Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6 IPsec Vpn

ジュニパーネットワークスは、IPv6 IPsec VPN 用の事前共有鍵構成を使用して、手動および自動キー IKE をサポートします。

IPv6 アドレスのための VPN 機能のサポート

ポイントツーポイントのセキュアトンネルインターフェイスによるルートベースのサイト間 VPN トンネルは、IPv4 イン ipv4、ipv6 イン ipv6、IPv6 イン IPv4、または IPv4 イン IPv6 トンネルモードで動作していますが、そのようなものです。IPv6 アドレスは、外部 IP ヘッダー (トンネルエンドポイントを表す)、または内部 IP ヘッダー (パケットの最終的な送信元と宛先アドレスを表す) に配置できます。

表 1VPN 機能での IPv6 アドレスのサポートを定義します。

表 1: VPN 機能での IPv6 アドレスのサポート

機能

ただし

IKE と IPsec のサポート:

IKEv1 および IKEv2

あり

指定されていない限り、サポートされているすべての機能が IKEv1 および IKEv2 に適用されます。

ルートベース VPN

あり

ポリシーベースの VPN

あり

IPv6 ポリシーベースの Vpn は、シャーシクラスター構成の SRX シリーズデバイスではサポートされていません。Ipv6 ポリシーベースの Vpn は、スタンドアロン SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスで ipv6 イン IPv6 トンネルでのみサポートされています。

サイトツーサイト VPN

あり

1対1のサイトツーサイト VPN のみがサポートされています。多対1、サイトツーサイト VPN (NHTB) はサポートされていません。NHTB 構成は、IPv4 イン IPv4 トンネル以外のトンネルモードに対してコミットできません。

動的エンドポイント VPN

あり

ダイアルアップ VPN

あり

AutoVPN

あり

セキュアトンネルインターフェイスをポイントツーポイントモードで使用する自動 Vpn ネットワークは、トラフィックセレクターおよび IKE ピアの IPv6 アドレスをサポートします。ポイントツーマルチポイントモードの自動 Vpn は、IPv6 トラフィックをサポートしていません。

グループ VPN

なし

ポイントツーポイントトンネルインターフェイス

あり

ポイントツーマルチポイントトンネルインターフェイス

なし

サイトツーサイト Vpn のハブアンドスポークのシナリオ

あり

番号付きで番号なしのトンネルインターフェイス

あり

ユニキャスト静的および動的 (RIP、OSPF、BGP) ルーティング

あり

マルチキャスト動的ルーティング (PIM)

なし

仮想ルーター

あり

論理システム

なし

自動および手動による SA および鍵管理

あり

複数の SPUs

あり

シャーシクラスター

あり

アクティブ/アクティブモードを持つ IPsec VPN は、ルートベースの IPv6 トンネルの SRX300、SRX320、SRX340、SRX345、SRX550HM デバイスでのみサポートされています。アクティブ/アクティブモードでの IPsec VPN は、SRX5400、SRX5600、SRX5800 デバイスではサポートされていません。

統計、ログ、トンネル単位のデバッグ

あり

SNMP MIB

あり

ローカルアドレスの選択

あり

同じアドレスファミリ内の複数のアドレスが、VPN ピアへの物理的な外部インターフェイスで構成されている場合、 local-address [edit security ike gateway gateway-name] 階層レベルでも設定することをお勧めします。

ループバックアドレス終端

あり

Xauth または modecfg for IPv6

なし

SPC 挿入

あり

ISSU

あり

IKE ゲートウェイアドレスとしての DNS 名

あり

IPv4 トンネルと同様に、DNS 名におけるピアゲートウェイアドレスの変更は、IPv6 トンネルではサポートされません。

事前共有キーまたは証明書の認証

あり

IPv4 IKE ピアの NAT トラバーサル (NAT-T)

あり

NAT-T は、IKEv1 付き IPv6 in ipv4 および IPv4 イン IPv4 トンネルモードでのみサポートされています。Ipv6 イン IPv6 および IPv4/IPv6 トンネルモードはサポートされていません。IKEv2 は NAT-T ではサポートされていません。IPv6 から IPv4 への NAT-T または IPv4 から IPv6 への対応はサポートされていません。

Dead ピア検出 (DPD) および DPD ゲートウェイフェイルオーバー

あり

DPD ゲートウェイのフェイルオーバーは、同じシリーズ内の異なるゲートウェイアドレスでのみサポートされています。IPv6 ゲートウェイアドレスから IPv4 ゲートウェイアドレスへのフェイルオーバー、またはその逆は、サポートされていません。

