Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec VPN の概要

VPN とは、公共ネットワークを使用して 2 つ以上のリモート サイトを接続するプライベート ネットワークのことです。VPN では、ネットワーク間に専用の接続を使用するのではなく、公共ネットワークを介してルーティング(トンネリング)される仮想接続を使用します。IPsec VPN は、VPN 接続の確立に使用される標準のセットで構成されたプロトコルです。

VPN は、リモート コンピューターがインターネットなどのパブリック WAN を介して安全に通信するための手段を提供します。

VPN 接続は、2 つの LAN(サイトツーサイト VPN)またはリモートのダイヤルアップ ユーザーと LAN をつなげることができます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。WAN を通過中の VPN 通信を保護するために、2 点間で IP セキュリティ(IPsec)トンネルが作成されます。

用語トンネルは、トンネルモードを示すことはありません。(トンネルモードでのパケット処理を参照してください)。これは IPsec 接続を意味しています。

SRX シリーズ デバイス上の IPsec VPN トポロジー

Junos OS(オペレーティングシステム)でサポートされているIPsec VPNトポロジーの一部を以下に示します。

  • サイト間VPN:組織内の2つのサイトを相互に接続し、サイト間の安全な通信を可能にします。

  • ハブアンドスポークVPN:企業ネットワーク内の支社と本社を接続します。このトポロジーを使用し、ハブ経由でトラフィックを送信することで、スポーク同士を接続することもできます。

  • リモートアクセスVPN:自宅や外出先から会社のネットワークやリソースに接続できるようになります。このトポロジーは、エンドサイト間トンネルとも呼ばれます。

ポリシーベースとルートベースのVPNの比較

ポリシーベースとルートベースのVPNの違いを理解する必要があって、他方が望まれる理由を知っておくことが必要です。

表 1ルートベースVPNとポリシーベースのVPNの違いを一覧表示します。

表 1: ルートベースVPNとポリシーベースのVPNの違い

ルートベース VPN

ポリシーベース VPN

ルートベース VPN では、ポリシーは VPN トンネルを具体的に参照しません。

ポリシーベースのVPNトンネルでは、トンネルは送信元、宛先、アプリケーションおよびアクションとともに、VPNトラフィックを許可するトンネルポリシーを構成するオブジェクトとして扱われます。

ポリシーは、宛先アドレスを参照しています。

ポリシーベースの VPN構成では、トンネルポリシーは VPN トンネルを名前で参照しています。

作成するルートベース VPN トンネルの数は、ルートエントリーの数またはデバイスがサポートする st0 インターフェイスの数(最少値)に制限されます。

作成できるポリシーベースの VPN トンネルの数は、デバイスがサポートするポリシー数によって制限されます。

ルートベース VPN トンネル構成は、VPN トラフィックの詳細な制限を設定し、トンネル リソースを節約する場合、適切な選択になります。

ポリシーベースの VPN では、同じ VPN トンネルを参照する多数のトンネル ポリシーを作成できますが、各トンネル ポリシーのペアは、リモート ピアとともに個々の IPsec セキュリティアソシエーション (SA) を作成します。各 SA は、個別の VPN トンネルとしてカウントされます。

ルートベース方法により、トラフィックの規制は配信手段と相まれません。数十数のポリシーを設定して、2 つのサイト間の単一のVPNトンネルを通過するトラフィックを規制することができます。IPsec SAは 1 つだけ制作されます。また、ルートベース VPN 構成では、アクションが拒否されている VPN トンネルを介して到達する宛先を参照するポリシーを作成できます。

ポリシーベースの VPN構成では、アクションは許可されて、トンネルを含める必要があります。

ルートベース VPN では、VPN トンネルを介した動的なルーティング情報の交換をサポートしています。VPN トンネルにバインドされた st0 インターフェイス上で、OSPF などの動的ルーティング プロトコルのインスタンスを有効にすることができます。

ポリシーベース VPN では、動的なルーティング情報の交換をサポートしていません。

ルートベース構成は、ハブアンドスポークスのトポロジーに使用されます。

ポリシーベースの VPNは、ハブアンドスポーク トポロジーには使用できません。

ルートベース VPN では、ポリシーは VPN トンネルを具体的に参照しません。

トンネルが動的ルーティングプロトコルを実行する大規模ネットワークを接続しなくて、トンネルを介して、トラフィックをフィルタリングするポリシーを定義する必要がない場合、ポリシーベースのトンネルが最適です。

