Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

グループ VPNv2 サーバー クラスタ

グループVPNv2サーバークラスタは、グループコントローラ/キーサーバー(GCKS)の冗長性を提供するため、グループVPNネットワーク全体に単一障害点はありません。

グループ VPNv2 サーバー クラスタについて

GDOI(Group Domain of Interpretation)プロトコルでは、グループ コントローラ/鍵サーバー(GCKS)がグループ VPN セキュリティ アソシエーション(SA)を管理し、暗号化キーを生成してグループ メンバーに配布します。グループ メンバーは、GCKS によって提供されるグループ SA とキーに基づいてトラフィックを暗号化します。GCKS に障害が発生した場合、グループ メンバーはキーを登録または取得できません。グループ VPNv2 サーバー クラスタは GCKS の冗長性を提供するため、グループ VPN ネットワーク全体に単一障害点がありません。グループ VPNv2 サーバー クラスタは、ロード バランシング、拡張、リンク冗長性も提供できます。

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。グループ VPNv2 サーバー クラスタ内のすべてのサーバーは、SRX シリーズ デバイスまたは vSRX インスタンスでサポートされている必要があります。グループVPNv2サーバークラスタは、ジュニパーネットワークス独自のソリューションであり、他のベンダーのGCKSとの相互運用性がありません。

ルートサーバーとサブサーバー

グループVPNv2サーバークラスタは、最大4台の接続されたサブサーバーを備えた1つのルートサーバーで構成されています。クラスタ内のすべてのサーバーは、グループ VPNv2 メンバーに配布される同じ SA キーと暗号化キーを共有します。に示 図 1すように、クラスタ内のサーバーは異なるサイトに配置できます。

図 1: グループ VPNv2 サーバー クラスターグループ VPNv2 サーバー クラスター

クラスタ内のサーバー間のメッセージは、IKE SAによって暗号化され、認証されます。ルートサーバーは、暗号化キーを生成してサブサーバーに配布します。この責任があるため、ルート サーバーをシャーシ クラスタとして設定することをお勧めします。サブサーバーは単一のデバイスであり、シャーシ クラスタにすることはできません。サブサーバー間の直接リンクは必要ありませんが、サブサーバーは root サーバーに接続できる必要があります。

サブサーバーがルート・サーバーへの接続を失った場合、グループ・メンバーからのサブサーバーへのそれ以上の接続は許可されません。SA は削除されます。そのため、異なるリンクを使用して各サブサーバーを root サーバーに接続することをお勧めします。

グループ VPNv2 サーバー クラスタは、[] 階層レベルでステートメントをedit security group-vpn server group-name使用server-clusterして設定されます。クラスター内の各サーバーに対して、以下の値を構成する必要があります。

  • サーバーロール — または を root-server 指定します sub-server。特定のサーバーは複数のグループ VPNv2 サーバー クラスタの一部として使用できますが、すべてのクラスタで同じサーバー ロールを持つ必要があります。サーバーは、あるグループのルートサーバーロールと別のグループのサブサーバーロールを使用して設定することはできません。

    グループ VPNv2 サーバー クラスターでは、常にルート サーバーが 1 つだけであることを確認する必要があります。

  • IKE ゲートウェイ — [edit security group-vpn server ike] 階層レベルで設定された IKE ゲートウェイの名前を指定します。ルートサーバーの場合、IKEゲートウェイはクラスタ内のサブサーバーである必要があります。最大4台のサブサーバーを指定できます。サブサーバーの場合、IKEゲートウェイはルートサーバーである必要があります。

    ルートサーバーとサブサーバーは、動的(未指定)のIPアドレスで dead-peer-detection always-send 設定する必要があり、設定できません。グループ メンバーは、デッド ピア検出を使用して構成されていません。

グループ VPNv2 設定は、特定のグループ内の各サブサーバー で同じである必要があります。

グループ VPNv2 サーバー クラスター内の各サブサーバーは、メンバーを登録および削除するための通常の GCKS として動作します。メンバー登録が成功すると、登録サーバーはメンバーに更新を送信します。特定のグループに対して、各サブサーバーで受け入れ可能なグループ VPNv2 メンバーの最大数を設定できます。この番号は、クラスタ内のすべてのサブサーバーで同じである必要があります。サブサーバーは、構成されたグループ VPNv2 メンバーの最大数に達すると、新規メンバーによる登録要求への応答を停止します。を参照してください 負荷分散

サーバー クラスタを使用したグループ メンバーの登録

グループ メンバーは、特定のグループのグループ VPNv2 サーバー クラスター内の任意のサーバーに登録できますが、メンバーはルート サーバーではなくサブサーバーにのみ接続することをお勧めします。各グループ メンバーに対して最大 4 つのサーバー アドレスを構成できます。グループ メンバーに対して構成されたサーバー アドレスは異なる場合があります。以下に示す例では、グループ・メンバー A はサブサーバー 1 から 4 に対して構成され、メンバー B はサブサーバー 4 および 3 用に構成されています。

