Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN構成の概要

VPN 接続は、2 つの LAN(サイトツーサイト VPN)またはリモートのダイヤルアップ ユーザーと LAN をつなげることができます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。IPsecトンネルは、2台の参加デバイス間で作成されVPN通信の安全性を確保します。

自動キーIKE設定によるIPsec VPNの概要

IPsec VPNのネゴシエーションには2つのフェーズが存在します。フェーズ1では、参加デバイスはIPsecセキュリティアソシエーション(SA)とのネゴシエーションのためのセキュアなチャンネルを確立します。フェーズ2では、参加デバイスはトンネルを通過するトラフィックを認証するためにIPsec SAとネゴシエートします。

この概要では、自動キーIKE(事前共有キーまたは証明書)を使用して、ルートベースまたはポリシーベースのIPsec VPNの基本的な設定手順について説明します。

自動キーIKEを使用したルートベースまたはポリシーベースIPsec VPNの設定手順を以下に示します。

  1. インターフェイス、セキュリティゾーン、アドレス帳情報を設定します。

    (ルートベースVPNの場合)セキュアトンネルst0.xインターフェイスを設定します。デバイスにルーティングを設定します。

  2. IPsec VPNトンネルのフェーズ1を設定します。
    1. (任意)カスタムIKEフェーズ1プロポーザルを設定します。定義済みIKEフェーズ1プロポーザルセット(標準、互換、基本)を使用することから、この手順の設定は任意です。
    2. カスタムIKEフェーズ1プロポーザルまたは定義済みIKEフェーズ1プロポーザルセットのいずれかを参照して、IKEポリシーを設定します。自動キーIKEを事前共有された、キーまたは証明書情報を指定します。フェーズ1交換用のモード(メインまたはアグレッシブ)を指定します。
    3. IKEポリシーを参照するIKEゲートウェイを設定します。ローカルおよびリモートデバイスのIKE IDを指定します。リモートゲートウェイのIPアドレスが不明な場合に、リモートゲートウェイを識別する方法を指定します。
  3. IPsec VPNトンネルのフェーズ2を設定します。
    1. (任意)カスタムIPsecフェーズ2プロポーザルを設定します。定義済みIPsecフェー2プロポーザルセット(標準、互換、基本)を使用することから、この手順は任意です。
    2. カスタムIPsecフェーズ2プロポーザルまたは定義済みIPsecフェーズ2プロポーザルセットのいずれかを参照して、IPsecポリシーを設定します。前方秘匿性(PFS)キーを指定します。
    3. IKEゲートウェイとIPsecポリシーの両方を参照して、IPsec VPNトンネルを設定します。フェーズ2のネゴシエーションに使用するプロキシIDを指定します。

      (ルートベースVPNの場合)セキュアトンネルインターフェイスst0.xをIPsec VPNトンネルにバインドします。

  4. 送信元ゾーンから宛先ゾーンへのトラフィックを許可するセキュリティポリシーを設定します。

    (ポリシーベースVPNの場合)セキュリティポリシーアクションtunnel ipsec-vpnには、設定したIPsec VPNトンネルの名前を指定します。

  5. グローバルVPN設定を更新します。

動的なエンドポイントを持つIPsec VPNについて

概要

IPsec VPNピアは、VPN接続を確立するピアに認知されないIPアドレスを持つことができます。例えば、ピアには、動的ホスト構成プロトコル(DHCP)を介して、IPアドレスを動的に割り当てることができます。これは、別の物理的な場所に移動する、支社またはホームオフィス内のリモートアクセスクライアントまたは、リモートアクセスクライアントであるかもしれません。または、ピアをNATデバイスの背後に配置して、ピアの元の送信元IPアドレスを別のアドレスに変換することができます。不明なIPアドレスを持つVPNピアは動的エンドポイントと呼ばれ、動的エンドポイントで確立されたVPNは、動的エンドポイントVPNと呼ばれます。

SRXシリーズ デバイスでは、IKEv1またはIKEv2動的エンドポイントVPNでサポートされています。SRXシリーズデバイス上の動的エンドポイントVPNは、安全なトンネル上のIPv4トラフィックをサポートします。Junos OSリリース15.1X49-D80以降、SRXシリーズデバイス上の動的なエンドポイントVPNは、セキュアトンネル上のIPv6トラフィックをサポートするようになりました。

IPv6トラフィックは、AutoVPNネットワークではサポートされていません。

次のセクションでは、動的エンドポイントでVPNを設定する際に注意すべき項目について説明します。

IKE ID

動的エンドポイントでは、デバイスをピアでを識別するために、デバイスにIKE IDを設定する必要があります。動的エンドポイントのローカルIDは、ピアで確認します。デフォルトでは、SRXシリーズデバイスは、IKE IDが次のいずれかになると予測します。

  • 証明書を使用する場合は、識別名(DN)を使用してユーザーまたは組織を識別します。

  • エンドポイントを識別するホスト名またはユーザー完全修飾ドメイン名(FQDN)。

  • ユーザー完全修飾ドメイン名(UFQDN)(ホスト名にあるユーザーとも呼ばれます)。これは、電子メールアドレス形式に続く文字列です。

IKEv1ポリシーのアグレッシブモード

IKEv1を動的エンドポイントVPNと共に使用する場合は、IKEポリシーをアグレッシブモード向けに設定する必要があります。IKEv2はアグレッシブモードを使用しないため、動的エンドポイントVPNを使用してIKEv2を使用する場合に、メインまたはアグレッシブモードのいずれかを設定できます。

