Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

グループ VPNv2

グループ VPNv2 は、信頼できるグループの概念を導入し、ポイントツーポイント トンネルとそれに関連するオーバーレイ ルーティングを排除します。すべてのグループ メンバーは、共通のセキュリティ アソシエーション(SA)を共有します。これはグループ SA とも呼ばれます。

グループ VPNv2 の概要

SA(IPsec セキュリティ アソシエーション)とは、仮想プライベート ネットワーク(VPN)の参加者間の一方向契約で、認証および暗号化アルゴリズム、鍵交換メカニズム、セキュアな通信に使用するルールを定義します。多くの VPN 実装では、SA は 2 台のセキュリティ デバイス間のポイントツーポイント トンネルです(を参照 図 1)。

図 1: ポイントツーポイント SAポイントツーポイント SA

グループ VPNv2 は、IPsec アーキテクチャを拡張して、セキュリティ デバイスのグループによって共有される SA をサポートします(を参照 図 2)。グループ VPNv2 では、送信元と宛先の元の IP アドレスを外部ヘッダーに保持することで、any-to-any 接続を実現できます。グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。

図 2: 共有 SA共有 SA

グループ VPNv2 は、以前の SRX シリーズ デバイス向け Junos OS リリースで導入された、グループ VPN 機能の拡張バージョンです。ジュニパーデバイスのグループVPNv2は、RFC 6407、 Group Domain of Interpretation(GDOI)をサポートし、RFC 6407に準拠した他のデバイスと相互運用できます。

グループ VPNv2 の GDOI プロトコルについて

Group VPNv2 は RFC 6407、 Group Domain of Interpretation (GDOI)に基づいています。この RFC では、グループ メンバー間で SA を確立するためのグループ メンバーとグループ サーバー間のプロトコルについて説明します。GDOI メッセージは、デバイスのグループの SA を作成、保守、または削除します。グループ VPNv2 は、vSRX インスタンスおよび SRX5400、SRX5600、SRX5800 デバイスを除くすべての SRX シリーズ デバイスでサポートされています。

GDOI プロトコルは UDP ポート 848 で動作します。インターネット セキュリティ アソシエーションおよび鍵管理プロトコル(ISAKMP)は、IKE IPsec トンネルの SA を確立するための 2 つのネゴシエーション フェーズを定義します。フェーズ 1 では、2 台のデバイスが GDOI などの他のセキュリティ プロトコル用に ISAKMP SA を 確立できます。

グループ VPNv2 では、グループ サーバーとグループ メンバー間でフェーズ 1 ISAKMP SA ネゴシエーションが実行されます。サーバーとメンバーは、同じ ISAKMP ポリシーを使用する必要があります。GDOI は、他のグループ・メンバーと共有される SA をサーバーとメンバー間で交換します。グループ メンバーは、他のグループ メンバーと IPsec をネゴシエートする必要はありません。GDOI 交換 は、ISAKMP フェーズ 1 SA によって保護する必要があります。

GDOI 交換には、次の 2 つのタイプがあります。

  • この交換により、メンバーは groupkey-pull サーバーからグループによって共有される SA とキーを要求できます。グループ メンバーは、交換を介してグループ サーバーに登録する groupkey-pull 必要があります。

  • groupkey-pushこの交換は、既存のグループ SA が期限切れになる前に、サーバーがグループ SA とキーをメンバーに送信できるようにする 1 つのキー交換メッセージです。鍵メッセージは、サーバーからメンバーに送信される非送信請求メッセージです。

グループ VPNv2 サーバーとメンバーについて

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。グループ VPNv2 の中心は、グループ コントローラ/キー サーバー(GCKS)です。サーバー クラスターを使用して GCKS の冗長性を確保できます。

GCKS またはグループ サーバーは、次のタスクを実行します。

  • グループ メンバーシップを制御します。

  • 暗号化キーを生成します。

  • 新しいグループ SA とキーをメンバーに送信します。グループ メンバーは、グループ SA とグループ サーバーによって提供されるキーに基づいてトラフィックを暗号化します。