グループ メンバー A:

グループ メンバー B:

サーバー アドレス:

サブサーバー 1

サブサーバー 2

サブサーバー 3

サブサーバー 4

サブサーバー 4

サブサーバー 3

サーバーがメンバーに対してアドレスを設定する順序は重要です。グループ メンバーは、最初に構成されたサーバーへの登録を試みます。構成済みサーバーへの登録が成功しなかった場合、グループ・メンバーは、次に構成されたサーバーへの登録を試みます。

グループ VPNv2 サーバー クラスター内の各サーバーは、メンバーを登録および削除するための通常の GCKS として動作します。登録が成功すると、登録サーバーは交換を介して groupkey-push メンバーに更新を送信する責任があります。特定のグループでは、各サーバーで受け入れ可能なグループ メンバーの最大数を設定できますが、この数は、特定のグループのクラスター内のすべてのサーバーで同じである必要があります。構成されたグループ メンバーの最大数に達すると、サーバーは新しいメンバーによる登録要求への応答を停止します。詳細については、を参照してください 負荷分散

デッドピア検知

グループ VPNv2 サーバー クラスター内のピア サーバーの可用性を検証するには、送信 IPsec トラフィックがピアに存在するかどうかに関係なく、クラスター内の各サーバーがデッド ピア検出(DPD)要求を送信するように構成する必要があります。これは、[] 階層レベルの dead-peer-detection always-send ステートメントでedit security group-vpn server ike gateway gateway-name設定されます。

グループ VPNv2 サーバー クラスター内のアクティブなサーバーは、DPD プローブをサーバー クラスターに設定された IKE ゲートウェイに送信します。複数のグループが同じピア サーバー IKE ゲートウェイ構成を共有できるため、DPD を 1 つのグループに対して構成しないでください。DPD は、サーバーがダウンしていることを検出すると、そのサーバーを持つ IKE SA が削除されます。すべてのグループがサーバーを非アクティブとしてマークし、サーバーへの DPD が停止します。

グループ メンバーの IKE ゲートウェイに DPD を設定しないでください。

DPD がルート サーバーを非アクティブとしてマークすると、サブサーバーは新しいグループ メンバー要求への応答を停止しますが、現在のグループ メンバーの既存の SA はアクティブなままです。非アクティブなサブサーバーは、SA が引き続き有効であり、グループ メンバーが既存の SA を引き続き使用できるため、グループ メンバーに削除を送信しません。

ピア サーバーがまだアクティブである間に IKE SA が期限切れになると、DPD は IKE SA ネゴシエーションをトリガーします。ルート サーバーとサブサーバーの両方が DPD を介して IKE SA をトリガーできるため、同時ネゴシエーションにより複数の IKE SA が発生する可能性があります。この場合、サーバークラスタ機能への影響は予想されません。

負荷分散

グループ VPNv2 サーバー クラスタのロード バランシングは、グループに適切な member-threshold 値を設定することで実現できます。サーバーに登録されたメンバーの数が値を超えると member-threshold 、そのサーバーでの後続のメンバー登録は拒否されます。メンバー登録は、まだ到達していないサーバーに到達するまで、グループ メンバーに構成されている次のサーバー member-threshold に失敗します。

設定 member-thresholdには 2 つの制限があります。

  • 特定のグループでは、ルート サーバーとグループ サーバー クラスター内のすべてのサブサーバーに同じ member-threshold 値を設定する必要があります。グループ内のメンバーの合計数が設定された member-threshold 値を超えた場合、 groupkey-pull 新しいメンバーによって開始された登録は拒否されます(サーバーは応答を送信しません)。

  • サーバーは複数のグループのメンバーをサポートできます。各サーバーには、サポートできるグループ メンバーの最大数があります。サーバーがサポートできるメンバーの最大数に達すると、特定のグループの値に達していない場合member-thresholdでも、groupkey-pull新しいメンバーによって開始された登録は拒否されます。

クラスター内のサーバー間でメンバーの同期はありません。ルート サーバーには、サブサーバー上の登録済みメンバーの数に関する情報がありません。各サブサーバーは、独自の登録済みメンバーのみを表示できます。

グループ VPNv2 サーバー クラスターの制限について

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。グループ VPNv2 サーバー クラスタを設定する場合は、次の点に注意してください。

  • 証明書認証は、サーバー認証ではサポートされていません。事前共有鍵のみを設定できます。

  • グループ VPNv2 サーバー クラスター内のサーバー間に設定同期はありません。

  • グループ VPNv2 サーバー クラスターを有効にする場合、最初にルート サーバーで、次にサブサーバーで構成を行う必要があります。サーバー間で設定を手動で同期するまでは、設定変更中にトラフィック損失が発生する可能性があります。