IKEポリシーと外部インターフェイス

Junos OSリリース12.3X48-D40、Junos OSリリース15.1X49-D70、Junos OSリリース17.3R1以降、同じ外部インターフェイスを使用するSRXシリーズデバイスで設定した動的エンドポイントゲートウェイは、異なるIKEポリシーを使用できるようになりましたが、IKEポリシーは同じIKEプロポーザルを使用する必要があります。これは、IKEv1およびIKEv2に適用されます。

NAT

動的エンドポイントがNATデバイスの背後にある場合、SRXシリーズデバイスでNAT-Tを設定する必要があります。VPNピア間の接続中は、NAT変換を維持するためにNATキープアライブが必要となる場合があります。デフォルトでは、SRXシリーズデバイスでNAT-Tが有効になっており、NATキープアライブは20秒間隔で送信されます。

グループおよび共有IKE ID

動的エンドポイントごとに個々のVPNトンネルを設定できます。IPv4動的エンドポイントVPNでは、グループIKE IDまたは共有IKE ID機能を使用して、多数の動的エンドポイントでIKEゲートウェイ設定を共有することができます。

グループIKE IDにより、「example.net」など、すべての動的エンドポイントに対して、フルIKE IDの共通部分を定義することができます。ユーザー名「Bob」などのユーザー固有の部分を共通部分と連結させることで、各ユーザー接続を一意に識別するフルIKE ID(Bob.example.net)を形成します。

共有IKE IDにより、動的エンドポイントは単一のIKE IDと事前共有済みのキーを共有することができます。

IKE IDの設定について

IKE ID(IKE ID)は、IKE ネゴシエーション中にVPNピアデバイスの検証に使用されます。SRXシリーズデバイスがリモートピアから受信したIKE IDは、IPv4またはIPv6アドレス、ホスト名、完全に認証されたドメイン名(FQDN)、ユーザーFQDN(UFQDN)、または識別名(DN)にすることができます。リモートピアから送信されたIKE IDは、SRXシリーズデバイスが期待するものと一致する必要があります。そうでない場合、IKE ID検証は失敗し、VPNは確立されません。

IKE IDタイプ

SRXシリーズデバイスは、リモートピアに以下のIKE IDタイプをサポートしています。

  • IPv4またはIPv6アドレスは、一般的にサイト間のVPNに使用されますが、リモートピアは静的IPアドレスに使用されます。

  • ホスト名はリモートピアシステムを識別する文字列です。これは、IPアドレスを解決するFQDNになることがあります。また、特定のリモートユーザーを識別するためにIKEユーザータイプと組み合わせて使用される部分的なFQDNとなる場合もあります。

    IPアドレスの代わりにホスト名を設定した場合、コミットされた設定とその後のトンネル確立は、現在解決されているIPアドレスに基づきます。リモートピアのIPアドレスを変更すると、設定が有効ではなくなります。

  • UFQDNは、user@example.comなどの電子メールアドレスと同じ形式の文字列です。

  • DNは、ユーザーを一意的に確認するためにデジタル証明書に使用される名前です。たとえば、DNは「CN=user、DC=example、DC=com」となる可能性があります。オプションとして、containerキーワードを使用して、DNのフィールドの順序とその値が構成されたDNと完全に一致するように指定するか、wildcardキーワードを使用して、DNのフィールドの値は一致する必要があるものの、フィールドの順序は関係ないように指定することができます。

    Junos OS Release 19.4R1以降、[edit security ike gateway gateway_name dynamic distinguished-name]階層ではcontainer-stringおよびwildcard-stringから動的DN属性が1つだけ設定できるようになりました。1つ目の属性を設定した後に2つ目の属性を設定しようとすると、1つ番目の属性が2つ目の属性に置き換えられます。デバイスをアップグレードする前に、両方の属性を設定していた場合、属性を1つ削除する必要があります。

  • IKEユーザータイプは、SRXシリーズデバイス上の同じVPNゲートウェイに複数のリモートピアが接続している場合に、AutoVPNとリモートアクセスVPNで使用できます。ike-user-type group-ike-idを設定してグループIKEおよび IDを指定するか、ike-user-type shared-ike-idで共有IKE IDと指定します。

リモートIKE IDとサイト間VPN

サイト間VPNの場合、リモートピアのIKE IDは、ピアデバイスの構成に応じて、エグレスネットワークインターフェイスカードのIPアドレス、ループバックアドレス、ホスト名、または手動で構成したIKE IDにすることができます。

デフォルトでは、SRXシリーズデバイスは、リモートピアのIKE IDがset security ike gateway gateway-name address構成で設定されたIPアドレスとなることを予測します。リモートピアのIKE IDが異なる値である場合は、[edit security ike gateway gateway-name]階層レベルでremote-identityステートメントを設定する必要があります。

たとえば、SRXシリーズデバイス上のIKEゲートウェイは、set security ike gateway remote-gateway address 203.0.113.1コマンドで構成されます。ただし、リモートピアから送信されるIKE IDはhost.example.netです。SRXシリーズデバイスがリモートピアのIKE ID(203.0.113.1)に予測する値と、ピアから実際に送信されたIKE ID(host.example.net)の間に不一致があります。この場合、IKE IDは検証に失敗します。リモートピアから受信したIKE IDと一致させるには、set security ike gateway remote-gateway remote-identity hostname host.example.netを使います。

リモートIKE IDとエンドポイントVPN

動的エンドポイントVPNの場合、リモートピアに予測されるIKE IDは、[edit security ike gateway gateway-name dynamic]階層レベルのオプションで設定されます。AutoVPNの場合、hostnameike-user-type group-ike-idと組み合わせることで、共通のドメイン名を持つ複数のピアに使用できます。ピアの検証に証明書を使用する場合は、DNを設定できます。

