このページで
IPsec VPN構成の概要
VPN 接続は、2 つの LAN(サイトツーサイト VPN)またはリモートのダイヤルアップ ユーザーと LAN をつなげることができます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。IPsecトンネルは、2台の参加デバイス間で作成されVPN通信の安全性を確保します。
自動キーIKE設定によるIPsec VPNの概要
IPsec VPNのネゴシエーションには2つのフェーズが存在します。フェーズ1では、参加デバイスはIPsecセキュリティアソシエーション(SA)とのネゴシエーションのためのセキュアなチャンネルを確立します。フェーズ2では、参加デバイスはトンネルを通過するトラフィックを認証するためにIPsec SAとネゴシエートします。
この概要では、自動キーIKE(事前共有キーまたは証明書)を使用して、ルートベースまたはポリシーベースのIPsec VPNの基本的な設定手順について説明します。
自動キーIKEを使用したルートベースまたはポリシーベースIPsec VPNの設定手順を以下に示します。
関連項目
静的 IP アドレスを持つサイト間 VPN の推奨構成オプション
表 1 は、静的 IP アドレスを持つ 2 台のセキュリティ デバイス間の汎用サイト間 VPN の構成オプションを示します。VPN にはルートベースのものとポリシーベースのものがあります。
構成オプション |
コメント |
|---|---|
IKE 構成オプション: |
|
メイン モード |
ピアが静的 IP アドレスを保持している場合に使用します。 |
RSA または DSA 認定書 |
RSA または DSA 認定書は、ローカル デバイスで使用できます。ピアの認定書の種類(PKCS7 または X.509)を指定します。 |
Diffie-Hellman(DH)グループ 14 |
DH グループ 14 は、DH グループ 1、2、5 よりも高いセキュリティを提供します。 |
高度暗号化標準(AES)暗号化 |
AES は、鍵長が同じであれば、DES(Data Encryption Standard)や3DES(Triple DES)よりも高い暗号強度を有しています。連邦情報処理標準(FIPS)およびコモンクライテリア EAL4 標準で承認された暗号化アルゴリズム。 |
セキュア ハッシュ アルゴリズム 256 (SHA-256) 認証 |
SHA-256 は、SHA-1 やメッセージ ダイジェスト 5(MD5)よりも高い暗号化セキュリティを提供します。 |
IPsec 構成オプション: |
|
完全転送機密保持(PFS) DH グループ 14 |
PFS DH グループ 14 では、ピアが 2 回目の DH 交換を行い、IPsec 暗号化と復号化に使用する鍵を生成するため、セキュリティが向上します。 |
カプセル化セキュリティペイロード(ESP)プロトコル |
ESP は、元の IP パケットを暗号化してカプセル化することで機密性を確保し、認証によって完全性を確保します。 |
AES 暗号化 |
AES は、鍵長が同じであれば、DES や 3DES よりも高い暗号強度を有します。FIPS およびコモン クライテリア EAL4 標準で承認された暗号化アルゴリズム。 |
SHA-256 認証 |
SHA-256 は、SHA-1 や MD5 よりも高い暗号化セキュリティを提供します。 |
アンチリプレイ保護 |
デフォルトで有効です。この機能を無効にすると、サードパーティ製のピアとの互換性の問題が解決する場合があります。 |
関連項目
動的 IP アドレスを持つサイト間 VPN またはダイヤルアップ VPN の推奨設定オプション
表 2 は、一般的なサイト間 VPN またはダイヤルアップ VPN で、ピアデバイスが動的 IP アドレスを持つ場合の設定オプションを示しています。
構成オプション |
コメント |
|---|---|
IKE 構成オプション: |
|
メイン モード |
認定書で使用されます。 |
2048 ビットの認定書 |
RSA または DSA の認定書を使用できます。ローカルデバイスで使用される認定書を指定します。ピアの認定書の種類(PKCS7 または X.509)を指定します。 |
Diffie-Hellman(DH)グループ 14 |
DH グループ 14 は、DH グループ 1、2、5 よりも高いセキュリティを提供します。 |
高度暗号化標準(AES)暗号化 |
AES は、鍵長が同じであれば、DES(Data Encryption Standard)や3DES(Triple DES)よりも高い暗号強度を有しています。連邦情報処理標準(FIPS)およびコモンクライテリア EAL4 標準で承認された暗号化アルゴリズム。 |
セキュア ハッシュ アルゴリズム 256 (SHA-256) 認証 |
SHA-256 は、SHA-1 またはメッセージダイジェスト 5 (MD5) よりも高い暗号化セキュリティを提供します。 |
IPsec 構成オプション: |
|
完全転送機密保持(PFS) DH グループ 14 |
PFS DH グループ 14 では、ピアが 2 回目の DH 交換を行い、IPsec 暗号化と復号化に使用する鍵を生成するため、セキュリティが向上します。 |
カプセル化セキュリティペイロード(ESP)プロトコル |
ESP は、元の IP パケットを暗号化してカプセル化することで機密性を確保し、認証によって完全性を確保します。 |
AES 暗号化 |
AES は、鍵長が同じであれば、DES や 3DES よりも高い暗号強度を有します。FIPS およびコモン クライテリア EAL4 標準で承認された暗号化アルゴリズム。 |
SHA-256 認証 |
SHA-256 は、SHA-1 や MD5 よりも高い暗号化セキュリティを提供します。 |
アンチリプレイ保護 |
デフォルトで有効です。これを無効にすると、サードパーティ製のピアとの互換性の問題が解決する場合があります。 |
関連項目
動的なエンドポイントを持つIPsec VPNについて
概要
IPsec VPNピアは、VPN接続を確立するピアに認知されないIPアドレスを持つことができます。例えば、ピアには、動的ホスト構成プロトコル(DHCP)を介して、IPアドレスを動的に割り当てることができます。これは、別の物理的な場所に移動する、支社またはホームオフィス内のリモートアクセスクライアントまたは、リモートアクセスクライアントであるかもしれません。または、ピアをNATデバイスの背後に配置して、ピアの元の送信元IPアドレスを別のアドレスに変換することができます。不明なIPアドレスを持つVPNピアは動的エンドポイントと呼ばれ、動的エンドポイントで確立されたVPNは、動的エンドポイントVPNと呼ばれます。
SRXシリーズファイアウォールでは、IKEv1またはIKEv2は動的エンドポイントVPNでサポートされます。SRXシリーズファイアウォール上の動的エンドポイントVPNは、セキュアトンネル上のIPv4トラフィックをサポートします。Junos OSリリース15.1X49-D80以降、SRXシリーズファイアウォール上の動的なエンドポイントVPNは、セキュアトンネル上のIPv6トラフィックをサポートするようになりました。
IPv6トラフィックは、AutoVPNネットワークではサポートされていません。
次のセクションでは、動的エンドポイントでVPNを設定する際に注意すべき項目について説明します。
IKE ID
動的エンドポイントでは、デバイスをピアでを識別するために、デバイスにIKE IDを設定する必要があります。動的エンドポイントのローカルIDは、ピアで確認します。デフォルトでは、SRXシリーズファイアウォールは、IKE IDが次のいずれかになると予測します。
証明書を使用する場合は、識別名(DN)を使用してユーザーまたは組織を識別します。
エンドポイントを識別するホスト名またはユーザー完全修飾ドメイン名(FQDN)。
ユーザー完全修飾ドメイン名(UFQDN)(ホスト名にあるユーザーとも呼ばれます)。これは、電子メールアドレス形式に続く文字列です。
IKEv1ポリシーのアグレッシブモード
IKEv1を動的エンドポイントVPNと共に使用する場合は、IKEポリシーをアグレッシブモード向けに設定する必要があります。
IKEポリシーと外部インターフェイス
Junos OSリリース12.3X48-D40、Junos OSリリース15.1X49-D70、Junos OSリリース17.3R1以降、同じ外部インターフェイスを使用するSRXシリーズファイアウォールで設定した動的エンドポイントゲートウェイでは、異なるIKEポリシーを使用できるようになりましたが、IKEポリシーでは同じIKEプロポーザルを使用する必要があります。これは、IKEv1およびIKEv2に適用されます。
NAT
動的エンドポイントがNATデバイスの背後にある場合、SRXシリーズファイアウォールでNAT-Tを設定する必要があります。VPNピア間の接続中は、NAT変換を維持するためにNATキープアライブが必要となる場合があります。デフォルトでは、SRXシリーズファイアウォールでNAT-Tが有効になっており、NATキープアライブが20秒間隔で送信されます。
グループおよび共有IKE ID
動的エンドポイントごとに個々のVPNトンネルを設定できます。IPv4動的エンドポイントVPNでは、グループIKE IDまたは共有IKE ID機能を使用して、多数の動的エンドポイントでIKEゲートウェイ設定を共有することができます。
グループIKE IDにより、「example.net」など、すべての動的エンドポイントに対して、フルIKE IDの共通部分を定義することができます。ユーザー名「Bob」などのユーザー固有の部分を共通部分と連結させることで、各ユーザー接続を一意に識別するフルIKE ID(Bob.example.net)を形成します。
共有IKE IDにより、動的エンドポイントは単一のIKE IDと事前共有済みのキーを共有することができます。
関連項目
IKE IDの設定について
IKE ID(IKE ID)は、IKE ネゴシエーション中にVPNピアデバイスの検証に使用されます。SRXシリーズファイアウォールがリモートピアから受信したIKE IDは、IPv4またはIPv6アドレス、ホスト名、完全に認証されたドメイン名(FQDN)、ユーザーFQDN(UFQDN)、または識別名(DN)にすることができます。リモートピアから送信されたIKE IDは、SRXシリーズファイアウォールが期待するものと一致する必要があります。そうでない場合、IKE ID検証は失敗し、VPNは確立されません。
IKE IDタイプ
SRXシリーズファイアウォールは、リモートピアに以下のIKE IDタイプをサポートしています。
