Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

グループ VPNv2

グループ VPNv2 は、ポイントツーポイントトンネルとそれに関連するオーバーレイルーティングを排除するために、信頼できるグループの概念を導入しています。すべてのグループメンバーは、共通のセキュリティーアソシエーション (SA) を共有します。これは、グループ SA としても知られています。

グループ VPNv2 の概要

IPsec セキュリティーアソシエーション (SA) は、仮想プライベートネットワーク (VPN) の構成要素間で、認証と暗号化アルゴリズム、キー交換メカニズム、およびセキュア通信のために使用するルールを定義する一方向の取り決めです。多くの VPN 実装では、SA は2つのセキュリティデバイス間のポイントツーポイントトンネルに図 1なります (を参照)。

図 1: ポイントツーポイント SAsポイントツーポイント SAs

Group VPNv2 は、IPsec アーキテクチャを拡張して、セキュリティデバイスのグループによって共有図 2される SAs をサポートします (を参照)。Group VPNv2 を使用すると、外部ヘッダーにある元の送信元と宛先の IP アドレスを保持することで、自由な接続を実現できます。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。

図 2: 共有 SAs共有 SAs

グループ VPNv2 は、SRX シリーズデバイス用の以前の Junos OS リリースで導入された、グループ VPN 機能の拡張バージョンです。ジュニパー デバイス上のグループ VPNv2 は、RFC 6407、GDOI(Group Domain of Interpretation)をサポートし、RFC 6407 に準拠している他のデバイスと相互運用できます。

Group VPNv2 の GDOI プロトコルについて

グループ VPNv2 は RFC 6407,The Group Domain of Interpretation(GDOI)に基づくもの。 この RFC では、グループメンバーとグループサーバーの間のプロトコルを説明していることによって、グループに所属しています。GDOI メッセージは、デバイスのグループのために SAs を作成、維持、または削除します。Group VPNv2 は、vSRX のインスタンスと、SRX5400、SRX5600、SRX5800 デバイス以外のすべての SRX シリーズデバイスでサポートされています。

GDOI プロトコルは UDP ポート848で実行されます。インターネットセキュリティーアソシエーションとキー管理プロトコル (ISAKMP) では、IKE IPsec トンネルの Sa を確立するための2つのネゴシエーションフェーズが定義されています。フェーズ 1 では、2 台のデバイスで、GDOI などの他のセキュリティ プロトコル用に ISAKMP SA を確立できます。

グループ VPNv2 を使用すると、グループ サーバーとグループ メンバーの間で、フェーズ 1 ISAKMP SA ネゴシエーションが実行されます。サーバーとメンバーは同じ ISAKMP ポリシーを使用する必要があります。GDOI サーバーとメンバーの間では、他のグループメンバーと共有する Sa が確立されます。グループメンバーは、他のグループメンバーと IPsec をネゴシエートする必要はありません。GDOI 交換 は、ISAKMP フェーズ 1 の SA によって保護する必要があります。

GDOI には2つのタイプがあります。

  • groupkey-pull Exchange では、グループによってサーバーから共有された SAs とキーをメンバーが要求できます。グループのメンバーは、 groupkey-pull exchange 経由でグループサーバーに登録する必要があります。

  • groupkey-push Exchange は、既存のグループ sa が期限切れになる前に、サーバーがグループ sa とキーをメンバーに送信することを可能にする単一のキー更新メッセージです。キー更新メッセージは、サーバーからメンバーに送信される一方的なメッセージです。

Group VPNv2 のサーバーとメンバーについて

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。Group VPNv2 の中心となっているのは、グループコントローラ/キーサーバー (GCKS) です。サーバークラスターは、GCKS の冗長性を提供するために使用できます。

GCKS またはグループサーバーは、以下のタスクを実行します。

  • グループのメンバーシップを制御します。

  • 暗号化キーを生成します。

  • 新しいグループ Sa と鍵をメンバーに送信します。グループのメンバーは、グループ・サーバーによって提供されるグループ・ Sa と鍵に基づいてトラフィックを暗号化します。

