このページで
IPsec VPNの概要
このトピックでは、IKE と IPsec のパケット処理 IPSec VPN SRXシリーズ ファイアウォールのトポロジーについて説明します。サービス処理カード、暗号化アクセラレーション、ルーティングプロトコルサポート、および ikedプロセスサポートについて説明します。
VPN とは、公共ネットワークを使用して 2 つ以上のリモート サイトを接続するプライベート ネットワークのことです。VPN では、ネットワーク間に専用の接続を使用するのではなく、公共ネットワークを介してルーティング(トンネリング)される仮想接続を使用します。IPsec VPN は、VPN 接続の確立に使用される標準のセットで構成されたプロトコルです。
VPN は、リモート コンピューターがインターネットなどのパブリック WAN を介して安全に通信するための手段を提供します。
VPN 接続は、2 つの LAN(サイトツーサイト VPN)またはリモートのダイヤルアップ ユーザーと LAN をつなげることができます。これら2つのポイント間を流れるトラフィックは、パブリックWANを構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。WAN を通過中の VPN 通信を保護するために、2 点間で IPsec トンネルが作成されます。
用語トンネルは、トンネルモードを示すことはありません。(トンネルモードでのパケット処理を参照してください)。これは IPsec 接続を意味しています。
特定の機能のプラットフォームおよびリリースサポートを確認するには、機能エクスプローラーを使用します。
プラットフォームに関連する注意点については、プラットフォーム固有の IPSec VPN の動作セクションを参照してください。
詳細については、「 プラットフォームの追加情報 」セクションを参照してください。
SRXシリーズファイアウォール上のIPsec VPNトポロジー
JunosオペレーティングシステムでサポートされているIPsec VPNトポロジーの一部を以下に示します。
サイト間VPN:企業内の2つのサイトを相互に接続し、サイト間の安全な通信を可能にします。
ハブアンドスポークVPN:企業ネットワーク内の支社/拠点と本社を接続します。このトポロジーを使用し、ハブ経由でトラフィックを送信することで、スポーク同士を接続することもできます。
リモートアクセスVPN:自宅や外出先から会社のネットワークやリソースに接続できるようになります。このトポロジーは、end-to-site tunnelとも呼ばれます。
関連項目
ポリシーベースとルートベースのVPNの比較
このトピックを読み、ポリシーベースVPNとルートベースVPNの違いを理解しましょう。
ポリシーベースとルートベースのVPNの違いを理解する必要があって、他方が望まれる理由を知っておくことが必要です。
表 1ルートベースVPNとポリシーベースのVPNの違いを一覧表示します。
|
ルートベースVPN |
ポリシーベースVPN |
|---|---|
|
ルートベースVPNでは、ポリシーはVPNトンネルを具体的に参照しません。 |
ポリシーベースのVPNトンネルでは、トンネルは送信元、宛先、アプリケーションおよびアクションとともに、VPNトラフィックを許可するトンネルポリシーを構成するオブジェクトとして扱われます。 |
|
ポリシーは、宛先アドレスを参照しています。 |
ポリシーベースのVPN構成では、トンネルポリシーはVPNトンネルを名前で参照しています。 |
|
作成するルートベースVPNトンネルの数は、ルートエントリーの数またはデバイスがサポートするst0インターフェイスの数(最少値)に制限されます。 |
作成できるポリシーベースのVPNトンネルの数は、デバイスがサポートするポリシー数によって制限されます。 |
|
ルートベースVPNトンネル構成は、VPNトラフィックの詳細な制限を設定し、トンネルリソースを節約する場合、適切な選択になります。 |
ポリシーベースのVPNでは、同じVPNトンネルを参照する多数のトンネルポリシーを作成できますが、各トンネルポリシーのペアは、リモートピアとともに個々のIPsecセキュリティアソシエーション(SA)を作成します。各SAは、個別のVPNトンネルとしてカウントされます。 |
|
VPNへのルートベースのアプローチでは、トラフィックの規制は配信手段と連動しません。数十数のポリシーを設定して、2つのサイト間の単一のVPNトンネルを通過するトラフィックを規制することができます。IPsecSAは1つだけ制作されます。また、ルートベースVPN構成では、アクションが拒否されているVPNトンネルを介して到達する宛先を参照するポリシーを作成できます。 |
ポリシーベースのVPN構成では、アクションを許可してトンネルを含める必要があります。 |
|
ルートベースVPNでは、VPNトンネルを介した動的なルーティング情報の交換をサポートしています。VPNトンネルにバインドされたst0インターフェイス上で、OSPFなどの動的ルーティングプロトコルのインスタンスを有効にすることができます。 |