ルートベース VPNは、リモートアクセス(ダイヤルアップ) VPN構成をサポートしていません。

ポリシーベースの VPN トンネルは、リモートアクセス(ダイヤルアップ) VPN 構成には必要です。

ルートベース VPNは、一部の第三者のベンダーでは正しく動作しない可能性があります。

ポリシーベースの VPNは、第三者が各リモートサブネットごとに個別の SA を必要としている場合、必須となる可能性があります。

セキュリティデバイスはルートルックアップで アドレスに到達するようなトラフィックを送信する必要がある場合、特定なVPN トンネルにに限界された安全なトンネル インターフェイス(st0)を介したルートを見つけます。

ルートベース VPN トンネルでは、トンネルをトラフィック配信手段と見なし、ポリシーをトラフィック配信の許可または拒否の手段と見なします。

ポリシーベース VPN トンネルでは、トンネルをポリシーの構成要素とみなすことができます。

ルートベース VPNは、st0インターフェイスのNATをサポートします。

ポリシーベースの VPNは、トンネルトラフィックにNATが必要な場合、使用できません。

プロキシー ID は、ルートベースとポリシーベースの両方の VPN でサポートされます。ルートベーストンネルは、マルチプロキシ ID とも呼ばれる複数のトラフィック セレクターの使用も提供します。トラフィック セレクターは、指定されたローカルおよびリモート IP アドレスプレフィックス、送信元ポート範囲、宛先ポート範囲そしてプロトコルが一致する場合、トラフィックを許可する IKE ピアの合意です。特定のルートベース VPN 内でトラフィック セレクターを定義すると、複数のフェーズ 2 IPsec SA が生成されることがあります。トラフィック セレクターに適合したトラフィックのみが SA を介して許可されます。トラフィック セレクターは、リモート ゲートウェイ デバイスがジュニパーネットワークス以外のデバイスである場合によく必要とされます。

ポリシーベース VPN は、SRX5400、SRX5600、SRX5800 デバイスでのみサポートされています。プラットフォームのサポートは、インストールされた Junos OS のリリースによって異なります。

ポリシーベース VPN とルートベース VPN の比較

表 2 に、ポリシーベースVPNとルートベースVPNの違いについてまとめてあります。

表 2: ポリシーベース VPN とルートベース VPN の比較

ポリシーベース VPN

ルートベース VPN

ポリシーベース VPN では、トンネルは、送信元、宛先、アプリケーション、アクションとともに、VPN トラフィックを許可するトンネル ポリシーを構成するオブジェクトとして扱われます。

ルートベースVPN では、ポリシーは特にVPNトンネルを参照することはありません。

トンネル ポリシーは、VPN トンネルを具体的に名前で参照します。

ルートは、宛先 IP アドレスに基づき、トンネルを介して送信されるトラフィックを決定します。

作成できるポリシーベースの VPN トンネルの数は、デバイスがサポートするトンネル数によって制限されます。

作成するルートベースの VPN トンネルの数は、st0 インターフェイスの数(ポイントツーポイント VPN の場合)またはデバイスがサポートするトンネル数(どちらか少ない方)によって制限されます。

ポリシーベースのVPNでは、同じVPNトンネルを参照する多数のトンネルポリシーを作成できますが、各トンネルポリシーのペアは、リモートピアで個々のIPsec SAを作成します。各 SA は、個別の VPN トンネルとしてカウントされます。

トンネルを通過するトラフィックは、ポリシーではなくルートにより決定されるため、1つのSAまたはVPNで複数のポリシーをサポートできます。

ポリシーベース VPN では、アクションが許可され、トンネルが含まれている必要があります。

ルートベース VPN では、トラフィックの規制はその配信方法と連携していません。

ポリシーベースVPNでは、動的なルーティング情報の交換をサポートしていません。

ルートベース VPN では、VPN トンネルを介した動的なルーティング情報の交換をサポートしています。VPN トンネルにバインドされた st0 インターフェイス上で、OSPF などの動的ルーティング プロトコルのインスタンスを有効にすることができます。

