IPsec VPNの概要

Junosオペレーティングシステム(OS)がサポートするIPsec VPNトポロジーの一部を以下に示します。

• サイト間VPN—組織内の2つのサイトを接続し、サイト間の安全な通信を可能にします。

• ハブアンドスポークVPN:エンタープライズネットワーク内の支社と本社を接続します。このトポロジーを使用して、トラフィックをハブ経由で送信することにより、スポーク同士を接続することもできます。

• リモートアクセスVPN:自宅や外出先から会社のオフィスやリソースに接続できるようになります。このトポロジーは、 end-to-site tunnelとも呼ばれます。

表2は 、ポリシーベースVPNとルートベースVPNの違いをまとめたものです。

このトピックでは、複数のVPNオブジェクト間でのポイントツーポイントのst0論理インターフェイスの共有について学習します。

Junos OSは、ikedプロセスを使用してIPsec VPNサービスを実行すると、ポイントツーポイントst0論理インターフェイスの共有をサポートし、kmdプロセスからの移行パスを提供します。以下の前提条件を満たしている場合、複数のVPNオブジェクトを設定して、ポイントツーポイントのst0インターフェイスを共有できます。

• 明示的なトラフィックセレクターを設定しました。

• 設定でワイルドカードネットワークマスクを使用していません。

ポイントツーポイントの共有st0インターフェイスの利点と制限事項については、さらにお読みください。

• 利点
• 制限事項
• サンプル設定

IPsec VPNトンネルは、トンネルの設定とセキュリティの適用で構成されています。トンネルの設定中に、ピアはSA(セキュリティアソシエーション)を確立し、それらの間でトラフィックを保護するためのパラメーターを定義します。 「IPsecの概要」を参照してください。トンネルが確立されると、IPsecは、トンネル設定時にSAで定義されたセキュリティパラメーターを適用して、トンネルエンドポイント間で送信されるトンネルトラフィックを保護します。Junos OS実装内では、IPsecはトンネルモードで適用され、カプセル化セキュリティペイロード(ESP)および認証ヘッダー(AH)プロトコルをサポートします。

このトピックでは、次のセクションについて説明します。

トンネルモードでのパケット処理

IPsecは、トランスポートとトンネルの2つのモードのいずれかで動作します。トンネルの両端がホストである場合、どちらのモードも使用できます。トンネルのエンドポイントの少なくとも1つが、Junos OSルーターやファイアウォールなどのセキュリティゲートウェイである場合、トンネルモードを使用する必要があります。ジュニパーネットワークスのデバイスは、常にIPsecトンネルのトンネルモードで動作します。

トンネルモードでは、 図1に示すように、元のIPパケット全体(ペイロードとヘッダー)が別のIPペイロード内にカプセル化され、それに新しいヘッダーが付加されます。元のパケット全体を暗号化、認証、またはその両方を行うことができます。AH(認証ヘッダー)プロトコルを使用すると、AHと新しいヘッダーも認証されます。ESP(セキュリティペイロードのカプセル化)プロトコルを使用すると、ESPヘッダーも認証できます。

図1:トンネルモード

サイト間VPNでは、新しいヘッダーで使用される送信元アドレスと宛先アドレスは、発信インターフェイスのIPアドレスです。 図2をご覧ください。

図2:トンネルモードのサイト間VPN

ダイヤルアップVPNでは、トンネルのVPNダイヤルアップクライアント側にトンネルゲートウェイはありません。このトンネルは、クライアント自体に直接拡張されます( 図3を参照)。この場合、ダイヤルアップクライアントから送信されたパケットでは、新しいヘッダーとカプセル化された元のヘッダーの両方が、同じIPアドレス(クライアントのコンピューターのIPアドレス)を持ちます。

Netscreen-Remoteなどの一部のVPNクライアントは、仮想内部IPアドレス(「スティッキーアドレス」とも呼ばれます)を使用します。Netscreen-Remoteを使用して、仮想IPアドレスを定義できます。この場合、仮想内部IPアドレスは、クライアントから発信されたトラフィックの元のパケットヘッダー内の送信元IPアドレスであり、ISPがダイヤルアップクライアントに動的に割り当てるIPアドレスは、外部ヘッダー内の送信元IPアドレスです。

図3:トンネルモードのダイヤルアップVPN

プラットフォームに関連する注意事項については、「 プラットフォーム固有のSPU VPN処理動作」 のセクションを参照してください。

SRXシリーズファイアウォールでは、IKEがIPsecのトンネル管理を提供し、エンドエンティティを認証します。IKEは、Diffie-Hellman(DH)鍵交換を実行して、ネットワークデバイス間にIPsecトンネルを生成します。IKEによって生成されるIPsecトンネルは、IPレイヤーのネットワークデバイス間のユーザートラフィックの暗号化、復号化、認証に使用されます。

VPNは、プラットフォームの複数のSPU(サービス処理ユニット)間でIKEとIPsecのワークロードを分散することで作成されます。サイトツーサイトトンネルの場合、最小負荷のSPUがアンカーSPUとして選択されます。複数のSPUが同じ最小負荷を持つ場合、それらのいずれかをアンカーSPUとして選択できます。ここで発生する負荷は、SPUに固定されたサイト間ゲートウェイまたは手動VPNトンネルの数に相当します。動的トンネルの場合、新たに確立された動的トンネルがラウンドロビンアルゴリズムを使用してSPUを選択します。