IPv4またはIPv6アドレスは、一般的にサイト間のVPNに使用されますが、リモートピアは静的IPアドレスに使用されます。
ホスト名はリモートピアシステムを識別する文字列です。これは、IPアドレスを解決するFQDNになることがあります。また、特定のリモートユーザーを識別するためにIKEユーザータイプと組み合わせて使用される部分的なFQDNとなる場合もあります。
IPアドレスの代わりにホスト名を設定した場合、コミットされた設定とその後のトンネル確立は、現在解決されているIPアドレスに基づきます。リモートピアのIPアドレスを変更すると、設定が有効ではなくなります。
UFQDNは、
user@example.comなどの電子メールアドレスと同じ形式の文字列です。DNは、ユーザーを一意的に確認するためにデジタル証明書に使用される名前です。たとえば、DNは「CN=user、DC=example、DC=com」となる可能性があります。オプションとして、
containerキーワードを使用して、DNのフィールドの順序とその値が構成されたDNと完全に一致するように指定するか、wildcardキーワードを使用して、DNのフィールドの値は一致する必要があるものの、フィールドの順序は関係ないように指定することができます。Junos OS Release 19.4R1以降、階
[edit security ike gateway gateway_name dynamic distinguished-name]層ではおよびcontainer-stringwildcard-stringから動的DN属性が1つだけ設定できるようになりました。1つ目の属性を設定した後に2つ目の属性を設定しようとすると、1つ番目の属性が2つ目の属性に置き換えられます。デバイスをアップグレードする前に、両方の属性を設定していた場合、属性を1つ削除する必要があります。IKEユーザータイプは、SRXシリーズファイアウォール上の同じVPNゲートウェイに複数のリモートピアが接続している場合に、AutoVPNとリモートアクセスVPNで使用できます。
ike-user-type group-ike-idを設定してグループIKEおよび IDを指定するか、ike-user-type shared-ike-idで共有IKE IDと指定します。
リモートIKE IDとサイト間VPN
サイト間VPNの場合、リモートピアのIKE IDは、ピアデバイスの構成に応じて、エグレスネットワークインターフェイスカードのIPアドレス、ループバックアドレス、ホスト名、または手動で構成したIKE IDにすることができます。
デフォルトでは、SRXシリーズファイアウォールは、リモートピアのIKE IDがset security ike gateway gateway-name address構成で設定されたIPアドレスとなることを予測します。リモートピアのIKE IDが異なる値である場合は、[edit security ike gateway gateway-name]階層レベルでステートremote-identityメントを設定する必要があります。
たとえば、SRXシリーズファイアウォール上のIKEゲートウェイは、set security ike gateway remote-gateway address 203.0.113.1コマンドで設定されます。ただし、リモートピアから送信されるIKE IDはhost.example.netです。SRXシリーズファイアウォールがリモートピアのIKE ID(203.0.113.1)に期待するものと、ピアから送信された実際のIKE ID(host.example.net)には不一致があります。この場合、IKE IDは検証に失敗します。リモートピアから受信したIKE IDと一致させるには、set security ike gateway remote-gateway remote-identity hostname host.example.netを使います。
リモートIKE IDとエンドポイントVPN
動的エンドポイントVPNの場合、リモートピアに予測されるIKE IDは、[edit security ike gateway gateway-name dynamic]階層レベルのオプションで設定されます。AutoVPNの場合、hostnameをike-user-type group-ike-idと組み合わせることで、共通のドメイン名を持つ複数のピアに使用できます。ピアの検証に証明書を使用する場合は、DNを設定できます。
SRXシリーズファイアウォールのローカルIKE ID
デフォルトでは、SRXシリーズファイアウォールは、リモートピアへの外部インターフェイスのIPアドレスをIKE IDとして使用します。IKE IDは、[edit security ike gateway gateway-name]階層レベルでステートlocal-identityメントを設定することで上書きできます。SRXシリーズファイアウォールにlocal-identityステートメントを設定する必要がある場合は、設定されているIKE IDがリモートピアが予測するIKE IDと一致するようにしてください。
関連項目
サイト間 VPN 用のリモート IKE ID の設定
デフォルトでは、SRXシリーズファイアウォールは、IKEゲートウェイ用に設定されたIPアドレスで、ピアから受信したIKE IDを検証します。特定のネットワーク設定では、ピアから受信したIKE ID(IPv4またはIPv6アドレス、完全修飾ドメイン名[FQDN]、識別名、または電子メールアドレス)が、SRXシリーズファイアウォールに設定されているIKEゲートウェイと一致しません。これにより、フェーズ 1 検証が失敗する恐れがあります。
使用されたIKE IDのSRXシリーズファイアウォールまたはピアデバイスの設定を変更するには:
SRXシリーズデバイスで、[
edit security ike gateway gateway-name]階層レベルでステートremote-identityメントを設定し、ピアから受信したIKE IDと一致するようにします。値は、IPv4またはIPv6アドレス、FQDN、識別名、または電子メールアドレスのいずれかです。remote-identityを設定しない場合、デバイスはデフォルトでリモートピアに対応する IPv4 または IPv6 アドレスを使用します。ピアデバイスで、IKE IDがSRXシリーズファイアウォールで設定された
remote-identityと同じであることを確認します。ピアデバイスがSRXシリーズデバイスである場合、[edit security ike gateway gateway-name]階層レベルで ステートlocal-identityメントを設定します。値は、IPv4またはIPv6アドレス、FQDN、識別名、または電子メールアドレスのいずれかです。
関連項目
SRXシリーズファイアウォールでのOSPFとOSPFv3認証を理解する
OSPFv3 は、認証方法が組み込まれていないため、IPsec(IP セキュリティ)スイートに依存してこの機能を提供できます。IPsec は、送信元、データ整合性、機密性、リプレイ保護、送信元否認防止を提供します。IPsec を使用して、特定の OSPFv3 インターフェースと仮想リンクを確保し、OSPF パケットの暗号化を提供できます。
OSPFv3 は、IPsec プロトコルのAH(IP認証ヘッダー)と IP ESP(IPカプセル化セキュリティ ペイロード)部分を使用して、ピア間のルーティング情報を認証します。AH は、コネクションレスの整合性とデータ送信元の認証を提供できます。リプレイに対する保護も提供します。AH は、IP ヘッダーに加え上位プロトコル データをできる限り認証します。ただし、一部の IP ヘッダー フィールドがトランジットで変更される場合があります。これらのフィールドの値は送信者から予測可能ではないため、AH によって保護できません。ESP は、暗号化と制限されたトラフィック フローの機密性またはコネクションレスの整合性、データ送信元の認証、アンチリプレイ サービスを提供できます。
IPsec は SA(セキュリティ アソシエーション)に基づいています。SA は、IPsec 関係を確立するデバイス間でネゴシエートされた IPsec 仕様のセットです。このシンプレックス接続は、SA が伝送するパケットにセキュリティ サービスを提供します。これらの仕様には、IPsec 接続を確立する際に使用される認証、暗号化、および IPsec プロトコルのタイプの設定が含まれています。SA は、一方向に特定のフローを暗号化して認証するために使用されます。そのため、通常の双方向トラフィックでは、フローが一対の SA によって保護されます。OSPFv3 と併せて使用される SA は、手動で設定し、トランスポート モードを使用する必要があります。SA の両端で静的値が設定する必要があります。
OSPF または OSPFv3 に IPsec を設定するには、まず [edit security ipsec] 階層レベルで オsecurity-association sa-nameプションによって 手動 SA を定義します。この機能は、トランスポート モードでの双方向 手動鍵 SA のみをサポートします。マニュアル, 手動 SA には、ピア間のネゴシエーションは必要ありません。キーを含むすべての値は、静的であり、設定で指定されます。手動 SA は、使用する SPI(セキュリティ パラメータ インデックス)の値、アルゴリズム、および鍵を静的に定義し、両方のエンドポイント(OSPF または OSPFv3 ピア)で一致する設定が必要です。その結果、各ピアには、通信が実行されるために同じ設定されたオプションある必要があります。
暗号化および認証アルゴリズムの実際の選択は、IPsec 管理者に任されます。ただし、以下の推奨事項があります。
Null 暗号化と合わせて ESP を使用して、プロトコル ヘッダーに認証を提供し、IPv6 ヘッダー、拡張ヘッダー、およびオプションには提供しません。Null 暗号化により、プロトコル ヘッダーに暗号化を提供しないことを選択します。これは、トラブルシューティングとデバッグに便利です。Null 暗号化の詳細については、RFC 2410, The NULL Encryption Algorithm and Its Use with IPsecを参照してください。
完全な機密性のために DES または 3DES を持つ ESP を使用します。
AH を使用して、プロトコル ヘッダー、IPv6 ヘッダーの不変なフィールド、および拡張ヘッダーとオプションに認証を提供します。
設定された SA は、次の通り、OSPFまたは OSPFv3 設定に適用されます。