SRXシリーズデバイスにおけるローカルIKE ID

デフォルトでは、SRXシリーズデバイスは、リモートピアへの外部インターフェイスのIPアドレスをIKE IDとして使用します。IKE IDは、[edit security ike gateway gateway-name]階層レベルでステートメントlocal-identityを設定することで上書きできます。SRXシリーズデバイスにlocal-identityステートメントを設定する必要がある場合は、設定されているIKE IDがリモートピアが予測するIKE IDと一致するようにしてください。

サイト間 VPN 用のリモート IKE ID の設定

デフォルトでは、SRXシリーズのデバイスは、ピアから受信したIKE IDをIKEゲートウェイに設定されたIPアドレスに対して検証します。特定のネットワーク設定では、ピアから受信した IKE ID(IPv4 または IPv6 アドレス、完全修飾ドメイン名(FQDN)、識別名、または電子メールアドレス)が、SRX シリーズデバイスに設定されている IKE ゲートウェイと一致しません。これにより、フェーズ 1 検証が失敗する恐れがあります。

使用された IKE IDの SRX シリーズデバイスまたはデバイスピアデバイスの設定を変更するには:

  • SRX シリーズデバイスで、[edit security ike gateway gateway-name] 階層レベルで remote-identity ステートメントがピアから受信した IKE ID と一致するように設定します。値は、IPv4またはIPv6アドレス、FQDN、識別名、または電子メールアドレスのいずれかです。

    remote-identity を設定しない場合、デバイスはデフォルトでリモートピアに対応する IPv4 または IPv6 アドレスを使用します。

  • ピアデバイスで、IKE ID が SRX シリーズデバイスで設定された remote-identity と同じであることを確認します。ピアデバイスがSRXシリーズデバイスである場合、[edit security ike gateway gateway-name] 階層レベルで local-identity ステートメントを設定します。値は、IPv4またはIPv6アドレス、FQDN、識別名、または電子メールアドレスのいずれかです。

SRX シリーズ デバイスでの OSPF および OSPFv 認証の理解

OSPFv3 は、認証方法が組み込まれていないため、IPsec(IP セキュリティ)スイートに依存してこの機能を提供できます。IPsec は、送信元、データ整合性、機密性、リプレイ保護、送信元否認防止を提供します。IPsec を使用して、特定の OSPFv3 インターフェースと仮想リンクを確保し、OSPF パケットの暗号化を提供できます。

OSPFv3 は、IPsec プロトコルのAH(IP認証ヘッダー)と IP ESP(IPカプセル化セキュリティ ペイロード)部分を使用して、ピア間のルーティング情報を認証します。AH は、コネクションレスの整合性とデータ送信元の認証を提供できます。リプレイに対する保護も提供します。AH は、IP ヘッダーに加え上位プロトコル データをできる限り認証します。ただし、一部の IP ヘッダー フィールドがトランジットで変更される場合があります。これらのフィールドの値は送信者から予測可能ではないため、AH によって保護できません。ESP は、暗号化と制限されたトラフィック フローの機密性またはコネクションレスの整合性、データ送信元の認証、アンチリプレイ サービスを提供できます。

IPsec は SA(セキュリティ アソシエーション)に基づいています。SA は、IPsec 関係を確立するデバイス間でネゴシエートされた IPsec 仕様のセットです。このシンプレックス接続は、SA が伝送するパケットにセキュリティ サービスを提供します。これらの仕様には、IPsec 接続を確立する際に使用される認証、暗号化、および IPsec プロトコルのタイプの設定が含まれています。SA は、一方向に特定のフローを暗号化して認証するために使用されます。そのため、通常の双方向トラフィックでは、フローが一対の SA によって保護されます。OSPFv3 と併せて使用される SA は、手動で設定し、トランスポート モードを使用する必要があります。SA の両端で静的値が設定する必要があります。

OSPF または OSPFv3 に IPsec を設定するには、まず [edit security ipsec] 階層レベルで オsecurity-association sa-nameプションによって 手動 SA を定義します。この機能は、トランスポート モードでの双方向 手動鍵 SA のみをサポートします。マニュアル, 手動 SA には、ピア間のネゴシエーションは必要ありません。キーを含むすべての値は、静的であり、設定で指定されます。手動 SA は、使用する SPI(セキュリティ パラメータ インデックス)の値、アルゴリズム、および鍵を静的に定義し、両方のエンドポイント(OSPF または OSPFv3 ピア)で一致する設定が必要です。その結果、各ピアには、通信が実行されるために同じ設定されたオプションある必要があります。

暗号化および認証アルゴリズムの実際の選択は、IPsec 管理者に任されます。ただし、以下の推奨事項があります。

  • Null 暗号化と合わせて ESP を使用して、プロトコル ヘッダーに認証を提供し、IPv6 ヘッダー、拡張ヘッダー、およびオプションには提供しません。Null 暗号化により、プロトコル ヘッダーに暗号化を提供しないことを選択します。これは、トラブルシューティングとデバッグに便利です。Null 暗号化の詳細については、RFC 2410, The NULL Encryption Algorithm and Its Use with IPsecを参照してください。

  • 完全な機密性のために DES または 3DES を持つ ESP を使用します。

  • AH を使用して、プロトコル ヘッダー、IPv6 ヘッダーの不変なフィールド、および拡張ヘッダーとオプションに認証を提供します。

設定された SA は、次の通り、OSPFまたは OSPFv3 設定に適用されます。

  • OSPF または OSPFv3 インターフェイスについては、[edit protocols ospf area area-id interface interface-name] または [edit protocols ospf3 area area-id interface interface-name] 階層レベルに ステートipsec-sa nameメントを含めます。IPsec SA 名は、OSPF または OSPFv3 インターフェイスに 1 つだけ指定できます。ただし、異なる OSPF/OSPFv3 インターフェースに、同じ IPsec SA を指定できます。

