Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6 IPsec VPN

ジュニパーネットワークスは、IPv6 IPsec VPN の事前共有鍵設定による手動および自動鍵 IKE をサポートしています。

IPv6 アドレスの VPN 機能サポート

ポイントツーポイントのセキュアトンネルインターフェイスを備えたルートベースのサイト間VPNトンネルは、IPv4-in-IPv4、IPv6-in-IPv6、IPv6-in-IPv4、またはIPv4-in-IPv6トンネルモードで動作できます。IPv6 アドレスは、トンネルのエンドポイントを表す外部 IP ヘッダー、またはパケットの最終的な送信元アドレスと宛先アドレスを表す内部 IP ヘッダーに含めることができます。

表 1 は、VPN 機能での IPv6 アドレスのサポートを定義します。

表 1: VPN 機能での IPv6 アドレスのサポート

機能

対応

例外

IKE および IPsec のサポート:

IKEv1 および IKEv2

指定されていない限り、サポートされているすべての機能は IKEv1 および IKEv2 に適用されます。

ルートベース VPN

ポリシーベース VPN

IPv6ポリシーベースのVPNは、シャーシクラスター設定のSRXシリーズファイアウォールではサポートされていません。IPv6ポリシーベースのVPNは、スタンドアロンのSRX300、SRX320、SRX340、SRX345およびSRX550HMデバイス上のIPv6-in-IPv6トンネルでのみサポートされています。

サイトツーサイト VPN

1 対 1、サイトツーサイト VPN のみがサポートされています。多対1のサイトツーサイトVPN(NHTB)には対応していません。IPv4-in-IPv4 トンネル以外のトンネル モードには、NHTB 設定をコミットできません。

動的エンドポイント VPN

ダイヤルアップ VPN

AutoVPN

ポイントツーポイント モードでセキュア トンネル インターフェイスを使用する AutoVPN ネットワークは、トラフィック セレクターと IKE ピアに IPv6 アドレスをサポートします。ポイントツーマルチポイントモードのAutoVPNは、IPv6トラフィックをサポートしていません。

グループ VPN

なし

ポイントツーポイント トンネル インターフェイス

ポイントツーマルチポイント トンネル インターフェイス

なし

サイトツーサイト VPN のハブアンドスポーク シナリオ

番号ありおよび番号なしのトンネル インターフェイス

ユニキャストの静的および動的(RIP、OSPF、BGP)ルーティング

マルチキャスト動的ルーティング(PIM)

なし

仮想ルーター

論理システム

なし

自動および手動の SA および鍵管理

複数の SPU

シャーシ クラスタ

アクティブ-アクティブモードを使用したIPsec VPNは、ルートベースIPv6トンネルのSRX300、SRX320、SRX340、SRX345、およびSRX550HMデバイスでのみサポートされています。アクティブ-アクティブモードを使用したIPsec VPNは、SRX5400、SRX5600、およびSRX5800デバイスではサポートされていません。

統計、ログ、トンネル単位のデバッグ

SNMP MIB

ローカルアドレスの選択

VPN ピアへの物理外部インターフェイスで同じアドレスファミリーの複数のアドレスが設定されている場合、 local-address も [edit security ike gateway gateway-name] 階層レベルで設定することをお勧めします。

ループバック アドレスの終端

IPv6 による Xauth または modecfg

なし

SPCインサート

ISSU

IKE ゲートウェイ アドレスとしての DNS 名

IPv4 トンネルと同様に、DNS 名でのピア ゲートウェイ アドレスの変更は、IPv6 トンネルではサポートされていません。

事前共有鍵または証明書の認証

IPv4 IKE ピアの NAT-T(NAT トラバーサル)

NAT-T は、IKEv1 を使用した IPv6-in-IPv4 および IPv4-in-IPv4 トンネル モードでのみサポートされます。IPv6-in-IPv6 および IPv4-in-IPv6 トンネル モードはサポートされていません。IKEv2 は NAT-T 向けにはサポートされていません。IPv6 から IPv4 へ、または IPv4 から IPv6 への NAT-T はサポートされていません。