Junos OS のリリース 12.1 X45 でサポートされている暗号化セット、認証アルゴリズム、および DH グループ SRX シリーズデバイス用。

あり

IPv6 および IPv4 の一般的な提案とポリシー

あり

一般 IKE ID

あり

ESP および AH トランスポートモード

なし

IPv4 では、これらのモードはサポートされていません。

ESP および AH トンネルモード

あり

可変の拡張ヘッダーおよびオプションを備えた AH トンネルモードはサポートされていません。

拡張シーケンス番号

なし

単一プロキシ ID ペア

あり

複数のトラフィックセレクターペア

あり

、IKEv1 のみでサポートされています。

IKE または IPsec SA の有効期間 (秒)

あり

IKE SA の寿命 (キロバイト)

あり

VPN 監視

なし

IPv6 トンネルを使用した構成はコミットできません。

DF ビット

あり

IPv6 イン IPv6 トンネルの場合、DF ビットが設定されるのは、[edit security ipsec vpn vpn-name] 階層レベルで設定されている場合に限られます。df-bit clearデフォルトです。

単一の物理インターフェイスを介したデュアルスタック (パラレル IPv4 および IPv6 トンネル)

あり

ルートベースのサイトツーサイト Vpn に対応します。1つの IPv4 トンネルで ipv4/ipv4 および IPv6 イン IPv4 トンネルモードを動作させることができ、単一の IPv6 トンネルは IPv4/ipv6 と ipv6 イン IPv6 トンネルモードの両方で動作できます。

IPv6 拡張ヘッダー

あり

IPv6 拡張ヘッダーと IKE と IPsec パケット用の IPv4 オプションは受け入れられますが、処理は行われません。可変の EHs とオプションを備えた AH は、サポートされていません。

フラグメンテーションと再構築

あり

VPN セッションアフィニティ

あり

マルチキャストトラフィック

なし

トンネル IP サービス (画面、NAT、ALG、IPS、AppSecure)

あり

トンネル経由の IPv6 フラグメントでのパケットの並べ替え

なし

St0 インターフェイス上の OSPFv3 ルート経由の双方向フォワーディング検知 (BFD)

なし

St0 インターフェイスを介した近傍検索プロトコル (NDP)

なし

PKI のサポート:

仮想ルーター内の PKI

あり

RSA 署名認証 (512、1024、2048、または4096ビットのキーサイズ)

あり

DSA 署名認証 (1024、2048、または4096ビットのキーサイズ)

あり

ECDSA シグネチャ

あり

証明書チェーンの認証

なし

IPv4 経由の自動または手動登録

あり

IPv4 での自動または手動失効

あり

IPv6 経由の自動または手動登録

なし

IPv6 での自動または手動失効

なし

PKI 証明書フィールド内の IPv6 アドレス

なし

IPv6 IKE と IPsec パケット処理について

このトピックは、以下のセクションで構成されています。

IPv6 IKE パケット処理

インターネット鍵交換 (IKE) は、IPsec プロトコルスイートの一部となっています。これにより、2つのトンネルエンドポイントでセキュリティーアソシエーション (Sa) を自動的に設定し、秘密鍵を相互にネゴシエートできます。セキュリティのパラメーターを手動で設定する必要はありません。IKE は、通信相手に対しても認証を提供します。

IPv6 ネットワークにおける IKE パケット処理には、以下の要素が含まれます。

  • インターネットセキュリティーアソシエーションおよびキー管理プロトコル (ISAKMP) 識別ペイロード

    ISAKMP 識別ペイロードは、通信している IPv6 ピアを識別して認証するために使用されます。IPv6 では、2つの ID タイプ (ID_IPV6_ADDR と ID_IPV6_ADDR_SUBNET) が有効になっています。ID タイプは、使用する id のタイプを示します。ID_IPV6_ADDR タイプは、1つの16オクテットの IPv6 アドレスを指定します。この ID タイプは、IPv6 アドレスを表します。ID_IPV6_ADDR_SUBNET タイプは、2 16 オクテットの値で表される IPv6 アドレスの範囲を指定します。この ID タイプは、IPv6 ネットワークマスクを表します。表 2は、id のペイロードに割り当てられている番号のタイプとその値をリストします。