  • OSPF または OSPFv3 仮想リンクについては、[edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] または [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] 階層レベルに ステートipsec-sa nameメントを含めます。同じエンドポイント アドレスを持つすべての仮想リンクに、同じ IPsec SA を設定する必要があります。

SRX シリーズ デバイス上の OSPF または OSPFv3 向けの IPsec 認証に、以下の制限が適用されます。

  • [edit security ipsec vpn vpn-name manual] 階層レベルで設定された手動 VPN 設定は、OSPF または OSPFv3 インターフェイスあるいは仮想リンクに適用して、IPsec 認証と機密性を提供することはできません。

  • 同じローカルおよびリモート アドレスに設定された既存の IPsec VPN がある場合、OSPFv3 または OSPFv 認証に IPsec を設定できません。

  • OSPF または OSPFv3 認証の IPsec では、トンネル st0 インターフェイス上でサポートされていません。

  • 手動鍵の鍵更新はサポートされていません。

  • 動的 IKE(インターネット鍵交換)SA には対応していません。

  • IPsec トランスポート モードのみサポートされます。トランスポート モードでは、IP パケットのペイロード(転送するデータ)のみが暗号化または認証されるか、その両方が行われます。トンネル モードはサポートされていません。

  • 双方向手動 SA のみがサポートされているため、すべての OSPFv3 ピアを同じ IPsec SA で設定する必要があります。[edit security ipsec] 階層レベルで手動双方向 SA を設定します。

  • 同じエンドポイント アドレスを持つすべての仮想リンクに、同じ IPsec SA を設定する必要があります。

例:SRXシリーズデバイス上のOSPFインターフェイスのIPsec認証を設定する

この例では、手動セキュリティアソシエーション(SA)を設定し、OSPFインターフェースに適用する方法を示します。

要件

開始する前に、以下を実行します。

  • デバイスインターフィスを設定します。

  • OSPFネットワーク内のデバイスのルーター識別子を設定します。

  • OSPFの指定ルーター選出を制御します。

  • 単一エリアOSPFネットワークを設定します。

  • マルチエリアOSPFネットワークを設定します。

概要

OSPFとOSPFv3の両方でIPsec認証を使用することができます。手動SAを別途設定し、該当するOSPFのコンフィグレーションに適用します。表 3は、この例で手動SAに設定したパラメーターと値の一覧です。

表 3: IPsec OSPFインターフェース認証の手動SA

パラメーター

SA名

sa1

モード

トランスポート

方向

双方向

プロトコル

AH

SPI

256

認証アルゴリズム

キー

hmac-md5-96

(ASCII)123456789012abc

暗号化アルゴリズム

キー

des

(ASCII) cba210987654321

設定

手動SAを設定する

CLIクイック構成

OSPFインターフェイスでIPsec認証に使用する手動SAを素早く設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドを [edit] 階層レベルでCLIにコピーして貼り付け、構成モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

手動SAを設定する場合。

  1. SAの名前を指定します。

  2. 手動SAのモードを指定します。

  3. 手動SAの向きを設定します。

  4. 使用するIPsecプロトコルを設定します。

  5. SPIの値を設定します。

  6. 認証アルゴリズムとキーを設定します。

  7. 暗号化アルゴリズムとキーを設定。

結果

show security ipsecコマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

パスワードを設定した後、パスワードそのものは表示されません。出力には、設定したパスワードの暗号化された形式が表示されます。

デバイスの設定が完了したら、設定モードから commit を入力します。

OSPFインターフェイスでIPsec認証を有効にする

CLIクイック構成

IPsec認証に使用する手動SAをOSPFインターフェイスに素早く適用するには、次のコマンドをコピーしてテキストファイルに貼り付け、ネットワーク構成に合わせて必要な詳細を変更し、CLIに[edit]階層レベルでコマンドをコピーして貼り付け、設定モードからcommitを入力してください。

ステップバイステップでの手順

OSPFインターフェイスでIPsec認証を有効にする方法。

  1. OSPFエリアを作成します。

    OSPFv3を指定するには、[edit protocols]階層レベルに ospf3 ステートメントを含めます。

  2. インターフェイスを指定します。

  3. IPsecの手動SAを適用します。

結果

show ospf interface detailコマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

OSPFv3の設定を確認するために、show protocols ospf3 コマンドを入力します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IPsecセキュリティアソシエーションの設定の検証

目的

構成されたIPsecセキュリティアソシエーションの設定を確認します。次の情報を確認します。

  • セキュリティアソシエーションフィールドには、設定されているセキュリティアソシエーションの名前が表示されます。

  • SPIフィールドには、設定した値が表示されます。

  • モードフィールドには、トランスポートモードが表示されます。

  • タイプフィールドには、セキュリティアソシエーションのタイプとしてマニュアルが表示されます。

アクション

動作モードからshow ospf interface detailコマンドを入力します。

OSPFインターフェイスでのIPsecセキュリティアソシエーションの検証

目的

設定したIPsecセキュリティアソシエーションがOSPFインターフェイスに適用されていることを確認します。IPsec SA名フィールドに、構成されたIPsecセキュリティアソシエーションの名前が表示されていることを確認します。

アクション

動作モードから,OSPFには show ospf interface detail コマンドを,OSPFv3には show ospf3 interface detail コマ コマンドを入力します.

