このページの内容
IPsec VPN構成の概要
Junos OSのVPN設定については、このトピックをお読みください。
VPN接続は、2つのLAN(サイト間VPN)またはリモートのダイヤルアップユーザーとLANをリンクできます。これら2つのポイント間を流れるトラフィックは、パブリックWANを構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを通過します。IPsecトンネルは、VPN通信を保護するために、2台の参加デバイス間に作成されます。
自動キーによる IPsec IKE 設定の概要
IPsec VPNのネゴシエーションには2つのフェーズが存在します。フェーズ1では、参加者はIPsecセキュリティアソシエーション(SA)をネゴシエートするためのセキュアなチャネルを確立します。フェーズ2では、参加者はトンネルを通過するトラフィックを認証するためにIPsec SAとネゴシエートします。
この概要では、自動キー IKE(事前共有キーまたは証明書)を使用してルートベースまたはポリシーベースの IPsec VPN を設定する基本的な手順について説明します。
自動キー IKE を使用してルートベースまたはポリシーベースの IPsec VPN を設定するには:
関連項目
静的 IP アドレスを持つサイト間 VPN の推奨構成オプション
表1 は、静的IPアドレスを持つ2台のセキュリティデバイス間の汎用サイト間VPNの設定オプションを示しています。VPN にはルートベースのものとポリシーベースのものがあります。
構成オプション |
コメント |
|---|---|
IKE構成オプション: |
|
メイン モード |
ピアが静的IPアドレスを持っている場合に使用します。 |
RSA または DSA 認定書 |
RSA または DSA 証明書は、ローカル デバイスで使用できます。ピアの証明書の種類(PKCS7 または X.509)を指定します。 |
Diffie-Hellman(DH)グループ 14 |
DH グループ 14 は、DH グループ 1、2、5 よりも高いセキュリティを提供します。 |
高度暗号化標準(AES)暗号化 |
AES は、鍵長が同じであれば、DES(Data Encryption Standard)や3DES(Triple DES)よりも高い暗号強度を有します。連邦情報処理標準(FIPS)およびコモンクライテリア EAL4 標準で承認された暗号化アルゴリズム。 |
セキュアハッシュアルゴリズム256(SHA-256)認証 |
SHA-256 は、SHA-1 やメッセージ ダイジェスト 5(MD5)よりも高い暗号化セキュリティを提供します。 |
IPsec 構成オプション: |
|
完全転送機密保持(PFS)DH グループ 14 |
PFS DH グループ 14 では、ピアが 2 回目の DH 交換を行い、IPsec の暗号化と復号化に使用する鍵を生成するため、セキュリティが向上します。 |
カプセル化セキュリティペイロード(ESP)プロトコル |
ESP は、元の IP パケットを暗号化してカプセル化することで機密性を確保し、認証によって完全性を確保します。 |
AES 暗号化 |
AES は、鍵長が同じであれば、DES や 3DES よりも高い暗号強度を有します。FIPS およびコモン クライテリア EAL4 標準で承認された暗号化アルゴリズム。 |
SHA-256 認証 |
SHA-256 は、SHA-1 や MD5 よりも高い暗号化セキュリティを提供します。 |
アンチリプレイ保護 |
デフォルトでは有効になっています。この機能を無効にすると、サードパーティ製のピアとの互換性の問題が解決する場合があります。 |
関連項目
動的 IP アドレスを持つサイト間 VPN またはダイヤルアップ VPN の推奨設定オプション
表2 は、一般的なサイト間VPNまたはダイヤルアップVPNで、ピアデバイスが動的IPアドレスを持つ場合の設定オプションを示しています。
構成オプション |
コメント |
|---|---|
IKE構成オプション: |
|
メイン モード |
証明書で使用されます。 |
2048 ビットの証明書 |
RSA または DSA の認定書を使用できます。ローカルデバイスで使用する証明書を指定します。ピアの証明書の種類(PKCS7 または X.509)を指定します。 |
Diffie-Hellman(DH)グループ 14 |
DH グループ 14 は、DH グループ 1、2、5 よりも高いセキュリティを提供します。 |
高度暗号化標準(AES)暗号化 |
AES は、鍵長が同じであれば、DES(Data Encryption Standard)や3DES(Triple DES)よりも高い暗号強度を有します。連邦情報処理標準(FIPS)およびコモンクライテリア EAL4 標準で承認された暗号化アルゴリズム。 |
セキュアハッシュアルゴリズム256(SHA-256)認証 |
SHA-256 は、SHA-1 やメッセージ ダイジェスト 5(MD5)よりも高い暗号化セキュリティを提供します。 |
IPsec 構成オプション: |
|
完全転送機密保持(PFS)DH グループ 14 |
PFS DH グループ 14 では、ピアが 2 回目の DH 交換を行い、IPsec の暗号化と復号化に使用する鍵を生成するため、セキュリティが向上します。 |
カプセル化セキュリティペイロード(ESP)プロトコル |
ESP は、元の IP パケットを暗号化してカプセル化することで機密性を確保し、認証によって完全性を確保します。 |
AES 暗号化 |
AES は、鍵長が同じであれば、DES や 3DES よりも高い暗号強度を有します。FIPS およびコモン クライテリア EAL4 標準で承認された暗号化アルゴリズム。 |
SHA-256 認証 |
SHA-256 は、SHA-1 や MD5 よりも高い暗号化セキュリティを提供します。 |
アンチリプレイ保護 |
デフォルトでは有効になっています。これを無効にすると、サードパーティ製のピアとの互換性の問題が解決する場合があります。 |
関連項目
動的なエンドポイントを持つIPsec VPNについて
概要
IPsec VPNピアは、VPN接続を確立するピアに認知されないIPアドレスを持つことができます。例えば、ピアには、ダイナミックホスト構成プロトコル(DHCP)を使用してIPアドレスを動的に割り当てることができます。これは、支社やホームオフィスのリモートアクセスクライアントや、物理的に異なる場所間を移動するモバイルデバイスに当てはまるかもしれません。または、ピアをNATデバイスの背後に配置して、ピアの元の送信元IPアドレスを別のアドレスに変換することもできます。不明なIPアドレスを持つVPNピアは 動的エンドポイント と呼ばれ、動的エンドポイントで確立されたVPNは 動的エンドポイントVPNと呼ばれます。
SRXシリーズファイアウォールでは、IKEv1またはIKEv2は動的エンドポイントVPNでサポートされます。SRXシリーズファイアウォール上の動的エンドポイントVPNは、セキュアトンネル上のIPv4トラフィックをサポートします。SRXシリーズファイアウォール上の動的エンドポイントVPNは、セキュアトンネル上のIPv6トラフィックをサポートします。
IPv6トラフィックは、AutoVPNネットワークではサポートされていません。
次のセクションでは、動的エンドポイントでVPNを設定する際に注意すべき項目について説明します。
IKE ID
動的エンドポイントでは、デバイスがピアに対して自身を識別するために、デバイスに IKE ID を設定する必要があります。動的エンドポイントのローカルIDは、ピアで検証されます。デフォルトでは、SRXシリーズファイアウォールは、IKE IDが次のいずれかになると予測します。
証明書を使用する場合、識別名(DN)を使用してユーザーまたは組織を識別できます。
エンドポイントを識別するホスト名または完全修飾ドメイン名(FQDN)。
ユーザー完全修飾ドメイン名(UFQDN)( ホスト名にあるユーザーとも呼ばれます)。これは、電子メールアドレス形式に続く文字列です。
IKEv1ポリシーのアグレッシブモード
IKEv1を動的エンドポイントVPNと共に使用する場合は、IKEポリシーをアグレッシブモード向けに設定する必要があります。
IKEポリシーと外部インターフェイス
同じ外部インターフェイスを使用するSRXシリーズファイアウォールで設定された動的エンドポイントゲートウェイはすべて、異なるIKEポリシーを使用できますが、IKEポリシーは同じIKEプロポーザルを使用する必要があります。これは、IKEv1およびIKEv2に適用されます。
NAT
動的エンドポイントがNATデバイスの背後にある場合、SRXシリーズファイアウォールでNAT-Tを設定する必要があります。VPNピア間の接続中にNAT変換を維持するために、NATキープアライブが必要になる場合があります。デフォルトでは、NAT-TはSRXシリーズファイアウォールで有効になっており、NATキープアライブは20秒間隔で送信されます。
グループおよび共有 IKE ID
動的エンドポイントごとに個々のVPNトンネルを設定できます。IPv4動的エンドポイントVPNでは、グループIKE IDまたは共有IKE ID機能を使用して、多数の動的エンドポイントでIKEゲートウェイ設定を共有することができます。
グループIKE ID を使用すると、「example.net」など、すべての動的エンドポイントの完全なIKE ID の共通部分を定義できます。ユーザー名「Bob」などのユーザー固有の部分を共通部分と連結させることで、各ユーザー接続を一意に識別するフルIKE ID(Bob.example.net)を形成します。
共有 IKE ID により、動的エンドポイントは単一の IKE ID と事前共有キーを共有できます。
関連項目
IKE IDの設定について
IKE識別子(IKE ID)は、IKEネゴシエーション中にVPNピアデバイスの検証に使用されます。SRXシリーズファイアウォールがリモートピアから受信したIKE IDは、IPv4またはIPv6アドレス、ホスト名、完全修飾ドメイン名(FQDN)、ユーザーFQDN(UFQDN)、または識別名(DN)にすることができます。リモートピアから送信されたIKE IDは、SRXシリーズファイアウォールが期待するものと一致する必要があります。そうでない場合、IKE ID検証は失敗し、VPNは確立されません。
IKE IDタイプ
SRXシリーズファイアウォールは、リモートピアに対して以下のタイプのIKE IDをサポートしています。
IPv4またはIPv6アドレスは、一般的にサイト間のVPNで使用され、リモートピアは静的IPアドレスを持っています。
