Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN の構成の概要

VPN 接続では、2つの Lan (サイト間 VPN) またはリモートのダイヤルアップユーザーと LAN をリンクすることができます。これら2つのポイント間でフローされるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。2つの構成要素デバイス間に IPsec トンネルが作成され、VPN 通信を保護しています。

IPsec VPN と自動キー IKE の構成の概要

IPsec VPN ネゴシエーションは2つのフェーズで行われます。フェーズ1では、参加者は、IPsec セキュリティーアソシエーション (SA) をネゴシエートするためのセキュアチャネルを確立します。フェーズ2では、参加者は IPsec SA をネゴシエートして、トンネルを通過するトラフィックを認証します。

この概要では、autokey IKE (事前共有キーまたは証明書) を使用してルートベースまたはポリシーベースの IPsec VPN を構成する際の基本手順について説明します。

Autokey IKE を使用してルートベースまたはポリシーベースの IPsec VPN を構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、アドレス帳の情報を構成します。

    (ルートベースの Vpn の場合)Secure tunnel st0 interface を構成します。デバイスでルーティングを構成します。

  2. IPsec VPN トンネルのフェーズ1を構成します。
    1. ナカスタム IKE フェーズ1提案を構成します。このステップは、事前定義された IKE フェーズ1の提案書 (標準、互換、または基本) を使用できるため、オプションです。
    2. カスタム IKE フェーズ1提案または事前定義された IKE フェーズ1案セットを参照する IKE ポリシーを設定します。Autokey IKE 事前共有キー、または証明書情報を指定します。フェーズ1交換のモード (メインまたはアグレッシブ) を指定します。
    3. IKE ポリシーを参照する IKE ゲートウェイを構成します。ローカルおよびリモートデバイスの IKE Id を指定します。リモートゲートウェイの IP アドレスが不明な場合は、リモートゲートウェイがどのように識別されるかを指定します。
  3. IPsec VPN トンネルのフェーズ2を構成します。
    1. ナカスタム IPsec フェーズ2案を構成します。このステップは、事前定義された IPsec フェーズ2案セット (標準、互換、または基本) を使用できるため、オプションです。
    2. カスタム IPsec フェーズ2提案または事前定義された IPsec フェーズ2案セットを参照する IPsec ポリシーを構成します。PFS (完全前方秘密) キーを指定します。
    3. IKE ゲートウェイと IPsec ポリシーの両方を参照する IPsec VPN トンネルを構成します。フェーズ2ネゴシエーションで使用するプロキシ Id を指定します。

      (ルートベースの Vpn の場合)セキュアトンネルインターフェイス st0 を IPsec VPN トンネルにバインドします。

  4. 送信元ゾーンから宛先ゾーンへのトラフィックを許可するセキュリティポリシーを構成します。

    (ポリシーベースの Vpn の場合)設定した IPsec VPN tunnel ipsec-vpnトンネルの名前を使用して、セキュリティポリシーアクションを指定します。

  5. グローバル VPN 設定を更新します。

IPsec VPN と手動キーの設定の概要

この概要では、手動キーを使用してルートベースまたはポリシーベースの IPsec VPN を構成するための基本的な手順について説明します。

ルートベースまたはポリシーベースの IPsec VPN を、手動キーを使用して構成するには、次のようにします。

  1. インターフェイス、セキュリティゾーン、アドレス帳の情報を構成します。

    (ルートベースの Vpn の場合)ルーティングを構成します。Secure tunnel st0 interface を構成します。

  2. 以下のパラメーターを指定して、IPsec VPN トンネルを構成します。
    • 認証アルゴリズムとキー

    • 暗号化アルゴリズムとキー

    • アウトゴーイングインターフェイス

    • ピアの IP アドレス

    • セキュリティーアソシエーションのための IPsec プロトコル

    • セキュリティーパラメータインデックス

    (ルートベースの Vpn の場合)セキュアトンネルインターフェイス st0 を IPsec VPN トンネルにバインドします。

  3. 送信元ゾーンから宛先ゾーンへのトラフィックを許可するようにセキュリティポリシーを設定します。

    (ポリシーベースの Vpn の場合)設定した IPsec VPN tunnel ipsec-vpnトンネルの名前を使用して、セキュリティポリシーアクションを指定します。

動的エンドポイントを使用した IPsec Vpn について

概要

IPsec VPN ピアは、VPN 接続を確立しているピアに認識されていない IP アドレスを持つことができます。たとえば、動的なホスト構成プロトコル (DHCP) によって動的に割り当てられた IP アドレスをピアに割り当てることができます。これには、支社またはホームオフィスのリモートアクセスクライアント、または物理的に異なる場所間を移動するモバイルデバイスが該当することが考えられます。または、ピアは、ピアの送信元IPアドレスNAT別のアドレスに変換するデバイスの背後に置けることができます。不明な IP アドレスを持つ VPN ピアは動的エンドポイントと呼ばれ、動的エンドポイントを使用して確立された vpn は、動的エンドポイント vpnといいます。

SRX シリーズデバイスでは、動的エンドポイント Vpn を使用して、IKEv1 または IKEv2 をサポートしています。SRX シリーズデバイス上の動的エンドポイント Vpn は、セキュアトンネルで IPv4 トラフィックをサポートしています。Junos OS リリース 15.1 X49-D80 では、SRX シリーズデバイス上の動的エンドポイント Vpn は、セキュアトンネルでの IPv6 トラフィックをサポートしています。

IPv6 トラフィックは、自動 Vpn ネットワークではサポートされていません。

以下のセクションでは、動的エンドポイントを使用して VPN を構成する際の注意事項について説明します。

IKE のアイデンティティ

動的エンドポイントでは、デバイスが自身をピアに識別するように、IKE のアイデンティティを構成する必要があります。動的エンドポイントのローカルアイデンティティはピアで検証されます。デフォルトでは、SRX シリーズデバイスは、IKE id を以下のいずれかにすることを想定しています。

  • 証明書を使用すると、識別名 (DN) を使用してユーザーまたは組織を識別できます。

  • エンドポイントを特定するホスト名または完全修飾ドメイン名 (FQDN)。

  • ユーザーの完全修飾ドメイン名 (UFQDN) です。これは、ユーザー名としても知られています。この文字列は、電子メールアドレスの形式に従っています。

IKEv1 ポリシー用のアグレッシブモード

動的エンドポイント Vpn で IKEv1 を使用する場合は、IKE ポリシーをアグレッシブモードに設定する必要があります。IKEv2 はアグレッシブモードを使用していないため、動的エンドポイント Vpn を使用した IKEv2 を使用する場合は、メインモードまたは非の状態のどちらかを構成できます。