  • 特定のコーナーケースでは、グループVPNv2メンバーのSAが同期していない可能性があります。グループ VPN メンバーは、交換を介して新しいキーを取得することで SA を groupkey-pull 同期できます。グループ VPNv2 メンバーの SA を手動でクリアするには、リカバリーを迅速化するのに役立つコマンドまたはclear security group-vpn member groupコマンドを使用clear security group-vpn member ipsec security-associationsします。

  • グループ VPNv2 サーバー クラスターは ISSU をサポートしていません。

  • グループ VPNv2 メンバーの登録中に最後 groupkey-pull のメッセージが失われた場合、サーバーは、メンバーがサーバー クラスター内の次のサーバーにフェイルオーバーする可能性がある場合でも、メンバーを登録済みメンバーと見なす場合があります。この場合、同じメンバーが複数のサーバーに登録されているように見える場合があります。すべてのサーバーのメンバーの合計しきい値がデプロイされたメンバーの総数と等しい場合、後続のグループ メンバーの登録が失敗する可能性があります。

ルート サーバーでのシャーシ クラスタ操作に関する次の注意事項に注意してください。

  • 統計情報は保持されません。

  • ネゴシエーション データや状態は保存されません。またはgroupkey-pushネゴシエーション中にgroupkey-pullルート サーバー シャーシ クラスタ フェイルオーバーが発生した場合、ネゴシエーションはフェイルオーバー後に再起動されません。

  • ルート サーバーの両方のシャーシ クラスタ ノードが暗号化キーのキー変更中にダウンした場合、一部のグループ VPNv2 メンバーは新しいキーを受け取る可能性があり、他のメンバーは受け取りません。トラフィックが影響を受ける可能性があります。グループ VPNv2 メンバーの SA を手動でオフにし、またはclear security group-vpn member groupコマンドをclear security group-vpn member ipsec security-associations使用すると、ルート サーバーに到達可能になったときのリカバリーを高速化できます。

  • 大規模な環境では、ルート サーバーでの RG0 フェイルオーバーに時間がかかる場合があります。サブサーバーの DPD 間隔としきい値が小さい値で構成されている場合、RG0 フェイルオーバー中にサブサーバーがルート サーバーを非アクティブとしてマークする可能性があります。トラフィックが影響を受ける可能性があります。150 秒を超える DPD interval * threshold 値を持つサブサーバーの IKE ゲートウェイを設定することをお勧めします。

グループ VPNv2 サーバー クラスタ メッセージについて

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。グループ VPNv2 サーバー クラスタ内のサーバー間のすべてのメッセージは、IKE セキュリティ アソシエーション(SA)によって暗号化および認証されます。各サブサーバーは、ルート サーバーを使用して IKE SA を開始します。サーバー間でメッセージを交換する前に、この IKE SA を確立する必要があります。

このセクションでは、ルート サーバーとサブサーバー間で交換されるメッセージについて説明します。

クラスタ交換

図 2 は、グループ VPNv2 サーバー クラスターとグループ VPNv2 メンバー間で交換される基本的なメッセージを示しています。

図 2: グループ VPNv2 サーバー クラスタ メッセージグループ VPNv2 サーバー クラスタ メッセージ

クラスタ init エクスチェンジ

サブサーバーは、SA および暗号化キー情報を取得するために、root サーバーとのクラスター初期化(cluster-init)交換を開始します。ルートサーバーは、現在のSA情報を交換を介して cluster-init サブサーバーに送信することで応答します。

その後、サブサーバーは、交換を通じてグループ VPNv2 メンバーからの登録要求に groupkey-pull 応答できます。この交換により、グループ VPNv2 メンバーは groupkey-pull サブサーバーからグループが共有する SA とキーを要求できます。

以下の場合、サブサーバーは cluster-init root サーバーとの交換を開始します。

  • ルート サーバーは非アクティブと見なされます。これは、ルート サーバーの最初の想定された状態です。ルート サーバーとサブサーバーの間に IKE SA がない場合、サブサーバーはルート サーバーを使用して IKE SA を開始します。交換が成功すると cluster-init 、サブサーバーは SA 上の情報を取得し、root-server をアクティブとしてマークします。

  • SA のソフト ライフタイムが期限切れになりました。

  • cluster-updateすべての SA を削除するためのメッセージが受信されます。

  • グループ設定の変更があります。

交換に cluster-init 失敗した場合、サブサーバーは 5 秒ごとにルート サーバーを使用して交換を再試行します。

クラスター更新メッセージ

groupkey-pushこの交換は、グループコントローラ/キーサーバー(GCKS)が既存のグループSAが期限切れになる前にグループSAとキーをメンバーに送信し、グループメンバーシップを更新できるようにする単一のキーキーメッセージです。鍵の再送メッセージは、GCKS からメンバーに送信される非送信請求メッセージです。