デッドピア検出(DPD)とDPDゲートウェイフェイルオーバー

DPD ゲートウェイ フェイルオーバーは、同じファミリ内の異なるゲートウェイ アドレスに対してのみサポートされます。IPv6 ゲートウェイ アドレスから IPv4 ゲートウェイ アドレスへ、またはその逆のフェイルオーバーはサポートされていません。

SRXシリーズファイアウォールのJunos OSリリース12.1X45-D10リリースでサポートされている暗号化セット、認証アルゴリズム、DHグループ。

IPv6 および IPv4 の汎用プロポーザルとポリシー

一般的な IKE ID

ESP および AH トランスポート モード

なし

これらのモードは IPv4 ではサポートされていません。

ESP および AH トンネル モード

変更可能な拡張ヘッダーとオプションを使用した AH トンネル モードはサポートされていません。

拡張シーケンス番号

なし

1 つのプロキシ ID ペア

複数のトラフィックセレクターペア

IKEv1 でのみサポートされています。

IKE または IPsec SA の有効期間(秒)

IKE SA の有効期間(キロバイト)

VPN 監視

なし

IPv6 トンネルを使用した設定はコミットできません。

DF ビット

IPv6-in-IPv6 トンネルの場合、[edit security ipsec vpn vpn-name] 階層レベルで設定された場合にのみ DF ビットが設定されます。デフォルトは df-bit clear です。

1 つの物理インターフェイスを介したデュアルスタック(パラレル IPv4 および IPv6 トンネル)

ルートベースのサイトツーサイト VPN の場合。1 つの IPv4 トンネルは IPv4-in-IPv4 および IPv6-in-IPv4 の両方のトンネル モードで動作でき、1 つの IPv6 トンネルは IPv4-in-IPv6 および IPv6-in-IPv6 の両方のトンネル モードで動作できます。

IPv6 拡張ヘッダー

IKEおよびIPsecパケットのIPv6拡張ヘッダーとIPv4オプションは受け入れられますが、処理されません。変更可能な EH とオプションを持つ AH はサポートされていません。

フラグメント化と再アセンブリ

VPN セッション アフィニティ

マルチキャスト トラフィック

なし

トンネル IP サービス(Screen、NAT、ALG、IPS、AppSecure)

トンネル経由の IPv6 フラグメントのためのパケット並べ替え

なし

St0 インターフェイス上の OSPFv3 ルート経由 BFD(双方向フォワーディング検出)

なし

St0インターフェイスを介したNDP(近隣探索プロトコル)

なし

PKI サポート:

仮想ルーターの PKI

RSA 署名認証 (512、1024、2048、または 4096 ビットの鍵サイズ)

DSA 署名認証(1024、2048、または 4096 ビットの鍵サイズ)

ECDSA シグネチャ

証明書チェーン認証

なし

IPv4 による自動または手動登録

IPv4 による自動または手動取り消し

IPv6 による自動または手動登録

なし

IPv6 による自動または手動取り消し

なし

PKI 証明書フィールド内の IPv6 アドレス

なし

IPv6 IKE と IPsec パケット処理について

このトピックは、以下のセクションで構成されています。

IPv6 IKE パケット処理

インターネット鍵交換(IKE)は、プロトコルのIPsecスイートの一部です。これにより、自動的に2つのトンネルエンドポイントでセキュリティアソシエーション(SA)を設定し、相互に秘密鍵をネゴシエートできるようになります。セキュリティパラメータを手動で設定する必要はありません。IKE は、通信ピアの認証も提供します。

IPv6 ネットワークでの IKE パケット処理には、以下の要素が含まれます。

  • インターネット セキュリティ アソシエーションとキー管理プロトコル(ISAKMP)識別ペイロード

    ISAKMP 識別ペイロードは、通信する IPv6 ピアの識別と認証に使用されます。IPv6では、2つのIDタイプ(ID_IPV6_ADDRとID_IPV6_ADDR_SUBNET)が有効になっています。ID タイプは、使用する ID のタイプを示します。ID_IPV6_ADDR タイプは、単一の 16 オクテット IPv6 アドレスを指定します。この ID タイプは IPv6 アドレスを表します。ID_IPV6_ADDR_SUBNET タイプは、2 つの 16 オクテット値で表される IPv6 アドレスの範囲を指定します。この ID タイプは、IPv6 ネットワーク マスクを表します。 表 2 、ID ペイロード内の ID タイプとそれに割り当てられた値をリストします。