ホスト名は、リモートピアシステムを識別する文字列です。これは、IPアドレスを解決するFQDNになることがあります。また、特定のリモートユーザーを識別するために IKE ユーザータイプと組み合わせて使用される部分的な FQDN にすることもできます。
IPアドレスの代わりにホスト名を設定した場合、コミットされた設定とその後のトンネル確立は、現在解決されているIPアドレスに基づきます。リモートピアのIPアドレスを変更すると、設定が有効ではなくなります。
UFQDNは、
user@example.comなどの電子メールアドレスと同じ形式の文字列です。DNは、ユーザーを一意的に識別するためにデジタル証明書に使用される名前です。たとえば、DNは「CN=user、DC=example、DC=com」となる可能性があります。オプションとして、
containerキーワードを使用して、DNのフィールドの順序とその値が設定されたDNと完全に一致するように指定するか、wildcardキーワードを使用して、DNのフィールドの値は一致する必要があるが、フィールドの順序は関係ないように指定できます。これで、
container-stringと階層のwildcard-stringの間で動的DN属性を1つだけ設定できます[edit security ike gateway gateway_name dynamic distinguished-name]。最初の属性を設定した後に2番目の属性を設定しようとすると、最初の属性が2番目の属性に置き換えられます。デバイスをアップグレードする前に、両方の属性を設定している場合は、属性の1つを削除する必要があります。IKEユーザータイプは、SRXシリーズファイアウォール上の同じVPNゲートウェイに複数のリモートピアが接続している場合に、AutoVPNとリモートアクセスVPNで使用できます。
ike-user-type group-ike-idを設定してグループIKE IDを指定するか、ike-user-type shared-ike-idを設定して共有IKE IDを指定します。
リモート IKE ID とサイト間 VPN
サイト間VPNの場合、リモートピアのIKE IDは、ピアデバイスの構成に応じて、エグレスネットワークインターフェイスカードのIPアドレス、ループバックアドレス、ホスト名、または手動で構成したIKE IDにすることができます。
デフォルトでは、SRXシリーズファイアウォールは、リモートピアのIKE IDがset security ike gateway gateway-name address設定で設定されたIPアドレスとなることを予測します。リモートピアのIKE IDが異なる値である場合は、[edit security ike gateway gateway-name]階層レベルでremote-identityステートメントを設定する必要があります。
たとえば、SRXシリーズファイアウォール上のIKEゲートウェイは、 set security ike gateway remote-gateway address 203.0.113.1 コマンドで設定されます。ただし、リモートピアから送信されるIKE IDは host.example.netです。SRXシリーズファイアウォールがリモートピアのIKE ID(203.0.113.1)に期待するものと、ピアから送信された実際のIKE ID(host.example.net)の間に不一致があります。この場合、IKE IDの検証は失敗します。リモートピアから受信したIKE IDと一致するように set security ike gateway remote-gateway remote-identity hostname host.example.net を使用します。
リモート IKE ID と動的エンドポイント VPN
動的エンドポイントVPNの場合、リモートピアに予想されるIKE IDは[edit security ike gateway gateway-name dynamic]階層レベルのオプションで設定されます。AutoVPNの場合、 hostname を ike-user-type group-ike-id と組み合わせることで、共通のドメイン名を持つ複数のピアに使用できます。ピアの検証に証明書を使用する場合は、DNを設定できます。
SRXシリーズファイアウォールのローカルIKE ID
デフォルトでは、SRXシリーズファイアウォールは、リモートピアへの外部インターフェイスのIPアドレスをIKE IDとして使用します。このIKE IDは、[edit security ike gateway gateway-name]階層レベルでlocal-identityステートメントを設定することで上書きできます。SRXシリーズファイアウォールでlocal-identityステートメントを設定する必要がある場合は、設定されているIKE IDがリモートピアが予測するIKE IDと一致するようにしてください。
関連項目
サイト間VPN用のリモートIKE IDの設定
デフォルトでは、SRXシリーズファイアウォールは、IKEゲートウェイに設定されたIPアドレスでピアから受信したIKE IDを検証します。特定のネットワーク設定では、ピアから受信したIKE ID(IPv4またはIPv6アドレス、完全修飾ドメイン名[FQDN]、識別名、または電子メールアドレス)が、SRXシリーズファイアウォールに設定されているIKEゲートウェイと一致しません。これにより、フェーズ 1 検証が失敗する可能性があります。
使用されたIKE IDのSRXシリーズファイアウォールまたはピアデバイスの設定を変更するには:
SRXシリーズファイアウォールで、[
edit security ike gateway gateway-name]階層レベルでremote-identityステートメントを設定し、ピアから受信したIKE IDと一致するようにします。値は、IPv4またはIPv6アドレス、FQDN、識別名、または電子メールアドレスのいずれかです。remote-identityを設定しない場合、デバイスはデフォルトでリモートピアに対応するIPv4またはIPv6アドレスを使用します。ピアデバイスで、IKE IDがSRXシリーズファイアウォールで設定された
remote-identityと同じであることを確認します。ピアデバイスがSRXシリーズファイアウォールである場合、[edit security ike gateway gateway-name]階層レベルでlocal-identityステートメントを設定します。値は、IPv4またはIPv6アドレス、FQDN、識別名、または電子メールアドレスのいずれかです。
関連項目
SRXシリーズファイアウォールでのOSPFおよびOSPFv3認証について
OSPFv3には認証方法が組み込まれていないため、IPsec(IPセキュリティ)スイートに依存してこの機能を提供できます。IPsecは、送信元認証、データ整合性、機密性、リプレイ保護、送信元否認防止を提供します。IPsec を使用して、特定の OSPFv3 インターフェイスと仮想リンクを確保し、OSPF パケットの暗号化を提供できます。
OSPFv3 は、IPsec プロトコルの IP 認証ヘッダー(AH)と IP カプセル化セキュリティ ペイロード(ESP)部分を使用して、ピア間のルーティング情報を認証します。AH は、コネクションレスの整合性とデータ送信元の認証を提供できます。リプレイに対する保護も提供します。AH は、IP ヘッダーと上位プロトコル データをできる限り認証します。ただし、一部のIPヘッダーフィールドはトランジットで変更される場合があります。これらのフィールドの値は送信者によって予測可能ではないため、AH によって保護できません。ESP は、暗号化と制限されたトラフィック フローの機密性またはコネクションレスの整合性、データ送信元の認証、アンチリプレイ サービスを提供できます。
IPsecはSA(セキュリティアソシエーション)に基づいています。SA は、IPsec 関係を確立するデバイス間でネゴシエートされる一連の IPsec 仕様です。このシンプレックス接続は、SA が伝送するパケットにセキュリティ サービスを提供します。これらの仕様には、IPsec接続を確立する際に使用される認証、暗号化、およびIPsecプロトコルのタイプの設定が含まれています。SA は、一方向に特定のフローを暗号化して認証するために使用されます。そのため、通常の双方向トラフィックでは、フローは一対の SA によって保護されます。OSPFv3 と併せて使用する SA は、手動で設定し、トランスポート モードを使用する必要があります。SA の両端で静的値を設定する必要があります。
OSPFまたはOSPFv3にIPsecを設定するには、まず[edit security ipsec]階層レベルでsecurity-association sa-nameオプションを使用して手動SAを定義します。この機能は、トランスポート モードでの双方向手動鍵 SA のみをサポートします。手動 SA では、ピア間のネゴシエーションは必要ありません。キーを含むすべての値は静的であり、設定で指定されます。手動 SA は、使用する SPI(セキュリティ パラメーター インデックス)の値、アルゴリズム、および鍵を静的に定義し、両方のエンドポイント(OSPF または OSPFv3 ピア)で一致する設定が必要です。その結果、各ピアには、通信を行うために同じ設定されたオプションが必要です。
暗号化および認証アルゴリズムの実際の選択は、IPsec 管理者に任されます。ただし、以下の推奨事項があります。
Null 暗号化と合わせて ESP を使用して、プロトコル ヘッダーに認証を提供しますが、IPv6 ヘッダー、拡張ヘッダー、およびオプションには提供しません。Null 暗号化では、プロトコル ヘッダーに暗号化を提供しないことを選択します。これは、トラブルシューティングとデバッグに役立ちます。Null 暗号化の詳細については、RFC 2410, The NULL Encryption Algorithm and Its Use with IPsecを参照してください。
完全な機密性のために DES または 3DES を持つ ESP を使用します。
AH を使用して、プロトコルヘッダー、IPv6 ヘッダーの不変フィールド、および拡張ヘッダーとオプションに認証を提供します。
設定された SA は、以下のように OSPF または OSPFv3 設定に適用されます。
OSPFまたはOSPFv3インターフェイスの場合は、[