ポリシーベースVPNでは、動的なルーティング情報の交換をサポートしていません。 |
|
ルートベース構成は、ハブアンドスポークスのトポロジーに使用されます。 |
ポリシーベースのVPNは、ハブアンドスポークトポロジーには使用できません。 |
|
ルートベースVPNでは、ポリシーはVPNトンネルを具体的に参照しません。 |
トンネルが動的ルーティングプロトコルを実行する大規模ネットワークを接続しておらず、トンネルを節約したり、トンネルを介してトラフィックをフィルタリングするポリシーを定義する必要がない場合は、ポリシーベースのトンネルが最適です。 |
|
ルートベースVPNは、リモートアクセス(ダイヤルアップ)VPN構成をサポートしていません。 |
リモートアクセス(ダイヤルアップ)VPN構成には、ポリシーベースのVPNトンネルが必要です。 |
|
ルートベースVPNは、一部の第三者のベンダーでは正しく動作しない可能性があります。 |
ポリシーベースのVPNは、第三者が各リモートサブネットごとに個別のSAを必要としている場合、必須となる可能性があります。 |
|
セキュリティデバイスが、アドレスに到達するためにトラフィックを送信する必要があるインターフェースを検索するためのルートルックアップを実行する場合、特定のVPNトンネルにバインドされた安全なトンネルインターフェイス( ルートベースVPNトンネルでは、トンネルをトラフィック配信手段と見なし、ポリシーをトラフィック配信の許可または拒否の手段と見なすことができます。 |
ポリシーベースVPNトンネルでは、トンネルをポリシーの構成要素とみなすことができます。 |
|
ルートベースVPNは、st0インターフェイスのNATをサポートします。 |
ポリシーベースのVPNは、トンネルトラフィックにNATが必要な場合、使用できません。 |
プロキシーIDは、ルートベースとポリシーベースの両方のVPNでサポートされます。ルートベーストンネルは、マルチプロキシIDとも呼ばれる複数のトラフィックセレクターも使用できます。トラフィックセレクターは、指定されたローカルおよびリモートIPアドレスプレフィックスのペア、送信元ポート範囲、宛先ポート範囲およびプロトコルが一致する場合に、トンネルを通過するトラフィックを許可するIKEピアの合意です。特定のルートベースVPN内でトラフィックセレクターを定義すると、複数のフェーズ2IPsecSAが生成されることがあります。トラフィックセレクターに適合したトラフィックのみがSAを介して許可されます。トラフィックセレクターは、リモートゲートウェイデバイスがジュニパーネットワークス以外のデバイスである場合によく必要とされます。
関連項目
ポリシーベース VPN とルートベース VPN の比較
表 2 に、ポリシーベースVPNとルートベースVPNの違いについてまとめてあります。
ポリシーベース VPN |
ルートベース VPN |
|---|---|
ポリシーベース VPN では、トンネルは、送信元、宛先、アプリケーション、アクションとともに、VPN トラフィックを許可するトンネル ポリシーを構成するオブジェクトとして扱われます。 |
ルートベースVPN では、ポリシーは特にVPNトンネルを参照することはありません。 |
トンネル ポリシーは、VPN トンネルを具体的に名前で参照します。 |
ルートは、宛先 IP アドレスに基づき、トンネルを介して送信されるトラフィックを決定します。 |
作成できるポリシーベースの VPN トンネルの数は、デバイスがサポートするトンネル数によって制限されます。 |
作成するルートベースの VPN トンネルの数は、st0 インターフェイスの数(ポイントツーポイント VPN の場合)またはデバイスがサポートするトンネル数(どちらか少ない方)によって制限されます。 |
ポリシーベースのVPNでは、同じVPNトンネルを参照する多数のトンネルポリシーを作成できますが、各トンネルポリシーのペアは、リモートピアで個々のIPsec SAを作成します。各 SA は、個別の VPN トンネルとしてカウントされます。 |
トンネルを通過するトラフィックは、ポリシーではなくルートにより決定されるため、1つのSAまたはVPNで複数のポリシーをサポートできます。 |
ポリシーベース VPN では、アクションが許可され、トンネルが含まれている必要があります。 |
ルートベース VPN では、トラフィックの規制はその配信方法と連携していません。 |
ポリシーベースVPNでは、動的なルーティング情報の交換をサポートしていません。 |
ルートベース VPN では、VPN トンネルを介した動的なルーティング情報の交換をサポートしています。VPN トンネルにバインドされた st0 インターフェイス上で、OSPF などの動的ルーティング プロトコルのインスタンスを有効にすることができます。 |