IKE ポリシーと外部インターフェイス

Junos OS Release 12.3 X48-D40, Junos OS Release 15.1 X49-D70, Junos OS Release 17.3 R1 では、同じ外部インターフェイスを使用する SRX シリーズデバイス上に設定されたすべての動的エンドポイントゲートウェイは、異なる IKE ポリシーを使用することができますが、IKE ポリシーを使用する必要があります。同じ IKE 提案です。これは、IKEv1 と IKEv2 に適用されます。

NAT

動的エンドポイントが NAT デバイスの背後にある場合は、NAT-T を SRX シリーズデバイスで設定する必要があります。VPN ピア間の接続中に NAT の変換を維持するには、NAT keepalives が必要になる場合があります。デフォルトでは、SRX シリーズデバイスで NAT-T が有効になっており、NAT keepalives は20秒間隔で送信されます。

グループおよび共有 IKE Id

各動的エンドポイントに対して個々の VPN トンネルを構成できます。IPv4 動的エンドポイント Vpn では、グループ IKE ID または共有 IKE ID 機能を使用して、多数の動的エンドポイントで IKE ゲートウェイ構成を共有できます。

グループ IKE ID では、「IKE」など、すべての動的エンドポイントに対してフル IKE ID の共通部分を定義 example.net。ユーザー名「Bob」などのユーザー固有のパート(共通部分と連結)が完全な IKE ID(Bob.example.net)を形成し、各ユーザー接続を一意に識別します。

Shared IKE ID を使用すると、単一の IKE ID と事前共有キーを動的エンドポイントで共有できます。

IKE アイデンティティ構成について

IKE id (IKE ID) は、IKE のネゴシエーション中に VPN ピアデバイスの検証に使用されます。リモートピアから SRX シリーズデバイスに受信した IKE ID には、IPv4 または IPv6 アドレス、ホスト名、完全修飾ドメイン名 (FQDN)、ユーザー FQDN (UFQDN)、または識別名 (DN) を指定できます。リモートピアによって送信される IKE ID は、SRX シリーズデバイスによって予期されるものと一致している必要があります。そうしないと、IKE ID の検証が失敗し、VPN は確立されません。

IKE ID タイプ

SRX シリーズデバイスでは、以下のタイプの IKE アイデンティティをリモートピアでサポートしています。

  • IPv4 または IPv6 アドレスは、通常、リモートピアが静的 IP アドレスを持っているサイトツーサイト Vpn で使用されます。

  • ホスト名は、リモートピアシステムを識別する文字列です。これは、IP アドレスに解決される FQDN にすることができます。また、特定のリモートユーザーを識別するために IKE のユーザータイプと連携して使用される部分的な FQDN であることもあります。

    IP アドレスの代わりにホスト名を設定した場合、コミットされた構成と後続のトンネルの確立は、現在解決済みの IP アドレスに基づいています。リモート ピアの IP アドレスが変更された場合、設定は無効になります。

  • UFQDN は、などの電子メールアドレスと同じ形式に続く文字列ですuser@example.com

  • DN は、ユーザーを一意に識別するデジタル証明書とともに使用される名前です。たとえば、DN は「CN=ユーザー、DC=example、DC=com」とすることができます。必要に応じて、キーワードを使用して、DN 内のフィールドの順序とその値が設定された DN と正確に一致するように指定することもできます。または container 、DN 内のフィールドの値が一致する必要があるが、フィールドの順序は重要ではなく、 というキーワードを使用して指定することもできます。 wildcard

    Junos OS リリース 19.4 R1 から開始してcontainer-stringwildcard-string[edit security ike gateway gateway_name dynamic distinguished-name]階層間で1つの動的 DN 属性のみを構成できるようになりました。最初の属性を設定した後で第2の属性を設定しようとすると、最初の属性が2つ目の属性に置き換えられます。デバイスをアップグレードする前に、属性の両方を設定している場合は、いずれかの属性を削除する必要があります。

  • SRX シリーズデバイス上で同じ VPN ゲートウェイに接続している複数のリモートピアが存在する場合、IKE のユーザータイプを、AutoVPN およびリモートアクセス Vpn で使用できます。グループike-user-type group-ike-id IKE id を指定するかike-user-type shared-ike-id 、共有 IKE id を指定するように設定します。

リモート IKE Id とサイトツーサイト Vpn

サイトツーサイト VPN の場合、リモート ピアの IKE ID は、ピア デバイスの設定に応じて、エグレス ネットワーク インターフェイス カードの IP アドレス、ループバック アドレス、ホスト名、または手動設定 IKE ID にできます。

デフォルトでは、リモート SRX シリーズでは、リモート ピアの id が設定された IP アドレスIKEことを期待 set security ike gateway gateway-name address しています。リモート ピアのサーバー ID IKE値が異なる場合は、 [ ] 階層レベルでステートメント remote-identityedit security ike gateway gateway-name を設定する必要があります。

たとえば、SRX シリーズデバイス上の IKE ゲートウェイは、このset security ike gateway remote-gateway address 203.0.113.1コマンドを使用して設定されます。ただし、リモートピアから送信された IKE ID host.example.netはです。リモートピアのIKE ID(203.0.113.1)に対するSRX シリーズデバイスの期待値と、ピアから送信された実際のIKE ID( )が一致していません。 host.example.net この場合、IKE ID の検証が失敗します。は、 set security ike gateway remote-gateway remote-identity hostname host.example.netを使用して、リモートピアから受信した IKE ID と一致させることができます。

リモート IKE Id と動的エンドポイント Vpn

動的エンドポイント VPN の場合、リモート ピアが予想する IKE ID は、 [ ] 階層レベルのオプション edit security ike gateway gateway-name dynamic を使用して設定されます。自動 Vpn の場合hostnameは、 ike-user-type group-ike-id共通のドメイン名を持つ複数のピアが存在する場合に、と組み合わせて使用できます。ピアの検証に証明書が使用されている場合は、DN を設定できます。

SRX シリーズデバイスのローカル IKE ID

デフォルトでは、SRX シリーズデバイスは、外部インターフェイスの IP アドレスをリモートピアに IKE ID として使用します。この IKE ID は、[ local-identityedit security ike gateway gateway-name] 階層レベルでステートメントを設定することで上書きできます。SRX シリーズデバイスでlocal-identityステートメントを構成する必要がある場合は、構成された IKE id が、リモートピアが予期している IKE id と一致することを確認してください。