edit protocols ospf area area-id interface interface-name]または[edit protocols ospf3 area area-id interface interface-name]階層レベルにipsec-sa nameステートメントを含めます。IPsec SA名は、OSPFまたはOSPFv3インターフェイスに1つだけ指定できます。ただし、異なる OSPF/OSPFv3 インターフェイスに同じ IPsec SA を指定できます。OSPFまたはOSPFv3仮想リンクについては、[
edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id]または[edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id]階層レベルにipsec-sa nameステートメントを含めます。同じリモートエンドポイントアドレスを持つすべての仮想リンクに、同じIPsec SAを設定する必要があります。
SRXシリーズファイアウォール上のOSPFまたはOSPFv3のIPsec認証には、以下の制限が適用されます。
[
edit security ipsec vpn vpn-name manual] 階層レベルで設定された手動 VPN 設定は、IPsec 認証と機密性を提供するために、OSPFまたは OSPFv3 インターフェイスまたは仮想リンクには適用できません。同じローカルアドレスとリモートアドレスを持つ既存のIPsec VPNがデバイスに設定されている場合、OSPFまたはOSPFv3認証にIPsecを設定できません。
OSPFまたはOSPFv3認証のIPsecは、セキュアトンネルst0インターフェイスではサポートされていません。
手動鍵の鍵更新はサポートされていません。
動的Internet Key Exchange(IKE)SAはサポートされていません。
IPsec トランスポート モードのみサポートされます。トランスポート モードでは、IP パケットのペイロード(転送するデータ)のみが暗号化または認証されるか、その両方が行われます。トンネル モードはサポートされていません。
双方向手動 SA のみがサポートされているため、すべての OSPFv3 ピアを同じ IPsec SA で設定する必要があります。手動双方向SAは、[
edit security ipsec]階層レベルで設定します。同じリモートエンドポイントアドレスを持つすべての仮想リンクに、同じIPsec SAを設定する必要があります。
関連項目
例:SRXシリーズファイアウォール上のOSPFインターフェイスのIPsec認証の設定
この例では、手動セキュリティアソシエーション(SA)を設定し、OSPFインターフェイスに適用する方法を示します。
要件
始める前に:
デバイスインターフェイスを設定します。
OSPFネットワーク内のデバイスのルーター識別子を設定します。
OSPF 指定ルーター選出を制御します。
単一エリア OSPF ネットワークを設定します。
マルチエリア OSPF ネットワークを設定します。
概要
OSPFとOSPFv3の両方でIPsec認証を使用できます。手動SAを別途設定し、該当するOSPF設定に適用します。 表3 は、この例で手動SA用に設定されたパラメーターと値を示しています。
パラメータ |
値 |
|---|---|
SA名 |
sa1 |
モード |
トランスポート |
方向 |
双方向 |
プロトコル |
AH |
SPI |
256 |
認証アルゴリズム カギ |
HMAC-MD5-96 (ASCII)123456789012abc |
暗号化アルゴリズム カギ |
DES (ASCII)cba210987654321 |
設定
手動SAの設定
CLIクイックコンフィグレーション
OSPFインターフェイスでIPsec認証に使用する手動SAをすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、[edit]階層レベルでコマンドをCLIにコピーアンドペーストして、設定モードから commit を入力します。
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
手動SAを設定するには:
SAの名前を指定します。
[edit] user@host# edit security ipsec security-association sa1
手動SAのモードを指定します。
[edit security ipsec security-association sa1] user@host# set mode transport
手動SAの向きを設定します。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional
使用するIPsecプロトコルを設定します。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional protocol ah
SPIの値を設定します。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional spi 256
認証アルゴリズムとキーを設定します。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
暗号化アルゴリズムとキーを設定します。
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
結果
show security ipsecコマンドを入力して、設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
パスワードを設定した後、パスワード自体は表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
OSPFインターフェイスのIPsec認証の有効化
CLIクイックコンフィグレーション
IPsec認証に使用する手動SAをOSPFインターフェイスに素早く適用するには、以下のコマンドをコピーしてテキストファイルに貼り付け、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストして、構成モードから commit を入力してください。
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
ステップバイステップの手順
OSPFインターフェイスのIPsec認証を有効にするには:
OSPFエリアを作成します。
OSPFv3を指定するには、
[edit protocols]階層レベルでospf3ステートメントを含めます。[edit] user@host# edit protocols ospf area 0.0.0.0
インターフェイスを指定します。
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
IPsecの手動SAを適用します。
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
結果
show ospf interface detailコマンドを入力して、設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
OSPFv3の設定を確認するために、 show protocols ospf3 コマンドを入力します。
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
IPsecセキュリティアソシエーション設定の検証
目的
構成されたIPsecセキュリティアソシエーション設定を確認します。次の情報を確認します。
セキュリティアソシエーションフィールドには、設定されているセキュリティアソシエーションの名前が表示されます。
SPIフィールドには、設定した値が表示されます。
モードフィールドには、トランスポートモードが表示されます。
タイプフィールドには、セキュリティアソシエーションのタイプとしてマニュアルが表示されます。
アクション
動作モードから、 show ospf interface detail コマンドを入力します。
VPN ウィザードを使用した IPsec VPN の設定
VPN ウィザードでは、フェーズ 1 とフェーズ 2 の両方を含む、IPsec VPN の基本的な設定を実行できます。より高度な設定を行うには、J-Web インターフェイスまたは CLI を使用します。この機能は、SRX300、SRX320、SRX340、SRX345、およびSRX550HMデバイスでサポートされています。
VPN ウィザードを使用して IPsec VPN を設定するには:
- J-Webインターフェイスで
Configure>Device Setup>VPNを選択します。 - [Launch VPN Wizard](VPN ウィザードの起動)ボタンをクリックします。
- ウィザードのプロンプトに従います。
ウィザードページの左上のエリアは、構成プロセスの進捗を示しています。ページの左下のエリアは、フィールドに対応するヘルプを示しています。リソース見出しの下のリンクをクリックすると、ブラウザーでドキュメントが開きます。ドキュメントが新しいタブで開いた場合は、ドキュメントを閉じる際、(ブラウザー ウィンドウではなく)タブのみを閉じるようにしてください。
関連項目
例:ハブアンドスポーク方式 VPN の設定
この例では、ハブアンドスポーク方式IPsec VPNをエンタープライズクラスの導入向けに設定する方法を示します。IKEv1およびIKEv2を使用したサイト間IPSec VPNについては、それぞれ IKEv1を使用したルートベースのIPsec VPN と IKEv1を使用したルートベースのIPsec VPN を参照してください。
要件
概要
この例では、支店/拠点での導入で通常みられるハブアンドスポーク方式VPNを設定する方法を説明します。ハブは本社です。スポークには、カリフォルニア州サニーベールの支店とマサチューセッツ州ウェストフォードの支店の2つのスポークがあります。支店のユーザーはVPNを使用して本社との安全なデータ転送を行います。
図1 は、ハブアンドスポーク方式VPNのトポロジーの例を示しています。このトポロジーでは、SRX5800デバイスが本社に配置されています。SRXシリーズファイアウォールはウェストフォード支社に配置されており、SSG140デバイスはサニーベール支社に配置されています。
この例では、本社のハブ、ウェストフォードのスポーク、サニーベールのスポークを設定します。まずは、インターフェイス、IPv4スタティックルートとデフォルトルート、セキュリティゾーン、アドレス帳を設定します。次に、IKEフェーズ1とIPsecフェーズ2のパラメーターを設定し、st0.0インターフェイスをIPsec VPNにバインドします。ハブでは、st0.0をマルチポイントに設定し、サニーベールのスポークに静的なNHTBテーブルエントリを追加します。最後に、セキュリティポリシーとTCP-MSSパラメーターを設定します。この例で使用されている特定の設定パラメーターについては、 表4 から 表8 を参照してください。
