拒否の対象となります。

クラスター内のサーバー間では、メンバーの同期は行われません。ルートサーバーには、サブサーバー上で登録されているメンバーの数に関する情報はありません。各サブサーバーは、自身に登録されたメンバーのみを表示することができます。

Group VPNv2 サーバークラスターの制限について

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。Group VPNv2 サーバークラスターを構成するときは、以下の点に注意してください。

  • サーバー認証では、証明書認証はサポートされていません。事前共有鍵のみを設定できます。

  • Group VPNv2 サーバークラスター内のサーバー間には、構成の同期はありません。

  • Group VPNv2 サーバークラスターを有効にする場合、設定は最初にルートサーバーで行い、次にサブサーバー上で実行する必要があります。構成がサーバー間で手動で同期されるまで、構成の変更にはトラフィック損失が発生する可能性があります。

  • 特定のケースでは、グループ VPNv2 メンバーの SAs が同期していない可能性があります。グループ VPN のメンバーは、 groupkey-pull交換によって新しいキーを取得することで、sa を同期できます。グループ VPNv2 メンバーの SAs を手動でクリアするにはclear security group-vpn member ipsec security-associationsclear security group-vpn member group or コマンドを使用して、回復を高速化できます。

  • Group VPNv2 サーバークラスターでは、ISSU はサポートされていません。

  • グループ VPNv2 メンバーの登録時に最後のメッセージが失われた場合は、サーバー クラスタ内の次のサーバーにメンバーがオーバーオーバーする可能性がある場合でも、サーバーはメンバーが登録メンバーだと見なす場合があります。 groupkey-pull この場合、同じメンバーが複数のサーバーに登録されているように見えることがあります。すべてのサーバー上の全メンバーのしきい値が、導入されたメンバーの総数に等しい場合、後続のグループメンバーが登録に失敗する可能性があります。

ルートサーバー上のシャーシクラスター操作について、以下の点に注意してください。

  • 統計は保持されません。

  • ネゴシエーションデータまたは状態は保存されません。groupkey-pullまたはgroupkey-pushネゴシエーション中にルートサーバーシャーシのクラスターフェイルオーバーが発生すると、フェイルオーバー後にネゴシエーションが再開されることはありません。

  • 暗号化キーのキー更新中にルートサーバーの両方のシャーシクラスターノードがダウンした場合、一部のグループ VPNv2 メンバーは新しいキーを受け取ることがありますが、他のメンバーにはアクセスできません。トラフィックが影響を受ける可能性があります。clear security group-vpn member ipsec security-associationsまたはまたはclear security group-vpn member groupコマンドを使用して、グループ VPNv2 メンバーの sa を手動でクリアすると、ルートサーバーに到達可能になったときの復旧を高速化することができます。

  • 大規模な環境では、ルートサーバーでの RG0 のフェイルオーバーには時間がかかる場合があります。サブサーバー上の DPD 間隔としきい値が小さく設定されていると、サブサーバーは RG0 フェイルオーバー中に非アクティブとしてルートサーバーをマークしてしまう可能性があります。トラフィックが影響を受ける可能性があります。サブサーバーのサーバー ゲートウェイIKE DPD 値が 150 秒を超える構成 interval * threshold することをお勧めします。

Group VPNv2 サーバークラスターメッセージについて

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。Group VPNv2 サーバークラスター内のサーバー間でのすべてのメッセージは、セキュリティアソシエーション (SA) IKE によって暗号化され、認証を受けています。各サブサーバーは、ルートサーバーを使用して IKE SA を開始します。この IKE SA は、サーバー間でメッセージを交換する前に確立する必要があります。

このセクションでは、ルートサーバーとサブサーバー間で交換されるメッセージについて説明します。

クラスター交換

図 2は、Group VPNv2 サーバークラスターとグループ VPNv2 メンバーの間で交換される基本的なメッセージを示しています。

図 2: VPNv2 サーバークラスターメッセージをグループ化するVPNv2 サーバークラスターメッセージをグループ化する

クラスタと初期化の交換

サブサーバーは、クラスター初期化 (cluster-init) をルートサーバーと交換して、SA および暗号化キー情報を取得します。ルートサーバーは、現在の SA 情報をcluster-init exchange を通してサブサーバーに送信することで応答します。