グループ サーバーは、複数のグループにサービスを提供できます。1 台のセキュリティ デバイスを複数のグループのメンバーにできます。

各グループは、1~4,294,967,295の間の数値であるグループ識別子で表されます。グループ サーバーとグループ メンバーは、グループ識別子によって一緒にリンクされます。グループごとに 1 つのグループ識別子しか存在できず、複数のグループは同じグループ識別子を使用できません。

次に、グループ VPNv2 サーバーおよびメンバー アクションの概要を示します。

  1. グループ サーバーは、メンバーが登録できるように UDP ポート 848 でリッスンします。

  2. グループ サーバーに登録するには、メンバーが最初に IKE SA をサーバーに確立します。メンバー デバイスは、グループに参加するための正しい IKE フェーズ 1 認証を提供する必要があります。メンバーごとに事前共有鍵認証がサポートされています。

  3. 認証と登録が成功すると、メンバー デバイスは、GDOI groupkey-pull 交換を使用してサーバーから、指定されたグループ識別子のグループ SA とキーを取得します。

  4. サーバーは、メンバーをグループのメンバーシップに追加します。

  5. グループメンバーは、グループSAキーで暗号化されたパケットを交換します。

サーバーは SA とキーの更新を、GDOI groupkey-push(rekey)メッセージを使用してグループ メンバーに送信します。サーバーは SA が期限切れになる前にキー変更メッセージを送信し、グループ メンバー間のトラフィックを暗号化するために有効なキーを使用できるようにします。

サーバーから送られたキー再キー メッセージには、各グループ メンバーからの受信確認(ack)メッセージが必要です。サーバーがメンバーから ack メッセージを受信しなかった場合、その鍵メッセージは構成 retransmission-period 時に再送信されます(デフォルトは 10 秒)。構成 number-of-retransmission 後にメンバーからの応答がない場合(デフォルトは 2 回)、メンバーはサーバーの登録済みメンバーから削除されます。サーバーとメンバー間の IKE SA も削除されます。

サーバーはまた、グループSAが変更されたときにメンバーに新しいキーを提供するために、キー変更メッセージを送信します。

グループ VPNv2 の制限事項について

グループ VPNv2 サーバーは、RFC 6407、 GdOI(Group Domain of Interpretation)をサポートするグループ VPNv2 メンバーでのみ動作します。

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。グループ VPNv2 のこのリリースでは、以下はサポートされていません。

  • SNMP です。

  • Cisco GET VPN サーバーからポリシーを拒否します。

  • フェーズ 1 IKE 認証の PKI サポート。

  • 同じ物理デバイスでサーバーとメンバーの機能が共存するグループ サーバーとメンバーのコロケーション。

  • シャーシ クラスタとして設定されたグループ メンバー。

  • 設定と監視用の J-Web インターフェイス。

  • マルチキャスト データ トラフィック。

NAT が使用されているインターネット全体など、IP アドレスを保持できない導入環境では、グループ VPNv2 はサポートされていません。

グループ VPNv2 サーバーメンバー間通信について

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。サーバー・メンバー通信により、サーバーは GDOI groupkey-push (再キー) メッセージをメンバーに送信できます。サーバー・メンバー間通信がグループに対して構成されていない場合、メンバーは GDOI groupkey-pull メッセージを送信してサーバーに登録して再登録できますが、サーバーはメンバーにメッセージを送信 groupkey-push できません。

[] 階層で構成 server-member-communication ステートメント を使用して、サーバー メンバー間の通信をグループにedit security group-vpn server対して構成します。以下のオプションを定義できます。

  • サーバーへのメンバーの認証に使用される認証アルゴリズム(sha-256 または sha-384)。デフォルトのアルゴリズムはありません。

  • サーバーとメンバー間の通信に使用される暗号化アルゴリズム。aes-128-cbc、aes-192-cbc、または aes-256-cbc を指定できます。デフォルトのアルゴリズムはありません。

