Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6 IPsec VPN

ジュニパーネットワークスは、IPv6 IPsec VPN の事前共有鍵設定を使用した手動および自動キー IKE をサポートしています。

IPv6 アドレスの VPN 機能のサポート

ポイントツーポイントセキュアトンネルインターフェイスを備えたルートベースのサイトツーサイトVPNトンネルは、IPv4-in-IPv4、IPv6-in-IPv6、IPv6-in-IPv4、またはIPv4-in-IPv6トンネルモードで動作します。IPv6 アドレスは、外部 IP ヘッダー(トンネル エンドポイントを表す)または内部 IP ヘッダー(パケットの最終的な送信元アドレスと宛先アドレスを表す)に含めることができます。

表 1 は、VPN 機能における IPv6 アドレスのサポートを定義します。

表 1: VPN 機能における IPv6 アドレスのサポート

特長

対応

例外

IKEおよびIPsecのサポート:

IKEv1 および IKEv2

指定されていない限り、サポートされるすべての機能が IKEv1 および IKEv2 に適用されます。

ルートベース VPN

ポリシーベース VPN

IPv6 ポリシーベース VPN は、シャーシ クラスタ設定の SRX シリーズ デバイスではサポートされていません。IPv6 ポリシーベース VPN は、スタンドアロン SRX300、SRX320、SRX340、SRX345、SRX550HM デバイス上の IPv6-in-IPv6 トンネルでのみサポートされます。

サイトツーサイト VPN

サポートされているのは 1 対 1 のサイトツーサイト VPN のみです。多対 1 のサイトツーサイト VPN(NHTB)はサポートされていません。IPv4-in-IPv4 トンネル以外のトンネル モードでは、NHTB 設定をコミットできません。

動的エンドポイント VPN

ダイヤルアップ VPN

AutoVPN

ポイントツーポイント モードでセキュア トンネル インターフェイスを使用する AutoVPN ネットワークは、トラフィック セレクターと IKE ピアの IPv6 アドレスをサポートします。ポイントツーマルチポイント モードの AutoVPN は、IPv6 トラフィックをサポートしていません。

グループ VPN

×

ポイントツーポイント トンネル インターフェイス

ポイントツーマルチポイント トンネル インターフェイス

×

サイトツーサイト VPN のハブアンドスポークシナリオ

番号付きトンネル インターフェイスと番号なしトンネル インターフェイス

ユニキャストスタティックおよびダイナミック(RIP、OSPF、BGP)ルーティング

PIM(マルチキャスト ダイナミック ルーティング)

×

仮想ルーター

論理システム

×

SA と鍵の自動管理と手動管理

複数の SPU

シャーシ クラスタ

アクティブ/アクティブ モードの IPsec VPN は、ルートベースの IPv6 トンネルの SRX300、SRX320、SRX340、SRX345、SRX550HM デバイスでのみサポートされます。アクティブ/アクティブ モードの IPsec VPN は、SRX5400、SRX5600、SRX5800 のデバイスではサポートされていません。

統計、ログ、トンネルごとのデバッグ

SNMP MIB

ローカル アドレスの選択

同じアドレス ファミリー内の複数のアドレスが物理外部インターフェイス上で VPN ピアに設定されている場合は、[] 階層レベルでもedit security ike gateway gateway-name設定local-addressすることをお勧めします。

ループバック アドレス終端

IPv6 上の Xauth または modecfg

×

SPC チップ

ISSU

IKE ゲートウェイ アドレスとしての DNS 名

IPv4 トンネルと同様に、ピア ゲートウェイ アドレスの DNS 名の変更は、IPv6 トンネルではサポートされていません。

事前共有鍵または証明書認証

IPv4 IKE ピアの NAT トラバーサル(NAT-T)

NAT-T は、IKEv1 を使用した IPv6-in-IPv4 および IPv4-in-IPv4 トンネル モードでのみサポートされます。IPv6-in-IPv6 および IPv4-in-IPv6 トンネル モードはサポートされていません。IKEv2 は NAT-T ではサポートされていません。IPv6 から IPv4、または IPv4 から IPv6 への NAT-T はサポートされていません。

デッドピア検出(DPD)およびDPDゲートウェイフェイルオーバー

DPD ゲートウェイ フェイルオーバーは、同じファミリー内の異なるゲートウェイ アドレスでのみサポートされます。IPv6 ゲートウェイ アドレスから IPv4 ゲートウェイ アドレスへのフェイルオーバー(またはその逆)はサポートされていません。