VPN ウィザードを使用した IPSec VPN の設定

VPN ウィザードでは、フェーズ 1 およびフェーズ 2 の両方を含む、IPsec VPN の基本的な設定を実行できます。より高度な設定を行うには、J-Web インターフェースまたは CLI を使用してください。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。

VPN ウィザードを使用して IPsec VPN を設定するには:

  1. J-WebインターフェースConfigure>Device Setup>VPNで を選択します。
  2. [Launch VPN Wizard](VPN ウィザードを起動)クリックをクリックします。
  3. ウィザードのプロンプトに従ってください。

ウィザードページの左上のエリアは、構成プロセスの進捗を示しています。ページの左下のエリアは、フィールドに対応するヘルプを示しています。リソース見出しの下のリンクをクリックすると、ブラウザーでドキュメントが開きます。ドキュメントが新しいタブで開いた場合は、ドキュメントを閉じる際、(ブラウザー ウィンドウではなく)タブのみを閉じるようにしてください。

例:ハブアンドスポーク方式 VPN の設定

この例では、ハブアンドスポーク方式IPsec VPNをエンタープライズクラスの導入向けに設定する方法を示します。

要件

この例では、次のハードウェアを使用しています。

  • SRX240デバイス

  • SRX5800デバイス

  • SSG140デバイス

開始前に、IPsec の概要を読んでください。

概要

この例では、支店/拠点での導入で通常みられるハブアンドスポーク方式VPNを設定する方法を説明します。ハブは本社です。さらに、カリフォルニア州サニーベールの支店とマサチューセッツ州ウェストフォードの支店の2つのスポークがあります。支店のユーザーはVPNを使用して本社との安全なデータ転送を行います。

図 1はハブアンドスポーク方式VPNのトポロジーの例を示しています。このトポロジーでは、SRX5800デバイスが本社に配置されています。SRXシリーズデバイスはウェストフォード支店にあり、SSG140デバイスはサニーベール支店にあります。

図 1: ハブアンドスポークVPNトポロジーハブアンドスポークVPNトポロジー

この例では、本社のハブ、ウェストフォードのスポークとサニーベールのスポークを設定します。まずは、インターフェイス、IPv4スタティックルートとデフォルトルート、セキュリティゾーン、アドレス帳を設定します。その後、IKEフェーズ1とIPSecフェーズ2のパラメーターを設定し、st0.0インターフェイスをIPsec VPNにバインドします。ハブではst0.0をマルチポイントに設定し、サニーベールのスポークのNHTBテーブルに静的なエントリーを追加します。最後に、セキュリティポリシーとTCP-MSSパラメーターを設定します。この例で使用されている特定の設定パラメータについては、表 4から表 8を参照してください。

表 4: インターフェイス、セキュリティゾーン、アドレス帳情報

ハブまたはスポーク

機能

お名前

設定パラメータ

ハブ

インターフェイス

ge-0/0/0.0

192.168.10.1/24

   

ge-0/0/3.0

10.1.1.2/30

   

st0

10.11.11.10/24

スポーク

インターフェイス

ge-0/0/0.0

10.3.3.2/30

   

ge-0/0/3.0

192.168.178.1/24

   

st0

10.11.11.12/24

ハブ

セキュリティ ゾーン

trust

  • すべてのシステム サービスが許可されます。

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

   

untrust

  • IKEは唯一許可されているシステム サービスです。

  • ge-0/0/3.0インターフェイスは、このゾーンにバインドされています。

   

vpn

st0.0インターフェイスは、このゾーンにバインドされています。

スポーク

セキュリティ ゾーン

trust

  • すべてのシステム サービスが許可されます。

  • ge-0/0/3.0インターフェイスは、このゾーンにバインドされています。

   

untrust

  • IKEは唯一許可されているシステム サービスです。

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

   

vpn

st0.0インターフェイスは、このゾーンにバインドされています。

ハブ

アドレス帳エントリー

local-net

  • このアドレスはtrustゾーンのアドレス帳のものです。

  • このアドレス帳エントリーのアドレスは192.168.10.0/24です。

   

sunnyvale-net

  • このアドレスはvpnゾーンのアドレス帳のものです。

  • このアドレス帳エントリーのアドレスは192.168.168.0/24です。

   

westford-net

  • このアドレスはvpnゾーンのアドレス帳のものです。

  • このアドレス帳エントリーのアドレスは192.168.178.0/24です。

スポーク

アドレス帳エントリー

local-net

  • このアドレスはtrustゾーンのアドレス帳のものです。

  • このアドレス帳エントリーのアドレスは192.168.168.178.0/24です。

   

corp-net

  • このアドレスはvpnゾーンのアドレス帳のものです。

  • このアドレス帳エントリーのアドレスは192.168.10.0/24です。

   

sunnyvale-net

  • このアドレスはvpnゾーンのアドレス帳のものです。

  • このアドレス帳エントリーのアドレスは192.168.168.0/24です。

表 5: IKEフェーズ1の設定パラメーター

ハブまたはスポーク

機能

お名前

設定パラメータ

ハブ

プロポーザル

ike-phase1-proposal

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:sha1

  • 暗号化アルゴリズムaes-128-cbc

 

ポリシー

ike-phase1-policy

  • モード:メイン

  • プロポーザル リファレンス:ike-phase1-proposal

  • IKEフェーズ1のポリシー認証方法:pre-shared-key ascii-text

 

ゲートウェイ

gw-westford

  • IKE ポリシーの参照:ike-phase1-policy

  • 外部インターフェイス:ge-0/0/3.0

  • ゲートウェイ アドレス:10.3.3.2

   

gw-sunnyvale

  • IKE ポリシーの参照:ike-phase1-policy

  • 外部インターフェイス:ge-0/0/3.0

  • ゲートウェイ アドレス:10.2.2.2

スポーク

プロポーザル

ike-phase1-proposal

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:sha1

  • 暗号化アルゴリズムaes-128-cbc

 