    表 2: ISAKMP ID の型とその値

    IDタイプ

    引っ込み思案

    0

    ID_IPV4_ADDR

    1

    ID_FQDN

    2

    ID_USER_FQDN

    3

    ID_IPV4_ADDR_SUBNET

    4

    ID_IPV6_ADDR

    5

    ID_IPV6_ADDR_SUBNET

    6

    ID_IPV4_ADDR_RANGE

    7

    ID_IPV6_ADDR_RANGE

    8

    ID_DER_ASN1_DN

    9

    ID_DER_ASN1_GN

    10

    ID_KEY_ID

    11

    ID_LIST

    12

    ID_IPV6_ADDR_RANGE タイプは、2 つの 16 オクテット値で表される IPv6 アドレスの範囲を指定します。最初のオクテット値は IPv6 の開始アドレスを表し、2 番目のオクテット値は範囲内の終了 IPv6 アドレスを表します。最初の IPv6 アドレスと最後の IPv6 アドレスの間にあるすべての IPv6 アドレスは、リストの一部と見なされます。

    ISAKMP 識別ペイロードの 2 つの ID タイプ(ID_IPV6_ADDR_RANGE と ID_IPV4_ADDR_RANGE)は、このリリースではサポートされていません。

  • プロキシー ID

    プロキシ ID は、IKE ネゴシエーションのフェーズ 2 で使用されます。IPsec トンネルが確立される前に生成されます。プロキシ ID は、VPN に使用する SA を識別します。ローカルとリモートの 2 つのプロキシ ID が生成されます。ローカルプロキシIDは、ローカルIPv4またはIPv6アドレス/ネットワークおよびサブネットマスクを参照します。リモート プロキシ ID は、リモート IPv4 または IPv6 アドレス/ネットワークとサブネット マスクを参照します。

  • セキュリティ アソシエーション

    SA は、セキュアな通信をサポートするための VPN 参加者間の契約です。SA は、SPI(セキュリティ パラメーター インデックス)、宛先 IPv6 アドレス、セキュリティ プロトコル(AH または ESP)の 3 つのパラメーターに基づいて区別されます。SPI は、複数の SA の中から SA を識別するために SA に割り当てられる一意の値です。IPv6 パケットでは、SA は外側の IPv6 ヘッダーの宛先アドレスから識別され、セキュリティ プロトコルは AH または ESP ヘッダーのいずれかから識別されます。

IPv6 IPsec パケット処理

IKE ネゴシエーションが完了し、2 つの IKE ゲートウェイがフェーズ 1 およびフェーズ 2 の SA を確立した後、IPv6 IPsec は認証および暗号化技術を使用して IPv6 パケットを保護します。IPv6 アドレスは 128 ビット長で、IPv4 アドレスは 32 ビット長であるため、IPv6 IPsec パケット処理にはより多くのリソースが必要です。

トンネル経由の IPv6 フラグメントのパケット並べ替えはサポートされていません。

IPv6 アドレッシングを使用するデバイスは、フラグメンテーションを実行しません。IPv6 ホストは、パス MTU 検出を実行するか、IPv6 の最小 MTU サイズである 1280 バイトより小さいパケットを送信する必要があります。

このトピックは、以下のセクションで構成されています。

IPv6 の AH プロトコル

AH プロトコルは、IPv6 パケットのデータ整合性とデータ認証を提供します。IPv6 IPsec は、IPv6 データグラムで特定の方法で配置する必要がある拡張ヘッダー (ホップバイホップやルーティング オプションなど) を使用します。AH トンネル モードでは、AH ヘッダーは、IPv4 AH トンネル モードの場合と同様に、新しい外部 IPv6 ヘッダーの直後に続きます。拡張ヘッダーは、元の内部ヘッダーの後に配置されます。したがって、AHトンネルモードでは、 図 1に示すように、新しい外部IPv6ヘッダーを追加し、その後に認証ヘッダー、内部ヘッダー、拡張ヘッダー、および元のデータグラムの残りの部分を追加することで、パケット全体がカプセル化されます。