SRX シリーズ デバイスの Junos OS リリース 12.1X45-D10 リリースでサポートされている暗号化セット、認証アルゴリズム、DH グループ。

IPv6 および IPv4 の一般的なプロポーザルとポリシー

一般的な IKE ID

ESP および AH トランスポート モード

×

これらのモードは IPv4 ではサポートされていません。

ESP および AH トンネル モード

可変拡張ヘッダーとオプションを使用した AH トンネル モードはサポートされていません。

拡張シーケンス番号

×

単一プロキシー ID ペア

複数のトラフィック セレクター ペア

IKEv1 でのみサポートされます。

IKE または IPsec SA のライフタイム(秒単位)

IKE SA のライフタイム(キロバイト)

VPN 監視

×

IPv6 トンネルを使用した設定はコミットできません。

DF ビット

IPv6-in-IPv6 トンネルの場合、DF ビットは [edit security ipsec vpn vpn-name] 階層レベル df-bit clear で設定されている場合にのみ設定されます。 がデフォルトです。

単一の物理インターフェイス上のデュアルスタック(パラレルIPv4およびIPv6トンネル)

ルートベースのサイトツーサイト VPN の場合。単一の IPv4 トンネルは、IPv4-in-IPv4 および IPv6-in-IPv4 トンネル モードの両方で動作し、単一の IPv6 トンネルを IPv4-in-IPv6 および IPv6-in-IPv6 トンネル モードの両方で動作させることができます。

IPv6 拡張ヘッダー

IKE および IPsec パケットの IPv6 拡張ヘッダーと IPv4 オプションは受け入れられますが、処理されません。可変の EHs とオプションを持つ AH はサポートされていません。

フラグメント化と再構築

VPN セッション アフィニティ

マルチキャスト トラフィック

×

トンネル IP サービス(スクリーン、NAT、ALG、IPS、AppSecure)

トンネル経由の IPv6 フラグメントのパケット並べ替え

×

st0 インターフェイス上の OSPFv3 ルート上の BFD(Bidirectional Forwarding Detection)

×

st0 インターフェイス上の NDP(ネイバー検出プロトコル)

×

PKI サポート:

仮想ルーターの PKI

RSA 署名認証(512、1024-、2048-、または 4096 ビット 鍵サイズ)

DSA 署名認証(1024-、2048-、または 4096 ビット 鍵サイズ)

ECDSA シグネチャ

証明書チェーン認証

×

IPv4 による自動または手動登録

IPv4 による自動または手動取り消し

IPv6 による自動または手動登録

×

IPv6 による自動または手動取り消し

×

PKI 証明書フィールド内の IPv6 アドレス

×

IPv6 IKE および IPsec パケット処理について

このトピックには、以下のセクションが含まれています。

IPv6 IKE パケット処理

IKE(インターネット鍵交換)は、IPsec プロトコル スイートの一部です。これにより、2 つのトンネル エンドポイントが SA(セキュリティ アソシエーション)を設定し、相互に秘密キーをネゴシエートできるようになります。セキュリティ パラメーターを手動で設定する必要はありません。IKE は、通信ピアの認証も提供します。

IPv6 ネットワークでの IKE パケット処理には、次の要素が含まれます。

  • インターネット セキュリティ アソシエーションおよび鍵管理プロトコル(ISAKMP)識別ペイロード

    ISAKMP 識別ペイロードは、通信中の IPv6 ピアを識別して認証するために使用されます。IPv6 では、2 種類の ID タイプ(ID_IPV6_ADDRとID_IPV6_ADDR_SUBNET)が有効になっています。ID タイプは、使用する ID のタイプを示します。ID_IPV6_ADDR タイプは、単一の 16 オクテット IPv6 アドレスを指定します。この ID タイプは IPv6 アドレスを表します。ID_IPV6_ADDR_SUBNET 型は、2 つの 16 オクテット値で表される IPv6 アドレスの範囲を指定します。この ID タイプは、IPv6 ネットワーク マスクを表します。 表 2 は、ID タイプと割り当てられた値を識別ペイロードにリストします。

    表 2: ISAKMP ID タイプとその値

    ID タイプ

    予約

    0

    ID_IPV4_ADDR

    1

    ID_FQDN

    2

    ID_USER_FQDN

    3

    ID_IPV4_ADDR_SUBNET

    4

    ID_IPV6_ADDR

    5

    ID_IPV6_ADDR_SUBNET

    6

    ID_IPV4_ADDR_RANGE

    7

    ID_IPV6_ADDR_RANGE

    8

    ID_DER_ASN1_DN

    9

    ID_DER_ASN1_GN

    10

    ID_KEY_ID

    11

    ID_LIST

    12

    ID_IPV6_ADDR_RANGE 型は、2 つの 16 オクテット値で表される IPv6 アドレスの範囲を指定します。最初のオクテット値は、開始 IPv6 アドレスを表し、2 番目のオクテット値は、範囲内の終了 IPv6 アドレスを表します。最初の IPv6 アドレスと最後の IPv6 アドレスの間にあるすべての IPv6 アドレスは、リストの一部と見なされます。