トンネルに送信されるトラフィックを指定するためにルートが提供できる以上のきめ細かな制御を行う必要がある場合は、セキュリティポリシーを使用するポリシーベースVPNの使用が最適です。 |
ルートベースVPN は、ルートを使ってトンネルに送信されるトラフィックを指定します。ポリシーが特にVPNトンネルを参照することはありません。 |
ポリシーベースVPNトンネルでは、トンネルをポリシーの構成要素とみなすことができます。 |
セキュリティ デバイスがルート ルックアップを実行して、アドレスへのトラフィック送信に必要なインターフェイスを見つける場合、セキュア トンネル(st0)インターフェイスを介したルートが検出されます。 ルートベース VPN トンネルでは、トンネルをトラフィック配信手段と見なし、ポリシーをトラフィック配信の許可または拒否の手段と見なします。 |
IKEとIPsecパケット処理について
IPsec VPNトンネルは、トンネルの設定とセキュリティの適用で構成されています。トンネルの設定時に、ピアによりSA(セキュリティアソシエーション)が確立され、それらの間で送信されるトラフィックのセキュリティに関するパラメーターが定義されます。「IPsecの概要」を参照してください。トンネルが確立されると、IPsecは、トンネル設定時にSAで定義されたセキュリティパラメーターを適用して、2つのトンネルエンドポイント間で送信されるトラフィックを保護します。Junos OS実装内では、IPsecはトンネルモードで適用され、ESP(セキュリティペイロードのカプセル化)およびAH(認証ヘッダー)プロトコルをサポートします。
このトピックは、以下のセクションで構成されています。
トンネルモードでのパケット処理
IPsecは、トランスポートとトンネルの2つのモードのいずれかで動作します。トンネルの両端がホストである場合、どちらのモードを使用してもかまいません。トンネルの少なくとも1つのエンドポイントが、Junos OSルーターやファイアウォールなどのセキュリティゲートウェイである場合、トンネルモードを使用する必要があります。ジュニパーネットワークスのデバイスは、常にIPsecトンネルのトンネルモードで動作します。
トンネルモードでは、図 1に示されているように、元のIPパケット全体(ペイロードとヘッダー)が別のIPペイロード内にカプセル化され、それに新しいヘッダーが付加されます。元のパケット全体に対し、暗号化、認証、またはその両方を行うことができます。AH(認証ヘッダー)プロトコルを使用すると、AHと新しいヘッダーも認証されます。ESP(セキュリティペイロードのカプセル化)プロトコルを使用すると、ESPヘッダーも認証できます。
サイト間VPNでは、新しいヘッダーで使用される送信元と宛先のアドレスは、発信インターフェイスのIPアドレスです。「図 2」を参照してください。
ダイヤルアップVPNでは、トンネルのVPNダイヤルアップクライアントにトンネルゲートウェイはありません。トンネルは、クライアント自体に対して直接拡張されます(図 3を参照)。この場合、ダイヤルアップクライアントから送信されたパケットでは、新しいヘッダーとカプセル化された元のヘッダーの両方が同じIPアドレスを持ちます(クライアントコンピュータのIPアドレス)。
Netscreen-Remoteなどの一部のVPNクライアントは、仮想内部IPアドレス(「スティッキーアドレス」とも呼ばれます)を使用します。Netscreen-Remoteを使用して、仮想IPアドレスを指定できます。この場合、仮想内部IPアドレスは、クライアントから送信されたトラフィックの元のパケットヘッダー内の送信元IPアドレスであり、ISPがダイヤルアップクライアントに動的に割り当てるIPアドレスは、外部ヘッダー内の送信元IPアドレスです。
関連項目
複数のSPUにおけるIKEとIPsecセッションの分散
プラットフォームに関連する注意点については、プラットフォーム固有の SPU VPN 処理動作セクションを参照してください。
SRXシリーズファイアウォールでは、IKEがIPsecのトンネルを管理し、最終エンティティを認証します。IKEは、Diffie-hellman(DH)カギ交換を実行して、ネットワークデバイス間にIPsecトンネルを生成します。IKEによって生成されるIPsecトンネルは、IPレイヤーのネットワークデバイス間のユーザートラフィックの暗号化、暗号解読、認証のために使用されます。
VPNは、IKEとIPsecのワークロードをプラットフォームの複数のSPU(サービス処理ユニット)に分散することで作成されます。サイトツーサイトトンネルの場合、最小負荷のSPUがアンカーSPUとして選択されます。複数のSPUが同じ最小負荷を持つ場合、それらのいずれかをアンカーSPUとして選択できます。ここで発生する負荷は、サイト間ゲートウェイの数、またはSPUに固定された手動VPNトンネルによって異なります。動的トンネルの場合、新たに確立された動的トンネルがラウンドロビンアルゴリズムを使用してSPUを選択します。