OSPF または OSPFv3 インターフェイスについては、[
edit protocols ospf area area-id interface interface-name] または [edit protocols ospf3 area area-id interface interface-name] 階層レベルに ステートipsec-sa nameメントを含めます。IPsec SA 名は、OSPF または OSPFv3 インターフェイスに 1 つだけ指定できます。ただし、異なる OSPF/OSPFv3 インターフェースに、同じ IPsec SA を指定できます。OSPF または OSPFv3 仮想リンクについては、[
edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] または [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] 階層レベルに ステートipsec-sa nameメントを含めます。同じエンドポイント アドレスを持つすべての仮想リンクに、同じ IPsec SA を設定する必要があります。
SRXシリーズファイアウォール上のOSPFまたはOSPFv3向けのIPsec認証には、以下の制限が適用されます。
[
edit security ipsec vpn vpn-name manual] 階層レベルで設定された手動 VPN 設定は、OSPF または OSPFv3 インターフェイスあるいは仮想リンクに適用して、IPsec 認証と機密性を提供することはできません。同じローカルおよびリモート アドレスに設定された既存の IPsec VPN がある場合、OSPFv3 または OSPFv 認証に IPsec を設定できません。
OSPF または OSPFv3 認証の IPsec では、トンネル st0 インターフェイス上でサポートされていません。
手動鍵の鍵更新はサポートされていません。
動的 IKE(インターネット鍵交換)SA には対応していません。
IPsec トランスポート モードのみサポートされます。トランスポート モードでは、IP パケットのペイロード(転送するデータ)のみが暗号化または認証されるか、その両方が行われます。トンネル モードはサポートされていません。
双方向手動 SA のみがサポートされているため、すべての OSPFv3 ピアを同じ IPsec SA で設定する必要があります。[
edit security ipsec] 階層レベルで手動双方向 SA を設定します。同じエンドポイント アドレスを持つすべての仮想リンクに、同じ IPsec SA を設定する必要があります。
関連項目
例:SRXシリーズファイアウォールでOSPFインターフェイス用のIPsec認証を設定します
この例では、手動セキュリティアソシエーション(SA)を設定し、OSPFインターフェースに適用する方法を示します。
要件
開始する前に、以下を実行します。
デバイスインターフェイスを設定します。
OSPFネットワーク内のデバイスのルーター識別子を設定します。
OSPFの指定ルーター選出を制御します。
単一エリアOSPFネットワークを設定します。
マルチエリアOSPFネットワークを設定します。
概要
OSPFとOSPFv3の両方でIPsec認証を使用することができます。手動SAを別途設定し、該当するOSPFのコンフィグレーションに適用します。表 3は、この例で手動SAに設定したパラメーターと値の一覧です。
パラメーター |
値 |
|---|---|
SA名 |
sa1 |
モード |
トランスポート |
方向 |
双方向 |
プロトコル |
AH |
SPI |
256 |
認証アルゴリズム キー |
hmac-md5-96 (ASCII)123456789012abc |
暗号化アルゴリズム キー |
des (ASCII) cba210987654321 |
設定
手動SAを設定する
CLIクイック構成
OSPFインターフェイスでIPsec認証に使用する手動SAを素早く設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを [edit] 階層レベルでCLIにコピーして貼り付け、構成モードから commit を入力します。
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
手動SAを設定する場合。
SAの名前を指定します。
[edit] user@host# edit security ipsec security-association sa1
手動SAのモードを指定します。
[edit security ipsec security-association sa1] user@host# set mode transport
手動SAの向きを設定します。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional
使用するIPsecプロトコルを設定します。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional protocol ah
SPIの値を設定します。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional spi 256
認証アルゴリズムとキーを設定します。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
暗号化アルゴリズムとキーを設定。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
結果
show security ipsecコマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワードそのものは表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
OSPFインターフェイスでIPsec認証を有効にする
CLIクイック構成
IPsec認証に使用する手動SAをOSPFインターフェイスに素早く適用するには、次のコマンドをコピーしてテキストファイルに貼り付け、ネットワーク構成に合わせて必要な詳細を変更し、CLIに[edit]階層レベルでコマンドをコピーして貼り付け、設定モードからcommitを入力してください。
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
ステップバイステップでの手順
OSPFインターフェイスでIPsec認証を有効にする方法。
OSPFエリアを作成します。
OSPFv3を指定するには、階
[edit protocols]層レベルに ステートospf3メントを含めます。[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
IPsecの手動SAを適用します。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
結果
show ospf interface detailコマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
OSPFv3の設定を確認するために、show protocols ospf3 コマンドを入力します。
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
IPsecセキュリティアソシエーションの設定の検証
目的
構成されたIPsecセキュリティアソシエーションの設定を確認します。次の情報を確認します。
セキュリティアソシエーションフィールドには、設定されているセキュリティアソシエーションの名前が表示されます。
SPIフィールドには、設定した値が表示されます。
モードフィールドには、トランスポートモードが表示されます。
タイプフィールドには、セキュリティアソシエーションのタイプとしてマニュアルが表示されます。
対処
動作モードからshow ospf interface detailコマンドを入力します。
VPN ウィザードを使用した IPSec VPN の設定
VPN ウィザードでは、フェーズ 1 およびフェーズ 2 の両方を含む、IPsec VPN の基本的な設定を実行できます。より高度な設定を行うには、J-Web インターフェースまたは CLI を使用してください。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。
VPN ウィザードを使用して IPsec VPN を設定するには:
- J-Webインターフェース
Configure>Device Setup>VPNで を選択します。 - [Launch VPN Wizard](VPN ウィザードを起動)クリックをクリックします。
- ウィザードのプロンプトに従ってください。
ウィザードページの左上のエリアは、構成プロセスの進捗を示しています。ページの左下のエリアは、フィールドに対応するヘルプを示しています。リソース見出しの下のリンクをクリックすると、ブラウザーでドキュメントが開きます。ドキュメントが新しいタブで開いた場合は、ドキュメントを閉じる際、(ブラウザー ウィンドウではなく)タブのみを閉じるようにしてください。
関連項目
例:ハブアンドスポーク方式 VPN の設定
この例では、ハブアンドスポーク方式IPsec VPNをエンタープライズクラスの導入向けに設定する方法を示します。IKEv1およびIKEv2を使用したサイト間IPSec VPNについては、それぞれIKEv1を使用したルートベースのIPSec VPNとIKEv1を使用したルートベースのIPSec VPNを参照してください。
要件
概要
この例では、支店/拠点での導入で通常みられるハブアンドスポーク方式VPNを設定する方法を説明します。ハブは本社です。さらに、カリフォルニア州サニーベールの支店とマサチューセッツ州ウェストフォードの支店の2つのスポークがあります。支店のユーザーはVPNを使用して本社との安全なデータ転送を行います。
図 1はハブアンドスポーク方式VPNのトポロジーの例を示しています。このトポロジーでは、SRX5800デバイスが本社に配置されています。SRXシリーズファイアウォールはウェストフォード支社に配置されており、SSG140デバイスはサニーベール支社に配置されています。