トンネルに送信されるトラフィックを指定するためにルートが提供できる以上のきめ細かな制御を行う必要がある場合は、セキュリティポリシーを使用するポリシーベースVPNの使用が最適です。

ルートベースVPN は、ルートを使ってトンネルに送信されるトラフィックを指定します。ポリシーが特にVPNトンネルを参照することはありません。

ポリシーベースVPNトンネルでは、トンネルをポリシーの構成要素とみなすことができます。

セキュリティ デバイスがルート ルックアップを実行して、アドレスへのトラフィック送信に必要なインターフェイスを見つける場合、セキュア トンネル(st0)インターフェイスを介したルートが検出されます。

ルートベース VPN トンネルでは、トンネルをトラフィック配信手段と見なし、ポリシーをトラフィック配信の許可または拒否の手段と見なします。

IKEとIPsecパケット処理について

IPsec VPNトンネルは、トンネルの設定とセキュリティの適用で構成されています。トンネルの設定時に、ピアによりSA(セキュリティ アソシエーション)が確立され、それらの間で送信されるトラフィックのセキュリティに関するパラメーターが定義されます。(「IPsec の概要」を参照してください。)トンネルが確立されると、IPsecは、トンネル設定時にSAで定義されたセキュリティパラメーターを適用して、2つのトンネルエンドポイント間で送信されるトラフィックを保護します。Junos OS実装では、IPsecはトンネルモードで適用され、これはESP(セキュリティペイロードのカプセル化)および AH(認証ヘッダー)プロトコルをサポートしています。

このトピックは、以下のセクションで構成されています。

トンネルモードでのパケット処理

IPsecは、トランスポートとトンネルの2つのモードのいずれかで動作します。トンネルの両端がホストである場合、どちらのモードを使用してもかまいません。トンネルの少なくとも1つのエンドポイントが、Junos OSルーターやファイアウォールなどのセキュリティ ゲートウェイである場合、トンネルモードを使用する必要があります。ジュニパーネットワークスのデバイスは、常にIPsecトンネルのトンネルモードで動作します。

トンネルモードでは、図 1 に示されているように、元のIPパケットすべて(ペイロードとヘッダー)を別のIPペイロード内でカプセル化し、それに新しいヘッダーを付加します。元のパケット全体に対し、暗号化、認証、またはその両方を行うことができます。AH(認証ヘッダー)プロトコルを使用すると、AHと新しいヘッダーも認証されます。ESP(セキュリティペイロードのカプセル化)プロトコルを使用すると、ESPヘッダーも認証できます。

図 1: トンネルモードトンネルモード

サイトツーサイトVPN では、新しいヘッダーで使用される送信元と宛先のアドレスは、発信インターフェイスのIPアドレスです。「図 2」 を参照してください。

図 2: トンネルモードのサイトツーサイトVPNトンネルモードのサイトツーサイトVPN

ダイヤルアップVPN では、トンネルのVPNダイヤルアップクライアントにトンネルゲートウェイはありません。トンネルは、クライアント自身に直接拡張されます(図 3 を参照)。この場合、ダイヤルアップクライアントから送信されたパケットでは、新しいヘッダーとカプセル化された元のヘッダーの両方が、クライアントのコンピュータのIPアドレスを含んでいます。

ダイナミックVPN クライアントやNetscreen-Remoteなどの一部のVPNクライアントでは、仮想内部IPアドレス(「スティッキーアドレス」とも呼ばれる)を使用します。Netscreen-Remoteを使用して、仮想IPアドレスを指定できます。動的VPNクライアントは、XAuthの設定交換時に割り当てられた仮想IPアドレスを使用します。この場合、仮想内部IPアドレスは、クライアントから送信されたトラフィックの元のパケットヘッダー内の送信元IPアドレスであり、ISPがダイヤルアップクライアントに動的に割り当てるIPアドレスは、外部ヘッダー内の送信元IPアドレスです。Junos OS リリース 21.4R1以降、ダイナミックVPNは、SRX300、SRX320、SRX340、SRX345、SRX380、SRX550 HMデバイスではサポートされていません。