IPsecの場合、ワークロードはIKEを分散するときと同じアルゴリズムを使って分散されます。指定されたVPNトンネルの終端ポイントペアのフェーズ2SAは、特定のSPUによって排他的に所有され、このフェーズ2SAに属するすべてのIPsecパケットが、IPsec処理のためにこのSAのアンカーSPUに転送されます。
複数のIPsecセッション(フェーズ2SA)は、1つまたは複数のIKEセッションで動作することができます。IPsecセッションを固定するために選択されたSPUは、基となるIKEセッションを固定しているSPUに基づいています。そのため、1つのIKEゲートウェイで実行されるすべてのIPsecセッションは、同じSPUにサポートされており、複数のSPUに負荷分散されることはありません。
表 3は、3つのIKEゲートウェイ上で7つのIPsecトンネルを運用する3つのSPUを備えたファイアウォールの例を示しています。
|
SPU |
IKEゲートウェイ |
IPSecトンネル |
|---|---|---|
|
SPU0 |
IKE-1 |
IPsec-1 |
|
IPsec-2 |
||
|
IPsec-3 |
||
|
SPU1 |
IKE-2 |
IPsec-4 |
|
IPsec-5 |
||
|
IPsec-6 |
||
|
SPU2 |
IKE-3 |
IPsec-7 |
3つのSPUでは、各IKEゲートウェイの負荷が均等に分散されています。新しいIKEゲートウェイが作成された場合は、SPU0、SPU1、またはSPU2を選択して、IKEゲートウェイとそのIPsecセッションを固定できます。
既存のIPsecトンネルを設定、破棄しても、基となるIKEセッションや既存のIPsecトンネルには影響を与えません。
SPUごとの現在のトンネル数を表示するには、次のshowコマンドを使用します:show security ike tunnel-map。
各ゲートウェイのアンカーポイントを表示するには、コマンドのsummaryオプションを使用します:show security ike tunnel-map summary。
サービス処理カードの挿入に関するVPNサポート
ハイエンドのSRXシリーズファイアウォール は、シャーシベース型の分散プロセッサ構造を採用しています。フロー処理能力は共有され、SPC(サービス処理カード)の数によって決まります。新しいSPCをインストールすることで、デバイスの処理能力を拡張できます。
プラットフォームに関連する注意点については、プラットフォーム固有のSRX5000ラインSPCの動作セクションを参照してください。
詳細については、「SRX5000シリーズのkmdおよびikedプロセスに関する補足プラットフォーム情報」セクションをご参照ください。
ハイエンドのSRXシリーズシャーシクラスターでは、既存のIKEやIPsec VPNトンネルのトラフィックに影響を与えることなく、SPCをデバイスに挿入することができます。
SPC3またはSPC2カードを、SPC3カードが搭載されている既存のシャーシに挿入できます。カードは、シャーシ上の既存のSPC3カードよりも上位のスロットにのみ挿入できます。
しかし、既存のトンネルは、新しいSPCのSPU(サービス処理ユニット)の処理能力を利用できません。新しいSPUでは、新たに確立されたサイトツーサイトトンネルおよび動的トンネルを固定することができます。しかし、新たに設定されたトンネルは、新しいSPUで固定されることが保証されるわけではありません。
サイトツーサイトトンネルは、ロードバランシングアルゴリズムに基づき、別のSPUに固定されます。ロードバランシングアルゴリズムは、各SPUが使用している数値フロースレッドに依存します。同じローカルおよびリモートゲートウェイIPアドレスに属するトンネルは、SPUで使用される別のフローRTスレッドの同じSPUに固定されます。最小負荷のSPUがアンカーSPUとして選択されます。各SPUは、特定のSPUでホストされているフローRTスレッドの数を管理しています。各SPUでホストされるフローRTスレッドの数は、SPUのタイプによって異なります。
トンネルの負荷係数 = SPUで固定されるトンネルの数 / SPUが使用するフローRTスレッドの合計数
動的トンネルは、ラウンドロビンアルゴリズムに基づき、異なるSPUに固定されます。新たに設定された動的トンネルは、新しいSPCで固定されることが保証されるわけではありません。
SPC2カードとSPC3カードの両方がインストールされている場合は、show security ipsec tunnel-distributionコマンドを使用して、別のSPUのトンネルマッピングを検証できます。
SPC2カードのみが挿入された別のSPUのトンネルマッピングを表示するには、show security ike tunnel-mapコマンドを使用します。SPC2カードおよびSPC3カードがインストールされている環境では、show security ike tunnel-mapコマンドは無効です。