その後、サブサーバーは、exchange を介して、 groupkey-pullグループ VPNv2 メンバーからの登録要求に応答できます。groupkey-pull Exchange では、group VPNv2 メンバーは、グループによってサブサーバーから共有される sa および鍵を要求できます。

サブサーバーは、以下cluster-initの場合にルートサーバーとの交換を開始します。

  • ルートサーバーは非アクティブであると見なされます。これは、ルートサーバーの最初の前提となる状態を示しています。ルートサーバーとサブサーバーの間に IKE SA がない場合、サブサーバーはルートサーバーで IKE SA を開始します。Exchange が正常cluster-initに実行されると、サブサーバーは sa の情報を取得し、ルートサーバーをアクティブとしてマークします。

  • SA のソフト寿命の有効期限が切れています。

  • すべてcluster-updateの sa を削除するためのメッセージが受信されます。

  • グループ構成が変更されています。

cluster-init Exchange に障害が発生した場合、サブサーバーはルートサーバーと5秒ごとに exchange をリトライします。

クラスター更新メッセージ

groupkey-push Exchange は単一のキー更新メッセージであり、グループコントローラ/キーサーバー (GCKS) は、グループ sa とキーをメンバーに送信してから、既存のグループ sa が期限切れになり、グループメンバーシップを更新することができます。キー更新メッセージとは、GCKS からメンバーに送信される要請されないメッセージをいいます。

SA 用の新しい暗号化キーを生成すると、ルートサーバーはメッセージをcluster-update使用して、すべてのアクティブなサブサーバーに sa 更新情報を送信します。サブサーバーはcluster-update 、ルートサーバーから a を受信すると、新しい sa をインストールし、新しい sa 情報を a groupkey-pushから登録されたグループメンバーに送信します。

ルートcluster-updateサーバーから送信されたメッセージには、サブサーバーからの受信確認が必要です。サブサーバーから受信した謝辞がない場合、ルートサーバーは設定されたcluster-update再転送期間 (デフォルトは10秒) で再送信します。ルートサーバーは、dead ピア検出 (DPD) によってサブサーバーが利用できないことを示す場合、再送信されません。A cluster-updateを受信した後にサブサーバーが SA 情報の更新に失敗した場合、受信確認は送信されずcluster-update 、ルートサーバーがメッセージを再送します。

新しい SA がルートサーバーから受信される前に SA のソフトライフタイムが満了すると、サブサーバーはcluster-initメッセージをルートサーバーに送信してすべての sa を取得し、そのメンバー groupkey-pushには新しい更新が行われるまでメッセージを送信しません。SA のハード ライフタイムが新しい SA を受信する前にサブサーバーで有効期限が切れた場合、サブサーバーは非アクティブなルート サーバーにマークを付け、登録済みグループ メンバー全員を削除して、引き続きルート サーバーにメッセージを送信します。 cluster-init

SA cluster-updateまたはグループメンバーを削除するためにメッセージを送信できます。これは、 clearコマンドまたは設定の変更の結果である可能性があります。サブサーバーは、SA を削除cluster-updateするメッセージを受信すると、そのグループgroupkey-pushメンバーに削除メッセージを送信し、対応する sa を削除します。グループのすべての Sa が削除された場合、サブサーバーはcluster-initルートサーバーとの交換を開始します。登録済みのすべてのメンバーが削除されると、サブサーバーはローカルに登録されたすべてのメンバーを削除します。

Group VPNv2 サーバークラスターによる構成の変更について

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。グループ VPNv2 サーバークラスターは、新しい暗号化キーを生成し、セキュリティーアソシエーション (Sa) に変更を加える構成が変更された場合に、スタンドアロングループの VPNv2 サーバーとは異なる動作をします。ルートサーバーは、メッセージを使用してcluster-update 、SA 更新または削除をサブサーバーに送信します。その後、サブサーバーからgroupkey-pushメンバーにメッセージを送信します。サブサーバーでは、最初にルートサーバーからメッセージを削除せずに、グループメンバーに削除メッセージを送信できません。