この例では、本社のハブ、ウェストフォードのスポークとサニーベールのスポークを設定します。まずは、インターフェイス、IPv4スタティックルートとデフォルトルート、セキュリティゾーン、アドレス帳を設定します。その後、IKEフェーズ1とIPSecフェーズ2のパラメーターを設定し、st0.0インターフェイスをIPsec VPNにバインドします。ハブではst0.0をマルチポイントに設定し、サニーベールのスポークのNHTBテーブルに静的なエントリーを追加します。最後に、セキュリティポリシーとTCP-MSSパラメーターを設定します。この例で使用されている特定の設定パラメータについては、表 4から表 8を参照してください。
ハブまたはスポーク |
機能 |
お名前 |
設定パラメータ |
|---|---|---|---|
ハブ |
インターフェイス |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
||
st0 |
10.11.11.10/24 |
||
スポーク |
インターフェイス |
ge-0/0/0.0 |
10.3.3.2/30 |
ge-0/0/3.0 |
192.168.178.1/24 |
||
st0 |
10.11.11.12/24 |
||
ハブ |
セキュリティ ゾーン |
trust |
|
untrust |
|
||
vpn |
st0.0インターフェイスは、このゾーンにバインドされています。 |
||
スポーク |
セキュリティ ゾーン |
trust |
|
untrust |
|
||
vpn |
st0.0インターフェイスは、このゾーンにバインドされています。 |
||
ハブ |
アドレス帳エントリー |
local-net |
|
sunnyvale-net |
|
||
westford-net |
|
||
スポーク |
アドレス帳エントリー |
local-net |
|
corp-net |
|
||
sunnyvale-net |
|
ハブまたはスポーク |
機能 |
お名前 |
設定パラメータ |
|---|---|---|---|
ハブ |
プロポーザル |
ike-phase1-proposal |
|
ポリシー |
ike-phase1-policy |
|
|
ゲートウェイ |
gw-westford |
|
|
gw-sunnyvale |
|
||
スポーク |
プロポーザル |
ike-phase1-proposal |
|
ポリシー |
ike-phase1-policy |
|
|
ゲートウェイ |
gw-corporate |
|
ハブまたはスポーク |
機能 |
お名前 |
設定パラメータ |
|---|---|---|---|
ハブ |
プロポーザル |
ipsec-phase2-proposal |
|
ポリシー |
ipsec-phase2-policy |
|
|
VPN |
vpn-sunnyvale |
|
|
vpn-westford |
|
||
スポーク |
プロポーザル |
ipsec-phase2-proposal |
|
ポリシー |
ipsec-phase2-policy |
|
|
VPN |
vpn-corporate |
|
ハブまたはスポーク |
目的 |
お名前 |
設定パラメータ |
|---|---|---|---|
ハブ |
セキュリティ ポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。 |
local-to-spokes |
|
セキュリティ ポリシーは、vpnゾーンからtrustゾーンへのトラフィックを許可します。 |
spokes-to-local |
一致する条件:
|
|
セキュリティポリシーは、イントラゾーンのトラフィックを許可します。 |
spoke-to-spoke |
一致する条件:
|
|
スポーク |
セキュリティ ポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。 |
to-corp |
|
セキュリティ ポリシーは、vpnゾーンからtrustゾーンへのトラフィックを許可します。 |
from-corp |
一致する条件:
|
|
セキュリティ ポリシーは、untrustゾーンからtrustゾーンへのトラフィックを許可します。 |
permit-any |
一致する条件:
|
目的 |
設定パラメータ |
|---|---|
TCC-MSSは、TCPスリーウェイハンドシェイクの一部としてネゴシエートされ、TCPセグメントの最大サイズをネットワークのMTU制限に適応するよう制限します。VPNトラフィックの場合、IPsecカプセル化のオーバーヘッドと、IPおよびフレームのオーバーヘッドにより、物理インターフェイスのMTUを超えるESPパケットが発生する可能性があります。これは、フラグメント化を引き起こします。フラグメント化は、帯域幅とデバイスリソースの使用増加の原因となります。 MTUが1500以上のイーサネットベースのネットワークでは、ほとんどの場合で開始値として1350をお勧めします。最適なパフォーマンスを実現するためには、さまざまなTCP-MSS値を試す必要があるかもしれません。たとえば、パス内にMTUが小さいデバイスが存在したり、PPPやフレーム リレーなどの追加オーバーヘッドがあったりすると、値を変更する必要がある場合もあります。 |
MSS値:1350 |
設定
- ハブの基本的なネットワーク、セキュリティゾーンおよびアドレス帳情報の設定
- ハブのIKEの設定
- ハブのIPsecの設定
- ハブのセキュリティポリシーの設定
- ハブのTCP-MSSの設定
- ウェストフォードのスポークの基本的なネットワーク、セキュリティゾーンおよびアドレス帳情報の設定
- ウェストフォードのスポークのIKEの設定
- ウェストフォードのスポークのIPsecの設定
- ウェストフォードのスポークのセキュリティポリシーの設定
- ウェストフォードのスポークのTCP-MSSの設定
- サニーベールのスポークの設定
ハブの基本的なネットワーク、セキュリティゾーンおよびアドレス帳情報の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.10.0/24 set security address-book book1 attach zone trust set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 address westford-net 192.168.178.0/24 set security address-book book2 attach zone vpn
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
ハブの基本的なネットワーク、セキュリティゾーンおよびアドレス帳情報を設定するには、次の手順に従います。
イーサネット インターフェイス情報を設定します。
[edit] user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
静的ルートの情報を設定します。
[edit] user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
untrustセキュリティ ゾーンを設定します。
[edit ] user@hub# set security zones security-zone untrust
untrust セキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone untrust] user@hub# set interfaces ge-0/0/3.0
untrustセキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit security zones security-zone untrust] user@hub# set host-inbound-traffic system-services ike
trustセキュリティ ゾーンを設定します。
[edit] user@hub# edit security zones security-zone trust
trustセキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone trust] user@hub# set interfaces ge-0/0/0.0
trustセキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit security zones security-zone trust] user@hub# set host-inbound-traffic system-services all
アドレス帳を作成し、そのアドレス帳にゾーンをアタッチします。
[edit security address-book book1] user@hub# set address local-net 10.10.10.0/24 user@hub# set attach zone trust
vpnセキュリティ ゾーンを設定します。
[edit] user@hub# edit security zones security-zone vpn
vpnセキュリティゾーンにインターフェイスを割り当てます。
[edit security zones security-zone vpn] user@hub# set interfaces st0.0
アドレス帳をもう1つ作成し、そのアドレス帳にゾーンをアタッチします。
[edit security address-book book2] user@hub# set address sunnyvale-net 192.168.168.0/24 user@hub# set address westford-net 192.168.178.0/24 user@hub# set attach zone vpn
結果
設定モードから、show interfaces 、show routing-options、show security zones、およびshow security address-book のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ハブのIKEの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-westford external-interface ge-0/0/3.0 set security ike gateway gw-westford ike-policy ike-phase1-policy set security ike gateway gw-westford address 10.3.3.2 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy set security ike gateway gw-sunnyvale address 10.2.2.2