図 1: IPv6 AH トンネル モードIPv6 AH トンネル モード

ESP とは異なり、AH 認証アルゴリズムは、外部ヘッダーと、新しい拡張ヘッダーおよびオプションをカバーします。

SRXシリーズファイアウォールのAHトンネルモードでは、IPv4可変オプションまたはIPv6可変拡張ヘッダーはサポートされていません。「表 3」を参照してください。

IPv6 の ESP プロトコル

ESP プロトコルは、IPv6 パケットの暗号化と認証の両方を提供します。IPv6 IPsec は IPv6 データグラムで拡張ヘッダー (ホップバイホップやルーティング オプションなど) を使用するため、IPv6 ESP トンネル モードと IPv4 ESP トンネル モードの最も重要な違いは、パケット レイアウトでの拡張ヘッダーの配置です。ESP トンネル モードでは、ESP ヘッダーは、IPv4 ESP トンネル モードの場合と同様に、新しい外部 IPv6 ヘッダーの直後に続きます。したがって、ESP トンネル モードでは、 図 2 に示すように、新しい外部 IPv6 ヘッダー、その後に ESP ヘッダー、内部ヘッダー、拡張ヘッダー、および元のデータグラムの残りの部分を追加することで、パケット全体がカプセル化されます。

図 2: IPv6 ESP トンネル モードIPv6 ESP トンネル モード

IPv4 オプションと IPv6 拡張ヘッダー(AH および ESP 付き)

IPv4オプションまたはIPv6拡張ヘッダーを含むIPsecパケットを受信して、SRXシリーズファイアウォールでカプセル化を解除できます。 表 3 、SRXシリーズファイアウォール上のESPまたはAHプロトコルでサポートされているIPv4オプションまたはIPv6拡張ヘッダーを示しています。サポートされていない IPsec パケットを受信すると、ICV 計算に失敗し、パケットはドロップされます。

表 3: IPv4 オプションまたは IPv6 拡張ヘッダーのサポート

オプションまたは拡張ヘッダー

SRX300、SRX320、SRX340、SRX345、およびSRX550HMデバイス

SRX5400、SRX5600、および SRX5800 デバイス

ESP with IPv4 オプション

対応

対応

IPv6 拡張ヘッダーを持つ ESP

対応

対応

AH と IPv4 不変オプション

対応

対応

AH と IPv6 不変拡張ヘッダー

対応

対応

AH と IPv4 可変オプション

未対応

未対応

AH と IPv6 可変拡張ヘッダー

未対応

未対応

IPv6 での変更チェック値の計算

AH プロトコルは、パケットの内容に対して整合性チェック値(ICV)を計算することによって、IPv6 パケットの整合性を検証します。ICV は通常、MD5 や SHA-1 などの認証アルゴリズムの上に構築されます。IPv6 の ICV 計算は、可変ヘッダーとオプションの拡張ヘッダーという 2 つのヘッダー フィールドがある点で IPv4 の計算とは異なります。

転送中に不変であるか、トンネルのエンドポイントに到着したときに値が予測可能なIPv6ヘッダーフィールドを介してAH ICVを計算できます。また、AH ヘッダーおよび上位プロトコル データ(転送中は不変と見なされる)を介して AH ICV を計算することもできます。新しい外部 IPv6 ヘッダーとオプションの拡張ヘッダーを除く IPv6 パケット全体の ESP ICV を計算できます。

IPv4 とは異なり、IPv6 には、転送中に変更可能としてオプションにタグを付ける方法があります。IPv6 オプションの拡張ヘッダーには、変更可能性を示すフラグが含まれています。このフラグは、適切な処理を決定します。

IPv4 可変オプションと IPv6 拡張ヘッダーは、AH プロトコルではサポートされていません。

トンネルモードでのヘッダー構築

トンネル モードでは、外側の IPv4 または IPv6 ヘッダーの送信元アドレスと宛先アドレスはトンネルのエンドポイントを表し、内側 IPv4 または IPv6 ヘッダーの送信元アドレスと宛先アドレスは最終的な送信元アドレスと宛先アドレスを表します。 表 4 、IPv6-in-IPv6 または IPv4-in-IPv6 トンネルモードの内部 IPv6 または IPv4 ヘッダーと外部 IPv6 ヘッダーの関係を要約したものです。外部ヘッダー フィールドでは、"構築済み" とは、外部ヘッダー フィールドの値が内部ヘッダー フィールドの値とは独立して構築されることを意味します。

表 4: IPv6-in-IPv6およびIPv4-in-IPv6トンネルモード用のIPv6ヘッダー構築

ヘッダーフィールド

カプセル化子の外側ヘッダー

デカプスレータの内部ヘッダー

バージョン

6.