SA の新しい暗号化キーを生成すると、ルート サーバーは SA 更新をメッセージを介してすべてのアクティブなサブサーバーに cluster-update 送信します。ルート サーバーから a を cluster-update 受信した後、サブサーバーは新しい SA をインストールし、a を介して groupkey-push 新しい SA 情報を登録されたグループ メンバーに送信します。

cluster-updateルート サーバーから送信されたメッセージには、サブサーバーからの受信確認が必要です。サブサーバーから受信した受信確認がない場合、ルート サーバーは設定された再送信 cluster-update 期間(デフォルトは 10 秒)で再送信します。DPD(デッド ピア検出)によってサブサーバーが使用不能であると示された場合、ルート サーバーは再送信されません。サブサーバーが受信 cluster-update後に SA 情報の更新に失敗した場合、サブサーバーは確認応答を送信せず、root サーバーはメッセージを cluster-update 再送信します。

新しい SA をルート サーバーから受信する前に SA のソフト ライフタイムが期限切れになった場合、サブサーバーはすべての SA を取得するためにメッセージを root サーバーに送信 cluster-init し、新しい更新が行われるまでメンバーにメッセージを送信 groupkey-push しません。SA のハード ライフタイムが新しい SA を受信する前にサブサーバーで期限切れになると、サブサーバーは root サーバーを非アクティブにし、登録済みのグループ メンバーをすべて削除して、引き続き root サーバーにメッセージを送信 cluster-init します。

cluster-update SA またはグループ メンバーを削除するメッセージを送信できます。これはコマンドまたは設定変更のclear結果である可能性があります。SA を削除するメッセージを cluster-update 受信したサブサーバーは、そのグループ メンバーに削除メッセージを送信 groupkey-push し、対応する SA を削除します。グループのすべての SA が削除された場合、サブサーバーは root サーバーとの交換を開始 cluster-init します。すべての登録済みメンバーが削除された場合、サブサーバーはローカルに登録されたすべてのメンバーを削除します。

グループ VPNv2 サーバー クラスタの設定変更について

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。グループ VPNv2 サーバー クラスタは、新しい暗号化キーや SA(セキュリティ アソシエーション)への変更をもたらす設定変更がある場合、スタンドアロンのグループ VPNv2 サーバーとは動作が異なります。root サーバーは、SA の更新または削除をメッセージを介して cluster-update サブサーバーに送信します。その後、サブサーバーはメンバーにメッセージを送信 groupkey-push します。サブサーバーは、root サーバーから削除メッセージを最初に受信せずに、グループ・メンバーに削除メッセージを送信できません。

グループ メンバーが必要に応じて更新または削除を受け取られるようにするには、最初にルート サーバーで、次にサブサーバーですべての設定変更を行う必要があります。グループ VPNv2 サーバー クラスタ内のサーバー間で設定が同期されるまで、トラフィックロスが予想されます。

表 1 は、グループ VPNv2 サーバーに対するさまざまな設定変更の影響について説明します。

表 1: グループ VPNv2 サーバーに対する設定変更の影響

設定変更

スタンドアロン グループ VPNv2 サーバー アクション

グループ VPNv2 サーバー クラスタ アクション

ルートサーバー

サブサーバー

IKEプロポーザル、ポリシー、ゲートウェイの変更

影響を受けるゲートウェイの IKE SA を削除します。IKE プロポーザル、ポリシー、またはゲートウェイを削除する場合は、影響を受けるゲートウェイの登録済みメンバーを削除します。

IPsec プロポーザルの変更

変更は、TEK(トラフィック暗号化キー)のキー変更後に有効になります。

グループの変更:

グループ名の削除

「すべて削除」をグループメンバーに送信します。グループ内のすべての IKE SA を削除します。グループ内のすべてのキーを直ちに削除します。グループに登録されているすべてのメンバーを削除します。

「すべてを削除」をサブサーバーに送信します。グループ内のすべてのキーを直ちに削除します。すべてのピアを非アクティブにマークします。サブサーバー IKE SA を削除します。すべてのメンバー IKE SA を削除します。

すべてのメンバー IKE SA を削除します。グループ内のすべてのキーを直ちに削除します。グループに登録されているすべてのメンバーを削除します。非アクティブなピアをマークします。ピア サーバー IKE SA を削除します。

IDの変更

すべてのメンバーに「すべて削除」を送信します。グループ内のすべての IKE SA を削除します。グループ内のすべてのキーを直ちに削除します。グループに登録されているすべてのメンバーを削除します。設定に従って新しいキーを生成します。