ハブまたはスポーク |
機能 |
名前 |
設定パラメータ |
|---|---|---|---|
ハブ |
インターフェイス |
ge-0/0/0.0 |
192.168.10.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
||
st0 |
10.11.11.10/24 |
||
スポーク |
インターフェイス |
ge-0/0/0.0 |
10.3.3.2/30 |
ge-0/0/3.0 |
192.168.178.1/24 |
||
st0 |
10.11.11.12/24 |
||
ハブ |
セキュリティゾーン |
信頼 |
|
信頼できない |
|
||
VPN |
st0.0インターフェイスは、このゾーンにバインドされています。 |
||
スポーク |
セキュリティゾーン |
信頼 |
|
信頼できない |
|
||
VPN |
st0.0インターフェイスは、このゾーンにバインドされています。 |
||
ハブ |
アドレス帳エントリー |
ローカルネット |
|
サニーベールネット |
|
||
ウェストフォードネット |
|
||
スポーク |
アドレス帳エントリー |
ローカルネット |
|
コーポレートネット |
|
||
サニーベールネット |
|
ハブまたはスポーク |
機能 |
名前 |
設定パラメータ |
|---|---|---|---|
ハブ |
プロポーザル |
IKE-phase1-proposal |
|
ポリシー |
IKEフェーズ1ポリシー |
|
|
ゲートウェイ |
GW-ウェストフォード |
|
|
GW-サニーベール |
|
||
スポーク |
プロポーザル |
IKE-phase1-proposal |
|
ポリシー |
IKEフェーズ1ポリシー |
|
|
ゲートウェイ |
GWコーポレート |
|
ハブまたはスポーク |
機能 |
名前 |
設定パラメータ |
|---|---|---|---|
ハブ |
プロポーザル |
ipsec-phase2-proposal |
|
ポリシー |
ipsecフェーズ2ポリシー |
|
|
VPN |
VPN-サニーベール |
|
|
VPN-ウェストフォード |
|
||
スポーク |
プロポーザル |
ipsec-phase2-proposal |
|
ポリシー |
ipsecフェーズ2ポリシー |
|
|
VPN |
VPN-コーポレート |
|
ハブまたはスポーク |
目的 |
名前 |
設定パラメータ |
|---|---|---|---|
ハブ |
セキュリティ ポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。 |
ローカルツースポーク |
|
セキュリティ ポリシーは、vpnゾーンからtrustゾーンへのトラフィックを許可します。 |
スポークからローカルへ |
一致する条件:
|
|
セキュリティポリシーは、イントラゾーンのトラフィックを許可します。 |
スポークツースポーク |
一致する条件:
|
|
スポーク |
セキュリティ ポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。 |
to-corp |
|
セキュリティ ポリシーは、vpnゾーンからtrustゾーンへのトラフィックを許可します。 |
フロムコーポレーション |
一致する条件:
|
|
セキュリティ ポリシーは、untrust ゾーンから trust ゾーンへのトラフィックを許可します。 |
許可-任意 |
一致する条件:
|
目的 |
設定パラメータ |
|---|---|
TCC-MSSは、TCPスリーウェイハンドシェイクの一部としてネゴシエートされ、TCPセグメントの最大サイズをネットワークのMTU制限に適応するように制限します。VPNトラフィックの場合、IPsecカプセル化のオーバーヘッドと、IPおよびフレームのオーバーヘッドにより、結果として発生するESPパケットが物理インターフェイスのMTUを超える可能性があり、これはフラグメント化を引き起こします。フラグメント化は、帯域幅とデバイスリソースの使用増加の原因となります。 MTU が 1500 以上のイーサネットベースのネットワークでは、1350 の値を推奨します。最適なパフォーマンスを得るには、さまざまなTCP-MSS値を試す必要があるかもしれません。例えば、パス内にMTUが小さいデバイスが存在したり、PPPやフレームリレーなどの追加オーバーヘッドがあったりすると、値を変更する必要がある場合があります。 |
MSS値:1350 |
設定
- ハブの基本的なネットワーク、セキュリティゾーン、アドレス帳情報の設定
- ハブの IKE の設定
- ハブのIPsecの設定
- ハブのセキュリティポリシーの設定
- ハブのTCP-MSSの設定
- ウェストフォードのスポークの基本的なネットワーク、セキュリティゾーン、アドレス帳情報の設定
- ウェストフォードのスポークの IKE の設定
- ウェストフォードのスポークのIPsecの設定
- ウェストフォードのスポークのセキュリティポリシーの設定
- ウェストフォードのスポークのTCP-MSSの設定
- サニーベールのスポークの設定
ハブの基本的なネットワーク、セキュリティゾーン、アドレス帳情報の設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.10.0/24 set security address-book book1 attach zone trust set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 address westford-net 192.168.178.0/24 set security address-book book2 attach zone vpn
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
ハブの基本的なネットワーク、セキュリティゾーン、アドレス帳情報を設定するには:
イーサネット インターフェイス情報を設定します。
[edit] user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
静的ルート情報を設定します。
[edit] user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
untrustセキュリティゾーンを設定します。
[edit ] user@hub# set security zones security-zone untrust
untrustセキュリティゾーンにインターフェイスを割り当てます。
[edit security zones security-zone untrust] user@hub# set interfaces ge-0/0/3.0
untrustセキュリティゾーンで許可されたシステムサービスを指定します。
[edit security zones security-zone untrust] user@hub# set host-inbound-traffic system-services ike
trustセキュリティ ゾーンを設定します。
[edit] user@hub# edit security zones security-zone trust
trustセキュリティゾーンにインターフェイスを割り当てます。
[edit security zones security-zone trust] user@hub# set interfaces ge-0/0/0.0
trust セキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit security zones security-zone trust] user@hub# set host-inbound-traffic system-services all
アドレス帳を作成し、そのアドレス帳にゾーンをアタッチします。
[edit security address-book book1] user@hub# set address local-net 10.10.10.0/24 user@hub# set attach zone trust
vpnセキュリティゾーンを設定します。
[edit] user@hub# edit security zones security-zone vpn
vpnセキュリティゾーンにインターフェイスを割り当てます。
[edit security zones security-zone vpn] user@hub# set interfaces st0.0
アドレス帳をもう1つ作成し、そのアドレス帳にゾーンをアタッチします。
[edit security address-book book2] user@hub# set address sunnyvale-net 192.168.168.0/24 user@hub# set address westford-net 192.168.178.0/24 user@hub# set attach zone vpn
結果
設定モードから、 show interfaces、 show routing-options、 show security zones、および show security address-book コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ハブの IKE の設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-westford external-interface ge-0/0/3.0 set security ike gateway gw-westford ike-policy ike-phase1-policy set security ike gateway gw-westford address 10.3.3.2 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy set security ike gateway gw-sunnyvale address 10.2.2.2
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
ハブの IKE を設定するには、次の手順に従います。