すべての設定変更は、最初にルートサーバーで行い、その後、グループメンバーが期待どおりに更新または削除を受信するように、サブサーバー上で行う必要があります。グループ VPNv2 サーバークラスター内のサーバー間で設定が同期されるまでは、トラフィックロスが予想される可能性があります。

表 1Group VPNv2 サーバーに対するさまざまな構成変更の影響について説明します。

表 1: グループ VPNv2 サーバーでの構成変更の影響

構成の変更

スタンドアロングループ VPNv2 サーバーアクション

Group VPNv2 Server Cluster のアクション

ルートサーバー

サブサーバー

提案、ポリシー、ゲートウェイの変更 IKE

影響を受けるゲートウェイの IKE SA を削除します。IKE の提案、ポリシー、ゲートウェイの削除については、影響を受けるゲートウェイの登録済みメンバーを削除してください。

IPsec 提案の変更

変更は、トラフィック暗号化鍵 (TEK) のキー更新後に有効になります。

グループの変更:

グループ名の削除

グループ メンバーに「delete all」を送信します。グループ内のすべての IKE Sa を削除します。直ちにグループ内のすべてのキーを削除します。グループ内の登録済みのメンバーをすべて削除します。

「delete all」をサブサーバーに送信します。直ちにグループ内のすべてのキーを削除します。すべてのピアを非アクティブとしてマークします。サブサーバー IKE Sa を削除します。すべてのメンバー IKE Sa を削除します。

すべてのメンバー IKE Sa を削除します。直ちにグループ内のすべてのキーを削除します。グループ内の登録済みのメンバーをすべて削除します。ピアの非アクティブ化をマークします。ピアサーバー IKE Sa を削除します。

変更 ID

すべてのメンバーに「削除」を送信します。グループ内のすべての IKE Sa を削除します。直ちにグループ内のすべてのキーを削除します。グループ内の登録済みのメンバーをすべて削除します。設定に従って新しいキーを生成します。

「delete all」をサブサーバーに送信します。グループ内の IKE Sa すべてのメンバーを削除します。直ちにグループ内のすべてのキーを削除します。すべてのピアを非アクティブとしてマークします。すべてのピアサーバー IKE Sa を削除します。設定に従って新しいキーを生成します。

グループ内の IKE Sa すべてのメンバーを削除します。直ちにグループ内のすべてのキーを削除します。グループ内の登録済みのメンバーをすべて削除します。ピアの非アクティブ化をマークします。ピアサーバー IKE Sa を削除します。新しいcluster-init交換を開始します。

IKE ゲートウェイを追加または削除します。

追加の変更はありません。削除する場合は、影響を受けるゲートウェイの IKE SA と登録メンバーを削除します。

アンチリプレイの時間枠を追加または変更します。

新しい値は、TEK のキー更新の後で有効になります。

アンチリプレイを追加または変更しない

新しい値は、TEK のキー更新の後で有効になります。

サーバーメンバーの通信の変更:

登録

登録済みのすべてのメンバーを削除します。キー暗号化鍵 (KEK) SA を生成します。

KEK SA を生成します。新しい KEK SA をサブサーバーに送信します。すべてのメンバー IKE Sa を削除します。

登録済みのすべてのメンバーを削除します。

変える

新しい値は、KEK キー更新の後で有効になります。

Del

すべての KEK Sa を削除するには、delete Send を送信します。KEK SA を削除します。

サブサーバーに削除を送信します。KEK SA を削除します。すべてのメンバー IKE Sa を削除します。

KEK SA を削除します。

IPsec SA:

登録

新しい TEK SA を生成します。メンバーの新しい TEK SA を更新します。

新しい TEK SA を生成します。新しい TEK SA をサブサーバーに送信します。

アクションはありません。

変える

新しい値は、TEK のキー更新の後で有効になります。

一致ポリシーが変更された場合、現在の TEK が直ちに削除されるため、グループの削除が行われます。この設定が削除されたことをメンバーに通知する必要があるためです。