「すべてを削除」をサブサーバーに送信します。グループ内のすべてのメンバー IKE SA を削除します。グループ内のすべてのキーを直ちに削除します。すべてのピアを非アクティブにマークします。すべてのピア サーバー IKE SA を削除します。設定に従って新しいキーを生成します。

グループ内のすべてのメンバー IKE SA を削除します。グループ内のすべてのキーを直ちに削除します。グループに登録されているすべてのメンバーを削除します。非アクティブなピアをマークします。ピア サーバー IKE SA を削除します。新しい交換を cluster-init 開始します。

IKE ゲートウェイの追加または削除

追加の変更はありません。削除する場合は、影響を受けるゲートウェイの IKE SA および登録済みメンバーを削除します。

アンチリプレイ タイム ウィンドウの追加または変更

新しい値は、TEK のリキー後に有効になります。

アンチリプレイを追加または変更しない

新しい値は、TEK のリキー後に有効になります。

サーバーメンバー通信の変更:

追加

登録済みメンバーをすべて削除します。鍵暗号鍵(KEK)SA を生成します。

KEK SA を生成します。新しい KEK SA をサブサーバーに送信します。すべてのメンバー IKE SA を削除します。

登録済みメンバーをすべて削除します。

変更

新しい値は、KEK キーを再キーした後に有効になります。

削除

削除を送信してすべてのKEK SAを削除します。KEK SA を削除します。

サブサーバーに削除を送信します。KEK SA を削除します。すべてのメンバー IKE SA を削除します。

KEK SA を削除します。

IPsec SA:

追加

新しいTEK SAを生成します。メンバーの新しいTEK SAを更新します。

新しいTEK SAを生成します。新しいTEK SAをサブサーバーに送信します。

アクションはありません。

変更

新しい値はTEKの再キー後に有効になります。

マッチポリシーが変更された場合、メンバーはこの設定が削除されることを明示的に通知する必要があるため、現在のTEKはすぐに削除され、groupkey-pushの削除が送信されます。

一致ポリシーが変更された場合は、削除をサブサーバーに送信します。直ちにTEKを削除します。

一致ポリシーが変更された場合は、直ちにTEKを削除します。

削除

直ちにTEKを削除します。削除を送信してこのTEK SAを削除します。

サブサーバーに削除を送信します。直ちにTEKを削除します。

直ちにTEKを削除します。

表 2 は、グループ VPNv2 サーバー クラスタ設定を変更した場合の影響について説明します。

サーバー クラスターには、常に 1 つのルート サーバーのみが存在することを確認する必要があります。

表 2: グループ VPNv2 サーバー クラスタ設定変更の影響

サーバー クラスタ設定の変更

グループ VPNv2 サーバー クラスター

ルートサーバー

サブサーバー

IKEプロポーザル、ポリシー、ゲートウェイ(クラスタ ピア)

追加の場合、変更はありません。変更または削除の場合は、影響を受けるピアの IKE SA を削除します。

サーバー クラスタ:

追加

なし。

「すべて削除」をグループメンバーに送信します。グループ内のすべてのメンバー IKE SA を削除します。グループ内のすべての TEK と KEK をすぐに削除します。グループに登録されているすべてのメンバーを削除します。root-server に送信 cluster-init します。

ロールの変更

サーバー クラスターには、常に 1 つのルート サーバーのみが存在することを確認する必要があります。

「すべてを削除」をサブサーバーに送信します。グループ内のすべてのメンバー IKE SA を削除します。グループ内のすべての TEK と KEK をすぐに削除します。すべてのピアを非アクティブにマークします。すべてのピア サーバー IKE SA を削除します。root-server に送信 cluster-init します。

TEK のキーを再入力します。KEK のキーを再入力します。サブサーバーに新しいキーを送信します。メンバーに新しいキーを送信します。

ピアを追加

なし。

ピアの削除

非アクティブなピアをマークします。ピア IKE SA をクリアします。

非アクティブなピアをマークします。クリアKEK。Clear TEK。ピア IKE SA をクリアします。

再送期間の変更

なし。

サーバー クラスタの削除

「すべてを削除」をサブサーバーに送信します。グループ内のすべての TEK と KEK をすぐに削除します。すべてのピアを非アクティブにマークします。すべてのピア サーバー IKE SA を削除します。構成に従って新しい TEK と KEK を生成します。

グループ内のすべてのメンバー IKE SA を削除します。グループ内のすべての TEK と KEK をすぐに削除します。グループに登録されているすべてのメンバーを削除します。非アクティブなピアをマークします。ピア サーバー IKE SA を削除します。構成に従って新しいTEKとKEKを生成します。