    ISAKMP 識別ペイロード(ID_IPV6_ADDR_RANGEおよびID_IPV4_ADDR_RANGE)の 2 つの ID タイプは、このリリースではサポートされていません。

  • プロキシー ID

    プロキシ ID は、IKE ネゴシエーションのフェーズ 2 で使用されます。これは、IPsec トンネルが確立される前に生成されます。プロキシ ID は、VPN に使用する SA を識別します。ローカルとリモートの 2 つのプロキシ ID が生成されます。ローカル プロキシ ID は、ローカル IPv4 または IPv6 アドレス/ネットワークおよびサブネット マスクを参照します。リモート プロキシ ID は、リモート IPv4 または IPv6 アドレス/ネットワークおよびサブネット マスクを参照します。

  • セキュリティ アソシエーション

    SA とは、セキュアな通信をサポートするための VPN 参加者間の契約です。SA は、セキュリティ パラメーター インデックス(SPI)、宛先 IPv6 アドレス、セキュリティ プロトコル(AH または ESP)の 3 つのパラメーターに基づいて差別化されています。SPI は、複数の SA 間で SA を識別するのに役立つ SA に割り当てられた固有の値です。IPv6 パケットでは、SA は外部 IPv6 ヘッダーの宛先アドレスから識別され、セキュリティ プロトコルは AH または ESP ヘッダーのいずれかから識別されます。

IPv6 IPsec パケット処理

IKE ネゴシエーションが完了し、2 つの IKE ゲートウェイがフェーズ 1 およびフェーズ 2 SA を確立した後、IPv6 IPsec は認証および暗号化技術を採用して IPv6 パケットを保護します。IPv6 アドレスの長さが 32 ビットの IPv4 アドレスと比較して 128 ビットであるため、IPv6 IPsec パケット処理により多くのリソースが必要になります。

トンネル経由の IPv6 フラグメントのパケット並べ替えはサポートされていません。

IPv6 アドレッシングを持つデバイスは、フラグメント化を実行しません。IPv6 ホストは、パス MTU 検出を実行するか、または 1280 バイトの IPv6 最小 MTU サイズよりも小さいパケットを送信する必要があります。

このトピックには、以下のセクションが含まれています。

IPv6 の AH プロトコル

AH プロトコルは、IPv6 パケットのデータ整合性とデータ認証を提供します。IPv6 IPsec は、IPv6 データグラム内で特定の方法で配置する必要がある拡張ヘッダー(ホップバイホップおよびルーティング オプションなど)を使用します。AH トンネル モードでは、AH ヘッダーは、IPv4 AH トンネル モードと同様に、新しい外部 IPv6 ヘッダーの直後に続きます。拡張ヘッダーは、元の内部ヘッダーの後に配置されます。したがって、AH トンネル モードでは、パケット全体が新しい外部 IPv6 ヘッダーを追加してカプセル化され、その後に認証ヘッダー、内部ヘッダー、拡張ヘッダー、および次に 図 1示すように、元のデータグラムの残りの部分が続きます。

図 1: IPv6 AH トンネル モードIPv6 AH トンネル モード

ESP とは異なり、AH 認証アルゴリズムは外部ヘッダーだけでなく、新しい拡張ヘッダーとオプションも対象とします。

SRX シリーズ デバイスの AH トンネル モードでは、IPv4 可変オプションや IPv6 可変拡張ヘッダーはサポートされていません。を参照してください 表 3

IPv6 の ESP プロトコル

ESP プロトコルは、IPv6 パケットの暗号化と認証の両方を提供します。IPv6 IPsec は IPv6 データグラムで拡張ヘッダー(ホップバイホップ、ルーティング オプションなど)を使用するため、IPv6 ESP トンネル モードと IPv4 ESP トンネル モードの最も重要な違いは、パケット レイアウト内の拡張ヘッダーの配置です。ESP トンネル モードでは、ESP ヘッダーは、IPv4 ESP トンネル モードと同様に、新しい外部 IPv6 ヘッダーの直後に続きます。そのため、ESP トンネル モードでは、新しい外部 IPv6 ヘッダー、その後に ESP ヘッダー、内部ヘッダー、拡張ヘッダー、および次に示すように 図 2元のデータグラムの残りの部分を追加することで、パケット全体がカプセル化されます。