ポリシー

ike-phase1-policy

  • モード:メイン

  • プロポーザル リファレンス:ike-phase1-proposal

  • IKEフェーズ1のポリシー認証方法:pre-shared-key ascii-text

 

ゲートウェイ

gw-corporate

  • IKE ポリシーの参照:ike-phase1-policy

  • 外部インターフェイス:ge-0/0/0.0

  • ゲートウェイ アドレス:10.1.1.2

表 6: IPsecフェーズ2の設定パラメーター

ハブまたはスポーク

機能

お名前

設定パラメータ

ハブ

プロポーザル

ipsec-phase2-proposal

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha1-96

  • 暗号化アルゴリズムaes-128-cbc

 

ポリシー

ipsec-phase2-policy

  • プロポーザル リファレンス:ipsec-phase2-proposal

  • PFS:Diffie-Hellmanグループ2

 

VPN

vpn-sunnyvale

  • IKEゲートウェイ リファレンス:gw-sunnyvale

  • IPsecポリシー リファレンス:ipsec-phase2-policy

  • インターフェイスへのバインド:st0.0

   

vpn-westford

  • IKEゲートウェイ リファレンス:gw-westford

  • IPsecポリシー リファレンス:ipsec-phase2-policy

  • インターフェイスへのバインド:st0.0

スポーク

プロポーザル

ipsec-phase2-proposal

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha1-96

  • 暗号化アルゴリズムaes-128-cbc

 

ポリシー

ipsec-phase2-policy

  • プロポーザル リファレンス:ipsec-phase2-proposal

  • PFS:Diffie-Hellmanグループ2

 

VPN

vpn-corporate

  • IKEゲートウェイ リファレンス:gw-corporate

  • IPsecポリシー リファレンス:ipsec-phase2-policy

  • インターフェイスへのバインド:st0.0

表 7: セキュリティ ポリシー設定パラメータ

ハブまたはスポーク

目的

お名前

設定パラメータ

ハブ

セキュリティ ポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。

local-to-spokes

  • 一致する条件:

    • source-address local-net

    • destination-address sunnyvale-net

    • destination-address westford-net

    • application any

 

セキュリティ ポリシーは、vpnゾーンからtrustゾーンへのトラフィックを許可します。

spokes-to-local

一致する条件:

  • source-address sunnyvale-net

  • source-address westford-net

  • destination-address local-net

  • application any

 

セキュリティポリシーは、イントラゾーンのトラフィックを許可します。

spoke-to-spoke

一致する条件:

  • source-address any

  • destination-address any

  • application any

スポーク

セキュリティ ポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。

to-corp

  • 一致する条件:

    • source-address local-net

    • destination-address corp-net

    • destination-address sunnyvale-net

    • application any

 

セキュリティ ポリシーは、vpnゾーンからtrustゾーンへのトラフィックを許可します。

from-corp

一致する条件:

  • source-address corp-net

  • source-address sunnyvale-net

  • destination-address local-net

  • application any

 

セキュリティ ポリシーは、untrustゾーンからtrustゾーンへのトラフィックを許可します。

permit-any

一致する条件:

  • source-address any

  • source-destination any

  • application any

  • 許可アクション:source-nat interface

    source-nat interfaceを指定することで、SRXシリーズデバイスは、送信元IPアドレスとしてエグレスインターフェイスのIPアドレスを利用し、送信元ポートにはランダムな大きな数字のポートを利用して、送信トラフィックの送信元IPアドレスとポートを変換します。

表 8: TCP-MSS設定パラメータ

目的

設定パラメータ

TCC-MSSは、TCPスリーウェイハンドシェイクの一部としてネゴシエートされ、TCPセグメントの最大サイズをネットワークのMTU制限に適応するよう制限します。VPNトラフィックの場合、IPsecカプセル化のオーバーヘッドと、IPおよびフレームのオーバーヘッドにより、物理インターフェイスのMTUを超えるESPパケットが発生する可能性があります。これは、フラグメント化を引き起こします。フラグメント化は、帯域幅とデバイスリソースの使用増加の原因となります。

MTUが1500以上のイーサネットベースのネットワークでは、ほとんどの場合で開始値として1350をお勧めします。最適なパフォーマンスを実現するためには、さまざまなTCP-MSS値を試す必要があるかもしれません。たとえば、パス内にMTUが小さいデバイスが存在したり、PPPやフレーム リレーなどの追加オーバーヘッドがあったりすると、値を変更する必要がある場合もあります。

MSS値:1350

設定

ハブの基本的なネットワーク、セキュリティゾーンおよびアドレス帳情報の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ハブの基本的なネットワーク、セキュリティゾーンおよびアドレス帳情報を設定するには、次の手順に従います。

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルートの情報を設定します。

  3. untrustセキュリティ ゾーンを設定します。

  4. untrustセキュリティゾーンにインターフェイスを割り当てます。

  5. untrustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  6. trustセキュリティ ゾーンを設定します。

  7. trustセキュリティ ゾーンにインターフェイスを割り当てます。

  8. trustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  9. アドレス帳を作成し、そのアドレス帳にゾーンをアタッチします。

  10. vpnセキュリティ ゾーンを設定します。

  11. vpnセキュリティゾーンにインターフェイスを割り当てます。

  12. アドレス帳をもう1つ作成し、そのアドレス帳にゾーンをアタッチします。

結果

設定モードから、show interfacesshow routing-optionsshow security zones、およびshow security address-book のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ハブのIKEの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ハブのIKEを設定するには、次の手順に従います。