IKEフェーズ1のプロポーザルを作成します。
[edit security ike] user@hub# set proposal ike-phase1-proposal
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-method pre-shared-keys
IKEプロポーザルのDiffie-Hellmanグループを定義します。
[edit security ike proposal ike-phase1-proposal] user@hub# set dh-group group2
IKEプロポーザルの認証アルゴリズムを定義します。
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-algorithm sha1
IKEプロポーザルの暗号化アルゴリズムを定義します。
[edit security ike proposal ike-phase1-proposal] user@hub# set encryption-algorithm aes-128-cbc
IKEフェーズ1ポリシーを作成します。
[edit security ike] user@hub# set policy ike-phase1-policy
IKEフェーズ1ポリシーモードを設定します。
[edit security ike policy ike-phase1-policy] user@hub# set mode main
IKEプロポーザルへのリファレンスを指定します。
[edit security ike policy ike-phase1-policy] user@hub# set proposals ike-phase1-proposal
IKEフェーズ1ポリシー認証方法を定義します。
[edit security ike policy ike-phase1-policy] user@hub# set pre-shared-key ascii-text “$ABC123”
IKEフェーズ1ゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike] user@hub# set gateway gw-westford external-interface ge-0/0/3.0
IKEフェーズ1ポリシーリファレンスを定義します。
[edit security ike] user@hub# set gateway gw-westford ike-policy ike-phase1-policy
IKEフェーズ1ゲートウェイアドレスを定義します。
[edit security ike] user@hub# set gateway gw-westford address 10.3.3.2
IKEフェーズ1ゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike] user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
IKEフェーズ1ポリシーリファレンスを定義します。
[edit security ike gateway] user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
IKEフェーズ1ゲートウェイアドレスを定義します。
[edit security ike gateway] user@hub# set gateway gw-sunnyvale address 10.2.2.2
結果
設定モードから、 show security ike コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ハブのIPsecの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-westford ike gateway gw-westford set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-westford bind-interface st0.0 set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-sunnyvale bind-interface st0.0 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
ハブのIPsecを設定するには:
IPsecフェーズ2のプロポーザルを作成します。
[edit] user@hub# set security ipsec proposal ipsec-phase2-proposal
IPsecフェーズ2のプロポーザルプロトコルを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set protocol esp
IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set authentication-algorithm hmac-sha1-96
IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set encryption-algorithm aes-128-cbc
IPsecフェーズ2のポリシーを作成します。
[edit security ipsec] user@hub# set policy ipsec-phase2-policy
IPsecフェーズ2のプロポーザルのリファレンスを指定します。
[edit security ipsec policy ipsec-phase2-policy] user@hub# set proposals ipsec-phase2-proposal
IPsecフェーズ2のPFSがDiffie-Hellman group 2を使用するように指定します。
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
IKEゲートウェイを指定します。
[edit security ipsec] user@hub# set vpn vpn-westford ike gateway gw-westford user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
IPsecフェーズ2のポリシーを指定します。
[edit security ipsec] user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
バインドするインターフェイスを指定します。
[edit security ipsec] user@hub# set vpn vpn-westford bind-interface st0.0 user@hub# set vpn vpn-sunnyvale bind-interface st0.0
st0インターフェイスをマルチポイントとして設定します。
[edit] user@hub# set interfaces st0 unit 0 multipoint
サニーベールとウェストフォード支店のNHTBテーブルに静的エントリーを追加します。
[edit] user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
結果
設定モードから、 show security ipsec コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ハブのセキュリティポリシーの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net set security policies from-zone trust to-zone vpn policy local-to-spokes match application any set security policies from-zone trust to-zone vpn policy local-to-spokes then permit set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net set security policies from-zone vpn to-zone trust policy spokes-to-local match application any set security policies from-zone vpn to-zone trust policy spokes-to-local then permit set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
ハブのセキュリティポリシーを設定するには:
trustゾーンからvpnゾーンへのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone trust to-zone vpn] user@hub# set policy local-to-spokes match source-address local-net user@hub# set policy local-to-spokes match destination-address sunnyvale-net user@hub# set policy local-to-spokes match destination-address westford-net user@hub# set policy local-to-spokes match application any user@hub# set policy local-to-spokes then permit
vpnゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone vpn to-zone trust] user@hub# set policy spokes-to-local match source-address sunnyvale-net user@hub# set policy spokes-to-local match source-address westford-net user@hub# set policy spokes-to-local match destination-address local-net user@hub# set policy spokes-to-local match application any user@hub# set policy spokes-to-local then permit
イントラゾーンのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone vpn to-zone vpn] user@hub# set policy spoke-to-spoke match source-address any user@hub# set policy spoke-to-spoke match destination-address any user@hub# set policy spoke-to-spoke match application any user@hub# set policy spoke-to-spoke then permit
結果
設定モードから、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ハブのTCP-MSSの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security flow tcp-mss ipsec-vpn mss 1350
ステップバイステップの手順
ハブのTCP-MSS情報を設定するには:
TCP-MSS情報を設定します。
[edit] user@hub# set security flow tcp-mss ipsec-vpn mss 1350
結果
設定モードから、 show security flow コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ウェストフォードのスポークの基本的なネットワーク、セキュリティゾーン、アドレス帳情報の設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 set interfaces st0 unit 0 family inet address 10.11.11.12/24 set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.178.0/24 set security address-book book1 attach zone trust set security address-book book2 address corp-net 10.10.10.0/24 set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 attach zone vpn
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
ウェストフォードのスポークの基本的なネットワーク、セキュリティゾーン、アドレス帳情報を設定するには、次の手順に従います。
イーサネット インターフェイス情報を設定します。
[edit] user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
静的ルート情報を設定します。
[edit] user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
untrustセキュリティゾーンを設定します。
[edit] user@spoke# set security zones security-zone untrust
セキュリティゾーンにインターフェイスを割り当てます。
[edit security zones security-zone untrust] user@spoke# set interfaces ge-0/0/0.0
untrustセキュリティゾーンで許可されたシステムサービスを指定します。
[edit security zones security-zone untrust] user@spoke# set host-inbound-traffic system-services ike
trustセキュリティ ゾーンを設定します。
[edit] user@spoke# edit security zones security-zone trust
trustセキュリティゾーンにインターフェイスを割り当てます。
[edit security zones security-zone trust] user@spoke# set interfaces ge-0/0/3.0
trust セキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit security zones security-zone trust] user@spoke# set host-inbound-traffic system-services all
vpnセキュリティゾーンを設定します。
[edit] user@spoke# edit security zones security-zone vpn
vpnセキュリティゾーンにインターフェイスを割り当てます。
[edit security zones security-zone vpn] user@spoke# set interfaces st0.0
アドレス帳を作成し、そのアドレス帳にゾーンをアタッチします。
[edit security address-book book1] user@spoke# set address local-net 192.168.178.0/24 user@spoke# set attach zone trust
アドレス帳をもう1つ作成し、そのアドレス帳にゾーンをアタッチします。
[edit security address-book book2] user@spoke# set address corp-net 10.10.10.0/24 user@spoke# set address sunnyvale-net 192.168.168.0/24 user@spoke# set attach zone vpn
結果
設定モードから、 show interfaces、 show routing-options、 show security zones、および show security address-book コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
route 10.10.10.0/24 next-hop 10.11.11.10;
}
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
attach {
zone vpn;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ウェストフォードのスポークの IKE の設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-corporate external-interface ge-0/0/0.0 set security ike gateway gw-corporate ike-policy ike-phase1-policy set security ike gateway gw-corporate address 10.1.1.2
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
ウェストフォードのスポークに IKE を設定するには、次の手順に従います。
IKEフェーズ1のプロポーザルを作成します。
[edit security ike] user@spoke# set proposal ike-phase1-proposal
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-method pre-shared-keys
IKEプロポーザルのDiffie-Hellmanグループを定義します。
[edit security ike proposal ike-phase1-proposal] user@spoke# set dh-group group2
IKEプロポーザルの認証アルゴリズムを定義します。
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-algorithm sha1
IKEプロポーザルの暗号化アルゴリズムを定義します。
[edit security ike proposal ike-phase1-proposal] user@spoke# set encryption-algorithm aes-128-cbc
IKEフェーズ1ポリシーを作成します。
[edit security ike] user@spoke# set policy ike-phase1-policy
IKEフェーズ1ポリシーモードを設定します。
[edit security ike policy ike-phase1-policy] user@spoke# set mode main
IKEプロポーザルへのリファレンスを指定します。
[edit security ike policy ike-phase1-policy] user@spoke# set proposals ike-phase1-proposal
IKEフェーズ1ポリシー認証方法を定義します。
[edit security ike policy ike-phase1-policy] user@spoke# set pre-shared-key ascii-text “$ABC123”
IKEフェーズ1ゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike] user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
IKEフェーズ1ポリシーリファレンスを定義します。
[edit security ike] user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
IKEフェーズ1ゲートウェイアドレスを定義します。
[edit security ike] user@spoke# set gateway gw-corporate address 10.1.1.2
結果
設定モードから、 show security ike コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
ike-policy ike-phase1-policy;
address 10.1.1.2;