グループサーバーは複数のグループを処理できます。1つのセキュリティデバイスは、複数のグループのメンバーになることができます。

各グループは、1 ~ 4294967295 の数字であるグループ識別子によって表されます。グループのサーバーとグループのメンバーは、グループ識別子によって相互にリンクされています。グループごとに1つのグループ識別子のみを指定できます。また、複数のグループが同じグループ識別子を使用することはできません。

次の図は、Group VPNv2 サーバーおよびメンバーアクションの概要を示しています。

  1. グループサーバーは、UDP ポート848でメンバーによる登録を待機します。

  2. グループサーバーに登録するには、メンバーは最初にサーバーで IKE SA を確立します。メンバー デバイスがグループに参加するには、フェーズ 1 IKE正しい認証を提供する必要があります。事前共有鍵認証は、メンバー単位でサポートされています。

  3. 認証と登録が成功すると、メンバーデバイスは、GDOI groupkey-pull exchange を使用して、指定されたグループ識別子のグループ sa とキーをサーバーから取得します。

  4. サーバーは、グループのメンバーシップにメンバーを追加します。

  5. グループのメンバーは、グループ SA キーで暗号化されたパケットを交換します。

サーバーは、グループメンバーに対して、キー更新 (GDOI groupkey-push) メッセージを使用して、SA およびキーの最新表示を送信します。サーバーは、Sa が期限切れになる前にキー更新メッセージを送信して、グループメンバー間のトラフィックを暗号化するために有効なキーを使用できるようにします。

サーバーによって送信されるキー更新メッセージには、各グループメンバーからの受信確認 (ack) メッセージが必要です。サーバーがメンバーから ack メッセージを受信しない場合は、キー更新メッセージが設定さretransmission-periodれた場所に再送信されます (デフォルトは10秒)。設定後にメンバーからの返信がない場合(デフォルトは2回)、そのメンバーはサーバーの登録済みメンバー number-of-retransmission から削除されます。サーバーとメンバー間の IKE SA も削除されます。

また、グループ SA が変更された場合に新しいキーをメンバーに提供するために、キー更新メッセージを送信します。

グループ VPNv2 の制限について

グループ VPNv2 サーバーは、RFC 6407、GDOI(Group Domain of Interpretation)をサポートするグループ VPNv2 メンバーでのみ動作します。

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。Group VPNv2 のこのリリースでは、以下のことがサポートされていません。

  • SNMP.

  • Cisco GET VPN サーバーからのポリシーを拒否します。

  • フェーズ 1 IKE 認証の PKI サポート

  • サーバーとメンバーの機能を同じ物理デバイスに共存させるグループサーバーとメンバーのコロケーションです。

  • シャーシクラスターとして構成されたメンバーをグループ化します。

  • J-Web インターフェイスの構成と監視を行います。

  • マルチキャストデータトラフィック

グループ VPNv2 は、IP アドレスを保持できない導入環境(たとえば、ネットワーク が使用されているインターネットなど)ではNATされていません。

Group VPNv2 のサーバーメンバー通信について

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。サーバーメンバー通信によって、サーバーは GDOI groupkey-push (キー更新) メッセージをメンバーに送信できます。グループに対してサーバーメンバー通信が構成されていない場合、メンバーはgroupkey-pull 、サーバーに登録して再登録するために GDOI メッセージを送信groupkey-pushできますが、サーバーはメンバーにメッセージを送信できません。

[ edit security group-vpn server] 階層でserver-member-communication 構成ステートメントを使用して、グループに対してサーバーメンバー通信を構成します。以下のオプションを定義できます。

  • サーバーへのメンバーの認証に使用される認証アルゴリズム (sha-256 または sha-384) です。デフォルトのアルゴリズムはありません。

  • サーバーとメンバー間の通信に使用される暗号化アルゴリズムです。Aes-128-cbc、aes-192-cbc、または aes-256-cbc を指定できます。デフォルトのアルゴリズムはありません。

  • グループメンバーに送信されるキー更新メッセージ用のユニキャスト通信タイプ。

  • キー暗号化キー (KEK) の有効期間です。デフォルトは3600秒です。

  • グループサーバーが応答なしでグループgroupkey-pushメンバーにメッセージを転送した回数 (デフォルトは2回) と再送信の間隔 (デフォルトは10秒)。