図 2: IPv6 ESP トンネル モードIPv6 ESP トンネル モード

AH および ESP を使用した IPv4 オプションと IPv6 拡張ヘッダー

IPv4 オプションまたは IPv6 拡張ヘッダーを持つ IPsec パケットを受信して、SRX シリーズ デバイスでカプセル化を解除できます。 表 3 は、SRX シリーズ デバイスで ESP または AH プロトコルでサポートされている IPv4 オプションまたは IPv6 拡張ヘッダーを示しています。サポートされていない IPsec パケットを受信すると、ICV の計算が失敗し、パケットが破棄されます。

表 3: IPv4 オプションまたは IPv6 拡張ヘッダーのサポート

オプションまたは拡張ヘッダー

SRX300、SRX320、SRX340、SRX345、SRX550HMデバイス

SRX5400、SRX5600、SRX5800 デバイス

ESP と IPv4 オプション

対応

対応

IPv6拡張ヘッダーを備えたESP

対応

対応

IPv4 不変オプションを使用した AH

対応

対応

IPv6 不変拡張ヘッダーを使用した AH

対応

対応

AH と IPv4 可変オプション

サポートされていません

サポートされていません

AH と IPv6 可変拡張ヘッダー

サポートされていません

サポートされていません

IPv6 での整合性チェック値の計算

AH プロトコルは、パケットの内容に関する ICV(Integrity Check Value)を計算することで、IPv6 パケットの整合性を検証します。ICV は通常、MD5 や SHA-1 などの認証アルゴリズムを介して構築されます。IPv6 ICV の計算は、可変ヘッダーとオプションの拡張ヘッダーという 2 つのヘッダー フィールドの観点から、IPv4 の計算とは異なります。

AH ICV は、転送中に不変であるか、トンネル エンドポイント到着時に予測可能な IPv6 ヘッダー フィールドを介して計算できます。AH ヘッダーと上位レベルのプロトコル データを介して AH ICV を計算することもできます(転送中は不変と見なされます)。新しい外部 IPv6 ヘッダーとオプションの拡張ヘッダーを除き、IPv6 パケット全体で ESP ICV を計算できます。

IPv4 とは異なり、IPv6 には転送中に可変としてオプションをタグ付けする方法があります。IPv6 オプションの拡張ヘッダーには、可変性を示すフラグが含まれています。このフラグは、適切な処理を決定します。

IPv4 可変オプションと IPv6 拡張ヘッダーは、AH プロトコルではサポートされていません。

トンネル モードでのヘッダーの構成

トンネル モードでは、外部 IPv4 または IPv6 ヘッダーの送信元アドレスと宛先アドレスはトンネル エンドポイントを表し、内部 IPv4 または IPv6 ヘッダーの送信元アドレスと宛先アドレスは最終的な送信元アドレスと宛先アドレスを表します。 表 4 は、IPv6-in-IPv6 または IPv4-in-IPv6 トンネル モードの外部 IPv6 ヘッダーと内部 IPv6 ヘッダーまたは IPv4 ヘッダーの関連をまとめたものです。外部ヘッダー フィールドでは、「構築済み」とは、外部ヘッダー フィールドの値が内部ヘッダー フィールドの値とは独立して構築されていることを意味します。

表 4: IPv6-in-IPv6 および IPv4-in-IPv6 トンネル モードの IPv6 ヘッダー構成

ヘッダー フィールド

カプセル化時の外部ヘッダー

カプセル化解除時の内部ヘッダー

バージョン

6.

変更はありません。

DS フィールド

内部ヘッダーからコピーされます。

変更はありません。

ECN フィールド

内部ヘッダーからコピーされます。

構築。

フロー ラベル

0.

変更はありません。

ペイロードの長さ

構築。

変更はありません。

次のヘッダー

AH、ESP、ルーティング ヘッダー。

変更はありません。

ホップ制限

64.

デクリメント。

src アドレス

構築。

変更はありません。

宛先アドレス

構築。

変更はありません。

拡張ヘッダー

コピーしない。

変更はありません。

表 5 は、IPv6-in-IPv4 または IPv4-in-IPv4 トンネル モードの外部 IPv4 ヘッダーと内部 IPv6 または IPv4 ヘッダーの関連付け方法をまとめたものです。外部ヘッダー フィールドでは、「構築済み」とは、外部ヘッダー フィールドの値が内部ヘッダー フィールドの値とは独立して構築されていることを意味します。

表 5: IPv6-in-IPv4 および IPv4-in-IPv4 トンネル モードの IPv4 ヘッダー構成

ヘッダー フィールド

外部ヘッダー

内部ヘッダー

バージョン

4.

変更はありません。

ヘッダーの長さ

構築。

変更はありません。

DS フィールド

内部ヘッダーからコピーされます。

変更はありません。

ECN フィールド

内部ヘッダーからコピーされます。

構築。

全長

構築。

変更はありません。

ID

構築。

変更はありません。

フラグ(DF、MF)

構築。

変更はありません。

フラグメント オフセット

構築。

変更はありません。

TTL

64.