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
ハブのIKEを設定するには、次の手順に従います。
IKEフェーズ1のプロポーザルを作成します。
[edit security ike] user@hub# set proposal ike-phase1-proposal
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-method pre-shared-keys
IKEプロポーザルのDiffie-hellmanグループを定義します。
[edit security ike proposal ike-phase1-proposal] user@hub# set dh-group group2
IKEプロポーザルの認証アルゴリズムを定義します。
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-algorithm sha1
IKEプロポーザルの暗号化アルゴリズムを定義します。
[edit security ike proposal ike-phase1-proposal] user@hub# set encryption-algorithm aes-128-cbc
IKEポリシー1のポリシーを作成します。
[edit security ike] user@hub# set policy ike-phase1-policy
IKEフェーズ1ポリシーモードを設定します。
[edit security ike policy ike-phase1-policy] user@hub# set mode main
IKEプロポーザルへのリファレンスを指定します。
[edit security ike policy ike-phase1-policy] user@hub# set proposals ike-phase1-proposal
IKEフェーズ1ポリシー認認証方法を定義します。
[edit security ike policy ike-phase1-policy] user@hub# set pre-shared-key ascii-text “$ABC123”
IKE フェーズ 1 ゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike] user@hub# set gateway gw-westford external-interface ge-0/0/3.0
IKEフェーズ1のポリシーリファレンスを定義します。
[edit security ike] user@hub# set gateway gw-westford ike-policy ike-phase1-policy
IKEフェーズ1のゲートウェイアドレスを定義します。
[edit security ike] user@hub# set gateway gw-westford address 10.3.3.2
IKE フェーズ 1 ゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike] user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
IKEフェーズ1のポリシーリファレンスを定義します。
[edit security ike gateway] user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
IKEフェーズ1のゲートウェイアドレスを定義します。
[edit security ike gateway] user@hub# set gateway gw-sunnyvale address 10.2.2.2
結果
設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ハブのIPsecの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-westford ike gateway gw-westford set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-westford bind-interface st0.0 set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-sunnyvale bind-interface st0.0 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
ハブのIPsecを設定するには、次の手順に従います。
IPsecフェーズ2のプロポーザルを作成します。
[edit] user@hub# set security ipsec proposal ipsec-phase2-proposal
IPsecフェーズ2のプロポーザルプロトコルを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set protocol esp
IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set authentication-algorithm hmac-sha1-96
IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set encryption-algorithm aes-128-cbc
IPsecフェーズ2のポリシーを作成します。
[edit security ipsec] user@hub# set policy ipsec-phase2-policy
IPsecフェーズ2のプロポーザルリファレンスを指定します。
[edit security ipsec policy ipsec-phase2-policy] user@hub# set proposals ipsec-phase2-proposal
IPsecフェーズ2のPFSがDiffie-Hellman group 2を使用するよう指定します。
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
IKEゲートウェイを指定します。
[edit security ipsec] user@hub# set vpn vpn-westford ike gateway gw-westford user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
IPsecフェーズ2のポリシーを指定します。
[edit security ipsec] user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
バインドするインターフェイスを指定します。
[edit security ipsec] user@hub# set vpn vpn-westford bind-interface st0.0 user@hub# set vpn vpn-sunnyvale bind-interface st0.0
st0インターフェイスをマルチポイントとして指定します。
[edit] user@hub# set interfaces st0 unit 0 multipoint
サニーベールとウェストフォード支店のNHTBテーブルに静的エントリーを追加します。
[edit] user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
結果
設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ハブのセキュリティポリシーの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net set security policies from-zone trust to-zone vpn policy local-to-spokes match application any set security policies from-zone trust to-zone vpn policy local-to-spokes then permit set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net set security policies from-zone vpn to-zone trust policy spokes-to-local match application any set security policies from-zone vpn to-zone trust policy spokes-to-local then permit set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
ハブのセキュリティポリシーを設定するには、次の手順に従います。
trustゾーンからvpnゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone trust to-zone vpn] user@hub# set policy local-to-spokes match source-address local-net user@hub# set policy local-to-spokes match destination-address sunnyvale-net user@hub# set policy local-to-spokes match destination-address westford-net user@hub# set policy local-to-spokes match application any user@hub# set policy local-to-spokes then permit
vpnゾーンからtrustゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone vpn to-zone trust] user@hub# set policy spokes-to-local match source-address sunnyvale-net user@hub# set policy spokes-to-local match source-address westford-net user@hub# set policy spokes-to-local match destination-address local-net user@hub# set policy spokes-to-local match application any user@hub# set policy spokes-to-local then permit
イントラゾーンのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone vpn to-zone vpn] user@hub# set policy spoke-to-spoke match source-address any user@hub# set policy spoke-to-spoke match destination-address any user@hub# set policy spoke-to-spoke match application any user@hub# set policy spoke-to-spoke then permit
結果
設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ハブのTCP-MSSの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security flow tcp-mss ipsec-vpn mss 1350
ステップバイステップでの手順
ハブのTCP-MSS情報を設定するには、次の手順に従います。
TCP-MSS情報を設定します。
[edit] user@hub# set security flow tcp-mss ipsec-vpn mss 1350
結果
設定モードから、show security flowコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ウェストフォードのスポークの基本的なネットワーク、セキュリティゾーンおよびアドレス帳情報の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 set interfaces st0 unit 0 family inet address 10.11.11.12/24 set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.178.0/24 set security address-book book1 attach zone trust set security address-book book2 address corp-net 10.10.10.0/24 set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 attach zone vpn
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
ウェストフォードのスポークの基本的なネットワーク、セキュリティゾーンおよびアドレス帳情報を設定するには、次の手順に従います。
イーサネット インターフェイス情報を設定します。
[edit] user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
静的ルートの情報を設定します。
[edit] user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
untrustセキュリティ ゾーンを設定します。
[edit] user@spoke# set security zones security-zone untrust
セキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone untrust] user@spoke# set interfaces ge-0/0/0.0
untrustセキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit security zones security-zone untrust] user@spoke# set host-inbound-traffic system-services ike
trustセキュリティ ゾーンを設定します。
[edit] user@spoke# edit security zones security-zone trust
trustセキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone trust] user@spoke# set interfaces ge-0/0/3.0
trustセキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit security zones security-zone trust] user@spoke# set host-inbound-traffic system-services all
vpnセキュリティ ゾーンを設定します。
[edit] user@spoke# edit security zones security-zone vpn
vpnセキュリティゾーンにインターフェイスを割り当てます。
[edit security zones security-zone vpn] user@spoke# set interfaces st0.0
アドレス帳を作成し、そのアドレス帳にゾーンをアタッチします。
[edit security address-book book1] user@spoke# set address local-net 192.168.178.0/24 user@spoke# set attach zone trust
アドレス帳をもう1つ作成し、そのアドレス帳にゾーンをアタッチします。
[edit security address-book book2] user@spoke# set address corp-net 10.10.10.0/24 user@spoke# set address sunnyvale-net 192.168.168.0/24 user@spoke# set attach zone vpn
結果
設定モードから、show interfaces 、show routing-options、show security zones、およびshow security address-book のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
route 10.10.10.0/24 next-hop 10.11.11.10;
}
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
attach {
zone vpn;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ウェストフォードのスポークのIKEの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-corporate external-interface ge-0/0/0.0 set security ike gateway gw-corporate ike-policy ike-phase1-policy set security ike gateway gw-corporate address 10.1.1.2
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
ウェストフォードのスポークのIKEを設定するには、次の手順に従います。
IKEフェーズ1のプロポーザルを作成します。
[edit security ike] user@spoke# set proposal ike-phase1-proposal
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-method pre-shared-keys
IKEプロポーザルのDiffie-hellmanグループを定義します。
[edit security ike proposal ike-phase1-proposal] user@spoke# set dh-group group2
IKEプロポーザルの認証アルゴリズムを定義します。
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-algorithm sha1
IKEプロポーザルの暗号化アルゴリズムを定義します。
[edit security ike proposal ike-phase1-proposal] user@spoke# set encryption-algorithm aes-128-cbc
IKEポリシー1のポリシーを作成します。
[edit security ike] user@spoke# set policy ike-phase1-policy
IKEフェーズ1ポリシーモードを設定します。
[edit security ike policy ike-phase1-policy] user@spoke# set mode main
IKEプロポーザルへのリファレンスを指定します。
[edit security ike policy ike-phase1-policy] user@spoke# set proposals ike-phase1-proposal
IKEフェーズ1ポリシー認認証方法を定義します。
[edit security ike policy ike-phase1-policy] user@spoke# set pre-shared-key ascii-text “$ABC123”
IKE フェーズ 1 ゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike] user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
IKEフェーズ1のポリシーリファレンスを定義します。
[edit security ike] user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
IKEフェーズ1のゲートウェイアドレスを定義します。
[edit security ike] user@spoke# set gateway gw-corporate address 10.1.1.2