グループのサーバーメンバー通信が構成されていない場合は、サーバーに登録show security group-vpn server registered-membersしたグループメンバーがコマンドによって表示されます。メンバーはアクティブにもできません。グループのサーバーメンバー通信が構成されている場合、グループメンバーシップリストはクリアされます。ユニキャスト通信タイプの場合show security group-vpn server registered-members 、アクティブなメンバーのみが表示されます。

グループ VPNv2 キーの操作について

このトピックは、以下のセクションで構成されています。

グループキー

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。グループサーバーは、VPN グループ、グループメンバー、およびグループキー間の関係を追跡するためのデータベースを維持しています。サーバーがメンバーにダウンロードするグループキーには2つの種類があります。

  • 鍵暗号化キー(KEK) — SA リキー(GDOI)交換の暗号化 groupkey-push に使用されます。グループごとに1つの KEK がサポートされています。

  • トラフィック暗号化キー(TEK) — グループ メンバー間の IPsec データ トラフィックの暗号化と暗号化解除に使用されます。

SA に関連付けられたキーは、メンバーに一致するポリシーが設定されている場合にのみ、グループメンバーによって受け付けます。承認されたキーがグループにインストール済みであるのに対し、拒否されたキーは破棄します。

キー更新メッセージ

グループがサーバーメンバー通信用に設定されている場合、サーバーは、キー更新 (GDOI groupkey-push) メッセージによるグループメンバーに対して、SA および最新のリフレッシュを送信します。キー更新メッセージは Sa が期限切れになる前に送信されます。これにより、グループメンバー間のトラフィックを暗号化するために、有効なキーを使用できるようになります。

また、グループメンバーシップに変更があった場合やグループ SA が変更された場合 (グループポリシーが追加または削除された場合など) に、キー更新メッセージを送信して、メンバーに新しいキーを提供することもできます。

サーバーがグループメンバーにキー更新メッセージを送信できるようにするには、サーバーにサーバーメンバー通信オプションが設定されている必要があります。

グループサーバーは、各グループメンバーにユニキャストキー更新メッセージのコピーを1つ送信します。キー更新メッセージを受信すると、メンバーは受信確認 (ACK) をサーバーに送信する必要があります。サーバーがメンバーから ACK (キー更新メッセージの再送信など) を受信しなかった場合、そのメンバーは非アクティブであると見なされ、メンバーシップリストから削除されます。サーバーは、メンバーへのキー更新メッセージの送信を停止します。

メンバー number-of-retransmissionからretransmission-period ACK が受信されない場合、サーバーによるキー更新メッセージの再送信を制御するのは、サーバーメンバー通信用の設定ステートメントです。

サーバーがキー更新メッセージを送信する間隔は、[ lifetime-secondsedit security group-vpn server group group-name] 階層にある構成ステートメントの値に基づきます。KEK および TEK キーの有効期限が切れる前に、新しいキーが生成されます。

KEK のは、 lifetime-secondsサーバーメンバー通信の一部として構成されています。デフォルトは3600秒です。TEK lifetime-secondsのは、IPsec の提案に対して構成されています。デフォルトは3600秒です。

メンバー登録

現在のキーが期限切れになる前に、グループメンバーがサーバーから新しい SA キーを受信しなかった場合、そのメンバーはサーバーに登録し、GDOI groupkey-pull exchange で更新されたキーを取得する必要があります。

グループ VPNv2 の構成の概要

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。このトピックでは、グループ VPNv2 を構成するための主なタスクについて説明します。

グループコントローラ/キーサーバー (GCKS) は、Group VPNv2 security association (Sa) を管理し、暗号化キーを生成して、グループメンバーに配信します。グループ VPNv2 サーバークラスターを使用して、GCKS の冗長性を提供することができます。「グループ VPNv2 サーバークラスターについて」を参照してください。