    表 2: ISAKMP ID タイプとその値

    ID タイプ

    金額

    0

    ID_IPV4_ADDR

    1

    ID_FQDN

    2

    ID_USER_FQDN

    3

    ID_IPV4_ADDR_SUBNET

    4

    ID_IPV6_ADDR

    5

    ID_IPV6_ADDR_SUBNET

    6

    ID_IPV4_ADDR_RANGE

    7

    ID_IPV6_ADDR_RANGE

    8

    ID_DER_ASN1_DN

    9

    ID_DER_ASN1_GN

    10

    ID_KEY_ID

    11

    ID_LIST

    12

    ID_IPV6_ADDR_RANGE タイプは、2 16 オクテットの値で表される IPv6 アドレスの範囲を指定します。最初のオクテット値は開始 IPv6 アドレスを表し、2つ目のオクテット値は範囲内の終了 IPv6 アドレスを表します。最初と最後の IPv6 アドレスの間にあるすべての IPv6 アドレスは、リストの一部と見なされます。

    ISAKMP 識別ペイロード内の2つの ID タイプ (ID_IPV6_ADDR_RANGE および ID_IPV4_ADDR_RANGE) は、このリリースではサポートされていません。

  • プロキシー ID

    プロキシ ID は IKE ネゴシエーションのフェーズ2で使用されます。IPsec トンネルを確立する前に生成されます。プロキシ ID によって、VPN に使用する SA が識別されます。ローカルとリモートの 2 つのプロキシ ID が生成されます。ローカルプロキシ ID は、ローカル IPv4 または IPv6 アドレス/ネットワークとサブネットマスクを示します。リモートプロキシ ID は、リモート IPv4 または IPv6 アドレス/ネットワークとサブネットマスクを示します。

  • セキュリティーアソシエーション

    SA は、セキュアな通信をサポートする VPN の参加者間の取り決めです。SA は、SPI(セキュリティ パラメーター インデックス)、宛先 IPv6 アドレス、セキュリティ プロトコル(AH または ESP)の 3 つのパラメーターに基づいて差別化されています。SPI は SA に割り当てられた一意の値で、複数の Sa の間で SA を識別するのに便利です。IPv6 パケットでは、外側の IPv6 ヘッダー内の宛先アドレスから SA が特定され、セキュリティプロトコルが AH ヘッダーまたは ESP header のいずれかから識別しています。

IPv6 IPsec パケット処理

IKE ネゴシエーションが完了し、2つの IKE ゲートウェイがフェーズ1およびフェーズ 2 Sa を確立した後、ipv6 IPsec は認証と暗号化の技術を採用して IPv6 パケットを保護します。IPv6 アドレスは IPv4 アドレスに比べて128ビット長 (32 ビット長) であるため、IPv6 IPsec パケット処理にはより多くのリソースが必要になります。

トンネル経由での IPv6 フラグメントのパケットの並べ替えはサポートされていません。

IPv6 アドレスが指定されたデバイスは、フラグメンテーションを実行しません。IPv6 ホストは、パス MTU 探索を実行するか、IPv6 最小 MTU サイズ1280バイトよりも小さいパケットを送信する必要があります。

このトピックは、以下のセクションで構成されています。

IPv6 の AH プロトコル

AH プロトコルは、IPv6 パケットのデータ整合性とデータ認証を提供します。IPv6 IPsec は、IPv6 データグラム内で特定の方法で整列させる必要がある、拡張ヘッダー (ホップ単位やルーティングオプションなど) を使用します。AH トンネルモードでは、AH ヘッダーは IPv4 AH トンネルモードの場合と同様に、新しい外側の IPv6 ヘッダーのすぐ後に続きます。拡張ヘッダーは、元の内部ヘッダーの後に配置されます。そのため、AH トンネルモードでは、パケット全体をカプセル化するために、新しい外側の IPv6 ヘッダー、その後に、認証ヘッダー、内部ヘッダー、拡張ヘッダー、および元のデータグラムの残り図 1の部分が追加されます。

図 1: IPv6 AH トンネルモードIPv6 AH トンネルモード

ESP とは異なり、AH 認証アルゴリズムは、外部ヘッダーと、新しい拡張ヘッダーおよびオプションを網羅しています。

SRX シリーズデバイスの AH トンネルモードは、IPv4 の変更可能オプションまたは IPv6 の変更可能な拡張ヘッダーをサポートしていません。参照表 3してください。

IPv6 の ESP プロトコル

ESP プロトコルは、IPv6 パケットの暗号化と認証の両方を提供します。Ipv6 IPsec は、IPv6 データグラムで拡張ヘッダー (たとえばホップバイホップおよびルーティングオプション) を使用するため、IPv6 ESP トンネルモードと IPv4 ESP トンネルモードの最も重要な違いは、パケットレイアウトに拡張ヘッダーを配置することです。ESP トンネルモードでは、ESP ヘッダーは IPv4 ESP トンネルモードの場合と同様に、新しい外部 IPv6 ヘッダーの直後に続きます。そのため、ESP トンネルモードでは、パケット全体をカプセル化するには、新しい外側の IPv6 ヘッダー、その後に、ESP ヘッダー、内部ヘッダー、拡張ヘッダー、および元のデータグラムの残り図 2の部分を追加します。