  • グループ メンバーに送信されるキーキーメッセージのユニキャスト通信タイプ。

  • 鍵暗号化キー(KEK)の有効期間。デフォルトは 3600 秒です。

  • グループ・サーバーが応答なしでグループ・メンバーにメッセージを再送信 groupkey-push する回数(デフォルトは 2 回)と、再送信間隔(デフォルトは 10 秒)です。

グループのサーバー メンバー通信が構成されていない場合、コマンドによって show security group-vpn server registered-members 表示されるメンバーシップ リストには、サーバーに登録したグループ メンバーが表示されます。メンバーはアクティブかどうかが表示されます。グループのサーバー メンバー通信が構成されている場合、グループ メンバーシップ リストは消去されます。ユニキャスト通信タイプの場合、コマンドは show security group-vpn server registered-members アクティブメンバーのみを表示します。

グループ VPNv2 の主な運用について

このトピックでは、以下のセクションについて説明します。

グループ キー

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。グループ サーバーは、VPN グループ、グループ メンバー、グループ キー間の関係を追跡するデータベースを維持します。サーバーがメンバーにダウンロードするグループ 鍵には、以下の 2 種類があります。

  • キー暗号化キー(KEK):SA リキー(GDOI groupkey-push)交換の暗号化に使用されます。グループごとに1つのKEKがサポートされています。

  • トラフィック暗号化キー(TEK): グループ メンバー間の IPsec データ トラフィックの暗号化と暗号化解除に使用されます。

SA に関連付けられたキーは、メンバーに一致する ポリシーが設定されている場合にのみ、グループ メンバーによって受け入れられます。拒否された鍵は破棄されるのに対し、受け入れられた鍵はグループにインストールされます。

メッセージのキーの再入力

グループがサーバー・メンバー通信用に構成されている場合、サーバーは SA と鍵リフレッシュを、GDOI groupkey-push(鍵再キー)メッセージを持つグループ・メンバーに送信します。REKEY メッセージは SA が期限切れになる前に送信されます。これにより、グループ メンバー間のトラフィックを暗号化するための有効なキーが使用できるようになります。

また、サーバーは、グループ メンバーシップの変更やグループ SA の変更(グループ ポリシーの追加または削除など)が発生した場合に、新しいキーをメンバーに提供するキー再キー メッセージも送信します。

サーバー・メンバー通信オプションは、サーバーが鍵メッセージをグループ・メンバーに送信できるように、サーバー上で構成する必要があります。

グループ サーバーは、ユニキャスト の再キー メッセージの 1 つのコピーを各グループ メンバーに送信します。再キー メッセージを受信すると、メンバーは確認応答(ACK)をサーバーに送信する必要があります。サーバーがメンバーから ACK を受信しない場合(再キー メッセージの再送信を含む)、サーバーはメンバーが非アクティブであると見なして、メンバーをメンバーシップ リストから削除します。サーバーは、メンバーへのキー再キー メッセージの送信を停止します。

サーバー・メンバー通信の構成ステートメントおよびretransmission-period構成ステートメントはnumber-of-retransmission、メンバーから ACK を受け取らない場合に、サーバーによる再キー・メッセージの再送信を制御します。

サーバーが再キー メッセージを送信する間隔は、[] 階層の lifetime-seconds 設定ステートメントの値にedit security group-vpn server group group-name基づいています。KEK キーと TEK キーが期限切れとなる前に新しいキーが生成されます。

lifetime-seconds KEK の設定は、サーバー メンバー通信の一部です。デフォルトは 3600 秒です。lifetime-seconds TEK の設定は IPsec プロポーザルで、デフォルトは 3600 秒です。

メンバー登録

現在の鍵が期限切れになる前に、グループ・メンバーがサーバーから新しい SA 鍵を受け取らない場合、そのメンバーはサーバーに再登録し、GDOI groupkey-pull 交換で更新された鍵を取得する必要があります。

グループ VPNv2 設定の概要

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。このトピックでは、グループ VPNv2 を構成するための主なタスクについて説明します。