グループサーバーで、以下の設定を行います。

  1. IKE フェーズ 1 SA。「グループ VPNv2 のための第1段階の構成」を参照して IKE ください。
  2. IPsec SA。『 Group VPNv2 For IPSEC SA 構成について」を参照してください。
  3. グループ識別子、IKE ゲートウェイ、グループメンバー用の VPN グループ情報、グループ内のメンバー数の最大数、およびサーバーメンバー間の通信。グループ構成には、SA とキーが適用されるトラフィックを定義するグループポリシーが含まれています。サーバークラスターとアンチリプレイ時間ウィンドウはオプションで設定することができます。「グループ VPNv2 の構成の概要」および「グループ VPNv2 トラフィックステアリング」を参照してください。

グループメンバーでは、以下のことを構成します。

  1. IKE フェーズ 1 SA。「グループ VPNv2 のための第1段階の構成」を参照して IKE ください。

  2. IPsec SA。『 Group VPNv2 For IPSEC SA 構成について」を参照してください。

  3. 着信ゾーン (通常は保護された LAN)、発信ゾーン (通常は WAN)、およびポリシーが適用される VPN グループを定義する IPsec ポリシー。除外またはフェイルオープンルールを指定することもできます。「グループ VPNv2 トラフィックステアリング」を参照してください。

  4. IPsec ポリシーで指定されているゾーン間でグループ VPN トラフィックを許可するセキュリティポリシー。

Group VPNv2 の運用には、クライアントデバイスがネットワーク全体で目的のサイトに到達できるようにするための、有効なルーティングトポロジが必要です。

このグループは、[ edit security group-vpn server] 階層にあるgroup 構成ステートメントを使用して、サーバー上で設定されます。

グループ情報は、以下の情報で構成されています。

  • グループ識別子 — VPNグループを識別する値。グループメンバーには、同じグループ識別子が設定されている必要があります。

  • 各グループメンバーはike-gateway設定文で設定されています。この構成ステートメントのインスタンスは、グループのメンバーごとに1つずつ、複数存在することができます。

  • グループ ポリシー — メンバーにダウンロードするポリシー。グループポリシーには、SA とキーが適用されるトラフィックが記述されています。「グループ VPNv2 トラフィックステアリング」を参照してください。

  • メンバーのしきい値 — グループ内のメンバーの最大数。グループのメンバーのしきい値に達すると、新しいメンバーから initiations へgroupkey-pullの応答が停止します。「グループ VPNv2 サーバークラスターについて」を参照してください。

  • サーバーメンバー間の通信—サーバーが再キー メッセージをメンバーに送信できる groupkey-push オプションの設定。

  • サーバー クラスタ — グループ コントローラ/キー サーバー(GCKS)の冗長性をサポートするオプションの設定。「グループ VPNv2 サーバークラスターについて」を参照してください。

  • アンチプレイ — パケット傍受とリプレイを検出するオプション設定。「 Group VPNv2 アンチリプレイについて」を参照してください。

Group VPNv2 の第1段階の構成に IKE ついて

グループ IKEとグループ メンバーの間のセキュリティ フェーズ 1 SA が、グループによって共有されている IPsec SA をネゴシエートするためのセキュアなチャネルを確立します。セキュリティ デバイス上の標準 IPsec VPN ジュニパーネットワークス、フェーズ 1 SA の設定は、IKE プロポーザル、ポリシー、ゲートウェイの指定で構成されています。

グループ VPNv2 の場合、IKE フェーズ 1 SA の設定は標準 IPsec VPN の設定に似ていますが、 [ ] 階層と [ ] 階層で実行されます edit security group-vpn server ikeedit security group-vpn member ike 。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。

IKE 提案の設定では、認証方法と、参加者間のセキュアなチャネルを開くために使用される認証アルゴリズムと暗号化方式を設定します。IKE ポリシー設定では、フェーズ 1 チャネルがネゴシエートされるモードを設定し、使用する鍵交換のタイプを指定して、フェーズ 1 のプロポーザルを参照します。ゲートウェイのIKEでは、フェーズ 1 ポリシーを参照します。

グループサーバー上の IKE 提案およびポリシー設定は、グループメンバーの IKE 提案とポリシー設定と一致している必要があります。グループサーバーでは、グループの各メンバーに対して IKE ゲートウェイが構成されています。グループメンバーでは、最大4つのサーバーアドレスを IKE ゲートウェイ構成で指定できます。