デクリメント。

プロトコル

AH、ESP

変更はありません。

チェックサム

構築。

構築。

src アドレス

構築。

変更はありません。

宛先アドレス

構築。

変更はありません。

オプション

コピーしない。

変更はありません。

IPv6-in-IPv4 トンネル モードでは、デフォルトで DF(Don't Fragment)ビットがクリアされます。df-bit set対応する IPv4 VPN の [edit security ipsec vpn vpn-name] 階層レベルでまたはdf-bit copyオプションが設定されている場合、DF ビットは外部 IPv4 ヘッダーに設定されます。

IPv4-in-IPv4 トンネル モードでは、外部 IPv4 ヘッダーの DF ビットは、内部 IPv4 ヘッダーに設定されたオプションに df-bit 基づいています。内部 IPv4 ヘッダーに対して設定されていない場合 df-bit 、DF ビットは外部 IPv4 ヘッダーでクリアされます。

IPv6 IPsec 構成の概要

ジュニパーネットワークスは、IPv6 IPsec VPN の事前共有鍵設定を使用した手動および自動キー IKE をサポートしています。

  • 手動 VPN —手動 VPN 設定では、手動鍵メカニズムを使用してトンネル エンドポイント上でシークレット キーと SA(セキュリティ アソシエーション)を手動で設定します。IPv6 IPsec 手動 VPN を作成するには、例を参照してください 。IPv6 IPsec 手動 VPN の設定

  • AutoKey IKE VPN—autoKey IKE VPN 設定では、autoKey IKE メカニズムを使用してシークレット キーと SA が自動的に作成されます。IPv6 autoKey IKE VPN を設定するには、ネゴシエーションのフェーズ 1 とフェーズ 2 の 2 つのフェーズが必要です。

    • フェーズ 1—このフェーズでは、参加者は IPsec SA をネゴシエートするためのセキュア チャネルを確立します。

    • フェーズ 2:このフェーズでは、参加者は IPv6 データ パケットの認証と暗号化のために IPsec SA をネゴシエートします。

    フェーズ 1 およびフェーズ 2 ネゴシエーションの詳細については、インターネット鍵交換を参照してください。

例:IPv6 IPsec 手動 VPN の設定

この例では、IPv6 IPsec 手動 VPN を設定する方法を示しています。

要件

開始する前に、以下を行います。

概要

手動 VPN 設定では、秘密キーは 2 つの IPsec エンドポイントで手動で設定されます。

この例では、以下を行います。

  • vpn-sunnyvale という名前の VPN の認証パラメーターを設定します。

  • vpn-sunnyvale の暗号化パラメーターを設定します。

  • SA の発信インターフェイスを指定します。

  • ピアの IPv6 アドレスを指定します。

  • IPsec プロトコルを定義します。設定に認証と暗号化の両方が含まれるため、ESP プロトコルを選択します。

  • SPI(セキュリティ パラメータ インデックス)を設定します。

設定

手順

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

セキュリティ アルゴリズムを設定するには、以下の手順に基います。

  1. 認証パラメーターを設定します。

  2. 暗号化パラメーターを設定します。

  3. SA の発信インターフェイスを指定します。

  4. ピアの IPv6 アドレスを指定します。

  5. IPsec プロトコルを定義します。

  6. SPI を設定します。

結果

設定モードから、コマンドを入力して設定を show security ipsec vpn vpn-sunnyvale 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

検証

設定が正しく機能していることを確認するには、次のタスクを実行します。

セキュリティ アルゴリズムの検証

目的

セキュリティ アルゴリズムが適用されるかどうかを判断します。

対処

動作モードから、コマンドを show security ipsec security-associations 入力します。

例:IPv6 AutoKey IKE ポリシーベース VPN の設定

この例では、支社と本社間で IPv6 データを安全に転送できるように、ポリシーベースの IPv6 AutoKey IKE VPN を設定する方法を示しています。

IPv6ポリシーベースVPNは、スタンドアロンのSRX300、SRX320、SRX340、SRX345、SRX550HMデバイスでのみサポートされています。

要件

この例では、次のハードウェアを使用します。

  • SRX300 デバイス

開始する前に、以下を行います。

概要

この例では、イリノイ州シカゴの支社に IPv6 IKE ポリシーベース VPN を設定します。トンネル リソースを節約したり、トンネルを通過するトラフィックをフィルタリングするために多くのセキュリティ ポリシーを設定したりする必要がないためです。シカゴオフィスのユーザーは、VPNを使用してカリフォルニア州サニーベールにある本社に接続します。