図 3: トンネルモードのダイヤルアップVPNトンネルモードのダイヤルアップVPN

複数の SPU における IKE と IPsec セッションの分散

SRX5400、SRX5600、SRX5800 デバイスでは、IKE は IPsec のトンネル管理機能を提供し、エンド エンティティを認証します。IKE は、Diffie-hellman(DH)鍵交換を実行して、ネットワーク デバイス間に IPsec トンネルを生成します。IKE によって生成される IPsec トンネルは、IP レイヤーのネットワーク デバイス間のユーザー トラフィックの暗号化、暗号解読、認証目的で使用されます。

VPN は、IKE と IPsec のワークロードをプラットフォームの複数の SPU(サービス処理ユニット)に分散することで作成されます。サイトツーサイト トンネルの場合、最小負荷の SPU がアンカー SPU として選択されます。複数の SPU が同じ最小負荷を持つ場合、それらのいずれかをアンカー SPU として選択できます。ここでは負荷は、サイトツーサイトのゲートウェイの数、または SPU に固定された手動 VPN トンネルに対応しています。動的トンネルの場合、新たに確立された動的トンネルがラウンドロビン アルゴリズムを使用して SPU を選択します。

IPsec の場合、ワークロードは IKE を分散するものと同じアルゴリズムによって分散されます。指定された VPN トンネルの終端ポイント ペアのフェーズ 2 SA は、特定の SPU によって排他的に所有され、このフェーズ 2 SA に属するすべての IPsec パケットが、IPsec 処理のためにこの SA の アンカー SPU に転送されます。

複数の IPsec セッション(フェーズ 2 SA)は、1 つまたは複数の IKE セッションで動作します。IPsec セッションを固定するために選択された SPU は、基となる IKE セッションを固定している SPU に基づいています。そのため、1 つの IKE ゲートウェイで実行されるすべての IPsec セッションは、同じ SPU によってサービス提供され、複数の SPU で負荷分散されることはありません。

表 3 は、3つのSPUを搭載したSRX5000ラインデバイスが、3つのIKEゲートウェイ上で7つのIPsecトンネルを実行する例を示しています。

表 3: 複数の SPU における IKE と IPsec セッションの分散

SPU

IKE ゲートウェイ

IPsec トンネル

SPU0

IKE-1

IPsec-1

IPsec-2

IPsec-3

SPU1

IKE-2

IPsec-4

IPsec-5

IPsec-6

SPU2

IKE-3

IPsec-7

3 つの SPU では、各 IKE ゲートウェイの負荷が均等に分散されています。新しい IKE ゲートウェイが作成された場合は、SPU0、SPU1、または SPU2 を選択して、IKE ゲートウェイとその IPsec セッションを固定できます。

既存の IPsec トンネルを設定、破棄しても、基となる IKE セッションや既存の IPsec トンネルには影響を与えません。

次の show コマンドを使用して、SPU ごとの現在のトンネル数を表示します。show security ike tunnel-map

各ゲートウェイのアンカー ポイントを表示するには、コマンドの summary オプションを使用します。show security ike tunnel-map summary

サービス処理カードの挿入に関するVPNサポート

SRX5400、SRX5600、SRX5800の各デバイスには、シャーシベースの分散型プロセッサアーキテクチャが搭載されています。フロー処理能力は共有され、SPC(サービス処理カード)の数によって決まります。新しいSPCをインストールすることで、デバイスの処理能力を拡張できます。

SRX5400、SRX5600、または SRX5800シャーシクラスターでは、既存のIKEまたはIPsec VPNトンネルのトラフィックに影響を与えたり中断したりすることなく、新しいSPCをデバイスに挿入できます。クラスターの各シャーシに新しいSPCを挿入しても、既存のトンネルは影響を受けず、トラフィックは中断されることなく流れ続けます。

Junos OSリリース19.4R1以降では、すべてのSRX5000シリーズデバイスのシャーシクラスタで、SPC3カードを含む既存のシャーシに新しいSRX5K-SPC3(SPC3)またはSRX5K-SPC-4-15-320(SPC2)カードを挿入できます。カードは、シャーシ上の既存の SPC3 カードよりも上位のスロットにのみ挿入できます。SPC3 を挿入した後、ノードを再起動してカードをアクティブにする必要があります。ノードの再起動が完了すると、IPsecトンネルがカードに分散されます。