一致ポリシーが変更された場合、削除をサブサーバーに送信します。TEK をすぐに削除します。

条件に一致するポリシーが変更された場合、TEK を直ちに削除します。

Del

TEK をすぐに削除します。TEK SA を削除するには、delete Send を送信してください。

サブサーバーに削除を送信します。TEK をすぐに削除します。

TEK をすぐに削除します。

表 2グループ VPNv2 サーバークラスター構成の変更による影響について説明します。

サーバークラスターには、いつでも1台のルートサーバーだけが存在することを確認する必要があります。

表 2: Group VPNv2 サーバークラスター構成の変更の影響

サーバークラスター構成の変更

Group VPNv2 サーバークラスター

ルートサーバー

サブサーバー

IKE 提案、ポリシー、ゲートウェイ (クラスタ・ピア)

追加に関しては変化はありません。変更または削除については、影響を受けたピアの IKE SA を削除します。

サーバークラスター:

登録

なし。

グループ メンバーに「delete all」を送信します。グループ内の IKE Sa すべてのメンバーを削除します。グループのすぐにすべての TEKs と KEKs を削除します。グループ内の登録済みのメンバーをすべて削除します。ルートcluster-initサーバーに送信します。

役割の変更

サーバークラスターには、いつでも1台のルートサーバーだけが存在することを確認する必要があります。

「delete all」をサブサーバーに送信します。グループ内の IKE Sa すべてのメンバーを削除します。グループのすぐにすべての TEKs と KEKs を削除します。すべてのピアを非アクティブとしてマークします。すべてのピアサーバー IKE Sa を削除します。ルートcluster-initサーバーに送信します。

TEK のキー更新KEK によってキーを更新します。新しいキーをサブサーバーに送信します。新しいキーをメンバーに送信します。

ピアの追加

なし。

ピアの削除

ピアの非アクティブ化をマークします。ピア IKE SA をクリアします。

ピアの非アクティブ化をマークします。KEK をクリアします。TEK をクリアします。ピア IKE SA をクリアします。

再送信期間の変更

なし。

サーバークラスターの削除

「delete all」をサブサーバーに送信します。グループのすぐにすべての TEKs と KEKs を削除します。すべてのピアを非アクティブとしてマークします。すべてのピアサーバー IKE Sa を削除します。構成に従って、新しい TEKs と KEKs を生成します。

グループ内の IKE Sa すべてのメンバーを削除します。グループのすぐにすべての TEKs と KEKs を削除します。グループ内の登録済みのメンバーをすべて削除します。ピアの非アクティブ化をマークします。ピアサーバー IKE Sa を削除します。設定に従って、新しい TEK と KEK を生成します。

スタンドアロングループの VPNv2 Server のグループ VPNv2 サーバークラスターへの移行

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。このセクションでは、スタンドアロンの Group VPNv2 server をグループ VPNv2 サーバークラスターに移行する方法について説明します。

スタンドアロングループ VPNv2 サーバーをルートサーバーに移行するには、次のようにします。

ルートサーバーをシャーシクラスターにすることを強くお勧めします。

  1. スタンドアロン Group VPNv2 server をシャーシクラスターにアップグレードします。詳細については、 SRX シリーズデバイスの『シャーシクラスターユーザーガイド』を参照してください。

    スタンドアロンの SRX シリーズデバイスをシャーシクラスターノードにアップグレードする際には、再起動が必要です。トラフィック損失が発生することが予想されます。

  2. シャーシクラスター上で、Group VPNv2 server cluster ルート/サーバー構成を追加します。クラスターに設定されたサーバーの役割root-serverは、でなければなりません。

    構成の変更中に既存のグループメンバー間でトラフィックロスが発生しないようにする必要があります。

Group VPNv2 サーバークラスターにサブサーバーを追加するには、次のようにします。

  1. ルートサーバーで、Group VPNv2 サーバー IKE ゲートウェイとサブサーバー用のサーバークラスター IKE ゲートウェイの両方を構成します。SAs と既存のメンバートラフィックは影響を受けません。