サイトツーサイト Vpn 用のリモート IKE Id の構成

デフォルトでは、SRX シリーズデバイスは、IKE ゲートウェイ用に構成された IP アドレスで、ピアから受信した IKE ID を検証します。特定のネットワークセットアップでは、ピアから受信した IKE ID (IPv4 または IPv6 アドレス、完全修飾ドメイン名 [FQDN]、識別名、または電子メールアドレス) が、SRX シリーズデバイス上で設定された IKE ゲートウェイと一致しません。これにより、フェーズ1検証エラーが発生する可能性があります。

使用されている IKE ID で SRX シリーズデバイスまたはピアデバイスの構成を変更するには、次のようにします。

  • SRX シリーズデバイスで、ピアから受信remote-identityした IKE IDedit security ike gateway gateway-nameと一致するように [] 階層レベルのステートメントを構成します。値には、IPv4 または IPv6 アドレス、FQDN、識別名、または電子メールアドレスを使用できます。

    構成remote-identityしなかった場合、デバイスは、デフォルトでリモートピアに対応する IPv4 または IPv6 アドレスを使用します。

  • ピアデバイスで、IKE ID が SRX シリーズデバイスにremote-identity設定されているものと同じであることを確認します。ピアデバイスが SRX シリーズデバイスである場合は、[ local-identityedit security ike gateway gateway-name] 階層レベルでステートメントを構成します。値には、IPv4 または IPv6 アドレス、FQDN、識別名、または電子メールアドレスを使用できます。

SRX シリーズデバイスでの OSPF と OSPFv3 認証について

OSPFv3 は、組み込みの認証方式を備えていないため、IP セキュリティ (IPsec) スイートを使用してこの機能を提供しています。IPsec はソースの送信元、データ整合性、機密性、再生保護、否認防止を認証します。IPsec を使用して、特定の OSPFv3 インターフェイスと仮想リンクをセキュリティで保護し、OSPF パケットに暗号化を提供することができます。

OSPFv3 は、IP 認証ヘッダー (AH) と IPsec プロトコルの IP カプセル化セキュリティーペイロード (ESP) 部分を使用して、ピア間のルーティング情報を認証します。AH は、コネクションレス型の整合性とデータの出所の認証を提供できます。再生に対する防御も強化されています。AH は、可能な限り IP ヘッダーだけでなく、上位レベルのプロトコルデータも認証します。ただし、一部の IP ヘッダーフィールドは転送中に変更される場合があります。これらのフィールドの値は送信者によって予測できないことがあるため、AH では保護できません。ESP は、暗号化および制限されたトラフィックフローの機密性またはコネクションレスの整合性、データオリジンの認証、およびアンチリプレイサービスを提供できます。

IPsec は、セキュリティーアソシエーション (Sa) をベースにしています。SA とは、IPsec の関係を確立しているデバイス間でネゴシエートされる IPsec 仕様のセットです。このシンプレックス接続は、SA によって運ばれるパケットにセキュリティサービスを提供します。これらの仕様には、IPsec 接続を確立するときに使用される認証、暗号化、IPsec プロトコルのタイプに関する設定が含まれます。SA は、特定のフローを一方向に暗号化および認証するために使用されます。そのため、通常の双方向のトラフィックでは、フローは SAs のペアによって保護されています。OSPFv3 で使用される SA は、手動で設定し、トランスポートモードを使用する必要があります。SA の両端で静的な値を設定する必要があります。

OSPF または OSPFv3 の IPsec を構成するには、まず [ security-association sa-nameedit security ipsec] 階層レベルのオプションを使用して手動 SA を定義します。この機能は、トランスポートモードでの双方向手動キー Sa のみをサポートします。手動 SAs はピア間でネゴシエーションを必要としません。キーを含むすべての値は静的であり、構成で指定されています。手動 SAs は、使用するセキュリティーパラメータインデックス (SPI) 値、アルゴリズム、およびキーを静的に定義し、両方のエンドポイント (OSPF または OSPFv3 ピア) でも一致する設定を必要とします。そのため、通信を実行するには、各ピアに同じオプションが設定されている必要があります。

暗号化および認証アルゴリズムの実際の選択は、IPsec 管理者には残されています。ただし、以下の推奨事項があります。

  • Null 暗号化で ESP を使用して、プロトコルヘッダーに認証を提供します。 IPv6 ヘッダー、拡張ヘッダー、オプションにはできません。Null 暗号化では、プロトコルヘッダーに暗号化を提供しないことを選択しています。これは、トラブルシューティングとデバッグのために役立ちます。NULL 暗号化の詳細については、 RFC 2410 、 THE NULL 暗号化アルゴリズム および IPsec での使用 を参照してください

  • DES または3DES に ESP を使用して完全な機密性を実現します。

  • AH を使用して、プロトコルヘッダー、IPv6 ヘッダー内の不変フィールド、および拡張ヘッダーとオプションに認証を提供します。

構成された SA は、以下のように OSPF または OSPFv3 の設定に適用されることになります。

  • OSPF または OSPFv3 インターフェイスについてはipsec-sa name 、[edit protocols ospf area area-id interface interface-name] または [edit protocols ospf3 area area-id interface interface-name] 階層レベルにステートメントを追加してください。OSPF または OSPFv3 インターフェイスに指定できる IPsec SA 名は1つだけです。ただし、異なる OSPF/OSPFv3 インターフェイスで同じ IPsec SA を指定できます。

  • OSPF または OSPFv3 の仮想リンクについてipsec-sa nameは、[edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] または [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] 階層レベルに記載されているステートメントを使用します。同じリモートエンドポイントアドレスを持つすべての仮想リンクに対して、同一の IPsec SA を構成する必要があります。

OSPF または OSPFv3 の SRX シリーズデバイスでの IPsec 認証には、以下の制限が適用されます。

  • [edit security ipsec vpn vpn-name manual] 階層レベルで設定された手動 VPN 構成は、IPsec 認証と機密性を提供するために OSPF または OSPFv3 インターフェイスまたは仮想リンクに適用できません。

  • 同じローカルおよびリモートアドレスで、デバイス上に既存の IPsec VPN が設定されている場合、OSPF または OSPFv3 認証用に IPsec を設定することはできません。