図 2: IPv6 ESP トンネルモードIPv6 ESP トンネルモード

IPv4 オプションと IPv6 拡張ヘッダー (AH と ESP を含む)

IPv4 オプションまたは IPv6 拡張ヘッダーを使用した IPsec パケットは、SRX シリーズデバイスのカプセル化解除で受信できます。表 3は SRX シリーズデバイス上の ESP または AH プロトコルでサポートされている IPv4 オプションまたは IPv6 拡張ヘッダーを示しています。サポートされていない IPsec パケットを受信した場合、ICV の計算は失敗し、パケットはドロップされます。

表 3: IPv4 オプションまたは IPv6 拡張ヘッダーのサポート

オプションまたは拡張ヘッダー

SRX300、SRX320、SRX340、SRX345、SRX550HM デバイス

SRX5400、SRX5600、SRX5800 デバイス

IPv4 オプションを使用した ESP

IPv6 拡張ヘッダーを使用した ESP

IPv4 の不変オプションを使用した AH

IPv6 の不変の拡張ヘッダーを使用した AH

IPv4 の変更可能なオプションを備えた AH

対応していない

対応していない

IPv6 の可変拡張ヘッダーを備えた AH

対応していない

対応していない

IPv6 での整合性チェック値の計算

AH プロトコルは、パケットの内容について整合性チェック値 (ICV) を計算することで、IPv6 パケットの完全性を検証します。通常、ICV は MD5 や SHA-1 などの認証アルゴリズムで構築されています。IPv6 I多対 3 の計算は、2 つのヘッダー フィールド(可変ヘッダーとオプションの拡張ヘッダー)の観点から IPv4 の計算とは異なります。

送信中の IPv6 ヘッダーフィールドまたはトンネルエンドポイントに到着したときに予想される予測可能な値である AH ICV を計算できます。Ah ヘッダーと上位レベルのプロトコルデータを使用して AH ICV を計算することもできます (転送中の不変と見なされます)。IPv6 パケット全体を通して ESP ICV を計算することができます。これにより、新しい外側の IPv6 ヘッダーとオプションの拡張ヘッダーは除外されます。

IPv4 とは異なり、IPv6 には転送中の変更可能なオプションをタグ付けする方法が用意されています。IPv6 オプションの拡張ヘッダーには、可能性を示すフラグが含まれています。このフラグによって、適切な処理が決定されます。

IPv4 の可変オプションと IPv6 拡張ヘッダーは、AH プロトコルではサポートされていません。

トンネルモードでのヘッダーの構築

トンネルモードでは、外側の IPv4 または IPv6 ヘッダーの送信元および宛先アドレスはトンネルエンドポイントを表し、内部 IPv4 または IPv6 ヘッダーの送信元と宛先アドレスは最終的な送信元と宛先のアドレスを表します。表 4外側の ipv6 ヘッダーが ipv6/ipv6 または ipv4 イン ipv6 トンネルモードの内側の ipv6 または ipv4 ヘッダーにどのように関連しているかをまとめています。外部ヘッダー フィールドでは、「構築」とは、外部ヘッダー フィールドの値が内部ヘッダー フィールドの値とは独立して構築されるという意味です。

表 4: Ipv6 イン IPv6 および IPv4 イン ipv6 トンネルモードのための IPv6 ヘッダー構築

ヘッダーフィールド

Encapsulator の外部ヘッダー

Decapsulator の内部ヘッダー

バージョン

6.

変更はありません。

DS フィールド

内部ヘッダーからコピーされます。

変更はありません。

ECN フィールド

内部ヘッダーからコピーされます。

建造.

フローラベル

0.

変更はありません。

ペイロードの長さ

建造.

変更はありません。

次のヘッダー

AH、ESP、ルーティングヘッダーです。

変更はありません。

ホップ制限

64.

分.

src アドレス

建造.

変更はありません。

宛先アドレス

建造.

変更はありません。

拡張ヘッダー

コピーされません。

変更はありません。

表 5外側の IPv4 ヘッダーが、IPv6 イン IPv4 または IPv4/ipv4 トンネルモードの内部 IPv6 または IPv4 ヘッダーとどのように関連しているかをまとめています。外部ヘッダー フィールドでは、「構築」とは、外部ヘッダー フィールドの値が内部ヘッダー フィールドの値とは独立して構築されるという意味です。

表 5: IPv6 イン IPv4 および ipv4/ipv4 トンネルモード向け IPv4 ヘッダー構築

ヘッダーフィールド

外側のヘッダー

内部ヘッダー

バージョン

4.