スタンドアロン グループ VPNv2 サーバーからグループ VPNv2 サーバー クラスターへの移行

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。このセクションでは、スタンドアロンのグループ VPNv2 サーバーをグループ VPNv2 サーバー クラスターに移行する方法について説明します。

スタンドアロンのグループ VPNv2 サーバーをルート サーバーに移行するには、以下の手順に従います。

ルート サーバーをシャーシ クラスタにすることを強くお勧めします。

  1. スタンドアロン のグループ VPNv2 サーバーをシャーシ クラスタにアップグレードします。詳細については、 SRXシリーズ デバイスのシャーシ クラスタ ユーザー ガイド を参照してください。

    スタンドアロン SRX シリーズ デバイスをシャーシ クラスタ ノードにアップグレードする際には、再起動が必要です。トラフィックロスが予想されます。

  2. シャーシ クラスタで、グループ VPNv2 サーバ クラスタルートサーバ設定を追加します。クラスターに対して構成されたサーバー ロールは、 root-serverである必要があります。

    設定変更中に、既存のグループ メンバー間でトラフィックロスが発生してはなりません。

サブサーバーをグループ VPNv2 サーバー クラスターに追加するには、以下の手順に従います。

  1. ルート サーバーで、サブサーバー用にグループ VPNv2 サーバー IKE ゲートウェイとサーバー クラスター IKE ゲートウェイの両方を設定します。SAと既存のメンバートラフィックに影響を与えるべきではありません。

  2. サブサーバーで、サーバー クラスターを構成します。グループ VPNv2 サーバー IKE ゲートウェイ、クラスター内のサーバー ロール、サーバー クラスター IKE ゲートウェイの構成を除き、グループ VPNv2 設定はクラスター内の各サーバーで同じである必要があります。サブサーバーでは、クラスターで構成されたサーバー ロールは sub-server. ルート サーバーのグループ VPNv2 サーバー IKE ゲートウェイとサーバー クラスター IKE ゲートウェイを設定します。

グループ VPNv2 サーバー クラスターからサブサーバーを削除するには、以下の手順に従います。

  1. ルート サーバーで、サブサーバーのグループ VPNv2 サーバー IKE ゲートウェイとサーバー クラスタ IKE ゲートウェイの両方を削除します。SAと既存のメンバートラフィックに影響を与えるべきではありません。

  2. サブサーバーの電源を切ります。

例:グループ VPNv2 サーバー クラスターとメンバーの構成

この例では、グループ VPNv2 サーバー クラスターを構成して、グループ VPNv2 グループ メンバーにグループ コントローラ/キー サーバー(GCKS)の冗長性と拡張を提供する方法を示しています。グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。

要件

この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。

  • グループ VPNv2 をサポートする Junos OS リリース 15.1X49-D30 以降を実行している 8 台の SRX シリーズ デバイスまたは vSRX インスタンス:

    • シャーシ クラスタとして動作するように、2 つのデバイスまたはインスタンスが設定されています。シャーシ クラスタは、グループ VPNv2 サーバ クラスタ内のルート サーバとして動作します。デバイスまたはインスタンスには、同じソフトウェア バージョンとライセンスが必要です。

      ルートサーバーは、グループVPNサーバークラスタ内のサブサーバーに暗号化キーを生成して配布します。この責任があるため、ルート サーバーをシャーシ クラスタにすることをお勧めします。

    • 他の 4 つのデバイスまたはインスタンスは、グループ VPNv2 サーバー クラスター内のサブサーバーとして動作します。

    • 他の 2 つのデバイスまたはインスタンスは、グループ VPNv2 グループ メンバーとして動作します。

  • グループ VPNv2 をサポートする Junos OS リリース 15.1R2 以降を実行する 2 台の MX シリーズ デバイス。これらのデバイスは、グループ VPNv2 グループ メンバーとして動作します。

ホスト名、ルート管理者パスワード、管理アクセスは、各 SRX シリーズ デバイスまたは vSRX インスタンスで設定する必要があります。NTP も各デバイスで設定することをお勧めします。

この例の設定では、次に示すトポロジに基づいて、グループ VPNv2 運用に必要なものを中心に 図 3説明します。インターフェイス、ルーティング、シャーシ クラスタの設定など、一部の設定はここに含まれていません。たとえば、グループ VPNv2 の運用には、クライアント デバイスがネットワーク全体の意図したサイトに到達できるようにするワーキング ルーティング トポロジが必要です。この例では、静的ルーティングまたは動的ルーティングの設定には対応していません。

概要

この例では、グループ VPNv2 ネットワークは、サーバー クラスターと 4 つのメンバーで構成されています。サーバー クラスターは、ルート サーバーと 4 つのサブサーバーで構成されています。2 つのメンバーは SRX シリーズ デバイスまたは vSRX インスタンスで、残りの 2 つのメンバーは MX シリーズ デバイスです。