変更なし。

DS フィールド

内部ヘッダーからコピーされます。

変更なし。

ECNフィールド

内部ヘッダーからコピーされます。

構築。

フロー ラベル

0.

変更なし。

ペイロードの長さ

構築。

変更なし。

次のヘッダー

AH、ESP およびルーティング ヘッダー

変更なし。

ホップ制限

64.

デクリメント。

送信元アドレス

構築。

変更なし。

宛先アドレス

構築。

変更なし。

拡張ヘッダー

コピーされたことはありません。

変更なし。

表 5 は、IPv6-in-IPv4 または IPv4-in-IPv4 トンネルモードの内部 IPv6 または IPv4 ヘッダーと外部 IPv4 ヘッダーの関係を要約しています。外部ヘッダー フィールドでは、"構築済み" とは、外部ヘッダー フィールドの値が内部ヘッダー フィールドの値とは独立して構築されることを意味します。

表 5: IPv6-in-IPv4およびIPv4-in-IPv4トンネルモード用のIPv4ヘッダー構築

ヘッダーフィールド

アウターヘッダー

内部ヘッダー

バージョン

4.

変更なし。

ヘッダーの長さ

構築。

変更なし。

DS フィールド

内部ヘッダーからコピーされます。

変更なし。

ECNフィールド

内部ヘッダーからコピーされます。

構築。

全長

構築。

変更なし。

ID

構築。

変更なし。

フラグ (DF, MF)

構築。

変更なし。

フラグメントオフセット

構築。

変更なし。

ティッカー

64.

デクリメント。

protocol

ああ、特に

変更なし。

チェックサム

構築。

構築。

送信元アドレス

構築。

変更なし。

宛先アドレス

構築。

変更なし。

オプション

コピーされたことはありません。

変更なし。

IPv6-in-IPv4 トンネル モードでは、DF(Don't Fragment)ビットはデフォルトでクリアされます。対応するIPv4 VPNに対して、 df-bit set または df-bit copy オプションが[edit security ipsec vpn vpn-name]階層レベルで設定されている場合、DFビットはIPv4の外側ヘッダーに設定されます。

IPv4-in-IPv4 トンネル モードの場合、外側 IPv4 ヘッダーの DF ビットは、内側 IPv4 ヘッダーに設定された df-bit オプションに基づきます。df-bit が内側 IPv4 ヘッダーに設定されていない場合、外側 IPv4 ヘッダーの DF ビットはクリアされます。

IPv6 IPsec 構成の概要

ジュニパーネットワークスは、IPv6 IPsec VPN の事前共有鍵設定による手動および自動鍵 IKE をサポートしています。

  • AutoKey IKE VPN:AutoKey IKE VPN構成では、AutoKey IKEメカニズムを使用して秘密鍵とSAが自動的に作成されます。IPv6 autoKey IKE VPNをセットアップするには、ネゴシエーションの2つのフェーズ(フェーズ1とフェーズ2)が必要です。

    • フェーズ 1 - このフェーズでは、参加者が IPsec SA をネゴシエートするためのセキュアなチャネルを確立します。

    • フェーズ 2 - このフェーズでは、参加者が IPv6 データ パケットの認証と暗号化のために IPsec SA をネゴシエートします。

    フェーズ 1 およびフェーズ 2 のネゴシエーションの詳細については、「インターネット鍵交換」を参照してください。

例:IPv6 IPsec 手動 VPN を構成する

この例では、IPv6 IPsec 手動 VPN を設定する方法を示します。

要件

開始する前に、以下を実行します。

概要

手動 VPN 構成では、秘密キーは 2 つの IPsec エンドポイントで手動で構成されます。

この例では、次のことを行います。

  • vpn-sunnyvaleという名前のVPNの認証パラメーターを設定します。

  • vpn-sunnyvaleの暗号化パラメーターを設定します。

  • SAの送信インターフェイスを指定します。

  • ピアの IPv6 アドレスを指定します。

  • IPsec プロトコルを定義します。構成に認証と暗号化の両方が含まれているため、ESP プロトコルを選択します。

  • SPI(セキュリティ パラメーター インデックス)を設定します。

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

セキュリティ アルゴリズムを設定するには:

  1. 認証パラメーターを構成します。

  2. 暗号化パラメータを設定します。

  3. SAの送信インターフェイスを指定します。

  4. ピアの IPv6 アドレスを指定します。

  5. IPsec プロトコルを定義します。

  6. SPIを設定します。

結果

設定モードから、show security ipsec vpn vpn-sunnyvaleコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

セキュリティアルゴリズムの検証

目的

セキュリティアルゴリズムが適用されているかどうかを判断します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。

例:IPv6 AutoKey IKEポリシーベースVPNの設定

この例では、ポリシーベースのIPv6 AutoKey IKE VPNを設定して、支社と本社の間でIPv6データを安全に転送できるようにする方法を示しています。

IPv6ポリシーベースのVPNは、スタンドアロンのSRX300、SRX320、SRX340、SRX345、SRX550HMデバイスでのみサポートされています。

要件

この例では、次のハードウェアを使用しています。

  • SRX300デバイス

開始する前に、以下を実行します。

概要

この例では、トンネル リソースを節約したり、トンネルを介してトラフィックをフィルタリングするために多くのセキュリティ ポリシーを設定したりする必要がないため、イリノイ州シカゴの支店に IPv6 IKE ポリシーベースの VPN を設定します。シカゴ支店のユーザーは、このVPNを使用してカリフォルニア州サニーベールの本社に接続します。

図 3 は、IPv6 IKE ポリシーベース VPN トポロジーの例を示しています。このトポロジーでは、1台のSRXシリーズファイアウォールがサニーベールにあり、もう1台のSRXシリーズファイアウォール(2台目のSRXシリーズファイアウォールまたはサードパーティ製デバイス)がシカゴにあります。

図 3: IPv6 IKE ポリシーベース VPN トポロジーIPv6 IKE ポリシーベース VPN トポロジー

この例では、インターフェイス、IPv6 のデフォルト ルート、セキュリティ ゾーン、アドレス ブックを設定します。次に、IKEフェーズ1、IPsecフェーズ2、セキュリティポリシー、およびTCP-MSSパラメータを設定します。「 表 6 から 表 10」を参照してください。

表 6: インターフェイス、セキュリティゾーン、アドレス帳情報

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/14.0

2001:db8:3::1/96

 

ge-0/0/15.0

2001:db8:0:2::1/96

セキュリティ ゾーン

T錆

  • すべてのシステム サービスが許可されます。

  • ge-0/0/14.0インターフェイスは、このゾーンにバインドされています。

 

Untrust

  • IKEは唯一許可されているシステム サービスです。

  • ge-0/0/15.0インターフェイスは、このゾーンにバインドされています。

アドレス帳エントリー

Sunnyvale

  • このアドレスは、 Trust ゾーンのアドレス帳のアドレスです。

  • このアドレス帳エントリーのアドレスは 2001:db8:3::2/96 です。

 