Group VPNv2 の IPsec SA 構成について

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。サーバーとメンバーがフェーズ 1 ネゴシエーションでセキュアで認証されたチャネルを確立した後、メンバー間で送信されるデータを保護するためにグループ メンバーが共有する IPsec SA の確立に進みます。Group VPNv2 の IPsec SA 構成は、標準 Vpn の設定に似ていますが、グループメンバーは、他のグループメンバーと SA をネゴシエートする必要はありません。

Group VPNv2 の IPsec 設定は、以下の情報で構成されています。

  • グループサーバー上では、SA に使用されるセキュリティプロトコル、認証、暗号化アルゴリズムに対応した IPsec 提案が構成されています。IPsec SA 提案は、[ proposaledit security group-vpn server ipsec] 階層にある構成ステートメントを使用して、グループサーバー上で設定されます。

  • グループメンバー上では、Autokey IKE が設定されており、グループ識別子、グループサーバー ( ike-gateway設定ステートメントで設定)、グループピアに接続するためにメンバーが使用するインターフェイスを参照します。Autokey IKE は、[ vpnedit security group-vpn member ipsec] 階層の構成ステートメントでメンバーに設定されています。

グループ VPNv2 トラフィックステアリングについて

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。グループサーバーは、IPsec セキュリティーアソシエーション (SAs) と鍵を指定されたグループのメンバーに配信します。同じグループに所属するすべてのメンバーは、同じ IPsec Sa のセットを共有します。特定のグループメンバーにインストールされている SA は、グループ SA に関連付けられたポリシーとグループメンバーに設定されている IPsec ポリシーによって決まります。

グループサーバーに構成されているグループポリシー

VPN グループでは、サーバーがメンバーにプッシュする各グループ SA とキーは、グループポリシーに関連付けられています。このグループポリシーでは、プロトコル、発信元アドレス、発信元ポート、宛先アドレス、宛先ポートなど、このキーを使用すべきトラフィックが記述されています。サーバー上では、グループポリシーは [ match-policy policy-nameedit security group-vpn server group name ipsec-sa name] 階層レベルでオプションを使用して設定されています。

同じ送信元アドレス、宛先アドレス、発信元ポート、宛先ポート、およびプロトコル値を使用して設定された同一のグループポリシーは、単一のグループには存在できません。グループに対して同一のグループポリシーを含む構成をコミットしようとすると、エラーが返されます。この場合、構成をコミットする前に、同一のグループポリシーの1つを削除する必要があります。

グループメンバーに対して構成された IPsec ポリシー

グループメンバーでは、IPsec ポリシーは以下の情報で構成されています。

  • グループトラフィック用from-zoneの受信ゾーン ()

  • グループトラフィック用to-zoneの発信ゾーン ()。

  • IPsec ポリシーが適用されるグループの名前。特定のゾーン/ゾーン間のペアによって参照できる Group VPNv2 名は1つだけです。

Group メンバーがグループ VPNv2 に接続するために使用するインターフェースは、発信ゾーンに属している必要があります。このインターフェイスは、[ group-vpn-external-interfaceedit security group-vpn member ipsec vpn vpn-name] 階層レベルのステートメントによって指定されます。

グループメンバーでは、IPsec ポリシーは [edit security ipsec-policy] 階層レベルで構成されています。IPsec ポリシーに一致するトラフィックは、グループに対して構成されている除外およびフェイルオープンルールによってさらにチェックされます。

フェイルクローズ

デフォルトでは、グループサーバーから受信した exclude またはフェイルオープンルールやグループポリシーに一致しないトラフィックはブロックされます。これは、「フェイルクローズ」と呼ばれています。

除外する、またはフェイルオープンするルール

グループメンバーには、グループごとに以下のタイプのルールを設定できます。

  • VPN 暗号化から除外されるトラフィック。このタイプのトラフィックの例には、BGP または OSPF ルーティングプロトコルを含めることができます。グループからのトラフィックを除外するにはset security group-vpn member ipsec vpn vpn-name exclude rule 、構成を使用します。最大10個の除外ルールを設定できます。