グループ VPN SA は、フェーズ 1 SA で保護する必要があります。そのため、グループ VPN 設定には、ルート サーバー、サブサーバー、グループ メンバーでの IKE フェーズ 1 ネゴシエーションの設定を含める必要があります。IKE 設定については、次のように説明します。

ルートサーバーでは、次の手順にしたがっています。

  • IKEポリシー SubSrv は、各サブサーバーでフェーズ1 SAを確立するために使用されます。

  • IKEゲートウェイは、サブサーバーごとにデッドピア検出(DPD)を使用して設定されています。

  • サーバー クラスタ ロールは、 root-server 各サブサーバーがサーバー クラスタの IKE ゲートウェイとして設定されます。

ルート サーバーは、シャーシ クラスタ操作をサポートするように設定する必要があります。この例では、ルート サーバー上の冗長イーサネット インターフェイスは、サーバー クラスタ内の各サブサーバーに接続します。シャーシ クラスタ設定全体は表示されません。

各サブサーバーでは、以下を実行します。

  • 2 つの IKE ポリシーが設定されています。RootSrv は、ルート サーバーを使用してフェーズ 1 SA を確立するために使用され GMs 、各グループ メンバーでフェーズ 1 SA を確立するために使用されます。

    事前共有キーを使用して、ルート サーバーとサブサーバー間、およびサブサーバーとグループ メンバー間のフェーズ 1 SA を保護します。事前共有鍵が強力な鍵であることを確認します。サブサーバーでは、IKEポリシー RootSrv に設定された事前共有キーは、ルートサーバーに設定された事前共有キーと一致する必要があり、IKEポリシー GMs に設定された事前共有キーは、グループメンバーに設定された事前共有キーと一致する必要があります。

  • IKE ゲートウェイは、ルート サーバー用に DPD で設定されています。さらに、IKE ゲートウェイは各グループ メンバーに対して設定されます。

  • サーバー クラスタ ロールは、 sub-server ルート サーバがサーバ クラスタの IKE ゲートウェイとして設定されます。

各グループ メンバーの場合:

  • IKEポリシー SubSrv は、サブサーバーとのフェーズ1 SAを確立するために使用されます。

  • IKEゲートウェイの設定には、サブサーバーのアドレスが含まれています。

SRX シリーズ デバイスまたは vSRX グループ メンバーでは、LAN ゾーンを発信ゾーン(受信トラフィック)、WAN ゾーンをツーゾーン(送信トラフィック)として使用するグループに対して IPsec ポリシーが設定されます。LAN ゾーンと WAN ゾーン間のトラフィックを許可するには、セキュリティ ポリシーも必要です。

グループ・サーバーとグループ・メンバーの両方で同じグループ ID を構成する必要があります。この例では、グループ名は GROUP_ID-0001、グループ識別子は 1 です。サーバーに設定されたグループ ポリシーでは、SA とキーが 172.16.0.0/12 の範囲にあるサブネットワーク間のトラフィックに適用されるように指定します。

トポロジ

図 3 は、この例で設定するジュニパーネットワークスデバイスを示しています。

図 3: SRXシリーズまたはvSRXおよびMXシリーズメンバーを持つグループVPNv2サーバークラスタSRXシリーズまたはvSRXおよびMXシリーズメンバーを持つグループVPNv2サーバークラスタ

設定

ルート サーバーの構成

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

ルートサーバーを設定するには、次の手順にしたがっています。

  1. セキュリティ ゾーンとセキュリティ ポリシーを設定します。

  2. シャーシ クラスタを設定します。

  3. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  4. IPsec SA を設定します。

  5. VPN グループを設定します。

  6. グループ ポリシーを設定します。

結果

設定モードから、 、および コマンドをshow interfacesshow chassis cluster入力して設定をshow security確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

サブサーバーの構成 1

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

グループ VPNv2 サーバー クラスタ内のサブサーバーを設定するには、次の手順に従います。

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを設定します。

  2. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  3. IPsec SA を設定します。

  4. VPN グループを設定します。

  5. グループ ポリシーを設定します。

結果

設定モードから、and show security コマンドを入力して設定をshow interfaces確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

サブサーバーの構成 2

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

グループ VPNv2 サーバー クラスタ内のサブサーバーを設定するには、次の手順に従います。

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを設定します。

  2. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  3. IPsec SA を設定します。

  4. VPN グループを設定します。

  5. グループ ポリシーを設定します。

結果

設定モードから、and show security コマンドを入力して設定をshow interfaces確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

サブサーバーの構成 3

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

グループ VPNv2 サーバー クラスタ内のサブサーバーを設定するには、次の手順に従います。

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを設定します。

  2. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  3. IPsec SA を設定します。

  4. VPN グループを設定します。

  5. グループ ポリシーを設定します。

結果

設定モードから、and show security コマンドを入力して設定をshow interfaces確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