変更はありません。

ヘッダーの長さ

建造.

変更はありません。

DS フィールド

内部ヘッダーからコピーされます。

変更はありません。

ECN フィールド

内部ヘッダーからコピーされます。

建造.

全長

建造.

変更はありません。

ID

建造.

変更はありません。

フラグ (DF、MF)

建造.

変更はありません。

フラグメントオフセット

建造.

変更はありません。

消滅

64.

分.

protocol

AH、ESP

変更はありません。

検査

建造.

建造.

src アドレス

建造.

変更はありません。

宛先アドレス

建造.

変更はありません。

オプション

コピーされません。

変更はありません。

IPv6-in-IPv4トンネル モードでは、デフォルトで DF(フラグメント化のしない)ビットがクリアされます。df-bit setまたはdf-bit copyオプションが、対応する ipv4 VPNedit security ipsec vpn vpn-nameの [] 階層レベルで設定されている場合は、外部 IPv4 ヘッダーに DF ビットが設定されます。

IPv4 in ipv4 トンネルモードでは、外側 IPv4 ヘッダー内の DF ビットは、内部 IPv4 ヘッダー用df-bitに構成されたオプションに基づいています。IPv4 df-bitヘッダー用に構成されていない場合は、外側の ipv4 ヘッダーで DF ビットが消去されます。

IPv6 IPsec 構成の概要

ジュニパーネットワークスは、IPv6 IPsec VPN 用の事前共有鍵構成を使用して、手動および自動キー IKE をサポートします。

  • 手動 VPN :手動 VPN 設定では、手動鍵メカニズムを使用して、トンネル エンドポイント上で秘密鍵と SA(セキュリティ アソシエーション)を手動で設定します。IPv6 IPsec手動VPNを作成するには、次の例を参照 してください。IPv6 IPsec の手動 VPNを構成します。

  • AutoKey IKE VPN — autoKey IKE VPN 設定では、autoKey アクセス メカニズムを使用してシークレット キーと SA がIKEされます。IPv6 autoKey IKE VPN を設定するには、フェーズ 1 とフェーズ 2 のネゴシエーションの 2 つのフェーズが必要です。

    • フェーズ 1 — このフェーズでは、参加者が IPsec SAS をネゴシエートするためのセキュアなチャネルを確立します。

    • フェーズ 2 — このフェーズでは、参加者は IPv6 データ パケットを認証および暗号化するために IPsec SA をネゴシエートします。

    フェーズ 1 およびフェーズ 2 ネゴシエーションの詳細については、 を参照 インターネット鍵交換

例:IPv6 IPsec の手動 VPN の構成

この例は、IPv6 IPsec の手動 VPN を構成する方法を示しています。

要件

開始する前に:

概要

手動 VPN 構成では、2つの IPsec エンドポイントでシークレットキーが手動で構成されています。

この例では、次のことを行います。

  • VPN という名前の sunnyvale を使用して、認証パラメーターを構成します。

  • Vpn の sunnyvale の暗号化パラメーターを構成します。

  • SA のアウトゴーイングインターフェイスを指定します。

  • ピアの IPv6 アドレスを指定します。

  • IPsec プロトコルを定義します。構成に認証と暗号化の両方が含まれるため、ESP プロトコルを選択します。

  • セキュリティーパラメータインデックス (SPI) を設定します。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

セキュリティーアルゴリズムを設定するには、次のようにします。

  1. 認証パラメーターを構成します。

  2. 暗号化のパラメーターを構成します。

  3. SA のアウトゴーイングインターフェイスを指定します。

  4. ピアの IPv6 アドレスを指定します。

  5. IPsec プロトコルを定義します。

  6. SPI を設定します。

結果

設定モードから、 show security ipsec vpn vpn-sunnyvaleコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

セキュリティアルゴリズムの検証

目的

セキュリティアルゴリズムが適用されているかどうかを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。

例:IPv6 の自動キー IKE ポリシーベースの VPN の構成

この例では、ipv6 データを支社オフィスと本社オフィスの間でセキュアに安全に転送できるように、ポリシーベースの IPv6 AutoKey IKE VPN を構成する方法を示しています。

IPv6 ポリシーベースの Vpn は、スタンドアロン SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでのみサポートされています。

要件

この例では、以下のハードウェアを使用しています。

  • SRX300 デバイス

開始する前に:

概要

この例では、トンネルリソースを節約したり、トンネルを通過するトラフィックをフィルタリングするために多くのセキュリティポリシーを設定したりする必要がないため、シカゴ、イリノイ州の支社に IPv6 IKE ポリシーベースの VPN を構成します。シカゴ支店のユーザーは、カリフォルニア州 Sunnyvale で本社に接続するために VPN を使用します。

図 3は、IPv6 IKE ポリシーベースの VPN トポロジの例を示しています。このトポロジでは、1つの SRX シリーズデバイスを Sunnyvale に配置し、別の SRX シリーズデバイス (これは2つ目の SRX シリーズデバイスまたはサードパーティー製デバイス) をシカゴに設置しています。

図 3: IPv6 IKE ポリシーベースの VPN トポロジIPv6 IKE ポリシーベースの VPN トポロジ

この例では、インターフェイス、IPv6 のデフォルトルート、セキュリティゾーン、アドレスブックを構成します。次に、IKE フェーズ1、IPsec フェーズ2、セキュリティポリシー、TCP MSS パラメーターを設定します。表 6をご覧表 10ください。

表 6: インターフェイス、セキュリティゾーン、アドレス帳の情報

機能

名前

構成パラメーター

インターフェイス

ge-0/0/14.0

2001:db8:1:1::/64

 

ge-0/0/15.0

2001:db8:0:4::/64

セキュリティ ゾーン

トラスト

  • すべてのシステムサービスが許可されます。

  • このゾーンには、ge-0/0/14.0 インターフェイスがバインドされています。

 

untrust

  • 許可されている唯一のシステムサービスは IKE です。

  • このゾーンには、ge-0/0/15.0 インターフェイスがバインドされています。

アドレス帳のエントリ

sunnyvale

  • このアドレスは、trustゾーンのアドレスブック用です。

  • このアドレス帳のエントリのアドレスは2001年: db8: 1: 2::/64 です。

 

chicago

  • このアドレスは Untrust ゾーンのアドレス帳用です。

  • このアドレス帳エントリのアドレスは2001年: db8: 0: 1::/64 です。

表 7: IPv6 IKE の第1段階の構成パラメーター

機能

名前

構成パラメーター

提案

ipv6-ike-phase1-proposal

  • 認証方法: 事前共有キー

  • Diffie-hellman グループ: group2

  • 認証アルゴリズム: sha1

  • 暗号化アルゴリズム: aes-128-cbc

ポリシー

ipv6-ike-phase1-policy

  • モード態勢

  • 提案の参考資料: ipv6-ike-phase1-proposal

  • IKE フェーズ1ポリシー認証方法: 事前共有鍵の ascii テキスト

活用

gw-シカゴ

  • IKE ポリシーのリファレンス: ipv6-ike-phase1-policy

  • 外部インターフェイス: ge-0/0/15.0

  • ゲートウェイアドレス: 2001:db8:0:3::/64

表 8: IPv6 IPsec フェーズ2構成パラメーター

機能

名前

構成パラメーター

提案

ipv6-ipsec-phase2-proposal

  • Protocol esp

  • 認証アルゴリズム: hmac-sha1-96

  • 暗号化アルゴリズム: aes-128-cbc

ポリシー

ipv6-ipsec-phase2-policy

  • 提案の参考資料: ipv6-ipsec-phase2-proposal

  • PF Diffie-hellman group2

VPN

ipv6-ike-vpn-chicago

  • IKE ゲートウェイリファレンス: gw-シカゴ

  • IPsec ポリシー参照: ipv6-ipsec-phase2-policy

表 9: セキュリティポリシーの構成パラメーター

目的

名前

構成パラメーター

このセキュリティーポリシーにより、信頼ゾーンから untrust ゾーンへのトラフィックが許可されます。

ipv6-vpn-tr-untr

  • 条件の一致:

    • 発信元アドレス sunnyvale

    • 宛先/住所シカゴ

    • アプリケーション

  • 許可アクション: トンネル ipsec-vpn ipv6-ike-vpn-シカゴ

  • 許可アクション: トンネルペア-ポリシーの ipv6-vpn-ダウンダウン-tr

このセキュリティーポリシーは、untrust ゾーンからトラストゾーンへのトラフィックを許可します。

ipv6-vpn-untr-tr

  • 条件の一致:

    • 送信元/アドレスシカゴ

    • 宛先アドレス sunnyvale

    • アプリケーション

  • 許可アクション: トンネル ipsec-vpn ipv6-ike-vpn-シカゴ

  • 許可アクション: トンネルペア-ポリシー ipv6-vpn-tr-ダウン

このセキュリティポリシーにより、信頼ゾーンから非信頼ゾーンへのすべてのトラフィックが許可されます。

すべてのセキュリティポリシーを許可する前に、ipv6 vpn-tr-untr ポリシーを適用する必要があります。Junos OS は、リストの先頭からセキュリティポリシーのルックアップを実行します。許可-任意のポリシーが ipv6-vpn-tr-untr ポリシーよりも前になっている場合、trust zone からのすべてのトラフィックが許可-ポリシーに一致し、許可されます。したがって、どのトラフィックも、ipv6-vpn-tr-tr ポリシーに一致しません。

許可-any

  • 条件の一致:

    • 送信元アドレス

    • 送信元/宛先

    • アプリケーション

  • 対応許可

表 10: TCP MSS 構成パラメーター

目的

構成パラメーター

Tcp MSS は TCP スリーウェイハンドシェイクの一部としてネゴシエートされ、tcp セグメントの最大サイズを制限して、ネットワークの MTU の制限に合わせます。これは VPN トラフィックにとって特に重要なことで、IPsec カプセル化のオーバーヘッドと IP とフレームのオーバーヘッドが原因で、ESP パケットが物理インターフェイスの MTU を超えて断片化が発生する可能性があります。断片化が発生すると、帯域幅とデバイスリソースの使用率が向上します。

1500以上の MTU を使用するほとんどのイーサネットベースのネットワークの出発点として、1350の価値をお勧めします。パフォーマンスを最適化するには、さまざまな TCP MSS 値を試してみる必要があるかもしれません。たとえば、パス内のいずれかのデバイスに低い MTU がある場合、または PPP やフレームリレーなど追加のオーバーヘッドがある場合は、値を変更する必要があるかもしれません。

MSS 値: 1350

構成

基本的なネットワーク、セキュリティゾーン、アドレス帳情報の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

基本的なネットワーク、セキュリティーゾーン、アドレスブックの情報を構成するには、次の手順に従います。

  1. イーサネットインターフェイス情報を構成します。

  2. 静的なルート情報を構成します。

  3. 信頼できないセキュリティゾーンを構成します。

  4. インターフェイスを信頼されていないセキュリティゾーンに割り当てます。

  5. 許可されていないシステムサービスを指定するには、untrust セキュリティーゾーンを使用します。

  6. 信頼セキュリティゾーンを構成します。

  7. インターフェイスを信頼セキュリティゾーンに割り当てます。

  8. 許可されたシステムサービスを信頼セキュリティーゾーンに指定します。

  9. アドレスブックを作成し、ゾーンを関連付けます。

  10. 別のアドレスブックを作成し、ゾーンを接続します。

結果

構成モードからshow interfaces、、、 show routing-optionsshow security zones、およびshow security address-bookコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

IKE の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

IKE を設定するには

  1. IKE フェーズ1の提案を作成します。

  2. IKE 提案認証方法を定義します。

  3. IKE 提案の Diffie-hellman グループを定義します。

  4. IKE 提案認証アルゴリズムを定義します。

  5. IKE 提案の暗号化アルゴリズムを定義します。

  6. IKE フェーズ1ポリシーを作成します。

  7. IKE フェーズ1ポリシーモードを設定します。

  8. IKE 案への参照を指定します。

  9. IKE フェーズ1ポリシーの認証方法を定義します。

  10. IKE Phase 1 ゲートウェイを作成し、外部インターフェイスを定義します。

  11. IKE フェーズ1ポリシーのリファレンスを定義します。

  12. IP アドレスを IKE フェーズ1ゲートウェイに割り当てます。

結果

設定モードから、 show security ikeコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

IPsec の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

IPsec を構成するには

  1. IPsec フェーズ2案を作成します。

  2. IPsec フェーズ2提案プロトコルを指定します。

  3. IPsec フェーズ2提案認証アルゴリズムを指定します。

  4. IPsec フェーズ2提案の暗号化アルゴリズムを指定します。

  5. IPsec フェーズ2ポリシーを作成します。

  6. IPsec フェーズ2提案の参照を指定します。

  7. Diffie-hellman グループ2を使用するように、IPsec フェーズ 2 PFS を指定します。

  8. IKE ゲートウェイを指定します。

  9. IPsec フェーズ2ポリシーを指定します。

結果

設定モードから、 show security ipsecコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

セキュリティポリシーの設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

セキュリティーポリシーを設定するには、次のようにします。

  1. セキュリティポリシーを作成して、信頼ゾーンから untrust ゾーンへのトラフィックを許可します。

  2. セキュリティーポリシーを作成して、untrust ゾーンからトラストゾーンへのトラフィックを許可します。

  3. セキュリティポリシーを作成して、信頼ゾーンから untrust ゾーンへのトラフィックを許可します。

  4. セキュリティポリシーの順序を変更して、vpn の tr-tr-ダウンしていない security policy が許可-すべてのセキュリティポリシーの上に配置されるようにします。