Cヒカゴ

  • このアドレスは、 Untrust ゾーンのアドレス帳のものです。

  • このアドレス帳エントリーのアドレスは 2001:db8:0::2/96 です。

表 7: IPv6 IKEフェーズ1の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

IPv6-IKE-フェーズ1-プロポーザル

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:sha1

  • 暗号化アルゴリズム aes-128-cbc

ポリシー

IPv6-IKE-Phase1-Policy

  • モード:アグレッシブ

  • プロポーザル リファレンス:IPv6-IKE-フェーズ1-プロポーザル

  • IKEフェーズ1ポリシー認証方法:pre-shared-key ascii-text

ゲートウェイ

gw-Chicago

  • IKE ポリシーの参照:IPv6-IKE-Phase1-Policy

  • 外部インターフェイス:ge-0/0/15.0

  • ゲートウェイ アドレス:2001:db8:1::1/96

表 8: IPv6 IPsecフェーズ2の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

IPv6-ipsec-フェーズ2-プロポーザル

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha1-96

  • 暗号化アルゴリズムaes-128-cbc

ポリシー

IPv6-IPsec-Phase2-Policy

  • プロポーザル リファレンス:IPv6-ipsec-フェーズ2-プロポーザル

  • PFS:Diffie-Hellmanグループ2

VPN

IPv6-IKE-VPN-chicago

  • IKEゲートウェイ リファレンス:GW-シカゴ

  • IPsecポリシー リファレンス:IPv6-IPsec-Phase2-Policy

表 9: セキュリティ ポリシー設定パラメータ

目的

お名前

設定パラメータ

このセキュリティ ポリシーは、 Trust ゾーンから Untrust ゾーンへのトラフィックを許可します。

IPv6-VPN-tr-untr

  • 一致する条件:

    • source-address Sunnyvale

    • 宛先アドレス Chicago

    • application any

  • 許可アクション:トンネルipsec-vpn ipv6-ike-vpn-chicago

  • 許可アクション:トンネルペアポリシー IPv6-vpn-untr-tr

このセキュリティ ポリシーは、 Untrust ゾーンから Trust ゾーンへのトラフィックを許可します。

IPv6-VPN-untr-tr

  • 一致する条件:

    • 送信元アドレス Chicago

    • 宛先アドレス Sunnyvale

    • application any

  • 許可アクション:トンネルipsec-vpn ipv6-ike-vpn-chicago

  • 許可アクション:トンネルペアポリシー IPv6-VPN-tr-untr

このセキュリティ ポリシーは、 Trust ゾーンから Untrust ゾーンへのすべてのトラフィックを許可します。

ipv6-vpn-tr-untr ポリシーは、許可されたセキュリティ ポリシーの前に設定する必要があります。Junos OSは、リストの一番上からセキュリティポリシーの検索を実行します。許可ポリシーが ipv6-vpn-tr-untr ポリシーの前にある場合、 Trust ゾーンからのすべてのトラフィックが permit-any ポリシーに一致し、許可されます。そのため、どのトラフィックも ipv6-vpn-tr-untr ポリシーに一致することはありません。

permit-any

  • 一致する条件:

    • source-address any

    • source-destination any

    • application any

  • アクション:permit

表 10: TCP-MSS設定パラメータ

目的

設定パラメータ

TCP-MSSは、TCPスリーウェイ ハンドシェイクの一部としてネゴシエートされ、TCPセグメントの最大サイズをネットワークのMTU制限に適応するよう制限します。IPsecカプセル化のオーバーヘッドと、IPおよびフレームのオーバーヘッドにより、物理インターフェイスのMTUを超えるESPパケットが発生し、フラグメント化が発生する可能性があるため、これはVPNトラフィックにとって特に重要です。フラグメント化は、帯域幅とデバイスリソースの使用増加の原因となります。

MTUが1500以上のイーサネットベース ネットワークでは、ほとんどの場合で1350を開始値としてお勧めします。最適なパフォーマンスを実現するためには、さまざまなTCP-MSS値を試す必要があるかもしれません。たとえば、パス内にMTUが小さいデバイスが存在したり、PPPやフレーム リレーなどの追加オーバーヘッドがあったりすると、値を変更する必要がある場合もあります。

MSS値:1350

設定

基本的なネットワーク、セキュリティゾーンおよびアドレス帳情報の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

基本的なネットワーク、セキュリティゾーン、アドレス帳情報を設定するには、次の手順に従います。

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルートの情報を設定します。

  3. Untrustセキュリティ ゾーンを設定します。

  4. インターフェイスを Untrust セキュリティ ゾーンに割り当てます。

  5. Untrustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  6. Trustセキュリティ ゾーンを設定します。

  7. Trustセキュリティ ゾーンにインターフェイスを割り当てます。

  8. Trustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  9. アドレス帳を作成し、そのアドレス帳にゾーンをアタッチします。

  10. アドレス帳をもう1つ作成し、そのアドレス帳にゾーンをアタッチします。

結果

設定モードから、show interfacesshow routing-optionsshow security zones、およびshow security address-book のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