SPC3カードの挿入:ガイドラインと制限:
-
シャーシクラスターでは、ノードの1つに1つのSPC3カードがあり、もう一方のノードに2つのSPC3カードがある場合、1つのSPC3カードがある方のノードへのフェイルオーバーはサポートされていません。
-
下位のスロットにある現在のSPC3より上位のスロットにある既存のシャーシに、SPC3またはSPC2を挿入する必要があります。
-
SPC3 ISHUを機能させるためには、新しいSPC3カードをより上位のスロット番号に挿入する必要があります。
-
SPC3の動作中の取り出しはサポートしていません。
関連項目
ikedプロセスを使用したIPsec VPN
ikedおよびikemdの2つのプロセスは、SRXシリーズファイアウォールでIPsec VPN機能をサポートします。ikedおよびikemdの単一インスタンスがルーティングエンジン上で一度に実行されます。
junos-ikeパッケージでは、ファイアウォールがikedプロセスを使用してIPsec VPNサービスを実行します。SRXシリーズファイアウォールのjunos-ikeパッケージサポートは、複数のリリースにわたっています。
詳細については、「junos-ikeパッケージサポートに関する補足プラットフォーム情報」セクションを参照してください。
ルーティングエンジンで実行されるikedプロセスとikemdプロセスの両方を、junos-ikeパッケージで利用できます。
SRXシリーズファイアウォールにjunos-ikeパッケージをインストールするには、次のコマンドを使用します。
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
ルーティングエンジンのikemdプロセスを再起動するには、restart ike-config-managementコマンドを使用します。
ルーティングエンジンでikedプロセスを再起動するには、restart ike-key-managementコマンドを使用します。
junos-ikeをインストールする際に指定されたJunos OSリリースバージョンを無視すると、サポートされていない機能が期待どおりに機能しないことがあります。
SRXシリーズファイアウォールで従来のkmdプロセスを使用してIPsec VPN機能を操作するには、request system software delete junos-ikeコマンドを実行し、デバイスを再起動します。
インストールされているjunos-ikeパッケージを確認するには、次のコマンドを使用します。
user@host> show version | grep ike
JUNOS ike [20190617.180318_builder_junos_182_x41]
JUNOS ike [20190617.180318_builder_junos_182_x41]
{primary:node0}
ikedプロセスでサポートされていないIPsec VPN機能
このセクションでは、SRXシリーズファイアウォールでサポートされていないIPsec VPN機能の概要を説明します。
表 4は、ikedプロセスを実行しているSRXシリーズファイアウォールとvSRX仮想ファイアウォールでサポートされていないIPsec VPN機能の概要です。
|
特長 |
サポート あり/なし |
|---|---|
|
AutoVPN PIM(プロトコル非依存マルチキャスト)ポイントツーマルチポイントモード |
なし。ただし、vSRX 3.0ではサポートあり |
|
IPsec VPNでのフォワーディングクラスの設定 |
なし |
|
グループVPN |
なし |
|
IPsecデータパス検証用パケットサイズ設定。 |
なし |
|
ポリシーベースのIPsec VPN |
なし |
暗号化アクセラレーションサポート
プラットフォームに関連する注意事項については、「プラットフォーム固有の暗号化アクセラレーション動作」のセクションを参照してください。
詳細については、「暗号化アクセラレーションサポートに関する補足プラットフォーム情報」セクションを参照してください。
Junos OSは、ハードウェア暗号化エンジンに対する暗号処理の高速化をサポートしています。SRXシリーズファイアウォールでは、DH、RSA、およびECDSA暗号化処理をハードウェア暗号化エンジンにオフロードすることができます。
junos-ikeパッケージでは、ファイアウォールがikedプロセスを使用してIPsec VPNサービスを実行します。ファイアウォールは、高度なIPsec VPN機能を実装し有効にするにあたり、コントロールプレーンソフトウェアとしてikedプロセスを必要とします。junos-ikeパッケージにより、ファイアウォールは、IPsecキー管理されたデーモン(kmd)ではなく、デフォルトでikedおよびikemdプロセスを実行します。