グループコントローラ/鍵サーバー(GCKS)は、グループVPNv2セキュリティアソシエーション(SA)を管理し、暗号化キーを生成してグループメンバーに配布します。グループ VPNv2 サーバー クラスターを使用して、GCKS の冗長性を提供できます。「 グループ VPNv2 サーバー クラスタについて」を参照してください

グループ サーバーで、次の設定を行います。

  1. IKE フェーズ 1 SA 「 グループ VPNv2 の IKE フェーズ 1 設定について 」を参照してください。
  2. IPsec SA。グループ VPNv2 の IPsec SA 設定についてを参照してください。
  3. グループ識別子、グループ メンバーの IKE ゲートウェイ、グループ内のメンバーの最大数、サーバーメンバー間の通信などの VPN グループ情報。グループ設定には、SA とキーが適用されるトラフィックを定義するグループ ポリシーが含まれています。必要に応じて、サーバー クラスターとアンチプレイのタイム ウィンドウを構成できます。「グループ VPNv2 設定の概要」と「グループ VPNv2 トラフィック ステアリングについて」を参照してください

グループ メンバーで、以下を構成します。

  1. IKE フェーズ 1 SA 「 グループ VPNv2 の IKE フェーズ 1 設定について 」を参照してください。

  2. IPsec SA。グループ VPNv2 の IPsec SA 設定についてを参照してください。

  3. 受信ゾーン(通常は保護されたLAN)、送信ゾーン(通常はWAN)、ポリシーが適用されるVPNグループを定義するIPsecポリシー。除外ルールまたはフェイルオープン ルールも指定できます。「 グループ VPNv2 トラフィック ステアリングについて」を参照してください

  4. IPsec ポリシーで指定されたゾーン間のグループ VPN トラフィックを許可するセキュリティ ポリシー。

グループ VPNv2 の運用には、ネットワーク全体でクライアント デバイスが意図したサイトに到達できるようにする、ワーキング ルーティング トポロジが必要です。

グループは、サーバー上で設定 group ステートメント を [edit security group-vpn server] 階層に設定します。

グループ情報は、以下の情報で構成されています。

グループ VPNv2 の IKE フェーズ 1 設定について

グループ サーバーとグループ メンバー間の IKE フェーズ 1 SA により、グループが共有する IPsec SA をネゴシエートするセキュア チャネルが確立されます。ジュニパーネットワークスのセキュリティ デバイス上の標準 IPsec VPN の場合、フェーズ 1 SA 設定では、IKE プロポーザル、ポリシー、ゲートウェイを指定します。

グループ VPNv2 の場合、IKE フェーズ 1 SA の設定は標準 IPsec VPN の設定と似ていますが、[] 階層と [edit security group-vpn server ikeedit security group-vpn member ike] 階層で実行されます。グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。

IKE プロポーザル設定では、参加者間のセキュア チャネルを開くために使用する認証方法と認証および暗号化アルゴリズムを設定します。IKE ポリシー設定では、フェーズ 1 チャネルがネゴシエートされるモードを設定し、使用する鍵交換のタイプを指定し、フェーズ 1 プロポーザルを参照します。IKE ゲートウェイ設定では、フェーズ 1 ポリシーを参照します。

グループ サーバーの IKE プロポーザルとポリシー設定は、グループ メンバーの IKE プロポーザルとポリシー設定と一致する必要があります。グループ サーバーでは、IKE ゲートウェイが各グループ メンバーに対して設定されます。グループ メンバーでは、IKE ゲートウェイ設定で最大 4 つのサーバー アドレスを指定できます。

グループ VPNv2 の IPsec SA 設定について

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。サーバーとメンバーは、フェーズ 1 ネゴシエーションでセキュアで認証されたチャネルを確立した後、グループ メンバーによって共有される IPsec SA を確立し、メンバー間で送信されるデータを保護します。グループ VPNv2 の IPsec SA 設定は標準 VPN の設定と似ていますが、グループ メンバーは SA を他のグループ メンバーとネゴシエートする必要はありません。