結果
設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
ike-policy ike-phase1-policy;
address 10.1.1.2;
external-interface ge-0/0/0.0;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ウェストフォードのスポークのIPsecの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-corporate ike gateway gw-corporate set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-corporate bind-interface st0.0
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
ウェストフォードのスポークのIPsecを設定するには、次の手順に従います。
IPsecフェーズ2のプロポーザルを作成します。
[edit] user@spoke# set security ipsec proposal ipsec-phase2-proposal
IPsecフェーズ2のプロポーザルプロトコルを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set protocol esp
IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set authentication-algorithm hmac-sha1-96
IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set encryption-algorithm aes-128-cbc
IPsecフェーズ2のポリシーを作成します。
[edit security ipsec] user@spoke# set policy ipsec-phase2-policy
IPsecフェーズ2のプロポーザルリファレンスを指定します。
[edit security ipsec policy ipsec-phase2-policy] user@spoke# set proposals ipsec-phase2-proposal
IPsecフェーズ2のPFSがDiffie-Hellman group 2を使用するよう指定します。
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
IKEゲートウェイを指定します。
[edit security ipsec] user@spoke# set vpn vpn-corporate ike gateway gw-corporate
IPsecフェーズ2ポリシーを指定します。
[edit security ipsec] user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
バインドするインターフェイスを指定します。
[edit security ipsec] user@spoke# set vpn vpn-corporate bind-interface st0.0
結果
設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ウェストフォードのスポークのセキュリティポリシーの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy to-corporate application any set security policies from-zone trust to-zone vpn policy to-corporate then permit set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net set security policies from-zone vpn to-zone trust policy from-corporate application any set security policies from-zone vpn to-zone trust policy from-corporate then permit
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
ウェストフォードのスポークのセキュリティポリシーを設定するには、次の手順に従います。
trustゾーンからvpnゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone trust to-zone vpn] user@spoke# set policy to-corp match source-address local-net user@spoke# set policy to-corp match destination-address corp-net user@spoke# set policy to-corp match destination-address sunnyvale-net user@spoke# set policy to-corp match application any user@spoke# set policy to-corp then permit
vpnゾーンからtrustゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone vpn to-zone trust] user@spoke# set policy spokes-to-local match source-address corp-net user@spoke# set policy spokes-to-local match source-address sunnyvale-net user@spoke# set policy spokes-to-local match destination-address local-net user@spoke# set policy spokes-to-local match application any user@spoke# set policy spokes-to-local then permit
結果
設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ウェストフォードのスポークのTCP-MSSの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security flow tcp-mss ipsec-vpn mss 1350
ステップバイステップでの手順
ウェストフォードのスポークのTCP-MSSを設定するには、次の手順に従います。
TCP-MSS情報を設定します。
[edit] user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
結果
設定モードから、show security flowコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
サニーベールのスポークの設定
CLIクイック構成
この例では、サニーベールのスポークにSSGシリーズデバイスを使用します。参照用に、SSGシリーズ デバイスの設定が提供されています。SSGシリConcepts and Examples ScreenOS Reference Guideーズデバイスの構成については、https://www.juniper.net/documentationにあるをご参照ください。
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set zone name "VPN" set interface ethernet0/6 zone "Trust" set interface "tunnel.1" zone "VPN" set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0 set address "VPN" "corp-net" 10.10.10.0 255.255.255.0 set address "VPN" "westford-net" 192.168.178.0 255.255.255.0 set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard set vpn corp-vpn monitor optimized rekey set vpn "corp-vpn" bind interface tunnel.1 set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit set policy id 2 exit set dst-address "westford-net" exit set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit set policy id 3 set src-address "westford-net" exit set route 10.10.10.0/24 interface tunnel.1 set route 192.168.178.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- IKEフェーズ1のステータスの確認
- IPsecフェーズ2のステータスの確認
- ネクストホップトンネルバインディングの確認
- リモートピアローカルLANの静的ルートの確認
- IPsecセキュリティ アソシエーションの統計情報とエラーの確認
- VPN全体におけるトラフィック フローのテスト
IKEフェーズ1のステータスの確認
目的
IKEフェーズ1ステータスを確認します。
対処
確認プロセスを開始する前に、192.168.10/24ネットワーク内のホストから192.168.168/24および192.168.178/24ネットワーク内のホストへとトラフィックを送信してトンネルを立ち上げる必要があります。ルートベースのVPNでは、SRXシリーズファイアウォールから開始されたトラフィックをトンネルを通じて送信できます。IPsecトンネルを検証する際には、VPNの片側にある異なるデバイスからVPNの反対側にある別のデバイスへと検証用トラフィックを送信することをお勧めします。例えば、192.168.10.10から192.168.168.10へとpingを開始します。