しかし、既存のトンネルは、新しいSPCのSPU(サービス処理ユニット)の処理能力を利用できません。新しいSPUでは、新たに確立されたサイトツーサイトトンネルおよび動的トンネルを固定することができます。しかし、新たに設定されたトンネルは、新しい SPU で固定されることが保証されるわけではありません。

サイトツーサイト トンネルは、ロードバランシング アルゴリズムに基づき、別の SPU に固定されます。ロードバランシングアルゴリズムは、各SPUが使用している数値フロー スレッドに依存します。同じローカルおよびリモート ゲートウェイ IP アドレスに属するトンネルは、SPU で使用される別のフロー RT スレッドの同じ SPU に固定されます。最小負荷のSPUがアンカーSPUとして選択されます。各SPUは、特定のSPUでホストされているフローRTスレッドの数を管理しています。各SPUでホストされるフローRTスレッドの数は、SPUのタイプによって異なります。

トンネルの負荷係数 = SPU で固定されるトンネルの数 / SPU が使用するフロー RT スレッドの合計数

動的トンネルは、ラウンドロビンアルゴリズムに基づき、異なるSPUに固定されます。新たに設定された動的トンネルは、新しい SPC で固定されることが保証されるわけではありません。

Junos OSリリース18.2R2および18.4R1以降、現在SRX5K-SPC3(SPC3)でのみサポートされている既存のすべてのIPsec VPN機能は、SRX5K-SPC-4-15-320(SPC2)およびSPC3カードがインストールされ、シャーシクラスタモードまたはスタンドアロンモードのデバイスで動作している場合に、SRX5400、SRX5600、SRX5800デバイスでもサポートされるようになります。

SPC2カードとSPC3カードの両方がインストールされている場合は、show security ipsec tunnel-distribution コマンドを使用して、別のSPUのトンネルマッピングを検証できます。

SPC2 カードのみが挿入された別の SPU のトンネル マッピングを表示するには、show security ike tunnel-map コマンドを使用します。SPC2 カードおよび SPC3 カードがインストールされている環境では、show security ike tunnel-map コマンドは無効です。

SPC3カードの挿入:ガイドラインと制限:

  • シャーシクラスタでは、ノードの1つに1つの SPC3 カードがあり、もう一方のノードに2つのSPC3カードがある場合、1つのSPC3カードがある方のノードへのフェイルオーバーはサポートされていません。

  • 下位のスロットにある現在のSPC3より上位のスロットにある既存のシャーシに、SPC3またはSPC2を挿入する必要があります。

  • SPC3 ISHU を機能させるためには、新しい SPC3 カードをより上位のスロット番号に挿入する必要があります。

  • SRX5800 シャーシ クラスタでは、電力と熱分散に制限があるため、最上位スロット(スロット番号 11)に SPC3 カードを挿入しないでください。

  • SPC3の動作中の取り出しはサポートしていません。

表 4に、kmd または iked プロセスをサポートするSPC2あるいはSPC3カードを搭載するSRX5000シリーズがまとめてあります。

表 4: SRX5000シリーズのデバイスにおける kmd/iked プロセスのサポート

SRX5000シリーズのデバイス

kmd または iked プロセスのサポート

SPC2カードのみが装着されたSRX5000シリーズのデバイス

kmdプロセスをサポートします。

SPC3カードのみが装着されたSRX5000シリーズのデバイス

ikedプロセスをサポートします。

SPC2とSPC3の両方のカードが装着されたSRX5000シリーズのデバイス

ikedプロセスをサポートします。

SRX5K-SPC3 サービス処理カードでの IPsec VPN 機能セットの有効化

SRX5K-SPC3 カードを搭載した SRX5000 シリーーズのデバイスでは、IPsec VPN の機能のいずれかをインストールして有効にするには、 パッケーjunos-ikeジが必要です。デフォルトでは、junos-ike パッケージは、Junos OSリリース20.1R2、20.2R2、20.3R2、20.4R1およびそれ以降に対して、RE3を備えたSRX5000シリーズのデバイス向けにインストールされています。その結果、iked ikemdはデフォルトでは、IPsec kmd(キー管理デーモン)ではなく、ルーティングエンジンで実行されます。

SPC3 カードがない SRX5000 シリーズのデバイスで IPsec VPN の機能を有効にするために kmdプロセスを使用する場合は、 request system software delete junos-ikeコマンドを実行する必要があります。コマンドを実行した後、デバイスを再起動する必要があります。