  • グループ メンバーが IPsec SA の有効なトラフィック暗号化キー(TEK)を受信していない場合、顧客の操作に不可欠なトラフィックはクリアテキスト(暗号化されていない)で送信する必要があります。すべてのトラフィックがブロックされているときに、このトラフィックフローを許可するには、フェイルオープンルールを使用します。set security group-vpn member ipsec vpn vpn-name fail-open rule構成を使用してオープンなフェイルオーバーを有効にします。最大10個のフェイルオープンルールを設定できます。

IPsec ポリシーとルールの優先度

IPsec ポリシーとルールには、グループメンバーの以下の優先度があります。

  1. VPN 暗号化から除外するトラフィックを定義するルールを除外します。

  2. グループサーバーからダウンロードされたグループポリシー。

  3. SA に有効な TEK がない場合にクリアテキストで送信されるトラフィックを定義する、オープンルールです。

  4. トラフィックをブロックするフェイルクローズポリシー。これは、トラフィックが除外またはフェイルオープンルールやグループポリシーと一致しない場合のデフォルトです。

Group VPNv2 Recovery Probe プロセスについて

Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。2つの状況は、グループのメンバーがグループサーバーとその他のグループメンバーと同期していないことを示している場合があります。

  • グループのメンバーは、認識されていないセキュリティーパラメータインデックス (SPI) を使用してカプセル化セキュリティーペイロード (ESP) パケットを受信します。

  • 送信 IPsec トラフィックはありますが、グループメンバー上で受信 IPsec トラフィックはありません。

いずれかの状況が検出されると、グループメンバーで復旧プローブプロセスがトリガーされます。リカバリー プローブ プロセスが特定の間隔で GDOI 交換を開始し、グループ サーバーからメンバーの groupkey-pull SA を更新します。不正な SPI パケットの DoS 攻撃が発生した場合、または送信者自体の同期が取れていない場合は、グループメンバーの同期が取れていないことを示す通知が偽のアラームである可能性があります。システムの過負荷を回避するgroupkey-pullために、開始は10、20、40、80、160、および320秒の間隔で再試行されます。

デフォルトでは、復旧プローブプロセスは無効になっています。リカバリープローブプロセスを有効にするにrecovery-probeは、[edit security group-vpn member ipsec vpn vpn-name] 階層レベルで設定します。

Group VPNv2 アンチリプレイについて

Group VPNv2 アンチリプレイは、vSRX のインスタンスと、SRX5400、SRX5600、SRX5800 デバイス以外のすべての SRX シリーズデバイスでサポートされています。アンチリプレイは IPsec 機能であり、パケットが傍受されてから、攻撃者によるリプレイを検知することができます。アンチリプレイは、グループに対してデフォルトでは無効になっています。

各 IPsec パケットにはタイムスタンプが含まれています。グループ メンバーは、パケットのタイムスタンプが設定された値に含されているかどうかを確認 anti-replay-time-window します 。タイムスタンプが値を超えた場合、パケットがドロップされます。

Group VPNv2 アンチリプレイをサポートするすべてのデバイスで NTP を設定することをお勧めします。

ハイパーバイザが過負荷状態で実行されているホストマシン上の vSRX のインスタンスで実行されているグループメンバーは、 anti-replay-time-window値を再構成することで修正可能な問題が発生する可能性があります。グループメンバーの IPsec ポリシーと一致するデータが転送されていない場合はshow security group-vpn member ipsec statistics 、D3P のエラーの出力を確認してください。NTP が正しく動作していることを確認してください。エラーが発生した場合はanti-replay-time-window 、値を調整します。

例:グループ VPNv2 サーバーおよびメンバーの構成

この例では、グループ VPNv2 サーバーを設定して、グループコントローラ/キーサーバー (GCKS) のサポートを提供し、VPNv2 グループのメンバーをグループ化する方法を示します。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Group VPNv2 をサポートする Junos OS Release 15.1 X49-D30 またはそれ以降を実行している、サポートされている SRX シリーズデバイスまたは vSRX インスタンス。この SRX シリーズデバイスまたは vSRX のインスタンスは、Group VPNv2 サーバーとして動作します。