IPsecでは、ワークロードは、IKEを分散するのと同じアルゴリズムによって分散されます。特定のVPNトンネル終端ポイントペアのフェーズ2SAは、特定のSPUによって排他的に所有され、このフェーズ2SAに属するすべてのIPsecパケットは、IPsec処理のためにそのSAのアンカーSPUに転送されます。

複数のIPsecセッション(フェーズ2SA)は、1つ以上のIKEセッションで動作できます。IPsecセッションを固定するために選択されたSPUは、基となるIKEセッションを固定しているSPUに基づいています。そのため、単一の IKE ゲートウェイで実行されるすべての IPsec セッションは、同じ SPU によってサポートされ、複数の SPU 間でロード バランシングされることはありません。

表3は 、3つのIKEゲートウェイ上で7つのIPsecトンネルを実行する3つのSPUを備えたファイアウォールの例を示しています。

3つのSPUには、それぞれ1つのIKEゲートウェイの負荷が均等に分散されています。新しいIKEゲートウェイが作成された場合、SPU0、SPU1、またはSPU2を選択して、IKEゲートウェイとそのIPsecセッションを固定できます。

既存のIPsecトンネルを設定および破棄しても、基になるIKEセッションや既存のIPsecトンネルには影響しません。

SPUごとの現在のトンネル数を表示するには、次の show コマンドを使用します。 show security ike tunnel-map。

コマンドの summary オプションを使用して、各ゲートウェイのアンカーポイントを表示します。 show security ike tunnel-map summary。

プラットフォームに関連する注意事項については、「 プラットフォーム固有のSRX5000回線SPC動作」 セクションを参照してください。

詳細については、「 SRX5000行におけるkmdおよびikedプロセスに関する補足プラットフォーム情報 」セクションを参照してください。

ハイエンドのSRXシリーズシャーシクラスターでは、既存のIKEまたはIPsec VPNトンネルのトラフィックに影響を与えたり中断したりすることなく、デバイスにSPCを挿入できます。

SPC3 カードを含む既存のシャーシに SPC3 または SPC2 カードを挿入できます。カードは、シャーシ上の既存のSPC3カードよりも上位のスロットにのみ挿入できます。

ただし、既存のトンネルは、新しいSPCのSPU(サービス処理ユニット)の処理能力を利用できません。新しいSPUでは、新たに確立されたサイトツーサイトトンネルおよび動的トンネルを固定することができます。しかし、新たに設定されたトンネルは、新しいSPUで固定されることが保証されるわけではありません。

サイトツーサイトトンネルは、ロードバランシングアルゴリズムに基づき、異なるSPUに固定されます。ロードバランシングアルゴリズムは、各SPUが使用している数値フロースレッドに依存します。同じローカルおよびリモートゲートウェイIPアドレスに属するトンネルは、SPUで使用される異なるフローRTスレッドの同じSPUに固定されます。最小負荷のSPUがアンカーSPUとして選択されます。各SPUは、その特定のSPUでホストされているフローRTスレッドの数を管理しています。各SPUでホストされるフローRTスレッドの数は、SPUのタイプによって異なります。

トンネルの負荷係数 = SPUで固定されたトンネルの数 / SPUが使用するフローRTスレッドの合計数

動的トンネルは、ラウンドロビンアルゴリズムに基づき、異なるSPUに固定されます。新たに設定された動的トンネルは、新しいSPCで固定されることが保証されるわけではありません。

SPC2カードとSPC3カードの両方がインストールされている場合は、 show security ipsec tunnel-distribution コマンドを使用して、異なるSPUのトンネルマッピングを検証できます。

SPC2カードのみが挿入された別のSPUのトンネルマッピングを表示するには、コマンド show security ike tunnel-map を使用します。コマンド show security ike tunnel-map は、SPC2カードおよびSPC3カードがインストールされている環境では無効です。

SPC3カードの挿入:ガイドラインと制限事項:

• シャーシクラスターでは、ノードの1つに1つのSPC3カードがあり、もう一方のノードに2つのSPC3カードがある場合、1つのSPC3カードがある方のノードへのフェイルオーバーはサポートされていません。

• 下位のスロットにある現在のSPC3よりも上位のスロットにある既存のシャーシに、SPC3またはSPC2を挿入する必要があります。

• SPC3 ISHU を機能させるには、新しい SPC3 カードをより上位のスロット番号に挿入する必要があります。

• SPC3の動作中の取り出しはサポートしていません。

ikedとikemdの2つのプロセスは、SRXシリーズファイアウォールでIPsec VPN機能をサポートします。ikedとikemdのインスタンスは、ルーティングエンジン上で一度に1つ実行されます。

junos-ikeパッケージでは、ファイアウォールがikedプロセスを使用してIPsec VPNサービスを実行します。SRXシリーズファイアウォールのサポートjunos-ikeパッケージは複数のリリースがあります。