  2. サブサーバー上で、サーバークラスターを構成します。Group VPNv2 の設定は、クラスター内の各サーバーで同じにする必要があります。ただし、グループ VPNv2 サーバー IKE ゲートウェイ、クラスター内のサーバーの役割、およびサーバークラスター IKE ゲートウェイの設定は除きます。サブサーバーでは、クラスターに設定されたサーバーの役割はsub-server、にする必要があります。グループ VPNv2 サーバー IKE ゲートウェイ、およびルートサーバー用のサーバークラスター IKE ゲートウェイを構成します。

Group VPNv2 サーバークラスターからサブサーバーを削除するには、次のようにします。

  1. ルートサーバーで、サブサーバーの Group VPNv2 サーバー IKE ゲートウェイとサーバークラスター IKE ゲートウェイの設定の両方を削除します。SAs と既存のメンバートラフィックは影響を受けません。

  2. サブサーバーの電源をオフにします。

例:グループ VPNv2 サーバークラスターとメンバーの構成

この例では、グループ VPNv2 サーバークラスターを構成して、グループコントローラ/キーサーバー (GCKS) の冗長性を提供し、グループ VPNv2 グループのメンバーに拡張する方法を示します。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • サポートされている8個の SRX シリーズデバイスまたは vSRX の Junos OS のリリース 15.1 X49-D30 またはそれ以降。 Group VPNv2:

    • 2つのデバイスまたはインスタンスがシャーシクラスターとして動作するように設定されています。このシャーシクラスターは、グループ VPNv2 サーバークラスター内でルートサーバーとして動作します。デバイスまたはインスタンスには、同じソフトウェアバージョンとライセンスが必要です。

      ルートサーバーは、グループ VPN サーバークラスター内のサブサーバーに暗号化キーを生成し、配布する役割を担います。このような役割を担うため、ルートサーバーをシャーシクラスターにすることをお勧めします。

    • グループ VPNv2 サーバークラスターでは、他の4つのデバイスまたはインスタンスをサブサーバーとして動作させることができます。

    • 他の2つのデバイスまたはインスタンスは、グループ VPNv2 グループのメンバーとして動作します。

  • サポートされている2つの MX シリーズデバイス Junos OS のリリース 15.1 R2 以降を実行しています。 Group VPNv2 をサポートします。これらのデバイスはグループ VPNv2 グループのメンバーとして動作します。

ホスト名、ルート管理者パスワード、および管理アクセスは、各 SRX シリーズデバイスまたは vSRX インスタンスで構成する必要があります。また、各デバイスで NTP を設定することをお勧めします。

この例の構成では、で図 3示されているトポロジに基づいて、Group VPNv2 の運用に必要なものに焦点を当てています。インターフェイス、ルーティング、シャーシクラスターの設定など、一部の構成はここには含まれていません。たとえば、Group VPNv2 の運用には、クライアントデバイスがネットワーク全体で目的のサイトに到達できるようにするための実用的なルーティングトポロジが必要です。この例は、静的ルーティングまたは動的ルートの構成については説明していません。

概要

この例では、Group VPNv2 network はサーバークラスターと4つのメンバーで構成されています。サーバークラスターは、ルートサーバーと4つのサブサーバーで構成されています。2つのメンバーは SRX シリーズデバイスまたは vSRX インスタンスであり、その他の2つのメンバーは MX シリーズデバイスです。

グループ VPN Sa は、フェーズ 1 SA によって保護される必要があります。したがって、グループ VPN 構成には、ルートサーバー、サブサーバー、グループのメンバーに IKE フェーズ1ネゴシエーションを構成する必要があります。IKE の構成について以下に説明します。

ルートサーバー上:

  • IKE ポリシー SubSrvは、各サブサーバーでフェーズ 1 sa を確立するために使用されます。

  • IKE ゲートウェイは、各サブサーバーの dead ピア検出 (DPD) で構成されています。

  • サーバークラスターの役割root-serverと各サブサーバーは、サーバークラスターの IKE ゲートウェイとして設定されます。

ルートサーバーは、シャーシクラスター運用をサポートするように設定する必要があります。この例では、ルートサーバー上の冗長イーサネットインターフェイスは、サーバークラスター内の各サブサーバーに接続しています。シャーシクラスター構成全体が表示されるわけではありません。

各サブサーバー上で:

  • 次の2つの IKE ポリシーが設定されています。RootSrvは、ルートサーバー GMsとのフェーズ 1 sa を確立するために使用され、各グループメンバーとのフェーズ 1 sa を確立するために使用されます。

    事前共有鍵は、ルートサーバーとサブサーバー間、およびサブサーバーとグループメンバー間のフェーズ 1 SAs を保護するために使用されます。使用する事前共有鍵が強力な鍵であることを確認します。サブサーバーでは、IKE ポリシー RootSrv用に設定された事前共有キーは、ルートサーバー上で設定された事前共有キーと一致している必要GMsがあります。また、IKE ポリシー用に設定された事前共有キーは、グループメンバーに設定された事前共有キーと一致している必要があります。

  • IKE ゲートウェイは、ルートサーバー用に DPD を使用して設定されています。さらに、各グループメンバーに対して IKE ゲートウェイが構成されています。

  • サーバークラスターの役割sub-serverとルートサーバーは、サーバークラスターの IKE ゲートウェイとして構成されています。

各グループメンバー:

  • IKE ポリシー SubSrvは、サブサーバーとのフェーズ 1 sa を確立するために使用されます。

  • IKE ゲートウェイの構成には、サブサーバーのアドレスが含まれています。

SRX シリーズデバイスまたは vSRX グループのメンバーでは、IPsec ポリシーは、LAN ゾーンを開始側 (受信トラフィック) として、WAN ゾーンをゾーン (発信トラフィック) として、グループに対して設定します。LAN と WAN のゾーン間のトラフィックを許可するために、セキュリティポリシーも必要です。

グループサーバーとグループメンバーの両方に同じグループ識別子を設定する必要があります。この例では、グループ名は GROUP_ID-0001、グループ識別子は1になっています。サーバー上で設定されたグループポリシーでは、172.16.0.0/12 範囲のサブネットワーク間のトラフィックに SA とキーが適用されるように指定しています。

Topology

図 3この例に設定するジュニパーネットワークスデバイスを示します。

図 3: SRX シリーズまたは vSRX および MX シリーズのメンバーを含むグループ VPNv2 サーバークラスターSRX シリーズまたは vSRX および MX シリーズのメンバーを含むグループ VPNv2 サーバークラスター

構成

ルートサーバーの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ルートサーバーを構成するには、次のようにします。

  1. セキュリティーゾーンとセキュリティーポリシーを設定します。

  2. シャーシクラスターを構成します。

  3. IKE 提案、ポリシー、ゲートウェイを構成します。

  4. IPsec SA を構成します。

  5. VPN グループを構成します。

  6. グループポリシーを構成します。

結果

設定モードから、、、およびshow interfacesshow chassis clustershow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

サブサーバー1の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Group VPNv2 サーバークラスターのサブサーバーを構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。

  2. IKE 提案、ポリシー、ゲートウェイを構成します。

  3. IPsec SA を構成します。

  4. VPN グループを構成します。

  5. グループポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

サブサーバーの構成2

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Group VPNv2 サーバークラスターのサブサーバーを構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。

  2. IKE 提案、ポリシー、ゲートウェイを構成します。

  3. IPsec SA を構成します。

  4. VPN グループを構成します。

  5. グループポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

サブサーバーの構成3

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Group VPNv2 サーバークラスターのサブサーバーを構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。

  2. IKE 提案、ポリシー、ゲートウェイを構成します。

  3. IPsec SA を構成します。

  4. VPN グループを構成します。

  5. グループポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

サブサーバーの設定4

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Group VPNv2 サーバークラスターのサブサーバーを構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。