  • OSPF または OSPFv3 認証用の IPsec は、セキュアトンネル st0 インターフェイスを介してサポートされていません。

  • 手動キーのキー更新はサポートされていません。

  • ダイナミックインターネット鍵交換 (IKE) Sa はサポートされていません。

  • IPsec トランスポートモードのみがサポートされています。トランスポートモードでは、IP パケットのペイロード (転送されるデータ) のみが暗号化、認証、またはその両方になります。トンネルモードはサポートされていません。

  • 双方向の手動 Sa のみがサポートされるため、すべての OSPFv3 ピアを同じ IPsec SA で構成する必要があります。[edit security ipsec] 階層レベルでマニュアル双方向 SA を構成します。

  • 同じリモートエンドポイントアドレスを持つすべての仮想リンクに対して、同一の IPsec SA を構成する必要があります。

例:SRX シリーズデバイス上の OSPF インターフェイスの IPsec 認証の設定

この例では、OSPF インターフェイスに手動セキュリティーアソシエーション (SA) を設定して適用する方法について説明します。

要件

開始する前に:

  • デバイスインターフェイスを構成します。

  • OSPF ネットワーク内のデバイスのルーター識別子を構成します。

  • 制御 OSPF 指定ルーターの選択。

  • 単一エリア OSPF ネットワークを構成します。

  • マルチエリア OSPF ネットワークを構成します。

概要

OSPF と OSPFv3 の両方に対して IPsec 認証を使用できます。手動の SA は個別に構成し、適用可能な OSPF 構成の一部に使用します。表 3この例では、手動 SA 用に設定されたパラメーターと値を一覧表示します。

表 3: IPsec OSPF インターフェイス認証のための手動 SA

パラメーター

金額

SA 名

sa1

モード

搬送

方向

bidirectional

プロトコル

AH

SPI

256

認証アルゴリズム

重要な

hmac-md5-96

(ASCII) ・89012abc

暗号化アルゴリズム

重要な

3des

(ASCII) cba210987654321

構成

手動 SA の構成

CLI クイック構成

OSPF インターフェイスでの IPsec 認証に使用する手動 SA を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、 [ ] 階層レベルでコマンドを CLI にコピー アンド ペーストして、設定モードからを入力します。 editcommit

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

手動 SA を構成するには、次の操作を行います。

  1. SA の名前を指定します。

  2. 手動 SA のモードを指定します。

  3. 手動 SA の方向を構成します。

  4. 使用する IPsec プロトコルを構成します。

  5. SPI の値を設定します。

  6. 認証アルゴリズムとキーを設定します。

  7. 暗号化アルゴリズムとキーを設定します。

結果

show security ipsecコマンドを入力して設定を確認してください。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

パスワードを設定した後は、パスワード自体は表示されません。設定したパスワードの暗号化形式が出力されます。

デバイスの設定が完了したら、設定commitモードから入力します。

OSPF インターフェイスでの IPsec 認証の有効化

CLI クイック構成

IPsec 認証に使用される手動 SA を OSPF インターフェイスに迅速に適用するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを [ ] 階層レベルの CLI にコピー アンド ペーストして、設定モードから を入力します。 editcommit

順を追った手順

OSPF インターフェイスの IPsec 認証を有効にするには、次のようにします。

  1. OSPF 領域を作成します。

    OSPFv3 を指定するにはospf3[edit protocols]階層レベルで明細書を含めます。

  2. インターフェイスを指定します。

  3. IPsec 手動 SA を適用します。

結果

show ospf interface detailコマンドを入力して設定を確認してください。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

OSPFv3 設定を確認するには、 コマンドを入力 show protocols ospf3 します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

IPsec セキュリティアソシエーションの設定を確認しています

目的

設定した IPsec セキュリティアソシエーションの設定を確認します。以下の情報を確認します。

  • セキュリティアソシエーションフィールドには、設定されたセキュリティアソシエーションの名前が表示されます。

  • 「SPI」フィールドには、設定した値が表示されます。

  • Mode フィールドには、トランスポートモードが表示されます。

  • タイプフィールドには、セキュリティーアソシエーションのタイプとして「manual」と表示されます。

アクション

動作モードから、 show ospf interface detailコマンドを入力します。

OSPF インターフェイスでの IPsec セキュリティアソシエーションの確認

目的

構成した IPsec セキュリティアソシエーションが OSPF インターフェイスに適用されていることを確認します。IPsec SA name フィールドに、設定されている IPsec セキュリティーアソシエーションの名前が表示されていることを確認します。

アクション

動作モードから、 のコマンド を show ospf interface detailshow ospf3 interface detail OSPF、OSPFv3 の コマンドを入力します。

VPN ウィザードを使用した IPsec VPN の構成

VPN ウィザードを使用すると、フェーズ1とフェーズ2の両方を含む、基本的な IPsec VPN 構成を実行できます。さらに高度な設定を行うには、J-Web インターフェイスまたは CLI を使用します。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。

VPN ウィザードを使用して IPsec VPN を構成するには、次のようにします。

  1. J Configure>Device Setup>VPN Web インターフェイスで選択します。
  2. VPN の起動ウィザードボタンをクリックします。
  3. ウィザードのプロンプトに従います。

ウィザードページの左上の領域には、構成プロセスのどこにあるかが表示されます。ページの左下の領域には、フィールドに依存するヘルプが表示されます。リソース見出しの下にあるリンクをクリックすると、ブラウザーにドキュメントが表示されます。文書が新しいタブで開かれている場合は、文書を閉じるときに、(ブラウザーウィンドウではなく) タブのみを閉じることを確認してください。

例:ハブアンドスポーク型 VPN の構成

この例では、エンタープライズクラスの導入にハブアンドスポークの IPsec VPN を構成する方法について説明します。

要件

この例では、以下のハードウェアを使用しています。

  • SRX240 デバイス

  • SRX5800 デバイス

  • SSG140 デバイス

開始する前に、 IPSEC VPN の概要を読みます。

概要

この例では、支社の導入によく見られるハブアンドスポーク型 VPN を構成する方法について説明します。本社と、カリフォルニア州サニーベールの支社、マサチューセッツ州ウェストフォードの支社という 2 つのスポークがあります。支社のユーザーは VPN を使用して、本社との間でセキュアにデータを転送します。