インストールされている junos-ike パッケージを確認するには、次のコマンドを使用します。

新パッケージが含まれるSRX5K-SPC3およびvSRXインスタンスを備えたSRX5000デバイスシリーズにおける IPsec VPN機能サポート

このトピックでは、SPC3およびvSRXインスタンスを搭載したSRX5000シリーズのデバイスではサポートされていないIPsec VPNの機能と設定について概要を説明しています。

IPsec VPN機能は、SRX5K-SPC3およびvSRXインスタンスのikedおよびikemdの2つのプロセスでサポートされています。ルーティングエンジン上では、一度に1つのikedikemd のインスタンスが実行されます。

デフォルトでは、 Junos-ikeパッケージはJunos OSリリース20.1R2、20.2R2、20.3R2、20.4R1およびそれ以降のRE3を搭載したSRX5000シリーズのデバイスにインストールされ、ikedおよびikemdプロセスがルーティングエンジンで実行されます。

ルーチンエンジンでikemdプロセスを再起動するには、 restart ike-config-managementコマンドを使用します。

ルーティングエンジンでikedプロセスを再起動するには、 restart ike-key-managementコマンドを使用します。

SPC3カードが搭載されていないSRX5000シリーズのデバイスでIPsec VPNの機能を有効にするために kmdプロセスを使用する場合は、 request system software delete junos-ikeコマンドを実行する必要があります。コマンドを実行した後、デバイスを再起動する必要があります。

IPsec VPN機能はサポートされていません

ある機能が特定のプラットフォームまたは Junos OS リリースでサポートされているかどうかを確認するには、「機能エクスプローラー」を参照してください。

表 5には、SRXシリーズデバイスとikedプロセスを実行しているvSRXでサポートされていないIPsec VPN機能がまとめられています:

表 5: IPsec VPN機能は、SRXシリーズデバイスとvSRXインスタンスではサポートされていません

機能

SRX5K-SPC3およびvSRXインスタンスを搭載したSRX5000シリーズのデバイスをサポート

自動発見VPN(ADVPN)。

なし

AutoVPN PIM(プロトコル非依存マルチキャスト)ポイントツーマルチポイントモード

なし

IPsec VPN での転送クラスの設定

なし

デッドピア検出(DPD)ゲートウェイのフェイルオーバー。

DPDゲートウェイのフェイオーバーは、vSRXではサポートされていません。

グループ VPN

なし

IKE SA の有効期間(キロバイト)

なし

IPsecデータパス検証用パケットサイズ設定。

なし

ポリシーベースのIPsec VPN

なし

VPN監視。

なし

IPsec VPN トンネルでのルーティングプロトコル サポート

私たちは、OSPF、BGP、PIM、RIP、BFDなどのルーティングプロトコルが、kmdまたはikedプロセスを実行するSRXシリーズデバイスおよびMXシリーズ ルーターのIPsecトンネルで実行できるようにサポートします。プロトコル サポートは、IP アドレスリング スキームや、st0 インターフェイスのタイプ、ポイントツーポイント(P2P)またはポイントツーマルチポイント(P2MP)によって異なります。

表 6はSRXシリーズデバイスとMXルーターでのOSPFプロトコルサポートの概要です。

表 6: IPsec VPN トンネルでの OSPF プロトコル サポート
OSPF
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 なし なし
SRX5K-SPC3 なし なし
SRX5Kは 混合モードで(SPC3+SPC2) なし なし
vSRX 3.0 なし なし
MX-SPC3 なし なし なし

表 7はSRXシリーズデバイスとMXルーターでのOSPFv3プロトコルサポートを概要します。

表 7: IPsec VPN トンネルでの OSPFv3 プロトコル サポート
OSPFv3
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 なし なし
SRX5K-SPC3 なし なし
SRX5Kは 混合モードで(SPC3+SPC2) なし なし
vSRX 3.0 なし なし
MX-SPC3 なし なし なし

表 8はSRXシリーズデバイスとMXルーターでのBGPプロトコルサポートを概要します。

表 8: IPsec VPN トンネルでの BGP プロトコル サポート
BGP
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2
SRX5K-SPC3
SRX5Kは 混合モードで(SPC3+SPC2)
vSRX 3.0
MX-SPC3 なし なし