グループ VPNv2 の IPsec 設定は、次の情報で構成されています。

  • グループ サーバーでは、SA に使用するセキュリティ プロトコル、認証、暗号化アルゴリズムに対して IPsec プロポーザルが設定されています。IPsec SA プロポーザルは、[] 階層の設定ステートメントを proposal 使用してグループ サーバー上でedit security group-vpn server ipsec設定されます。

  • グループ メンバーでは、グループ識別子、グループ サーバー(設定ステートメントで ike-gateway 設定)、メンバーがグループ ピアに接続するために使用するインターフェイスを参照する Autokey IKE が設定されています。Autokey IKE は、メンバー上で設定ステートメントを vpn [edit security group-vpn member ipsec] 階層に設定します。

グループ VPNv2 トラフィック ステアリングについて

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。グループ サーバーは、指定したグループのメンバーに IPsec セキュリティ アソシエーション(SA)とキーを配布します。同じグループに属するすべてのメンバーが、同じ IPsec SA のセットを共有します。特定のグループ メンバーにインストールされる SA は、グループ SA に関連付けられたポリシーと、グループ メンバーに設定されている IPsec ポリシーによって決まります。

グループ サーバーで構成されたグループ ポリシー

VPN グループでは、サーバーがメンバーにプッシュする各グループ SA とキーがグループ ポリシーに関連付けられます。グループ ポリシーでは、プロトコル、送信元アドレス、送信元ポート、宛先アドレス、宛先ポートなど、キーを使用するトラフィックについて説明します。サーバーでは、[] 階層レベルのオプションを使用して match-policy policy-name グループ ポリシーがedit security group-vpn server group name ipsec-sa name構成されます。

同一のグループ ポリシー(同じ送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、プロトコル値で設定)は、1 つのグループに対して存在できません。グループに対して同一のグループ ポリシーを含む設定をコミットしようとすると、エラーが返されます。この場合、設定をコミットする前に、同じグループ ポリシーのいずれかを削除する必要があります。

グループ メンバーに設定された IPsec ポリシー

グループ メンバーの IPsec ポリシーは、次の情報で構成されます。

  • グループ トラフィックの受信ゾーン(from-zone)

  • グループ トラフィックの送信ゾーン(to-zone)

  • IPsec ポリシーが適用されるグループの名前。特定の from-zone/to-zone ペアによって参照できるグループ VPNv2 名は 1 つだけです。

グループ VPNv2 への接続にグループ メンバーが使用するインターフェイスは、送信ゾーンに属している必要があります。このインターフェイスは、[] 階層レベルのgroup-vpn-external-interfaceedit security group-vpn member ipsec vpn vpn-nameステートメントで指定されます。

グループ メンバーでは、IPsec ポリシーは [edit security ipsec-policy] 階層レベルで設定されます。IPsec ポリシーに一致するトラフィックは、グループに対して設定されている除外ルールとフェイルオープン ルールに対してさらにチェックされます。

フェイルクローズ

デフォルトでは、一致しないトラフィックは、グループ サーバーから受信した除外ルールまたはフェイルオープン ルールまたはグループ ポリシーがブロックされます。これは フェイルクローズと呼ばれます。

除外ルールとフェイルオープン ルール

グループ メンバーでは、各グループに対して以下のタイプのルールを設定できます。

  • VPN 暗号化から除外されるトラフィック。このタイプのトラフィックの例には、BGP または OSPF ルーティング プロトコルが含まれます。グループからトラフィックを除外するには、設定を使用します set security group-vpn member ipsec vpn vpn-name exclude rule 。最大 10 個の除外ルールを設定できます。

  • お客様の運用に不可欠なトラフィックで、グループ メンバーが IPsec SA の有効なトラフィック暗号化キー(TEK)を受信していない場合は、クリアテキスト(暗号化されていない)で送信する必要があります。フェイルオープン ルールでは、他のすべてのトラフィックがブロックされている間、このトラフィック フローが許可されます。設定でフェイルオープンを set security group-vpn member ipsec vpn vpn-name fail-open rule 有効にします。最大 10 個のフェイルオープン ルールを設定できます。