サブサーバーの構成 4

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

グループ VPNv2 サーバー クラスタ内のサブサーバーを設定するには、次の手順に従います。

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを設定します。

  2. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  3. IPsec SA を設定します。

  4. VPN グループを設定します。

  5. グループ ポリシーを設定します。

結果

設定モードから、and show security コマンドを入力して設定をshow interfaces確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

GM-0001 の設定(SRX シリーズ デバイスまたは vSRX インスタンス)

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

グループ VPNv2 メンバーを設定するには、以下の手順に従います。

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを設定します。

  2. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  3. IPsec SA を設定します。

  4. IPsec ポリシーを設定します。

結果

設定モードから、and show security コマンドを入力して設定をshow interfaces確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

GM-0002 の設定(SRX シリーズ デバイスまたは vSRX インスタンス)

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

グループ VPNv2 メンバーを設定するには、以下の手順に従います。

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを設定します。

  2. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  3. IPsec SA を設定します。

  4. IPsec ポリシーを設定します。

結果

設定モードから、and show security コマンドを入力して設定をshow interfaces確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

GM-0003 の設定(MX シリーズ デバイス)

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

グループ VPNv2 メンバーを設定するには、以下の手順に従います。

  1. インターフェイスを設定します。

  2. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  3. IPsec SA を設定します。

  4. サービス フィルタを設定します。

  5. サービス セットを設定します。

結果

設定モードから、 、 show securityshow servicesおよび コマンドをshow interfaces入力して設定をshow firewall確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

GM-0004 の設定(MX シリーズ デバイス)

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

グループ VPNv2 メンバーを設定するには、以下の手順に従います。

  1. インターフェイスを設定します。

  2. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  3. IPsec SA を設定します。

  4. サービス フィルタを設定します。

  5. サービス セットを設定します。

結果

設定モードから、 、 show securityshow servicesおよび コマンドをshow interfaces入力して設定をshow firewall確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

サーバー クラスタ動作の検証

目的

サーバー クラスタ内のデバイスがグループ内のピア サーバーを認識していることを確認します。サーバーがアクティブで、クラスター内のロールが適切に割り当てられていることを確認します。

対処

動作モードから、ルート サーバーの show security group-vpn server server-clustershow security group-vpn server server-cluster detail、 および show security group-vpn server statistics コマンドを入力します。

動作モードから、各サブサーバーの show security group-vpn server server-clustershow security group-vpn server server-cluster detail、 および show security group-vpn server statistics コマンドを入力します。

SAがメンバーに配布されていることを検証する

目的

サブサーバーがグループメンバーに配布するためにSAを受信し、グループメンバーがSAを受信したことを確認します。

対処

動作モードから、root-server の and show security group-vpn server kek security-associations detail コマンドを入力show security group-vpn server kek security-associationsします。

動作モードから、各サブサーバーの show security group-vpn server kek security-associations and show security group-vpn server kek security-associations detail コマンドを入力します。

動作モードから、各グループ メンバーの show security group-vpn member kek security-associations and show security group-vpn member kek security-associations detail コマンドを入力します。

SRX または vSRX グループ メンバーの場合:

MX グループ メンバーの場合:

サーバー上の IKE SA の検証

目的

サーバー上に IKE セキュリティ アソシエーション(SA)を表示します。

対処

動作モードから、root-server の and show security group-vpn server ike security-associations detail コマンドを入力show security group-vpn server ike security-associationsします。

動作モードから、各サブサーバーの show security group-vpn server ike security-associations and show security group-vpn server ike security-associations detail コマンドを入力します。

サーバーとグループ メンバー上の IPsec SA の検証

目的

サーバーとグループ メンバーに IPsec セキュリティ アソシエーション(SA)を表示します。

対処

動作モードから、root-server の and show security group-vpn server ipsec security-associations detail コマンドを入力show security group-vpn server ipsec security-associationsします。

動作モードから、各サブサーバーの show security group-vpn server ipsec security-associations and show security group-vpn server ipsec security-associations detail コマンドを入力します。

動作モードから、各グループ メンバーの show security group-vpn member ipsec security-associations and show security group-vpn member ipsec security-associations detail コマンドを入力します。

SRX または vSRX グループ メンバーの場合:

MX グループ メンバーの場合:

グループ メンバーの IPsec ポリシーの検証

目的

SRX または vSRX グループ メンバーに IPsec ポリシーを表示します。

このコマンドは、MX シリーズ グループ メンバーでは使用できません。

対処

動作モードから、SRX または vSRX グループ メンバーにコマンドを入力 show security group-vpn member policy します。