external-interface ge-0/0/0.0;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ウェストフォードのスポークのIPsecの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-corporate ike gateway gw-corporate set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-corporate bind-interface st0.0
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
ウェストフォードのスポークのIPsecを設定するには、次の手順に従います。
IPsecフェーズ2のプロポーザルを作成します。
[edit] user@spoke# set security ipsec proposal ipsec-phase2-proposal
IPsecフェーズ2のプロポーザルプロトコルを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set protocol esp
IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set authentication-algorithm hmac-sha1-96
IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set encryption-algorithm aes-128-cbc
IPsecフェーズ2のポリシーを作成します。
[edit security ipsec] user@spoke# set policy ipsec-phase2-policy
IPsecフェーズ2のプロポーザルのリファレンスを指定します。
[edit security ipsec policy ipsec-phase2-policy] user@spoke# set proposals ipsec-phase2-proposal
IPsecフェーズ2のPFSがDiffie-Hellman group 2を使用するように指定します。
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
IKEゲートウェイを指定します。
[edit security ipsec] user@spoke# set vpn vpn-corporate ike gateway gw-corporate
IPsecフェーズ2ポリシーを指定します。
[edit security ipsec] user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
バインドするインターフェイスを指定します。
[edit security ipsec] user@spoke# set vpn vpn-corporate bind-interface st0.0
結果
設定モードから、 show security ipsec コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ウェストフォードのスポークのセキュリティポリシーの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy to-corporate application any set security policies from-zone trust to-zone vpn policy to-corporate then permit set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net set security policies from-zone vpn to-zone trust policy from-corporate application any set security policies from-zone vpn to-zone trust policy from-corporate then permit
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
ウェストフォードのスポークのセキュリティポリシーを設定するには、次の手順に従います。
trustゾーンからvpnゾーンへのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone trust to-zone vpn] user@spoke# set policy to-corp match source-address local-net user@spoke# set policy to-corp match destination-address corp-net user@spoke# set policy to-corp match destination-address sunnyvale-net user@spoke# set policy to-corp match application any user@spoke# set policy to-corp then permit
vpnゾーンからtrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone vpn to-zone trust] user@spoke# set policy spokes-to-local match source-address corp-net user@spoke# set policy spokes-to-local match source-address sunnyvale-net user@spoke# set policy spokes-to-local match destination-address local-net user@spoke# set policy spokes-to-local match application any user@spoke# set policy spokes-to-local then permit
結果
設定モードから、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ウェストフォードのスポークのTCP-MSSの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security flow tcp-mss ipsec-vpn mss 1350
ステップバイステップの手順
ウェストフォードのスポークのTCP-MSSを設定するには、次の手順に従います。
TCP-MSS情報を設定します。
[edit] user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
結果
設定モードから、 show security flow コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
サニーベールのスポークの設定
CLIクイックコンフィグレーション
この例では、サニーベールのスポークに SSGシリーズ デバイスを使用します。参考までに、SSGシリーズデバイスの設定が提供されています。SSGシリーズデバイスの設定については、https://www.juniper.net/documentation にあるConcepts and Examples ScreenOS Reference Guideを参照してください。
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set zone name "VPN" set interface ethernet0/6 zone "Trust" set interface "tunnel.1" zone "VPN" set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0 set address "VPN" "corp-net" 10.10.10.0 255.255.255.0 set address "VPN" "westford-net" 192.168.178.0 255.255.255.0 set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard set vpn corp-vpn monitor optimized rekey set vpn "corp-vpn" bind interface tunnel.1 set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit set policy id 2 exit set dst-address "westford-net" exit set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit set policy id 3 set src-address "westford-net" exit set route 10.10.10.0/24 interface tunnel.1 set route 192.168.178.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
- IKEフェーズ1ステータスの確認
- IPsecフェーズ2ステータスの確認
- ネクストホップトンネルバインディングの検証
- リモートピアローカルLANの静的ルートの検証
- IPsec セキュリティ アソシエーションの統計情報とエラーの確認
- VPN全体におけるトラフィックフローのテスト
IKEフェーズ1ステータスの確認
目的
IKEフェーズ1ステータスを確認します。
アクション
検証プロセスを開始する前に、192.168.10/24ネットワーク内のホストから192.168.168/24および192.168.178/24ネットワーク内のホストにトラフィックを送信してトンネルを立ち上げる必要があります。ルートベースVPNでは、SRXシリーズファイアウォールから開始されたトラフィックをトンネルを介して送信できます。IPsecトンネルをテストする際には、VPNの片側にある別のデバイスからVPNの反対側にある第2デバイスにテスト用トラフィックを送信することをお勧めします。例えば、192.168.10.10から192.168.168.10へpingを開始します。
動作モードから、 show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detail コマンドを使用します。