図 1は、ハブアンドスポーク型 VPN トポロジの例を示しています。このトポロジでは、SRX5800 デバイスは本社に配置されています。SRX シリーズデバイスはウェストフォードブランチに配置されており、SSG140 デバイスは Sunnyvale の支社に配置されています。

図 1: ハブアンドスポーク型 VPN トポロジハブアンドスポーク型 VPN トポロジ

この例では、本社オフィスのハブ、ウェストフォードスポーク、および Sunnyvale スポークを構成します。まず、インターフェイス、IPv4 の静的ルートとデフォルトルーター、セキュリティゾーン、アドレスブックを構成します。次に IKE フェーズ1と IPsec フェーズ2のパラメーターを設定し、st 0.0 インターフェイスを IPsec VPN にバインドします。ハブでは、マルチポイントに対して st 0.0 を設定し、Sunnyvale スポークの静的な NHTB テーブルエントリを追加します。最後に、セキュリティポリシーと TCP MSS パラメーターを設定します。この表 4表 8で使用されている特定の構成パラメーターについては、を参照してください。

表 4: インターフェイス、セキュリティゾーン、アドレス帳の情報

ハブ/スポーク

機能

名前

構成パラメーター

備え

インターフェイス

ge-0/0/0.0

192.168.10.1/24

   

ge-0/0/3.0

10.1.1.2/30

   

st0

10.11.11.10/24

スポーク

インターフェイス

ge-0/0/0.0

10.3.3.2/30

   

ge-0/0/3.0

192.168.178.1/24

   

st0

10.11.11.12/24

備え

セキュリティ ゾーン

トラスト

  • すべてのシステムサービスが許可されます。

  • このゾーンには、ge-0/0/0.0 インターフェイスがバインドされています。

   

untrust

  • 許可されている唯一のシステムサービスは IKE です。

  • このゾーンには、ge-0/0/3.0 インターフェイスがバインドされています。

   

/vpn

St 0.0 インターフェイスはこのゾーンにバインドされています。

スポーク

セキュリティ ゾーン

トラスト

  • すべてのシステムサービスが許可されます。

  • このゾーンには、ge-0/0/3.0 インターフェイスがバインドされています。

   

untrust

  • 許可されている唯一のシステムサービスは IKE です。

  • このゾーンには、ge-0/0/0.0 インターフェイスがバインドされています。

   

/vpn

St 0.0 インターフェイスはこのゾーンにバインドされています。

備え

アドレス帳のエントリ

ローカル-net

  • このアドレスは、trustゾーンのアドレスブック用です。

  • このアドレス帳エントリのアドレスは 192.168.10.0/24 です。

   

sunnyvale-net

  • このアドレス ブックは、vpn ゾーンのアドレス ブック用です。

  • このアドレス帳エントリのアドレスは 192.168.168.0/24 です。

   

ウェストフォード-net

  • このアドレスは、vpnゾーンのアドレスブック用です。

  • このアドレス帳エントリのアドレスは 192.168.178.0/24 です。

スポーク

アドレス帳のエントリ

ローカル-net

  • このアドレスは、trustゾーンのアドレスブック用です。

  • このアドレス帳エントリのアドレスは 192.168.168.178.0/24 です。

   

企業-net

  • このアドレスは、vpnゾーンのアドレスブック用です。

  • このアドレス帳エントリのアドレスは 192.168.10.0/24 です。

   

sunnyvale-net

  • このアドレスは、vpnゾーンのアドレスブック用です。

  • このアドレス帳エントリのアドレスは 192.168.168.0/24 です。

表 5: 第1段階の構成パラメーターを IKE

ハブ/スポーク

機能

名前

構成パラメーター

備え

提案

ike-phase1-proposal

  • 認証方法: 事前共有キー

  • Diffie-hellman グループ: group2

  • 認証アルゴリズム: sha1

  • 暗号化アルゴリズム: aes-128-cbc

 

ポリシー

ike-phase1-policy

  • モード重要

  • 提案の参考資料: ike-phase1-proposal

  • IKE フェーズ1ポリシー認証方法: 事前共有鍵の ascii テキスト

 

活用

gw-ウェストフォード

  • IKE ポリシーのリファレンス: ike-phase1-policy

  • 外部インターフェイス: ge-0/0/3.0

  • ゲートウェイアドレス: 10.3.3.2

   

gw-sunnyvale

  • IKE ポリシーのリファレンス: ike-phase1-policy

  • 外部インターフェイス: ge-0/0/3.0

  • ゲートウェイアドレス: 10.2.2.2

スポーク

提案

ike-phase1-proposal

  • 認証方法: 事前共有キー

  • Diffie-hellman グループ: group2

  • 認証アルゴリズム: sha1

  • 暗号化アルゴリズム: aes-128-cbc

 

ポリシー

ike-phase1-policy

  • モード重要

  • 提案の参考資料: ike-phase1-proposal

  • IKE フェーズ1ポリシー認証方法: 事前共有鍵の ascii テキスト

 

活用

gw-コーポレート

  • IKE ポリシーのリファレンス: ike-phase1-policy

  • 外部インターフェイス: ge-0/0/0.0

  • ゲートウェイアドレス: 10.1.1.2

表 6: IPsec フェーズ2の構成パラメーター

ハブ/スポーク

機能

名前

構成パラメーター

備え

提案

ipsec-phase2-proposal

  • Protocol esp

  • 認証アルゴリズム: hmac-sha1-96

  • 暗号化アルゴリズム: aes-128-cbc

 

ポリシー

ipsec-phase2-policy

  • 提案の参考資料: ipsec-phase2-proposal

  • PF Diffie-hellman group2

 

VPN

vpn-sunnyvale

  • IKE ゲートウェイリファレンス: gw-sunnyvale

  • IPsec ポリシー参照: ipsec-phase2-policy

  • インターフェイスへのバインド: st0.0

   

vpn-ウェストフォード

  • IKE ゲートウェイリファレンス: gw-ウェストフォード

  • IPsec ポリシー参照: ipsec-phase2-policy

  • インターフェイスへのバインド: st0.0

スポーク

提案

ipsec-phase2-proposal

  • Protocol esp

  • 認証アルゴリズム: hmac-sha1-96

  • 暗号化アルゴリズム: aes-128-cbc

 

ポリシー

ipsec-phase2-policy

  • 提案の参考資料: ipsec-phase2-proposal

  • PF Diffie-hellman group2

 