IPsec ポリシーとルールの優先度

IPsec ポリシーとルールには、グループ メンバーに次の優先度があります。

  1. VPN 暗号化から除外するトラフィックを定義するルールを除外します。

  2. グループ サーバーからダウンロードされるグループ ポリシー。

  3. SA に有効な TEK がない場合にクリアテキストで送信されるトラフィックを定義するフェイルオープン ルール。

  4. トラフィックをブロックするフェイルクローズ ポリシー。これは、トラフィックが除外ルールまたはフェイルオープンルールまたはグループポリシーと一致しない場合のデフォルトです。

グループ VPNv2 リカバリー プローブ プロセスについて

グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。以下の 2 つの状況では、グループ・メンバーがグループ・サーバーおよびその他のグループ・メンバーと同期できないことを示している可能性があります。

  • グループ メンバーは、認識されない SPI(セキュリティ パラメーター インデックス)を使用して ESP(セキュリティ ペイロードのカプセル化)パケットを受信します。

  • 送信 IPsec トラフィックはありますが、グループ メンバー上の受信 IPsec トラフィックはありません。

いずれかの状況が検出されると、リカバリー・プローブ・プロセスをグループ・メンバー上でトリガーすることができます。リカバリー・プローブ・プロセスは、グループ・サーバーからメンバーの SA を更新するために、特定の間隔で GDOI groupkey-pull 交換を開始します。不正な SPI パケットに対する DoS 攻撃が発生した場合、または送信者自体が同期を解除している場合、グループ メンバーに対する同期外表示は誤アラームである可能性があります。システムの過負荷を回避するために、 groupkey-pull 初期化は10、20、40、80、160、320秒の間隔で再試行されます。

リカバリ プローブ プロセスはデフォルトで無効になっています。リカバリ プローブ プロセスを有効にするには、[] 階層レベルでedit security group-vpn member ipsec vpn vpn-name設定recovery-probeします。

グループ VPNv2 アンチプレイについて

グループ VPNv2 アンチプレイは、vSRX インスタンスおよび SRX5400、SRX5600、SRX5800 デバイスを除くすべての SRX シリーズ デバイスでサポートされています。アンチリプレイは、パケットが傍受された後、攻撃者によって再生されたときに検出できる IPsec 機能です。グループのアンチプレイはデフォルトで無効になっています。

各 IPsec パケットにはタイムスタンプが含まれています。グループ メンバーは、パケットのタイムスタンプが設定された anti-replay-time-window 値内にあるかどうかをチェックします。タイムスタンプが値を超えると、パケットは破棄されます。

グループ VPNv2 アンチプレイをサポートするすべてのデバイスで NTP を設定することをお勧めします。

ハイパーバイザーが負荷の高いホストマシン上のvSRXインスタンス上で実行されているグループメンバーには、値を再構成することで修正できる問題が anti-replay-time-window 発生する可能性があります。グループ メンバーの IPsec ポリシーと一致するデータが転送されない場合は、D3P エラーの出力を show security group-vpn member ipsec statistics 確認します。NTP が正しく動作していることを確認します。エラーがある場合は、値を調整します anti-replay-time-window

例:グループ VPNv2 サーバーおよびメンバーの構成

この例では、グループ VPNv2 グループ メンバーにグループ コントローラ/鍵サーバー(GCKS)のサポートを提供するようにグループ VPNv2 サーバーを構成する方法を示しています。グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。

要件

この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。

  • グループ VPNv2 をサポートする Junos OS リリース 15.1X49-D30 以降を実行する、サポート対象の SRX シリーズ デバイスまたは vSRX インスタンス。この SRX シリーズ デバイスまたは vSRX インスタンスは、グループ VPNv2 サーバーとして動作します。

  • Junos OS リリース 15.1X49-D30 以降を実行する、グループ VPNv2 をサポートする 2 台の SRX シリーズ デバイスまたは vSRX インスタンス。これらのデバイスまたはインスタンスは、グループ VPNv2 グループ メンバーとして動作します。

  • グループ VPNv2 をサポートする Junos OS リリース 15.1R2 以降を実行する 2 台の MX シリーズ デバイス。これらのデバイスは、グループ VPNv2 グループ メンバーとして動作します。