図 3 は、IPv6 IKE ポリシーベース VPN トポロジーの例を示しています。このトポロジーでは、1台のSRXシリーズデバイスがサニーベールに、もう1台のSRXシリーズデバイス(2台目のSRXシリーズデバイスまたはサードパーティー製デバイス)がシカゴにあります。

図 3: IPv6 IKE ポリシーベース VPN トポロジー IPv6 IKE ポリシーベース VPN トポロジー

この例では、インターフェイス、IPv6 デフォルト ルート、セキュリティ ゾーン、アドレス ブックを設定します。次に、IKE フェーズ 1、IPsec フェーズ 2、セキュリティ ポリシー、TCP-MSS パラメーターを設定します。詳細を確認 表 6 してください 表 10

表 6: インターフェイス、セキュリティ ゾーン、アドレスブックの情報

特長

お名前

設定パラメータ

インターフェイス

ge-0/0/14.0

2001:db8:3::1/96

 

ge-0/0/15.0

2001:db8:0:2::1/96

セキュリティ ゾーン

さび

  • すべてのシステム サービスが許可されます。

  • ge-0/0/14.0インターフェイスは、このゾーンにバインドされています。

 

不信感

  • IKE は、許可される唯一のシステム サービスです。

  • ge-0/0/15.0インターフェイスは、このゾーンにバインドされています。

アドレス帳エントリ

Sunnyvale

  • このアドレスは、Trust ゾーンのアドレス 帳用です。

  • このアドレス 帳のエントリーのアドレスは、2001:db8:3::2/96 です。

 

Cヒカゴ

  • このアドレスは、 Untrust ゾーンのアドレス ブック用です。

  • このアドレス 帳のエントリーのアドレスは、2001:db8:0::2/96 です。

表 7: IPv6 IKE フェーズ 1 設定パラメータ

特長

お名前

設定パラメータ

提案

ipv6-ike-phase1-proposal

  • 認証方法: 事前共有鍵

  • Diffie-Hellman グループ: グループ2

  • 認証アルゴリズム: sha1

  • 暗号化アルゴリズム: aes-128-cbc

ポリシー

ipv6-ike-phase1-policy

  • モード:積極的

  • プロポーザル リファレンス: ipv6-ike-phase1-proposal

  • IKE フェーズ 1 ポリシー認証方法: 事前共有鍵 ascii テキスト

ゲートウェイ

gw-C ヒカゴ

  • IKEポリシーリファレンス: ipv6-ike-phase1-policy

  • 外部インターフェイス: ge-0/0/15.0

  • ゲートウェイ アドレス: 2001:db8:1::1/96

表 8: IPv6 IPsec フェーズ 2 設定パラメータ

特長

お名前

設定パラメータ

提案

ipv6-ipsec-phase2-proposal

  • プロトコル:特に

  • 認証アルゴリズム: hmac-sha1-96

  • 暗号化アルゴリズム: aes-128-cbc

ポリシー

ipv6-ipsec-phase2-policy

  • プロポーザル リファレンス: ipv6-ipsec-phase2-proposal

  • PFS:Diffie-Hellman グループ 2

VPN

ipv6-ike-vpn-chicago

  • IKEゲートウェイリファレンス: gw-chicago

  • IPsec ポリシーリファレンス: ipv6-ipsec-phase2-policy

表 9: セキュリティ ポリシー設定パラメータ

目的

お名前

設定パラメータ

このセキュリティ ポリシーは、Trust ゾーンから Untrust ゾーンへのトラフィックを許可します。

ipv6-vpn-tr-untr

  • 一致条件:

    • 送信元アドレス Sunnyvale

    • 宛先アドレス Chicago

    • アプリケーション

  • アクションの許可: トンネル ipsec-vpn ipv6-ike-vpn-chicago

  • アクションの許可: トンネル ペアポリシー ipv6-vpn-untr-tr

このセキュリティ ポリシーは、Untrust ゾーンから Trust ゾーンへのトラフィックを許可します。

ipv6-vpn-untr-tr

  • 一致条件:

    • 送信元アドレス Chicago

    • 宛先アドレス Sunnyvale

    • アプリケーション

  • アクションの許可: トンネル ipsec-vpn ipv6-ike-vpn-chicago

  • アクションの許可: トンネル ペアポリシー ipv6-vpn-tr-untr

このセキュリティ ポリシーは、Trust ゾーンから Untrust ゾーンへのすべてのトラフィックを許可します。

ipv6-vpn-tr-untr ポリシーを permit-any セキュリティ ポリシーの前に配置する必要があります。Junos OS は、リストの先頭からセキュリティ ポリシー ルックアップを実行します。ipv6-vpn-tr-untr ポリシーの前に permit-any ポリシーが存在する場合、Trust ゾーンからのすべてのトラフィックは permit-any ポリシーと一致し、許可されます。したがって、ipv6-vpn-tr-untr ポリシーと一致するトラフィックはありません。

permit-any

  • 一致条件:

    • 送信元アドレス any

    • 送信元-宛先

    • アプリケーション

  • アクション:許可

表 10: TCP-MSS 設定パラメータ

目的

設定パラメータ

TCP-MSS は TCP スリーウェイ ハンドシェイクの一部としてネゴシエートされ、TCP セグメントの最大サイズをネットワークの MTU 制限に合わせて制限します。これは VPN トラフィックにとって特に重要です。IPsec カプセル化のオーバーヘッドと IP とフレームのオーバーヘッドが原因で、結果として生じる ESP パケットが物理インターフェイスの MTU を超え、フラグメント化が発生する可能性があるためです。フラグメント化により、帯域幅とデバイス リソースの使用が増加します。

MTUが1500以上のイーサネットベースのほとんどのネットワークの開始点として、1350の値を推奨します。最適なパフォーマンスを得るために、さまざまな TCP-MSS 値を試す必要がある場合があります。たとえば、パス内のデバイスの MTU が低い場合や、PPP やフレーム リレーなどの追加オーバーヘッドがある場合は、値を変更する必要があります。

MSS 値: 1350

設定

基本的なネットワーク、セキュリティ ゾーン、アドレスブック情報の設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

基本的なネットワーク、セキュリティ ゾーン、アドレスブックの情報を設定するには、以下の手順に応じた手順にしてください。

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルート情報を設定します。

  3. Untrust セキュリティ ゾーンを設定します。

  4. インターフェイスを Untrust セキュリティ ゾーンに割り当てます。

  5. Untrust セキュリティ ゾーンで許可されるシステム サービスを指定します。

  6. Tさび止めセキュリティ ゾーンを設定します。

  7. Trust セキュリティ ゾーンにインターフェイスを割り当てます。

  8. Trust セキュリティ ゾーンで許可されるシステム サービスを指定します。

  9. アドレス帳を作成し、ゾーンをアタッチします。

  10. 別のアドレス帳を作成し、ゾーンをアタッチします。

結果

設定モードから、 、 show routing-optionsshow security zonesおよび コマンドをshow interfaces入力して設定をshow security address-book確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

IKE の設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

IKEを設定するには、次の手順に関する手順に関

  1. IKE フェーズ 1 プロポーザルを作成します。

  2. IKE プロポーザルの認証方法を定義します。

  3. IKE プロポーザル Diffie-Hellman グループを定義します。

  4. IKEプロポーザル認証アルゴリズムを定義します。

  5. IKEプロポーザル暗号化アルゴリズムを定義します。

  6. IKE フェーズ 1 ポリシーを作成します。

  7. IKE フェーズ 1 ポリシー モードを設定します。

  8. IKEプロポーザルへの参照を指定します。

  9. IKE フェーズ 1 ポリシー認証方法を定義します。

  10. IKE フェーズ 1 ゲートウェイを作成し、外部インターフェイスを定義します。

  11. IKE フェーズ 1 ポリシー リファレンスを定義します。

  12. IKE フェーズ 1 ゲートウェイに IP アドレスを割り当てます。

結果

設定モードから、コマンドを入力して設定を show security ike 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

IPsec の設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

IPsec を設定するには、次の手順に関する手順にしてください。

  1. IPsec フェーズ 2 プロポーザルを作成します。

  2. IPsec フェーズ 2 プロポーザル プロトコルを指定します。

  3. IPsec フェーズ 2 プロポーザル認証アルゴリズムを指定します。

  4. IPsec フェーズ 2 プロポーザル暗号化アルゴリズムを指定します。

  5. IPsec フェーズ 2 ポリシーを作成します。

  6. IPsec フェーズ 2 プロポーザル リファレンスを指定します。

  7. Diffie-Hellman グループ 2 を使用する IPsec フェーズ 2 PFS を指定します。

  8. IKEゲートウェイを指定します。

  9. IPsec フェーズ 2 ポリシーを指定します。

結果

設定モードから、コマンドを入力して設定を show security ipsec 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

セキュリティ ポリシーの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

セキュリティ ポリシーを設定するには、以下の手順に関する手順にしてください。

  1. Trust ゾーンから Untrust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  2. Untrust ゾーンから Trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  3. Trust ゾーンから Untrust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  4. vpn-tr-untr セキュリティ ポリシーが permit-any セキュリティ ポリシーの上に配置されるように、セキュリティ ポリシーを並べ替えます。

結果

設定モードから、コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

TCP-MSS の設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

TCP-MSS 情報を設定するには、以下の手順に応えます。

  1. TCP-MSS 情報を設定します。

結果

設定モードから、コマンドを入力して設定を show security flow 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認するには、次のタスクを実行します。