動作モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。
user@hub> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main 7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for done意味
show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。
SAが表示される場合は、次の情報を確認します。
インデックス—この値は、各IKE SAに固有のもので、
show security ike security-associations index detailコマンドで使用すると、SAの詳細な情報を得ることができます。Remote Address - リモート IP アドレスが正しいかどうかを確認します。
都道府県
UP - フェーズ1のSAが確立されました。
DOWN - フェーズ1のSAの確立に問題がありました。
Mode:正しいモードが使用されていることを確認してください。
設定で次の情報が正しいことを確認します。
外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)
IKEポリシー パラメータ
事前共有鍵情報
フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)
show security ike security-associations index 1 detailコマンドは、インデックス番号1のセキュリティ アソシエーションに関する追加情報を表示します。
使用している認証および暗号化アルゴリズム
フェーズ1のライフタイム
トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)
開始側と応答側のロール情報
トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。
作成されたIPsec SAの数
進行中のフェーズ2ネゴシエーションの数
IPsecフェーズ2のステータスの確認
目的
IPsec フェーズ 2 のステータスを確認します。
対処
動作モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。
user@hub> show security ipsec security-associations total configured sa: 4 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0 >16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
意味
show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。
ID番号は16385です。この値を
show security ipsec security-associations indexコマンドと併用して、この特定のSAに関する詳細情報を取得します。ポート500を使用する1つのIPsec SAペアがあり、NATトラバーサルが未実装であることを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな数字の大きいポートを使用します。)
両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。28756/ unlimの値は、フェーズ2のライフタイムは28756秒で終了し、ライフサイズは指定されていないため無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。
月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。
仮想システム(vsys)はルート システムであり、常に0が表示されます。
show security ipsec security-associations index 16385 detailコマンドからの出力には、次の情報が表示されます。
ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。
プロキシIDの不一致は、フェーズ2の失敗で最もよくある原因の1つです。IPsec SAがリストにない場合、プロキシID設定を含むフェーズ2のプロポーザルが両方のピアで正しいことを確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。
フェーズ2の失敗でよくある理由のもう1つに、STインターフェイスのバインディングが指定されていないことがあります。IPsecを完了できない場合は、kmdログを確認するか、トレース オプションを設定します。
ネクストホップトンネルバインディングの確認
目的
すべてのピアでフェーズ2が完了したらネクストホップトンネルバインディングを確認します。
対処
動作モードからshow security ipsec next-hop-tunnelsコマンドを入力します。
user@hub> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag 10.11.11.11 st0.0 sunnyvale-vpn Static 10.11.11.12 st0.0 westford-vpn Auto
意味
Next-hop gatewaysは、すべてのリモートスポークピアのst0インターフェイスのIPアドレスです。Next hopは、適切なIPsec VPN名に関連付けられているはずです。NHTBエントリーがない場合、ハブデバイスは、どのIPsec VPNがどのネクストホップと関連付けられているのか差別化することができません。
Flagフィールドは、次のいずれかの値になります。
Static - NHTBは、st0.0インターフェイス設定で手動設定されました。これは、ピアがSRXシリーズファイアウォールでない場合に必要となります。
Auto - NHTBは設定されていませんが、2台のSRXシリーズファイアウォール間のフェーズ2のネゴシエーションの際に、エントリーがNHTBテーブルへ自動入力されました。
この例では、スポークサイトのいずれにもNHTBテーブルはありません。スポークの視点から見ると、st0インターフェイスは依然、単一のIPsec VPNバインディングとのポイントツーポイントリンクです。
リモートピアローカルLANの静的ルートの確認
目的
静的ルートが、スポークピアのst0 IPアドレスを参照することを確認します。
対処
動作モードからshow routeコマンドを入力します。
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.168.0/24 *[Static/5] 00:08:33
> to 10.11.11.11 via st0.0user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.178.0/24 *[Static/5] 00:04:04
> to 10.11.11.12 via st0.0ネクストホップはリモートピアのst0 IPアドレスで、どちらのルートでも発信インターフェイスとしてst0.0が示されています。
IPsecセキュリティ アソシエーションの統計情報とエラーの確認
目的
IPsecセキュリティ アソシエーションにおける、ESPおよび認証ヘッダーのカウンターとエラーを確認します。
対処
動作モードからshow security ipsec statistics indexコマンドを入力します。
user@hub> show security ipsec statistics index 16385 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
show security ipsec statisticsコマンドを使用して、すべてのSAの統計情報とエラーを確認することもできます。
すべてのIPsec統計情報を消去するには、clear security ipsec statisticsコマンドを使用します。
意味
VPN全体でパケット損失の問題が発生した場合、show security ipsec statisticsまたはshow security ipsec statistics detailのコマンドを数回実行して、暗号化および復号化されたパケット カウンターが増加していることを確認できます。加えて、他のエラー カウンターが増加しているかどうかも確認する必要があります。
VPN全体におけるトラフィック フローのテスト
目的
VPN全体で、トラフィックフローを検証します。
対処
SRXシリーズファイアウォールからpingコマンドを使用して、リモートホストPCへのトラフィックフローをテストできます。ルート ルックアップが正しく実行され、ポリシー ルックアップで適切なセキュリティ ゾーンが参照されるように、ソース インターフェイスを指定してください。
動作モードからpingコマンドを入力します。
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
SSGシリーズ デバイスから、pingコマンドを使用することもできます。
user@hub> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms
意味
SRXシリーズまたはSSGシリーズ デバイスからのpingコマンドが失敗した場合は、ルーティング、セキュリティ ポリシー、エンド ホスト、ESPパケットの暗号化または復号化に問題がある可能性があります。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
[edit security ike gateway gateway_name dynamic distinguished-name]層ではおよびcontainer-stringwildcard-stringから動的DN属性が1つだけ設定できるようになりました。1つ目の属性を設定した後に2つ目の属性を設定しようとすると、1つ番目の属性が2つ目の属性に置き換えられます。デバイスをアップグレードする前に、両方の属性を設定していた場合、属性を1つ削除する必要があります。