ファイアウォールは、さまざまな暗号のハードウェアアクセラレーションをサポートします。
関連項目
IPsec VPN トンネルでのルーティングプロトコル サポート
詳細については、「プラットフォームに関する追加情報」セクションの「表 12、表 13、表 14、表 15、表 16、および表 17」を参照してください。
Junos OSは、SRXシリーズファイアウォールを使用したIPSec VPNトンネルと、SPC3を使用したMXシリーズルーターのルーティングプロトコルをサポートしています。kmdまたはikedプロセス実行時にサポートされるプロトコルには、OSPF、BGP、PIM、RIP、BFDが含まれます。プロトコルのサポートは、以下によって異なります。
-
IPアドレッシング方式: IPv4 または IPv6 アドレス
-
st0インターフェイスのタイプ: ポイントツーポイント(P2P)またはポイントツーマルチポイント(P2MP)
アンチリプレイ ウィード
プラットフォームに関連する注意点については、プラットフォーム固有のアンチリプレイ ウィンドウの動作セクションを参照してください。
SRXシリーズファイアウォールでは、 anti-replay-window はデフォルトで有効になっており、ウィンドウサイズ値は64です。
ウィンドウ サイズを設定するには、新しい オanti-replay-window-sizeプションを使用します。anti-replay-window-size受信パケットは、設定された に基づいてリプレイ攻撃について検証されます。
2 つの異なるレベルreplay-window-sizeで を設定できます。
-
Global level—[
edit security ipsec] 階層レベルで設定されます。たとえば、以下のように表示されます。
[edit security ipsec] user@host# set anti-replay-window-size <64..8192>;
-
VPN object—[
edit security ipsec vpn vpn-name ike] 階層レベルで設定されます。たとえば、以下のように表示されます。
[edit security ipsec vpn vpn-name ike] user@host# set anti-replay-window-size <64..8192>;
両方のレベルでアンチリプレイが設定されている場合、VPN オブジェクト レベルに設定されたウィンドウ サイズがグローバル レベルで設定されたウィンドウ サイズよりも優先されます。アンチリプレイが設定されていない場合、ウィンドウ サイズはデフォルトでは 64 です。
VPN オブジェクトでアンチリプレイ ウィンドウ オプションを無効にするには、[edit security ipsec vpn vpn-name ike] 階層レベルで コマset no-anti-replayンドを使用します。グローバル レベルでアンチリプレイを無効にできません。
VPN オブジェクトでは anti-replay-window-sizeと の両方no-anti-replayを設定できません。
関連項目
ハブアンドスポーク方式 VPN について
デバイスで終端する2つのVPNトンネルを作成した場合、ルートのペアを設定して、トラフィックが1つのトンネルからもう1つのトンネルに向かうように、デバイスで誘導するように設定できます。また、トラフィックが1つのトンネルからもう1つのトンネルに向けて通過することを許可するポリシーを作成する必要もあります。このような設定は、ハブアンドスポーク方式 VPN と呼ばれます(「図 4」を参照してください。)
また、複数の VPN を設定し、任意の 2 つのトンネル間でトラフィックをルーティングすることもできます。
SRXシリーズファイアウォールでは、ルートベースのハブアンドスポーク機能のみがサポートされています。
関連項目
プラットフォーム固有の IPSec VPN の動作
特定の機能のプラットフォームおよびリリースサポートを確認するには、機能エクスプローラーを使用します。
詳細については、「 プラットフォームの追加情報 」セクションを参照してください。
次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。
- プラットフォーム固有の SPU VPN 処理動作
- プラットフォーム固有のSRX5000ラインSPCの動作
- プラットフォーム固有の暗号化アクセラレーション動作
- プラットフォーム固有のアンチリプレイ ウィンドウの動作
プラットフォーム固有の SPU VPN 処理動作
| プラットフォーム | 違い |
|---|---|
| SRXシリーズ |
|
プラットフォーム固有のSRX5000ラインSPCの動作
| プラットフォーム | 違い |
|---|---|
| SRXシリーズ |
|
プラットフォーム固有の暗号化アクセラレーション動作
| プラットフォーム | 違い |
|---|---|