IKE フェーズ 1 ステータスの検証

目的

IKE フェーズ 1 ステータスを検証します。

対処

検証プロセスを開始する前に、サニーベールのホストからシカゴのホストにトラフィックを送信する必要があります。ポリシーベース VPN の場合、別のホストでトラフィックを生成する必要があります。SRXシリーズ デバイスから開始されたトラフィックはVPNポリシーと一致しません。テスト トラフィックは、VPN の片側にある別のデバイスから、VPN のもう一方の側にある 2 つ目のデバイスにすることをお勧めします。たとえば、2001:db8:3::2/96 から 2001:db8:0:2/96 まで ping を開始します。

動作モードから、コマンドを show security ike security-associations 入力します。コマンドからインデックス番号を取得した後、コマンドを show security ike security-associations index index_number detail 使用します。

意味

このコマンドは show security ike security-associations 、すべてのアクティブな IKE フェーズ 1 セキュリティ アソシエーション(SA)をリストします。SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。

SA が表示されている場合は、次の情報を確認します。

  • インデックス—この値は各 IKE SA で一意です。この値は、コマンドで show security ike security-associations index index_number detail 使用して SA に関する詳細情報を取得できます。

  • リモート アドレス — リモート IP アドレスが正しいことを確認します。

  • 都道府県

    • UP — フェーズ 1 SA が確立されました。

    • DOWN—フェーズ 1 SA の確立に問題が発生しました。

  • モード — 正しいモードが使用されていることを確認します。

設定で以下が正しいことを確認します。

  • 外部インターフェイス(インターフェイスは IKE パケットを受信するインターフェイスである必要があります)

  • IKE ポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ 1 プロポーザル パラメーター(両方のピアで一致する必要があります)

コマンドは show security ike security-associations index 5 detail 、インデックス番号 5 とのセキュリティ アソシエーションに関する追加情報をリストします。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ 1 ライフタイム

  • トラフィック統計(トラフィックが双方向に適切に流れているかどうかを検証するために使用できます)

  • イニシエーターとレスポンダーの役割情報

    トラブルシューティングは、レスポンダーロールを使用してピアで実行するのが最善です。

  • 作成された IPsec SA の数

  • 進行中のフェーズ 2 ネゴシエーション数

IPsec フェーズ 2 ステータスの検証

目的

IPsec フェーズ 2 ステータスを確認します。

対処

動作モードから、コマンドを show security ipsec security-associations 入力します。コマンドからインデックス番号を取得した後、コマンドを show security ipsec security-associations index index_number detail 使用します。

意味

コマンドからの出力には、 show security ipsec security-associations 以下の情報がリストされます。

  • ID 番号は 2 です。この値をコマンドと一緒に show security ipsec security-associations index 使用して、この特定の SA に関する詳細情報を取得します。

  • ポート 500 を使用する 1 つの IPsec SA ペアは、NAT トラバーサルが実装されていないことを示します。(NAT トラバーサルは、ポート 4500 または別のランダムな高番号ポートを使用します)。

  • 両方向の SPI、ライフタイム(秒)、使用制限(または KB 単位のライフサイズ)が表示されます。3597/unlim 値は、フェーズ 2 のライフタイムが 3597 秒で期限切れになり、ライフサイズが指定されていないことを示します。これは、ライフタイムが無制限であることを示します。フェーズ 2 のライフタイムはフェーズ 1 のライフタイムと異なる場合があります。フェーズ 2 は VPN が稼働した後のフェーズ 1 に依存しません。

  • 「モン」列のハイフンで示されているように、この SA では VPN 監視は有効になっていません。VPN 監視が有効になっている場合は、U(アップ)または D(ダウン)が表示されます。

  • 仮想システム(vsys)はルートシステムであり、常に0をリストします。

コマンドからの出力には、 show security ipsec security-associations index 2 detail 以下の情報がリストされます。

  • ローカル ID とリモート ID が SA のプロキシ ID を構成します。

    プロキシ ID の不一致は、フェーズ 2 の障害の最も一般的な理由の 1 つです。ポリシーベース VPN の場合、プロキシ ID はセキュリティ ポリシーから派生します。ローカル アドレスとリモート アドレスはアドレス 帳のエントリから派生し、サービスはポリシー用に設定されたアプリケーションから派生します。プロキシ ID の不一致が原因でフェーズ 2 が失敗した場合は、ポリシーを使用して、設定されているアドレス帳エントリを確認できます。アドレスが送信される情報と一致することを確認します。ポートが送信される情報と一致していることを確認します。

    一部のサードパーティー ベンダーでは、プロキシ ID を一致するように手動で入力する必要があります。