  • サポートされている2つ vSRX の SRX シリーズデバイス、または Junos OS Release 15.1 X49-D30 以降を実行しているグループ VPNv2 をサポートするインスタンス。これらのデバイスまたはインスタンスは、グループ VPNv2 グループのメンバーとして動作します。

  • サポートされている2つの MX シリーズデバイス Junos OS のリリース 15.1 R2 以降を実行しています。 Group VPNv2 をサポートします。これらのデバイスはグループ VPNv2 グループのメンバーとして動作します。

各デバイスには、ホスト名、root 管理者パスワード、管理アクセスが設定されている必要があります。また、各デバイスで NTP を設定することをお勧めします。

Group VPNv2 の運用には、クライアントデバイスがネットワーク全体で目的のサイトに到達できるようにするための、有効なルーティングトポロジが必要です。この例では、グループ VPNv2 設定に焦点を当てています。ルーティング構成については説明していません。

概要

この例では、Group VPNv2 network はサーバーと4つのメンバーで構成されています。2つのメンバーは SRX シリーズデバイスまたは vSRX インスタンスであり、その他の2つのメンバーは MX シリーズデバイスです。グループメンバー間の共有グループ VPN SAs セキュアなトラフィック。

グループ VPN Sa は、フェーズ 1 SA によって保護される必要があります。したがって、グループ VPN 構成には、グループサーバーとグループメンバーの両方で IKE フェーズ1ネゴシエーションを構成する必要があります。

グループサーバーとグループメンバーの両方に同じグループ識別子を設定する必要があります。この例では、グループ名は GROUP_ID-0001、グループ識別子は1になっています。サーバー上で設定されたグループポリシーでは、172.16.0.0/12 範囲のサブネットワーク間のトラフィックに SA とキーが適用されるように指定しています。

SRX または vSRX グループメンバーでは、IPsec ポリシーは、LAN ゾーンを開始側 (受信トラフィック) として、WAN ゾーンをゾーン (発信トラフィック) として、グループに合わせて設定します。LAN と WAN のゾーン間のトラフィックを許可するために、セキュリティポリシーも必要です。

Topology

図 3この例に設定するジュニパーネットワークスデバイスを示します。

図 3: SRX または vSRX および MX シリーズのメンバーを含むグループ VPNv2 サーバーSRX または vSRX および MX シリーズのメンバーを含むグループ VPNv2 サーバー

構成

グループサーバーの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Group VPNv2 サーバーを設定するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。

  2. 静的ルートを構成します。

  3. IKE の提案、ポリシー、ゲートウェイを構成します。

  4. IPsec の提案を構成します。

  5. グループを構成します。

  6. サーバー間通信を構成します。

  7. グループのメンバーにダウンロードするようにグループポリシーを設定します。

結果

設定モードから、、、およびshow interfacesshow routing-optionsshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

グループメンバー GM-0001 (SRX シリーズデバイスまたは vSRX インスタンス) の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。

  2. 静的ルートを構成します。

  3. IKE 提案、ポリシー、ゲートウェイを構成します。

  4. IPsec SA を構成します。

  5. IPsec ポリシーを構成します。

結果

設定モードから、、、およびshow interfacesshow routing-optionsshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

グループメンバー GM-0002 (SRX シリーズデバイスまたは vSRX インスタンス) の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、セキュリティポリシーを構成します。

  2. 静的ルートを構成します。

  3. IKE 提案、ポリシー、ゲートウェイを構成します。

  4. IPsec SA を構成します。

  5. IPsec ポリシーを構成します。

結果

設定モードから、、、およびshow interfacesshow routing-optionsshow securityコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

グループメンバー GM-0003 (MX シリーズデバイス) の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイスを構成します。

  2. ルーティングを構成します。

  3. IKE 提案、ポリシー、ゲートウェイを構成します。

  4. IPsec SA を構成します。

  5. サービスフィルターを構成します。

  6. サービスセットを構成します。

結果

設定モードから、、、、 show interfacesおよびshow routing-optionsshow securityshow servicesshow firewallコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

グループメンバー GM-0004 (MX シリーズデバイス) の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