| SRXシリーズ |
|
プラットフォーム固有のアンチリプレイ ウィンドウの動作
| プラットフォーム | 違い |
|---|---|
| SRXシリーズ |
|
プラットフォームの追加情報
特定の機能のプラットフォームおよびリリースサポートを確認するには、機能エクスプローラーを使用します。追加のプラットフォームがサポートされる場合があります。
| サポートされているプロセス | SRX5000シリーズ |
|---|---|
| ikedプロセス |
次の 2 つのオプションをサポートします。
|
| kmdプロセス |
|
junos-ike パッケージ |
SRX1500 | SRX1600SRX2300 | SRX4100SRX4200SRX4600 | SRX4300 | SRX4700 | SPC3を使用したSRX5000ライン | vSRX 3.0 |
|---|---|---|---|---|---|---|---|
| デフォルト | 25.2R1以降 | 23.4R1以降 | 25.2R1以降 | 24.2R1以降 |
24.4R1以降 |
19.4R1以降(RE3の場合) | 25.2R1以降 |
| オプション | 22.3R1以降 | 該当なし | 22.3R1以降 | 該当なし | 該当なし | 18.2R1以降(RE2の場合) | 20.3R1以降 |
| 暗号 | SRX1500 (キロディー) | SRX1500 (イケド) | SRX4100SRX4200(キロディー) | SRX4100SRX4200(イケド) | SRX4600(キロディー) | SRX4600(イケド) | SPC3を使用したSRX5000ライン(イケド) | vSRX 3.0(キロディー) | vSRX 3.0(イケド) |
|---|---|---|---|---|---|---|---|---|---|
| DH(グループ1、2、5、14) | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| DH(グループ19、20) | なし | ◯ | なし | ◯ | なし | ◯ | ◯ | ◯ | ◯ |
| DH(グループ15、16) | なし | ◯ | なし | ◯ | なし | ◯ | ◯ | ◯ | ◯ |
| DHグループ21 | なし | ◯ | なし | ◯ | なし | ◯ | ◯ | ◯ | ◯ |
| DHグループ24 | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | なし | なし | なし |
| RSA | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ |
| ECDSA(256、384、521) | なし | ◯ | なし | ◯ | なし | ◯ | ◯ | ◯ | ◯ |
|
IPSec VPN 上の OSPF |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
SPC3を使用したSRX5000ラインSPC2を使用したSRX5000ライン |
混合モード(SPC3+SPC2)のSRX5000ライン |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
P2Pのst0 |
IPv4アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
|
IPv6 アドレスを使用 |
いいえ |
なし |
なし |
なし |
なし |
なし |
なし |
いいえ |
|
|
P2MPのst0 |
IPv4アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
|
IPv6 アドレスを使用 |
いいえ |
なし |
なし |
なし |
なし |
なし |
なし |
いいえ |
|
|
IPSec VPN 上の OSPFv3 |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
SPC3を使用したSRX5000ラインSPC2を使用したSRX5000ライン |
混合モード(SPC3+SPC2)のSRX5000ライン |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
P2Pのst0 |
IPv4アドレスを使用 |
いいえ |
なし |
なし |
なし |
なし |
なし |
なし |
いいえ |
|
IPv6 アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
|
|
P2MPのst0 |
IPv4アドレスを使用 |
いいえ |
なし |
なし |
なし |
なし |
なし |
なし |
いいえ |
|
IPv6 アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