  2. IKE 提案、ポリシー、ゲートウェイを構成します。

  3. IPsec SA を構成します。

  4. VPN グループを構成します。

  5. グループポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

GM-0001 (SRX シリーズデバイスまたは vSRX インスタンス) の設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。

  2. IKE 提案、ポリシー、ゲートウェイを構成します。

  3. IPsec SA を構成します。

  4. IPsec ポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

GM-0002 (SRX シリーズデバイスまたは vSRX インスタンス) の設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。

  2. IKE 提案、ポリシー、ゲートウェイを構成します。

  3. IPsec SA を構成します。

  4. IPsec ポリシーを構成します。

結果

設定モードから、 show interfacesshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

GM-0003 (MX シリーズデバイス) の設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイスを構成します。

  2. IKE 提案、ポリシー、ゲートウェイを構成します。

  3. IPsec SA を構成します。

  4. サービスフィルターを構成します。

  5. サービスセットを構成します。

結果

構成モードからshow interfaces、、、 show securityshow services、およびshow firewallコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

GM-0004 (MX シリーズデバイス) の設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイスを構成します。

  2. IKE 提案、ポリシー、ゲートウェイを構成します。

  3. IPsec SA を構成します。

  4. サービスフィルターを構成します。

  5. サービスセットを構成します。

結果

構成モードからshow interfaces、、、 show securityshow services、およびshow firewallコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

サーバークラスターの運用を確認する

目的

サーバークラスター内のデバイスがグループ内のピアサーバーを認識していることを確認します。サーバーがアクティブになっていて、クラスター内の役割が適切に割り当てられていることを確認します。

アクション

動作モードから、ルートサーバー show security group-vpn server server-clustershow security group-vpn server server-cluster detail、、 show security group-vpn server statistics 、およびコマンドを入力します。

運用モードから、各サブshow security group-vpn server server-clusterサーバー show security group-vpn server server-cluster detailに、 show security group-vpn server statistics 、、およびコマンドを入力します。

Sa がメンバーに配布されていることを確認する

目的

サブサーバーが、グループメンバーに配布するために SAs を受信していることと、グループメンバーが SAs を受信していることを確認します。

アクション

動作モードから、ルートサーバー show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detailとコマンドを入力します。

運用モードから、各サブshow security group-vpn server kek security-associationsサーバー show security group-vpn server kek security-associations detailに and コマンドを入力します。

運用モードから、各グループshow security group-vpn member kek security-associationsメンバー show security group-vpn member kek security-associations detailに and コマンドを入力します。

SRX または vSRX グループのメンバーの場合:

MX グループメンバー用:

サーバー上の IKE Sa の検証

目的

サーバー上の IKE セキュリティーアソシエーション (Sa) を表示します。

アクション

動作モードから、ルートサーバー show security group-vpn server ike security-associationsshow security group-vpn server ike security-associations detailとコマンドを入力します。

運用モードから、各サブshow security group-vpn server ike security-associationsサーバー show security group-vpn server ike security-associations detailに and コマンドを入力します。

サーバーとグループのメンバーにおける IPsec Sa の確認

目的

サーバーとグループのメンバーに IPsec セキュリティーアソシエーション (Sa) を表示します。

アクション

動作モードから、ルートサーバー show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detailとコマンドを入力します。

運用モードから、各サブshow security group-vpn server ipsec security-associationsサーバー show security group-vpn server ipsec security-associations detailに and コマンドを入力します。

運用モードから、各グループshow security group-vpn member ipsec security-associationsメンバー show security group-vpn member ipsec security-associations detailに and コマンドを入力します。

SRX または vSRX グループのメンバーの場合:

MX グループメンバー用:

グループメンバーの IPsec ポリシーの確認

目的

SRX または vSRX グループメンバーに IPsec ポリシーを表示します。

このコマンドは、MX シリーズグループのメンバーには使用できません。

アクション

動作モードから show security group-vpn member policy 、SRX またはグループ メンバーのvSRXを入力します。