Group VPNv2 メンバーを設定するには、次のようにします。

  1. インターフェイスを構成します。

  2. ルーティングを構成します。

  3. IKE 提案、ポリシー、ゲートウェイを構成します。

  4. IPsec SA を構成します。

  5. サービスフィルターを構成します。

  6. サービスセットを構成します。

結果

設定モードから、、、、 show interfacesおよびshow routing-optionsshow securityshow servicesshow firewallコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

構成が正常に機能していることを確認します。

グループメンバー登録を確認しています

目的

グループメンバーがサーバーに登録されていることを確認します。

アクション

運用モードから、サーバーにshow security group-vpn server registered-membersshow security group-vpn server registered-members detailコマンドを入力します。

グループキーが配布されていることの確認

目的

グループキーがメンバーに配信されていることを確認します。

アクション

運用モードから、グループサーバー show security group-vpn server statistics 上でコマンドを入力します。

グループサーバー上のグループ VPN Sa を確認する

目的

グループサーバー上のグループ VPN Sa を確認します。

アクション

運用モードから、グループサーバー show security group-vpn server kek security-associationsshow security group-vpn server kek security-associations detailとコマンドを入力します。

グループのメンバーに対するグループ VPN Sa の確認

目的

グループのメンバーにグループ VPN Sa を確認します。

アクション

運用モードから、SRX show security group-vpn member kek security-associationsまたshow security group-vpn member kek security-associations detailは vSRX グループメンバーに and コマンドを入力します。

運用モードから、MX シリーズshow security group-vpn member kek security-associationsグループshow security group-vpn member kek security-associations detailのメンバーにとコマンドを入力します。

グループサーバー上の IPsec Sa を確認する

目的

グループサーバー上の IPsec Sa を確認します。

アクション

運用モードから、グループサーバー show security group-vpn server ipsec security-associationsshow security group-vpn server ipsec security-associations detailとコマンドを入力します。

グループメンバーに対する IPsec Sa の確認

目的

グループメンバーの IPsec Sa を確認します。

アクション

運用モードから、SRX show security group-vpn member ipsec security-associationsまたshow security group-vpn member ipsec security-associations detailは vSRX グループメンバーに and コマンドを入力します。

運用モードから、MX シリーズshow security group-vpn member ipsec security-associationsグループshow security group-vpn member ipsec security-associations detailのメンバーにとコマンドを入力します。

グループポリシーの検証 (SRX または vSRX グループのメンバーのみ)

目的

SRX または vSRX グループのメンバーでグループポリシーを検証します。

アクション

運用モードから、グループメンバー show security group-vpn member policyにコマンドを入力します。

例:ユニキャストキー更新メッセージ用のグループ VPNv2 サーバーメンバー通信の構成

この例では、サーバーからユニキャストキー更新メッセージをグループメンバーに送信できるようにして、グループメンバー間のトラフィックを暗号化するために有効なキーを使用できるようにする方法について説明します。Group VPNv2 は、SRX300、SRX320、SRX340、SRX345、SRX550HM、SRX1500、SRX4100、SRX4200、SRX4600 の各デバイスおよび vSRX インスタンスでサポートされています。

要件

開始する前に:

  • IKE フェーズ1ネゴシエーション用にグループサーバーとメンバーを構成します。

  • グループサーバーと IPsec SA のメンバーを構成します。

  • グループサーバー上g1のグループを構成します。

概要

この例では、グループg1に対して次のようなサーバーメンバーの通信パラメーターを指定します。

  • サーバーは、グループメンバーにユニキャストキー更新メッセージを送信します。

  • aes-128-cbc は、サーバーとメンバー間のトラフィックを暗号化するために使用されます。

  • sha-256 は、メンバー認証に使用されます。

デフォルト値は、KEK の有効期間と再伝送に使用されます。

構成

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

サーバーメンバー通信を構成するには、次のようにします。

  1. 通信タイプを設定します。

  2. 暗号化アルゴリズムを設定します。

  3. メンバー認証を設定します。

検証

構成が正常に機能していることをshow security group-vpn server group g1 server-member-communication確認するには、コマンドを入力します。