|
|
IPSec VPN上のBGP |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
SPC3を使用したSRX5000ラインSPC2を使用したSRX5000ライン |
混合モード(SPC3+SPC2)のSRX5000ライン |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
P2Pのst0 |
IPv4アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
|
IPv6 アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
|
|
P2MPのst0 |
IPv4アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
いいえ |
|
IPv6 アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
いいえ |
|
|
IPSec VPN 上の PIM |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
SPC3を使用したSRX5000ラインSPC2を使用したSRX5000ライン |
混合モード(SPC3+SPC2)のSRX5000ライン |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
P2Pのst0 |
IPv4アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
|
IPv6 アドレスを使用 |
いいえ |
なし |
なし |
なし |
なし |
なし |
なし |
いいえ |
|
|
P2MPのst0 |
IPv4アドレスを使用 |
◯ |
なし |
◯ |
なし |
なし |
いいえ |
はいマルチスレッドはサポートされません。 |
いいえ |
|
IPv6 アドレスを使用 |
いいえ |
なし |
なし |
なし |
なし |
なし |
なし |
いいえ |
|
|
IPSec VPN 上の RIP プロトコル |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
SPC3を使用したSRX5000ラインSPC2を使用したSRX5000ライン |
混合モード(SPC3+SPC2)のSRX5000ライン |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
P2Pのst0 |
IPv4アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
|
IPv6 アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
|
|
P2MPのst0 |
IPv4アドレスを使用 |
いいえ |
なし |
なし |
なし |
なし |
なし |
なし |
いいえ |
|
IPv6 アドレスを使用 |
いいえ |
なし |
なし |
なし |
なし |
なし |
なし |
いいえ |
|
|
IPSec VPN 上の BFD |
SRX300SRX320 SRX340SRX345SRX380 |
SRX550 HM |
SRX1500 |
SRX4100SRX4200SRX4600 |
SPC3を使用したSRX5000ラインSPC2を使用したSRX5000ライン |
混合モード(SPC3+SPC2)のSRX5000ライン |
vSRX 3.0 |
MX-SPC3 |
|
|---|---|---|---|---|---|---|---|---|---|
|
P2Pのst0 |
IPv4アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
|
IPv6 アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
|
|
P2MPのst0 |
IPv4アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
いいえ |
|
IPv6 アドレスを使用 |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
◯ |
いいえ |
|
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
junos-ikeパッケージはRE3を備えたSRX5000シリーズ向けに、Junos OSリリース20.1R2、20.2R2、20.3R2、20.4R1以降にインストールされます。その結果、ikedとikemdはデフォルトでは、IPsec kmd(キーマネージメントデーモン)ではなく、ルーティングエンジンで実行されます。