VPN

vpn-コーポレート

  • IKE ゲートウェイリファレンス: gw-コーポレート

  • IPsec ポリシー参照: ipsec-phase2-policy

  • インターフェイスへのバインド: st0.0

表 7: セキュリティポリシーの構成パラメーター

ハブ/スポーク

目的

名前

構成パラメーター

備え

セキュリティポリシーにより、信頼ゾーンから vpn ゾーンへのトラフィックが許可されます。

ローカルツースポーク

  • 条件の一致:

    • 発信元アドレスローカル-net

    • 宛先アドレス sunnyvale-net

    • 宛先アドレスウェストフォード-net

    • アプリケーション

 

セキュリティポリシーにより、vpn ゾーンからトラストゾーンへのトラフィックが許可されます。

スポークツーローカル

条件の一致:

  • 発信元アドレス sunnyvale-net

  • 発信元アドレスウェストフォード-net

  • 宛先アドレスローカル-net

  • アプリケーション

 

セキュリティポリシーによってイントラゾーントラフィックが許可されます。

スポークツースポーク

条件の一致:

  • 送信元アドレス

  • 宛先アドレス

  • アプリケーション

スポーク

セキュリティポリシーにより、信頼ゾーンから vpn ゾーンへのトラフィックが許可されます。

to-corp

  • 条件の一致:

    • 発信元アドレスローカル-net

    • 宛先アドレス corp-net

    • 宛先アドレス sunnyvale-net

    • アプリケーション

 

セキュリティポリシーにより、vpn ゾーンからトラストゾーンへのトラフィックが許可されます。

from-corp

条件の一致:

  • 送信元アドレス corp-net

  • 発信元アドレス sunnyvale-net

  • 宛先アドレスローカル-net

  • アプリケーション

 

セキュリティーポリシーは、untrust ゾーンからトラストゾーンへのトラフィックを許可します。

許可-any

条件の一致:

  • 送信元アドレス

  • 送信元/宛先

  • アプリケーション

  • 許可アクション: ソース nat インターフェイス

    source-nat interfaceこの SRX シリーズデバイスは、送信元 ip アドレスと送信元ポートの ip アドレス、発信側インターフェイスのランダムな高周波数ポートを使用してソース ip アドレスとポートを変換します。

表 8: TCP MSS 構成パラメーター

目的

構成パラメーター

TCC は TCP スリーウェイハンドシェイクの一部としてネゴシエートされ、TCP セグメントの最大サイズを制限して、ネットワークの MTU の制限に合わせます。VPN トラフィックの場合、IPsec カプセル化のオーバーヘッドと IP とフレームのオーバーヘッドにより、物理インターフェイスの MTU を超える ESP パケットが発生する可能性があります。この結果、フラグメンテーションが発生します。断片化が発生すると、帯域幅とデバイスリソースの使用率が向上します。

1350の値は、ほとんどのイーサネットベースのネットワークで、1500以上の MTU を使用する場合に推奨される開始点です。パフォーマンスを最適化するには、さまざまな TCP MSS 値を試してみる必要があるかもしれません。たとえば、パス内のいずれかのデバイスに低い MTU がある場合、または PPP やフレームリレーなど追加のオーバーヘッドがある場合は、値を変更する必要があるかもしれません。

MSS 値: 1350

構成

ハブの基本ネットワーク、セキュリティゾーン、アドレス帳情報の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ハブの基本的なネットワーク、セキュリティーゾーン、アドレスブックの情報を構成するには、次の手順に従います。

  1. イーサネットインターフェイス情報を構成します。

  2. 静的なルート情報を構成します。

  3. 信頼できないセキュリティゾーンを構成します。

  4. インターフェイスを信頼されていないセキュリティゾーンに割り当てます。

  5. 許可されていないシステムサービスを指定するには、untrust セキュリティーゾーンを使用します。

  6. 信頼セキュリティゾーンを構成します。

  7. インターフェイスを信頼セキュリティゾーンに割り当てます。

  8. 許可されたシステムサービスを信頼セキュリティーゾーンに指定します。

  9. アドレスブックを作成し、ゾーンを関連付けます。

  10. Vpn セキュリティーゾーンを設定します。

  11. Vpn セキュリティゾーンにインターフェイスを割り当てます。

  12. 別のアドレスブックを作成し、ゾーンを接続します。

結果

構成モードからshow interfaces、、、 show routing-optionsshow security zones、およびshow security address-bookコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ハブの IKE の設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ハブの IKE を構成するには、次のようにします。

  1. IKE フェーズ1の提案を作成します。

  2. IKE 提案認証方法を定義します。

  3. IKE 提案の Diffie-hellman グループを定義します。

  4. IKE 提案認証アルゴリズムを定義します。

  5. IKE 提案の暗号化アルゴリズムを定義します。

  6. IKE フェーズ1ポリシーを作成します。

  7. IKE フェーズ1ポリシーモードを設定します。

  8. IKE 案への参照を指定します。

  9. IKE フェーズ1ポリシーの認証方法を定義します。

  10. IKE Phase 1 ゲートウェイを作成し、外部インターフェイスを定義します。

  11. IKE フェーズ1ポリシーのリファレンスを定義します。

  12. IKE フェーズ1ゲートウェイアドレスを定義します。

  13. IKE Phase 1 ゲートウェイを作成し、外部インターフェイスを定義します。

  14. IKE フェーズ1ポリシーのリファレンスを定義します。

  15. IKE フェーズ1ゲートウェイアドレスを定義します。

結果

設定モードから、 show security ikeコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ハブ用の IPsec の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ハブの IPsec を構成するには、次のようにします。

  1. IPsec フェーズ2案を作成します。

  2. IPsec フェーズ2提案プロトコルを指定します。

  3. IPsec フェーズ2提案認証アルゴリズムを指定します。

  4. IPsec フェーズ2提案の暗号化アルゴリズムを指定します。

  5. IPsec フェーズ2ポリシーを作成します。

  6. IPsec フェーズ2提案の参照を指定します。

  7. Diffie-hellman グループ2を使用するように、IPsec フェーズ 2 PFS を指定します。

  8. IKE ゲートウェイを指定します。

  9. IPsec フェーズ2ポリシーを指定します。

  10. バインドするインターフェイスを指定します。

  11. St0 のインターフェイスをマルチポイントとして設定します。

  12. Sunnyvale およびウェストフォードの各拠点の静的な NHTB テーブルエントリを追加します。

結果

設定モードから、 show security ipsecコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ハブのセキュリティポリシーの設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ハブのセキュリティポリシーを設定するには、次のようにします。