user@hub> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main 7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for done
意味
show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。
SAが表示される場合は、以下の情報を確認します。
インデックス—この値はIKE SAごとに固有で、
show security ike security-associations index detailコマンドで使用すると、SAに関する詳細情報を得ることができます。リモートアドレス—リモートIPアドレスが正しいことを確認します。
状態
UP - フェーズ1のSAが確立されました。
DOWN - フェーズ 1 SA の確立に問題がありました。
モード—正しいモードが使用されていることを確認します。
設定で次の情報が正しいことを確認します。
外部インターフェイス(インターフェイスはIKEパケットを受信するインターフェイスである必要があります)
IKEポリシーパラメータ
事前共有鍵情報
フェーズ1のプロポーザルパラメーター(両方のピアで一致する必要があります)
show security ike security-associations index 1 detailコマンドは、インデックス番号1のセキュリティアソシエーションに関する追加情報を一覧表示します。
使用される認証および暗号化アルゴリズム
フェーズ1のライフタイム
トラフィック統計情報(トラフィックが双方向に正しく流れていることを検証するために使用できます)
開始側と応答側のロール情報
トラブルシューティングは、レスポンダ ロールを使用してピア上で実行するのが最適です。
作成されたIPsec SAの数
進行中のフェーズ2ネゴシエーションの数
IPsecフェーズ2ステータスの確認
目的
IPsecフェーズ2のステータスを確認します。
アクション
動作モードから、 show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detail コマンドを使用します。
user@hub> show security ipsec security-associations total configured sa: 4 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0 >16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
意味
show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。
ID番号は16385です。この値を
show security ipsec security-associations indexコマンドと併用して、この特定のSAに関する詳細情報を取得します。ポート500を使用するIPsec SAペアが1つあり、NATトラバーサルが実装されていないことを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな数字の大きいポートを使用します。)
両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。28756/ unlim値は、フェーズ2のライフタイムが28756秒で終了し、ライフサイズが指定されていないことを示し、無制限であることを示しています。フェーズ2のライフタイムはフェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しないためです。
月曜の列にあるハイフンで示されているように、このSAではVPN監視が有効になっていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。
仮想システム(vsys)はルート システムであり、常に 0 が表示されます。
show security ipsec security-associations index 16385 detailコマンドからの出力には、以下の情報が表示されます。
ローカル ID とリモート ID により、SA のプロキシ ID が構成されます。
プロキシIDの不一致は、フェーズ2の失敗で最もよくある原因の1つです。IPsec SAが表示されない場合は、プロキシID設定を含むフェーズ2のプロポーザルが両方のピアで正しいことを確認します。ルートベースVPNの場合、デフォルトのプロキシIDはローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティベンダーでは、プロキシIDを手動で入力して照合する必要があります。
フェーズ2の失敗でよくある理由のもう1つに、STインターフェイスのバインディングが指定されていないことがあります。IPsecを完了できない場合は、kmdログを確認するか、トレースオプションを設定します。
ネクストホップトンネルバインディングの検証
目的
すべてのピアでフェーズ2が完了したら、ネクストホップトンネルバインディングを確認します。
アクション
動作モードから、 show security ipsec next-hop-tunnels コマンドを入力します。
user@hub> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag 10.11.11.11 st0.0 sunnyvale-vpn Static 10.11.11.12 st0.0 westford-vpn Auto
意味
ネクストホップゲートウェイは、すべてのリモートスポークピアのst0インターフェイスのIPアドレスです。ネクストホップは、正しいIPsec VPN名に関連付けられている必要があります。NHTBエントリーが存在しない場合、ハブデバイスは、どのIPsec VPNがどのネクストホップに関連付けられているのか差別化することができません。
Flagフィールドは、次のいずれかの値になります。
静的—NHTBは、st0.0インターフェイス設定で手動設定されました。これは、ピアがSRXシリーズファイアウォールでない場合に必要です。
Auto - NHTBは設定されていませんが、2台のSRXシリーズファイアウォール間のフェーズ2のネゴシエーションの際に、エントリーがNHTBテーブルに自動的に入力されました。
この例では、スポークサイトのいずれにもNHTBテーブルはありません。スポークの視点から見ると、st0インターフェイスは依然としてポイントツーポイントリンクであり、IPsec VPNバインディングは1つだけです。
リモートピアローカルLANの静的ルートの検証
目的
静的ルートがスポークピアのst0 IPアドレスを参照していることを確認します。
アクション
動作モードから、 show route コマンドを入力します。
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.168.0/24 *[Static/5] 00:08:33
> to 10.11.11.11 via st0.0
user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.178.0/24 *[Static/5] 00:04:04
> to 10.11.11.12 via st0.0
ネクストホップはリモートピアのst0 IPアドレスで、どちらのルートでも発信インターフェイスとしてst0.0が示されています。
IPsec セキュリティ アソシエーションの統計情報とエラーの確認
目的
IPsecセキュリティアソシエーションのESPおよび認証ヘッダーカウンターとエラーを確認します。
アクション
動作モードから、 show security ipsec statistics index コマンドを入力します。
user@hub> show security ipsec statistics index 16385 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
show security ipsec statisticsコマンドを使用して、すべてのSAの統計情報とエラーを確認することもできます。
すべてのIPsec統計情報を消去するには、 clear security ipsec statistics コマンドを使用します。
意味
VPN 全体でパケット損失の問題が発生した場合、 show security ipsec statistics または show security ipsec statistics detail コマンドを数回実行して、暗号化および復号化されたパケット カウンターが増加していることを確認できます。また、他のエラー カウンターが増加しているかどうかも確認する必要があります。
VPN全体におけるトラフィックフローのテスト
目的
VPN全体のトラフィックフローを検証します。
アクション
SRXシリーズファイアウォールから ping コマンドを使用して、リモートホストPCへのトラフィックフローをテストできます。ルート ルックアップが正しく実行され、ポリシー ルックアップ中に適切なセキュリティ ゾーンが参照されるように、送信元インターフェイスを指定してください。
動作モードから、 ping コマンドを入力します。
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
SSGシリーズデバイスから ping コマンドを使用することもできます。
user@hub> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms
意味
SRXシリーズまたはSSGシリーズデバイスからの ping コマンドが失敗した場合は、ルーティング、セキュリティポリシー、エンドホスト、ESPパケットの暗号化と復号化に問題がある可能性があります。
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。
container-string と階層の
wildcard-string の間で動的DN属性は1つだけ設定できるようになりました
[edit security ike gateway gateway_name dynamic distinguished-name] 。最初の属性を設定した後に2番目の属性を設定しようとすると、最初の属性が2番目の属性に置き換えられます。デバイスをアップグレードする前に、両方の属性を設定している場合は、属性の1つを削除する必要があります。