結果

設定モードから、 show security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

TCP MSS の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

TCP MSS 情報を構成するには、次のようにします。

  1. TCP MSS 情報を構成します。

結果

設定モードから、 show security flowコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

IKE フェーズ1のステータスを確認します。

目的

IKE フェーズ1のステータスを確認します。

アクション

検証プロセスを開始する前に、Sunnyvale のホストからシカゴのホストにトラフィックを送信する必要があります。ポリシーベースの Vpn では、独立したホストがトラフィックを生成する必要があります。SRX シリーズデバイスから開始されたトラフィックは VPN ポリシーと一致しません。テストトラフィックは、VPN の片側の別のデバイスから VPN の他方の側の2番目のデバイスに送信することをお勧めします。たとえば、2001年から ping を開始します: db8: 1: 2::/64 から 2001: db8: 0: 1::/64。

動作モードから、 show security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detailコマンドを使用します。

このshow security ike security-associationsコマンドは、アクティブなすべての IKE フェーズ1セキュリティーアソシエーション (sa) をリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。

Sa が表示されている場合は、以下の情報を確認します。

  • インデックス — この値は SA の各IKE一意です。SA に関する詳しい情報を取得するために コマンド show security ike security-associations index index_number detail で使用できます。

  • リモート アドレス —リモート IP アドレスが正しいか検証します。

  • 都道府県

    • UP — フェーズ 1 SA が確立されています。

    • ダウン — フェーズ 1 SA の確立に問題が発生しました。

  • モード — 正しいモードが使用されていることを検証します。

構成において以下のことが正しいことを確認します。

  • 外部インターフェイス (インターフェイスは、IKE パケットを受信するものである必要があります)

  • IKE ポリシーパラメーター

  • 事前共有鍵情報

  • フェーズ1の提案パラメーター (両方のピアで一致する必要があります)

このshow security ike security-associations index 5 detailコマンドは、次のように、インデックス番号5のセキュリティアソシエーションに関する追加情報をリストします。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ1の有効期間

  • トラフィック統計 (トラフィックが双方向で正しく流れることを確認するために使用できます)

  • 開始側/応答側ロール情報

    トラブルシューティングは、応答側ロールを使用してピア上で実行することをお勧めします。

  • 作成された IPsec Sa の数

  • 進行中のフェーズ2ネゴシエーション数

IPsec フェーズ2の状態を確認しています

目的

IPsec フェーズ2のステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detailコマンドを使用します。

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • ID 番号は2です。この値をコマンドとshow security ipsec security-associations indexともに使用して、この特定の SA に関する詳細情報を取得します。

  • 1つの IPsec SA ペアがポート500を使用しているため、NAT トラバーサルが実装されていないことを示しています。(NAT トラバースでは、ポート4500またはその他のランダムな乱数ポートが使用します。

  • 両方の方向について、Spi、有効期限 (秒)、使用制限 (KB 単位) が表示されます。3597/lim 値は、フェーズ2の有効期間が3597秒以内に有効期限切れになり、lifesize が指定されていないことを示します。これは有効期間が無制限であることを示します。フェーズ2は、VPN が稼働している段階1に依存していないため、フェーズ1のライフタイムとは異なる可能性があります。

  • 月曜日列にハイフンが記載されているため、この SA に対して VPN 監視が有効になっていません。VPN 監視が有効になっている場合は、U (up) または D (down) が表示されます。

  • 仮想システム (vsys) はルートシステムであり、常に0をリストします。

show security ipsec security-associations index 2 detailコマンドからの出力には、以下の情報が表示されます。

  • ローカルおよびリモートのアイデンティティは SA のプロキシ ID を構成します。

    Proxy ID の不一致は、フェーズ2障害の最も一般的な理由の1つです。ポリシーベースの Vpn については、プロキシ ID はセキュリティポリシーから派生しています。ローカルおよびリモートアドレスはアドレス帳のエントリから派生しており、サービスはそのポリシー用に設定されたアプリケーションから派生しています。Proxy ID の不一致が原因でフェーズ2が失敗した場合は、ポリシーを使用して、どのアドレス帳エントリを構成するかを確認できます。アドレスが送信した情報と一致していることを確認します。サービスをチェックして、ポートが送信されている情報と一致していることを確認します。

    一部のサードパーティーベンダーでは、プロキシ ID を手動で入力して照合する必要があります。