  1. セキュリティポリシーを作成して、信頼ゾーンから vpn ゾーンへのトラフィックを許可します。

  2. Vpn ゾーンからトラストゾーンへのトラフィックを許可するセキュリティーポリシーを作成します。

  3. イントラゾーントラフィックを許可するセキュリティポリシーを作成します。

結果

設定モードから、 show security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ハブ用の TCP MSS の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

ハブの TCP MSS 情報を構成するには、次のようにします。

  1. TCP MSS 情報を構成します。

結果

設定モードから、 show security flowコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ウェストフォードスポークの基本ネットワーク、セキュリティゾーン、アドレス帳情報の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ウェストフォードスポークの基本ネットワーク、セキュリティーゾーン、アドレスブックの情報を設定するには、次の手順に従います。

  1. イーサネットインターフェイス情報を構成します。

  2. 静的なルート情報を構成します。

  3. 信頼できないセキュリティゾーンを構成します。

  4. セキュリティゾーンにインターフェイスを割り当てます。

  5. 許可されていないシステムサービスを指定するには、untrust セキュリティーゾーンを使用します。

  6. 信頼セキュリティゾーンを構成します。

  7. インターフェイスを信頼セキュリティゾーンに割り当てます。

  8. 許可されたシステムサービスを信頼セキュリティーゾーンに指定します。

  9. Vpn セキュリティーゾーンを設定します。

  10. Vpn セキュリティゾーンにインターフェイスを割り当てます。

  11. アドレスブックを作成し、ゾーンを関連付けます。

  12. 別のアドレスブックを作成し、ゾーンを接続します。

結果

構成モードからshow interfaces、、、 show routing-optionsshow security zones、およびshow security address-bookコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ウェストフォードスポークの IKE の設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ウェストフォードスポークの IKE を設定するには、次のようにします。

  1. IKE フェーズ1の提案を作成します。

  2. IKE 提案認証方法を定義します。

  3. IKE 提案の Diffie-hellman グループを定義します。

  4. IKE 提案認証アルゴリズムを定義します。

  5. IKE 提案の暗号化アルゴリズムを定義します。

  6. IKE フェーズ1ポリシーを作成します。

  7. IKE フェーズ1ポリシーモードを設定します。

  8. IKE 案への参照を指定します。

  9. IKE フェーズ1ポリシーの認証方法を定義します。

  10. IKE Phase 1 ゲートウェイを作成し、外部インターフェイスを定義します。

  11. IKE フェーズ1ポリシーのリファレンスを定義します。

  12. IKE フェーズ1ゲートウェイアドレスを定義します。

結果

設定モードから、 show security ikeコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ウェストフォードスポークの IPsec の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ウェストフォードスポークの IPsec を構成するには、次のようにします。

  1. IPsec フェーズ2案を作成します。

  2. IPsec フェーズ2提案プロトコルを指定します。

  3. IPsec フェーズ2提案認証アルゴリズムを指定します。

  4. IPsec フェーズ2提案の暗号化アルゴリズムを指定します。

  5. IPsec フェーズ2ポリシーを作成します。

  6. IPsec フェーズ2提案の参照を指定します。

  7. Diffie-hellman グループ2を使用するように、IPsec フェーズ 2 PFS を指定します。

  8. IKE ゲートウェイを指定します。

  9. IPsec フェーズ2ポリシーを指定します。

  10. バインドするインターフェイスを指定します。

結果

設定モードから、 show security ipsecコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ウェストフォードスポークのセキュリティーポリシーの設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ウェストフォードスポークのセキュリティーポリシーを設定するには、次のようにします。

  1. セキュリティポリシーを作成して、信頼ゾーンから vpn ゾーンへのトラフィックを許可します。

  2. Vpn ゾーンからトラストゾーンへのトラフィックを許可するセキュリティーポリシーを作成します。

結果

設定モードから、 show security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ウェストフォードスポークの TCP MSS の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

ウェストフォードスポークの TCP MSS を構成するには、次のようにします。

  1. TCP MSS 情報を構成します。

結果

設定モードから、 show security flowコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

Sunnyvale スポークの構成

CLI クイック構成

この例では、Sunnyvale スポークの SSG シリーズデバイスを使用しています。SSG シリーズデバイスの構成については、こちらを参照してください。デバイスの設定についてSSG シリーズ、 の「ScreenOSリファレンス ガイドの概念と例」を参照 https://www.juniper.net/documentation。

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更し、コマンドを[edit]階層の CLI にコピー & ペーストします。レベルを選択し、 commit設定モードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

IKE フェーズ1のステータスを確認します。

目的

IKE フェーズ1のステータスを確認します。

アクション

検証プロセスを開始する前に、192.168.10/24 ネットワーク内のホストから 192.168.168/24 および 192.168.178/24 ネットワーク内のホストにトラフィックを送信して、トンネルを構築する必要があります。ルートベースの Vpn では、SRX シリーズデバイスから開始されたトラフィックをトンネルを介して送信できます。IPsec トンネルをテストするときは、VPN の一方の側の別のデバイスから VPN のもう一方の側の2番目のデバイスにテストトラフィックを送信することをお勧めします。たとえば、192.168.10.10 から192.168.168.10 に ping を開始します。

動作モードから、 show security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detailコマンドを使用します。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。

Sa が表示されている場合は、以下の情報を確認します。

  • インデックス — この値は SA の各IKE一意です。SA に関する詳しい情報を取得するために コマンド show security ike security-associations index detail で使用できます。

  • リモート アドレス —リモート IP アドレスが正しいか検証します。

  • 都道府県

    • UP — フェーズ 1 SA が確立されています。

    • ダウン — フェーズ 1 SA の確立に問題が発生しました。

  • モード — 正しいモードが使用されていることを検証します。

構成において以下の情報が正しいことを確認します。

  • 外部インターフェイス (インターフェイスは、IKE パケットを受信するものである必要があります)

  • IKE ポリシーパラメーター

  • 事前共有鍵情報

  • フェーズ1の提案パラメーター (両方のピアで一致する必要があります)

このshow security ike security-associations index 1 detailコマンドは、インデックス番号1のセキュリティアソシエーションに関する追加情報をリストします。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ1の有効期間

  • トラフィック統計 (トラフィックが双方向で正しく流れることを確認するために使用できます)