表 9はSRXシリーズデバイスとMXルーターでのPIMプロトコルサポートを概要します。

表 9: IPsec VPN トンネルでの PIM プロトコル サポート
PIM
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX550 HM、SRX650、SRX1400、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 なし なし なし
SRX300、SRX320、SRX340、SRX345、SRX380 および SRX1500 なし なし
SRX5K-SPC3 なし なし なし
SRX5Kは 混合モードで(SPC3+SPC2) なし なし なし
vSRX 3.0 なし
注:

マルチスレッドはサポートされません。

なし
MX-SPC3 なし なし なし

表 10はSRXシリーズデバイスとMXルーターでのRIPプロトコルサポートを概要します。

表 10: IPsec VPN トンネルでの RIP プロトコル サポート
RIP
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2 なし なし
SRX5K-SPC3 なし なし
SRX5Kは 混合モードで(SPC3+SPC2) なし なし
vSRX 3.0 なし なし
MX-SPC3 なし なし

表 11はSRXシリーズデバイスとMXルーターでのBFPプロトコルサポートを概要します。

表 11: IPsec VPN トンネルでの BFD プロトコル サポート
BFD
デバイス P2P P2MP
IPv4 IPv6 IPv4 IPv6
SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345, SRX380、SRX550、SRX550 HM、SRX650、SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600 および SRX5K-SPC2
SRX5K-SPC3
SRX5Kは 混合モードで(SPC3+SPC2)
vSRX 3.0
MX-SPC3 なし なし

アンチリプレイ ウィード

anti-replay-windowSRX シリーズ デバイスでは、デフォルトでは はウィンドウサイズ値 64 で有効になります。

SPC3 カードがインストールされた SRX シリーズ 5000 シリーズのデバイスでは、 anti-replay-windowサイズを 64~8192(2 の電力)の範囲で設定できます。ウィンドウ サイズを設定するには、新しい オanti-replay-window-sizeプションを使用します。anti-replay-window-size受信パケットは、設定された に基づいてリプレイ攻撃について検証されます。

2 つの異なるレベルreplay-window-sizeで を設定できます。

  • Global level—[edit security ipsec] 階層レベルで設定されます。

    たとえば、以下のように表示されます。

  • VPN object—[edit security ipsec vpn vpn-name ike] 階層レベルで設定されます。

    たとえば、以下のように表示されます。

両方のレベルでアンチリプレイが設定されている場合、VPN オブジェクト レベルに設定されたウィンドウ サイズがグローバル レベルで設定されたウィンドウ サイズよりも優先されます。アンチリプレイが設定されていない場合、ウィンドウ サイズはデフォルトでは 64 です。

VPN オブジェクトでアンチリプレイ ウィンドウ オプションを無効にするには、[edit security ipsec vpn vpn-name ike] 階層レベルで コマset no-anti-replayンドを使用します。グローバル レベルでアンチリプレイを無効にできません。

VPN オブジェクトでは anti-replay-window-sizeと の両方no-anti-replayを設定できません。

ハブアンドスポーク方式 VPN について

デバイスで終端する2つのVPNトンネルを作成した場合、ルートのペアを設定して、トラフィックが1つのトンネルからもう1つのトンネルに向かうように、デバイスで誘導するように設定できます。また、トラフィックが1つのトンネルからもう1つのトンネルに向けて通過することを許可するポリシーを作成する必要もあります。このような設定は、ハブアンドスポーク方式 VPN と呼ばれます(「図 4」を参照してください)。

また、複数の VPN を設定し、任意の 2 つのトンネル間でトラフィックをルーティングすることもできます。

SRX シリーズ デバイスでは、ルートベースのハブアンドスポーク機能のみがサポートされています。

図 4: ハブアンドスポーク方式 VPN 設定における複数トンネルハブアンドスポーク方式 VPN 設定における複数トンネル
リリース履歴テーブル
リリース
説明
20.1R2
デフォルトでは、junos-ike パッケージは、Junos OSリリース20.1R2、20.2R2、20.3R2、20.4R1およびそれ以降に対して、RE3を備えたSRX5000シリーズのデバイス向けにインストールされています。その結果、iked ikemdはデフォルトでは、IPsec kmd(キー管理デーモン)ではなく、ルーティングエンジンで実行されます。