ホスト名、ルート管理者パスワード、管理アクセスは、各デバイスで設定する必要があります。NTP も各デバイスで設定することをお勧めします。

グループ VPNv2 の運用には、ネットワーク全体でクライアント デバイスが意図したサイトに到達できるようにする、ワーキング ルーティング トポロジが必要です。この例では、グループ VPNv2 の設定に焦点を当てています。ルーティング構成については説明していません。

概要

この例では、グループ VPNv2 ネットワークはサーバーと 4 つのメンバーで構成されています。2 つのメンバーは SRX シリーズ デバイスまたは vSRX インスタンスで、残りの 2 つのメンバーは MX シリーズ デバイスです。共有グループ VPN SA は、グループ メンバー間のトラフィックを保護します。

グループ VPN SA は、フェーズ 1 SA で保護する必要があります。そのため、グループ VPN 設定には、グループ サーバーとグループ メンバーの両方で IKE フェーズ 1 ネゴシエーションを設定する必要があります。

グループ・サーバーとグループ・メンバーの両方で同じグループ ID を構成する必要があります。この例では、グループ名は GROUP_ID-0001、グループ識別子は 1 です。サーバーに設定されたグループ ポリシーでは、SA とキーが 172.16.0.0/12 の範囲にあるサブネットワーク間のトラフィックに適用されるように指定します。

SRX または vSRX グループ メンバーでは、IPsec ポリシーがグループに対して設定され、LAN ゾーンが発信ゾーン(受信トラフィック)、WAN ゾーンがツーゾーン(送信トラフィック)になります。LAN ゾーンと WAN ゾーン間のトラフィックを許可するには、セキュリティ ポリシーも必要です。

トポロジ

図 3 は、この例で設定するジュニパーネットワークスデバイスを示しています。

図 3: SRXまたはvSRXおよびMXシリーズメンバーを持つグループVPNv2サーバーSRXまたはvSRXおよびMXシリーズメンバーを持つグループVPNv2サーバー

設定

グループ サーバーの構成

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

グループ VPNv2 サーバーを設定するには、以下の手順に従います。

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを設定します。

  2. 静的ルートを設定します。

  3. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  4. IPsec プロポーザルを設定します。

  5. グループを設定します。

  6. サーバー間通信を構成します。

  7. グループ メンバーにダウンロードするグループ ポリシーを構成します。

結果

設定モードから、 、および コマンドをshow interfacesshow routing-options入力して設定をshow security確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

グループ メンバー GM-0001 の設定(SRX シリーズ デバイスまたは vSRX インスタンス)

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

グループ VPNv2 メンバーを設定するには、以下の手順に従います。

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを設定します。

  2. 静的ルートを設定します。

  3. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  4. IPsec SA を設定します。

  5. IPsec ポリシーを設定します。

結果

設定モードから、 、および コマンドをshow interfacesshow routing-options入力して設定をshow security確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

グループ メンバー GM-0002 の設定(SRX シリーズ デバイスまたは vSRX インスタンス)

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

グループ VPNv2 メンバーを設定するには、以下の手順に従います。

  1. インターフェイス、セキュリティ ゾーン、セキュリティ ポリシーを設定します。

  2. 静的ルートを設定します。

  3. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  4. IPsec SA を設定します。

  5. IPsec ポリシーを設定します。

結果

設定モードから、 、および コマンドをshow interfacesshow routing-options入力して設定をshow security確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

グループ メンバー GM-0003(MX シリーズ デバイス)の設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

グループ VPNv2 メンバーを設定するには、以下の手順に従います。

  1. インターフェイスを設定します。

  2. ルーティングを設定します。

  3. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  4. IPsec SA を設定します。

  5. サービス フィルタを設定します。

  6. サービス セットを設定します。

結果

設定モードから、 、 、 show routing-optionsshow servicesshow security、 および コマンドをshow interfaces入力して設定をshow firewall確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

グループ メンバー GM-0004 の設定(MX シリーズ デバイス)