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEプロポーザルの認証方法を定義します。

  3. IKEプロポーザルのDiffie-hellmanグループを定義します。

  4. IKEプロポーザルの認証アルゴリズムを定義します。

  5. IKEプロポーザルの暗号化アルゴリズムを定義します。

  6. IKEポリシー1のポリシーを作成します。

  7. IKEフェーズ1ポリシーモードを設定します。

  8. IKEプロポーザルへのリファレンスを指定します。

  9. IKEフェーズ1ポリシー認認証方法を定義します。

  10. IKEフェーズ1ゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKEフェーズ1ポリシーリファレンスを定義します。

  12. IKEフェーズ1のゲートウェイアドレスを定義します。

  13. IKEフェーズ1のゲートウェイを作成し、その外部インターフェイスを定義します。

  14. IKEフェーズ1ポリシーリファレンスを定義します。

  15. IKEフェーズ1のゲートウェイアドレスを定義します。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ハブのIPsecの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ハブのIPsecを設定するには、次の手順に従います。

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のプロポーザルプロトコルを指定します。

  3. IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2のポリシーを作成します。

  6. IPsecフェーズ2のプロポーザルのリファレンスを指定します。

  7. IPsecフェーズ2のPFSがDiffie-Hellman group 2を使用するよう指定します。

  8. IKEゲートウェイを指定します。

  9. IPsecフェーズ2のポリシーを指定します。

  10. バインドするインターフェイスを指定します。

  11. st0インターフェイスをマルチポイントとして指定します。

  12. サニーベールとウェストフォード支店のNHTBテーブルに静的エントリーを追加します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ハブのセキュリティポリシーの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ハブのセキュリティポリシーを設定するには、次の手順に従います。

  1. trustゾーンからvpnゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  2. vpnゾーンからtrustゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  3. イントラゾーンのトラフィックを許可するセキュリティポリシーを作成します。

結果

設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ハブのTCP-MSSの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

ハブのTCP-MSS情報を設定するには、次の手順に従います。

  1. TCP-MSS情報を設定します。

結果

設定モードから、show security flowコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ウェストフォードのスポークの基本的なネットワーク、セキュリティゾーンおよびアドレス帳情報の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ウェストフォードのスポークの基本的なネットワーク、セキュリティゾーンおよびアドレス帳情報を設定するには、次の手順に従います。

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルートの情報を設定します。

  3. untrustセキュリティ ゾーンを設定します。

  4. セキュリティ ゾーンにインターフェイスを割り当てます。

  5. untrustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  6. trustセキュリティ ゾーンを設定します。

  7. trustセキュリティ ゾーンにインターフェイスを割り当てます。

  8. trustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  9. vpnセキュリティ ゾーンを設定します。

  10. vpnセキュリティゾーンにインターフェイスを割り当てます。

  11. アドレス帳を作成し、そのアドレス帳にゾーンをアタッチします。

  12. アドレス帳をもう1つ作成し、そのアドレス帳にゾーンをアタッチします。

結果

設定モードから、show interfacesshow routing-optionsshow security zones、およびshow security address-book のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ウェストフォードのスポークのIKEの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ウェストフォードのスポークのIKEを設定するには、次の手順に従います。

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEプロポーザルの認証方法を定義します。

  3. IKEプロポーザルのDiffie-hellmanグループを定義します。

  4. IKEプロポーザルの認証アルゴリズムを定義します。

  5. IKEプロポーザルの暗号化アルゴリズムを定義します。

  6. IKEポリシー1のポリシーを作成します。

  7. IKEフェーズ1ポリシーモードを設定します。

  8. IKEプロポーザルへのリファレンスを指定します。

  9. IKEフェーズ1ポリシー認認証方法を定義します。

  10. IKEフェーズ1ゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKEフェーズ1ポリシーリファレンスを定義します。

  12. IKEフェーズ1のゲートウェイアドレスを定義します。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ウェストフォードのスポークのIPsecの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ウェストフォードのスポークのIPsecを設定するには、次の手順に従います。

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のプロポーザルプロトコルを指定します。

  3. IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2のポリシーを作成します。

  6. IPsecフェーズ2のプロポーザルのリファレンスを指定します。

  7. IPsecフェーズ2のPFSがDiffie-Hellman group 2を使用するよう指定します。

  8. IKEゲートウェイを指定します。

  9. IPsecフェーズ2ポリシーを指定します。

  10. バインドするインターフェイスを指定します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ウェストフォードのスポークのセキュリティポリシーの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ウェストフォードのスポークのセキュリティポリシーを設定するには、次の手順に従います。

  1. trustゾーンからvpnゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  2. vpnゾーンからtrustゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ウェストフォードのスポークのTCP-MSSの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

ウェストフォードのスポークのTCP-MSSを設定するには、次の手順に従います。

  1. TCP-MSS情報を設定します。

結果

設定モードから、show security flowコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

サニーベールのスポークの設定

CLIクイック構成

この例では、サニーベールのスポークにSSGシリーズデバイスを使用します。参照用に、SSGシリーズ デバイスの設定が提供されています。SSGシリーズデバイスの構成については、https://www.juniper.net/documentationにあるConcepts and Examples ScreenOS Reference Guideをご参照ください。

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

IKEフェーズ1のステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

確認プロセスを開始する前に、192.168.10/24ネットワーク内のホストから192.168.168/24および192.168.178/24ネットワーク内のホストへとトラフィックを送信してトンネルを立ち上げる必要があります。ルートベースのVPNでは、SRXシリーズデバイスから開始されたトラフィックをトンネルを通じて送信できます。IPsecトンネルを検証する際には、VPNの片側にある異なるデバイスからVPNの反対側にある別のデバイスへと検証用トラフィックを送信することをお勧めします。例えば、192.168.10.10から192.168.168.10へとpingを開始します。

動作モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • Index - この値は、各IKE SAに固有のもので、show security ike security-associations index detail コマンドで使用してSAの詳細情報を得ることができます。