  • 開始側/応答側ロール情報

    トラブルシューティングは、応答側ロールを使用してピア上で実行することをお勧めします。

  • 作成された IPsec Sa の数

  • 進行中のフェーズ2ネゴシエーション数

IPsec フェーズ2の状態を確認しています

目的

IPsec フェーズ2のステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detailコマンドを使用します。

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • ID 番号は16385です。この値をコマンドとshow security ipsec security-associations indexともに使用して、この特定の SA に関する詳細情報を取得します。

  • 1つの IPsec SA ペアがポート500を使用しているため、NAT トラバーサルが実装されていないことを示しています。(NAT トラバースでは、ポート4500またはその他のランダムな乱数ポートが使用します。

  • 両方の方向について、Spi、有効期限 (秒)、使用制限 (KB 単位) が表示されます。28756/lim 値は、フェーズ2の有効期間が28756秒以内に有効期限切れになり、lifesize が指定されていないことを示しています。これは無制限であることを示しています。フェーズ2は、VPN が稼働している段階1に依存していないため、フェーズ1のライフタイムとは異なる可能性があります。

  • 月曜日列にハイフンが記載されているため、この SA に対して VPN 監視が有効になっていません。VPN 監視が有効になっている場合、U は監視が稼働していることを示し、D は監視が停止していることを示します。

  • 仮想システム (vsys) はルートシステムであり、常に0をリストします。

show security ipsec security-associations index 16385 detailコマンドからの出力には、以下の情報が表示されます。

  • ローカルアイデンティティとリモートアイデンティティによって SA のプロキシ ID が構成されます。

    Proxy ID の不一致は、フェーズ2障害の最も一般的な原因の1つです。IPsec SA が表示されていない場合は、プロキシ ID 設定などのフェーズ2提案が両方のピアに対して適切であることを確認します。ルートベースの Vpn の場合、デフォルトのプロキシ ID はローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、service = any になります。同じピア IP から複数のルートベースの Vpn を使用すると、問題が発生する可能性があります。この場合、各 IPsec SA の固有のプロキシ ID を指定する必要があります。一部のサードパーティーベンダーでは、プロキシ ID を手動で入力して照合する必要があります。

  • フェーズ2障害のもう1つの一般的な理由として、ST インターフェイスバインディングが指定されていないことがあります。IPsec を完了できない場合は、kmd ログを確認するか、トレースオプションを設定してください。

次ホップトンネルのバインドを検証する

目的

すべてのピアの第2段階が完了したら、次ホップトンネルバインドを確認します。

アクション

動作モードから、 show security ipsec next-hop-tunnelsコマンドを入力します。

次ホップゲートウェイは、すべてのリモートスポークピアの st0 インターフェイスの IP アドレスです。次ホップは、正しい IPsec VPN 名と関連付けられている必要があります。NHTB エントリーが存在しない場合、ハブデバイスでは、どの IPsec VPN がどのネクストホップに関連付けられているのかを区別することはできません。

Flag フィールドには、以下のいずれかの値が含まれています。

  • 静的: NHTB は st0.0 インターフェイス設定で手動で設定しました。これは、ピアが他のデバイスにSRX シリーズされている場合に必要です。

  • 自動— NHTB は設定されていませんでしたが、2 台のデバイス間のフェーズ 2 ネゴシエーション中に、エントリが自動的に NHTB テーブルにSRX シリーズされました。

この例では、どのスポークサイトにも NHTB テーブルはありません。スポークの観点から見ると、st0 インターフェイスは、1つの IPsec VPN バインドのみを使用するポイントツーポイントリンクです。

リモートピアローカル Lan の静的ルートを検証しています

目的

静的ルートがスポーク ピアのst0 IPアドレスを参照検証します。

アクション

動作モードから、 show routeコマンドを入力します。

ネクスト ホップはリモート ピアの st0 IP アドレスであり、両方のルートは送信インターフェースとして st0.0 を指します。

IPsec セキュリティアソシエーションの統計とエラーを確認する

目的

IPsec セキュリティアソシエーションの ESP および認証ヘッダーのカウンターとエラーを確認します。

アクション

動作モードから、 show security ipsec statistics indexコマンドを入力します。

このshow security ipsec statisticsコマンドを使用して、すべての sa の統計とエラーを確認することもできます。

すべての IPsec 統計情報を消去するclear security ipsec statisticsには、このコマンドを使用します。

VPN 全体でパケットロスの問題が発生した場合、またshow security ipsec statisticsshow security ipsec statistics detail何回かのコマンドを実行して、暗号化および暗号化解除されたパケットカウンターが増加していることを確認できます。また、他のエラーカウンターが増加しているかどうかも確認する必要があります。

VPN 全体でのトラフィックフローのテスト

目的

VPN 全体のトラフィックフローを確認します。

アクション

SRX シリーズデバイスのコマンドpingを使用して、リモートホスト PC へのトラフィックフローをテストできます。ルートルックアップが正しく、適切なセキュリティゾーンがポリシールックアップ時に参照されるように、ソースインターフェイスを指定していることを確認してください。

動作モードから、 pingコマンドを入力します。

SSG シリーズデバイスのpingコマンドを使用することもできます。

SRX シリーズまたpingは Ssg シリーズデバイスからコマンドが失敗した場合は、ルーティング、セキュリティポリシー、エンドホスト、または ESP パケットの暗号化と復号化に問題がある可能性があります。

リリース履歴テーブル
リリース
説明
19.4R1
Junos OS リリース 19.4 R1 から開始してcontainer-stringwildcard-string 、 [edit security ike gateway gateway_name dynamic distinguished-name]階層間で1つの動的 DN 属性のみを構成できるようになりました。最初の属性を設定した後で第2の属性を設定しようとすると、最初の属性が2つ目の属性に置き換えられます。デバイスをアップグレードする前に、属性の両方を設定している場合は、いずれかの属性を削除する必要があります。
15.1X49-D80
Junos OS リリース 15.1 X49-D80 では、SRX シリーズデバイス上の動的エンドポイント Vpn は、セキュアトンネルでの IPv6 トラフィックをサポートしています。
12.3X48-D40
Junos OS Release 12.3 X48-D40, Junos OS Release 15.1 X49-D70, Junos OS Release 17.3 R1 では、同じ外部インターフェイスを使用する SRX シリーズデバイス上に設定されたすべての動的エンドポイントゲートウェイは、異なる IKE ポリシーを使用することができますが、IKE ポリシーを使用する必要があります。同じ IKE 提案です。