IKEの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEプロポーザルの認証方法を定義します。

  3. IKEプロポーザルのDiffie-hellmanグループを定義します。

  4. IKEプロポーザルの認証アルゴリズムを定義します。

  5. IKEプロポーザルの暗号化アルゴリズムを定義します。

  6. IKEポリシー1のポリシーを作成します。

  7. IKEフェーズ1ポリシーモードを設定します。

  8. IKEプロポーザルへのリファレンスを指定します。

  9. IKEフェーズ1ポリシー認認証方法を定義します。

  10. IKE フェーズ 1 ゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKEフェーズ1のポリシーリファレンスを定義します。

  12. IKE フェーズ 1 ゲートウェイに IP アドレスを割り当てます。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

IPsecの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のプロポーザルプロトコルを指定します。

  3. IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2のポリシーを作成します。

  6. IPsecフェーズ2のプロポーザルリファレンスを指定します。

  7. IPsecフェーズ2のPFSがDiffie-Hellman group 2を使用するよう指定します。

  8. IKEゲートウェイを指定します。

  9. IPsecフェーズ2ポリシーを指定します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

セキュリティ ポリシーの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

セキュリティ ポリシーを設定するには、次の手順に従います。

  1. Trust ゾーンから Untrust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  2. Untrust ゾーンから Trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  3. Trust ゾーンから Untrust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  4. vpn-tr-untrセキュリティポリシーがallowed-anyセキュリティポリシーの上に配置されるように、セキュリティポリシーの順序を変更します。

結果

設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

TCP-MSSの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

TCP-MSS情報を設定するには、次の手順に従います。

  1. TCP-MSS情報を設定します。

結果

設定モードから、show security flowコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

IKEフェーズ1のステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

検証プロセスを開始する前に、サニーベールのホストからシカゴのホストにトラフィックを送信する必要があります。ポリシーベースのVPNの場合、別のホストがトラフィックを生成する必要があります。SRXシリーズファイアウォールから開始されたトラフィックは、VPNポリシーに一致しません。テスト トラフィックは、VPN の片側にある別のデバイスから VPN の反対側にある別のデバイスに移動することをお勧めします。例えば、2001:db8:3::2/96 から 2001:db8:0::2/96 まで ping を開始します。

動作モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。

意味

show security ike security-associations コマンドは、すべてのアクティブな IKE フェーズ 1 セキュリティー アソシエーション(SA)を一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、各IKE SAに固有のもので、show security ike security-associations index index_number detail コマンドで使用すると、SAの詳細な情報を得ることができます。

  • Remote Address - リモート IP アドレスが正しいかどうかを確認します。

  • State

    • UP - フェーズ1のSAが確立されました。

    • DOWN - フェーズ1のSAの確立に問題がありました。

  • Mode:正しいモードが使用されていることを確認してください。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)

show security ike security-associations index 5 detailコマンドは、インデックス番号5のセキュリティ アソシエーションに関する追加情報を表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • 開始側と応答側のロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

IPsecフェーズ2のステータスの確認

目的

IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • ID番号は2です。この値を show security ipsec security-associations index コマンドと併用して、この特定の SA に関する詳細情報を取得します。

  • ポート500を使用する1つのIPsec SAペアがあり、NATトラバーサルが未実装であることを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな数字の大きいポートを使用します。)

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3597/unlim 値は、フェーズ 2 のライフタイムの期限が 3597 秒であり、ライフサイズが指定されていないことを示しており、ライフタイムが無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効になっている場合、U(アップ)またはD(ダウン)が表示されます。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

show security ipsec security-associations index 2 detailコマンドからの出力には、次の情報が表示されます。

  • ローカルおよびリモートの ID により、SA のプロキシ ID が構成されます。

    プロキシIDの不一致は、フェーズ2の失敗で最もよくある理由の1つです。ポリシーベース VPN の場合、プロキシー ID はセキュリティ ポリシーから取得されます。ローカルアドレスとリモートアドレスはアドレス帳エントリから派生し、サービスはポリシー用に構成されたアプリケーションから派生します。プロキシIDが一致しないためにフェーズ2が失敗した場合は、ポリシーを使用して、設定されているアドレス帳エントリを確認できます。アドレスが送信する情報と一致することを確認します。サービスをチェックして、ポートが送信される情報と一致していることを確認します。

    一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。