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

グループ VPNv2 メンバーを設定するには、以下の手順に従います。

  1. インターフェイスを設定します。

  2. ルーティングを設定します。

  3. IKEプロポーザル、ポリシー、ゲートウェイを設定します。

  4. IPsec SA を設定します。

  5. サービス フィルタを設定します。

  6. サービス セットを設定します。

結果

設定モードから、 、 、 show routing-optionsshow servicesshow security、 および コマンドをshow interfaces入力して設定をshow firewall確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

設定が正しく機能していることを確認します。

グループメンバー登録の確認

目的

グループ メンバーがサーバーに登録されていることを確認します。

対処

動作モードから、サーバーの show security group-vpn server registered-members and show security group-vpn server registered-members detail コマンドを入力します。

グループキーが分散されていることを確認する

目的

グループ キーがメンバーに配布されていることを確認します。

対処

動作モードから、グループ サーバーで show security group-vpn server statistics コマンドを入力します。

グループ サーバー上のグループ VPN SA の検証

目的

グループ サーバー上のグループ VPN SA を検証します。

対処

動作モードから、グループ サーバーの show security group-vpn server kek security-associations and show security group-vpn server kek security-associations detail コマンドを入力します。

グループメンバーのグループVPN SAの検証

目的

グループ メンバーのグループ VPN SA を検証します。

対処

動作モードから、SRX または vSRX グループ メンバーの and show security group-vpn member kek security-associations detail コマンドを入力show security group-vpn member kek security-associationsします。

動作モードから、MX シリーズ グループ メンバーの and show security group-vpn member kek security-associations detail コマンドを入力show security group-vpn member kek security-associationsします。

グループ サーバー上の IPsec SA の検証

目的

グループ サーバー上の IPsec SA を検証します。

対処

動作モードから、グループ サーバーの show security group-vpn server ipsec security-associations and show security group-vpn server ipsec security-associations detail コマンドを入力します。

グループ メンバーの IPsec SA の検証

目的

グループ メンバーの IPsec SA を検証します。

対処

動作モードから、SRX または vSRX グループ メンバーの and show security group-vpn member ipsec security-associations detail コマンドを入力show security group-vpn member ipsec security-associationsします。

動作モードから、MX シリーズ グループ メンバーの and show security group-vpn member ipsec security-associations detail コマンドを入力show security group-vpn member ipsec security-associationsします。

グループ ポリシーの検証(SRX または vSRX グループ メンバーのみ)

目的

SRX または vSRX グループ メンバーのグループ ポリシーを検証します。

対処

動作モードから、グループ・メンバーに show security group-vpn member policy コマンドを入力します。

例:ユニキャスト リキー メッセージ用のグループ VPNv2 サーバー メンバー通信の設定

この例では、サーバーがユニキャスト の再キー メッセージをグループ メンバーに送信して、グループ メンバー間のトラフィックを暗号化するために有効なキーを使用できるようにする方法を示しています。グループ VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 デバイス、vSRX インスタンスでサポートされています。

要件

開始する前に、以下を行います。

  • IKE フェーズ 1 ネゴシエーションのグループ サーバーとメンバーを設定します。

  • IPsec SA のグループ サーバーとメンバーを設定します。

  • グループ サーバーでグループ g1 を構成します。

概要

この例では、グループ g1に次のサーバーメンバー通信パラメーターを指定します。

  • サーバーは、ユニキャスト のキー変更メッセージをグループ メンバーに送信します。

  • aes-128-cbcは、サーバーとメンバー間のトラフィックを暗号化するために使用されます。

  • sha-256 はメンバー認証に使用されます。

デフォルト値は、KEK のライフタイムと再送信に使用されます。

設定

手順

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

サーバーメンバー通信を設定するには、以下の手順に応じます。

  1. 通信タイプを設定します。

  2. 暗号化アルゴリズムを設定します。

  3. メンバー認証を設定します。

検証

設定が正常に機能していることを確認するには、コマンドを show security group-vpn server group g1 server-member-communication 入力します。