  • Remote Address - リモート IP アドレスが正しいかどうかを確認します。

  • 都道府県

    • UP - フェーズ1のSAが確立されました。

    • DOWN - フェーズ1のSAの確立に問題がありました。

  • Mode - 正しいモードが使用されていることを確認します。

設定で次の情報が正しいことを確認します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)

show security ike security-associations index 1 detailコマンドは、インデックス番号1のセキュリティ アソシエーションに関する追加情報を表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • 開始側と応答側のロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

IPsecフェーズ2のステータスの確認

目的

IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • ID番号は16385です。この値をshow security ipsec security-associations indexコマンドと併用して、この特定のSAに関する詳細情報を取得します。

  • ポート500を使用する1つのIPsec SAペアがあり、NATトラバーサルが未実装であることを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな数字の大きいポートを使用します。)

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。28756/ unlimの値は、フェーズ2のライフタイムは28756秒で終了し、ライフサイズは指定されていないため無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

show security ipsec security-associations index 16385 detailコマンドからの出力には、次の情報が表示されます。

  • ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。

    プロキシID不一致は、フェーズ2の失敗の原因となる最も一般的な原因の1つです。IPsec SAがリストにない場合、プロキシID設定を含むフェーズ2のプロポーザルが両方のピアで正しいことを確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。

  • フェーズ2の失敗でよくある理由のもう1つに、STインターフェイスのバインディングが指定されていないことがあります。IPsecを完了できない場合は、kmdログを確認するか、トレース オプションを設定します。

ネクストホップトンネルバインディングの確認

目的

すべてのピアでフェーズ2が完了したらネクストホップトンネルバインディングを確認します。

アクション

動作モードからshow security ipsec next-hop-tunnelsコマンドを入力します。

意味

Next-hop gatewaysは、すべてのリモートスポークピアのst0インターフェイスのIPアドレスです。Next hopは、適切なIPsec VPN名に関連付けられているはずです。NHTBエントリーがない場合、ハブデバイスは、どのIPsec VPNがどのネクストホップと関連付けられているのか差別化することができません。

Flagフィールドは、次のいずれかの値になります。

  • Static - NHTBは、st0.0インターフェイス設定で手動設定されました。これは、ピアがSRXシリーズデバイスでない場合に必要となります。

  • Auto - NHTBは設定されていませんが、2台のSRXシリーズデバイス間のフェーズ2のネゴシエーションの際に、エントリーがNHTBテーブルへ自動入力されました。

この例では、スポークサイトのいずれにもNHTBテーブルはありません。スポークの視点から見ると、st0インターフェイスは依然、単一のIPsec VPNバインディングとのポイントツーポイントリンクです。

リモートピアローカルLANの静的ルートの確認

目的

静的ルートが、スポークピアのst0 IPアドレスを参照することを確認します。

アクション

動作モードからshow routeコマンドを入力します。

ネクストホップはリモートピアのst0 IPアドレスで、どちらのルートでも発信インターフェイスとしてst0.0が示されています。

IPsecセキュリティ アソシエーションの統計情報とエラーの確認

目的

IPsecセキュリティ アソシエーションにおける、ESPおよび認証ヘッダーのカウンターとエラーを確認します。

アクション

動作モードからshow security ipsec statistics indexコマンドを入力します。

show security ipsec statisticsコマンドを使用して、すべてのSAの統計情報とエラーを確認することもできます。

すべてのIPsec統計情報を消去するには、clear security ipsec statisticsコマンドを使用します。

意味

VPN全体でパケット損失の問題が発生した場合、show security ipsec statisticsまたはshow security ipsec statistics detailのコマンドを数回実行して、暗号化および復号化されたパケット カウンターが増加していることを確認できます。加えて、他のエラー カウンターが増加しているかどうかも確認する必要があります。

VPN全体におけるトラフィック フローのテスト

目的

VPN全体で、トラフィックフローを検証します。

アクション

SRXシリーズ デバイスからpingコマンドを使用して、リモート ホストPC へのトラフィック フローをテストできます。ルート ルックアップが正しく実行され、ポリシー ルックアップで適切なセキュリティ ゾーンが参照されるように、ソース インターフェイスを指定してください。

動作モードからpingコマンドを入力します。

SSGシリーズ デバイスから、pingコマンドを使用することもできます。

意味

SRXシリーズまたはSSGシリーズ デバイスからのpingコマンドが失敗した場合は、ルーティング、セキュリティ ポリシー、エンド ホスト、ESPパケットの暗号化または復号化に問題がある可能性があります。

リリース履歴テーブル
リリース
説明
19.4R1
Junos OS Release 19.4R1以降、[edit security ike gateway gateway_name dynamic distinguished-name]階層ではcontainer-stringおよびwildcard-stringから動的DN属性が1つだけ設定できるようになりました。1つ目の属性を設定した後に2つ目の属性を設定しようとすると、1つ番目の属性が2つ目の属性に置き換えられます。デバイスをアップグレードする前に、両方の属性を設定していた場合、属性を1つ削除する必要があります。
15.1X49-D80
Junos OSリリース15.1X49-D80以降、SRXシリーズデバイス上の動的なエンドポイントVPNは、セキュアトンネル上のIPv6トラフィックをサポートするようになりました。
12.3X48-D40
Junos OSリリース12.3X48-D40、Junos OSリリース15.1X49-D70、Junos OSリリース17.3R1以降、同じ外部インターフェイスを使用するSRXシリーズデバイスで設定した動的エンドポイントゲートウェイは、異なるIKEポリシーを使用できるようになりましたが、IKEポリシーは同じIKEプロポーザルを使用する必要があります。