詳細については、「junos-ikeパッケージサポートに関する補足プラットフォーム情報」セクションを参照してください。

ルーティングエンジンで実行されるikedプロセスとikemdプロセスの両方が、 junos-ike パッケージで利用できます。

SRXシリーズファイアウォールに junos-ike パッケージをインストールするには、次のコマンドを使用します。

ルーチンエンジンでikemdプロセスを再起動するには、 restart ike-config-management コマンドを使用します。

ルーティングエンジンでikedプロセスを再起動するには、 restart ike-key-management コマンドを使用します。

SRXシリーズファイアウォールで従来のkmdプロセスを使用してIPsec VPN機能を操作するには、 request system software delete junos-ike コマンドを実行し、デバイスを再起動します。

インストールされている junos-ike パッケージを確認するには、次のコマンドを使用します。

プラットフォームに関連する注意事項については、「 プラットフォーム固有の暗号化アクセラレーション動作」 セクションを参照してください。

詳細については、「 暗号化アクセラレーションサポートに関する補足プラットフォーム情報 」セクションを参照してください。

Junos OSは、ハードウェア暗号化エンジンへの暗号化操作の高速化をサポートしています。SRXシリーズファイアウォールでは、DH、RSA、ECDSA暗号化操作をハードウェア暗号化エンジンにオフロードできます。

junos-ikeパッケージでは、ファイアウォールがikedプロセスを使用してIPsec VPNサービスを実行します。ファイアウォールは、高度なIPsec VPN機能をインストールおよび有効にするために、コントロールプレーンソフトウェアとしてikedプロセスを必要とします。junos-ikeパッケージの結果として、ファイアウォールはIPsecキー管理されたデーモン(kmd)ではなく、デフォルトでルーティングエンジン上でikedおよびikemdプロセスを実行します。

ファイアウォールは、さまざまな暗号のハードウェアアクセラレーションをサポートします。

詳細については、「補足プラットフォーム情報」セクションの表12、表13、表14、表15、表16、表17を参照してください。

Junos OSは、SRXシリーズファイアウォールを備えたIPsec VPNトンネルおよびSPC3を備えたMXシリーズルーターでルーティングプロトコルをサポートします。kmdまたはikedプロセスの実行時に、OSPF、BGP、PIM、RIP、BFDなどのプロトコルがサポートされます。プロトコル サポートは、以下によって異なります。

• IPアドレス指定スキーム:IPv4またはIPv6アドレス

• st0インターフェイスのタイプ:ポイントツーポイント(P2P)またはポイントツーマルチポイント(P2MP)

プラットフォームに関連する注意事項については、「 プラットフォーム固有のアンチリプレイウィンドウ動作」 セクションを参照してください。

SRXシリーズファイアウォールでは、 anti-replay-window はデフォルトで有効になり、ウィンドウサイズ値は64です。

ウィンドウ サイズを設定するには、新しい anti-replay-window-size オプションを使用します。受信パケットは、設定された anti-replay-window-size に基づいてリプレイ攻撃について検証されます。

replay-window-sizeは、次の2つの異なるレベルで設定できます。

• Global level—[edit security ipsec] 階層レベルで設定されます。

  次に例を示します。

• VPN object—[edit security ipsec vpn vpn-name ike] 階層レベルで設定されます。

  次に例を示します。

両方のレベルでアンチリプレイが設定されている場合、VPN オブジェクト レベルに設定されたウィンドウ サイズがグローバル レベルで設定されたウィンドウ サイズよりも優先されます。アンチリプレイが設定されていない場合、ウィンドウ サイズはデフォルトでは 64 です。

VPN オブジェクトでアンチリプレイ ウィンドウ オプションを無効にするには、[edit security ipsec vpn vpn-name ike] 階層レベルで set no-anti-replay コマンドを使用します。グローバルレベルでアンチリプレイを無効にすることはできません。

VPN オブジェクトで anti-replay-window-size と no-anti-replay の両方を設定することはできません。

デバイスで終端する2つのVPNトンネルを作成した場合、ルートのペアを設定して、デバイスが1つのトンネルからもう1つのトンネルにトラフィックを送信するようにすることができます。また、トラフィックが一方のトンネルから他方のに通過することを許可するポリシーを作成する必要もあります。このような設定は 、ハブアンドスポーク方式VPNと呼ばれます。( 図4を参照)。

また、複数のVPNを設定し、任意の2つのトンネル間でトラフィックをルーティングすることもできます。

SRXシリーズファイアウォールは、ルートベースのハブアンドスポーク機能のみをサポートします。

図4:ハブアンドスポーク方式VPNの設定における複数トンネル

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。

詳細については、「 補足プラットフォーム情報 」セクションを参照してください。

以下の表を使用して、お使いのプラットフォームに固有の動作を確認します。

• プラットフォーム固有のSPU VPN処理動作
• プラットフォーム固有のSRX5000ラインSPCの動作
• プラットフォーム固有の暗号化アクセラレーション動作
• プラットフォーム固有のアンチリプレイウィンドウの動作

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。追加のプラットフォームがサポートされる場合があります。