ポリシーベース IPsec VPN
ポリシーベースVPNは、2つのエンドポイント間で作成されたIPsec VPNトンネルが、ポリシーの一致基準を満たすトランジットトラフィックのポリシーアクションでポリシー自体で指定される設定です。
ポリシーベース IPsec VPN について
ポリシーベースの IPsec VPN の場合、セキュリティ ポリシーは、ポリシーの一致条件を満たすトランジット トラフィックに使用する VPN トンネルをそのアクションとして指定します。VPNは、ポリシーステートメントから独立して設定されます。ポリシーステートメントは、トンネルへのアクセスが許可されるトラフィックを指定するために、名前でVPNを参照します。ポリシーベースVPNの場合、各ポリシーはリモートピアとの個々のIPsecセキュリティアソシエーション(SA)を作成し、それぞれが個々のVPNトンネルとしてカウントされます。例えば、ポリシーにグループ送信元アドレスとグループ宛先アドレスが含まれている場合、アドレスセットに属するユーザーが宛先アドレスとして指定されたホストのいずれかと通信しようとするたびに、新しいトンネルがネゴシエートされ、確立されます。各トンネルには独自のネゴシエーション プロセスと個別の SA のペアが必要となるため、ポリシーベースの IPsec VPN の使用は、ルートベース VPN よりもリソースを大量に消費する可能性があります。
ポリシーベース VPN の使用例:
ダイヤルアップ VPN を実装している。
ポリシーベース VPN では、ファイアウォール ポリシーに基づいてトラフィックを誘導できます。
複数のリモートサイト間でVPNを設定する場合は、ルートベースVPNを使用することをお勧めします。ルートベースVPNは、ポリシーベースVPNと同じ機能を提供できます。
制限:
-
ポリシーベースの IPSec VPN は、IKEv2 ではサポートされていません。
関連項目
例:ポリシーベース VPN の設定
この例では、2つのサイト間でデータを安全に転送できるように、ポリシーベースのIPsec VPNを設定する方法を示しています。
要件
この例では、次のハードウェアを使用しています。
-
任意の SRX シリーズ ファイアウォール
- Junos OS リリース 20.4R1 で vSRX 仮想ファイアウォールを使用して更新および再検証しました。
このガイドで取り上げたトピックと運用の実地体験に興味がありますか?ジュニパーネットワークス仮想ラボの IPsec ポリシーベースのデモにアクセスし、無料のサンドボックスを今すぐ予約してください。セキュリティ カテゴリーには、IPsec VPN ポリシーベースのサンドボックスがあります。
開始する前に、 をお読みください IPsec の概要。
概要
この例では、SRX1とSRX2にポリシーベースのVPNを設定します。Host1とHost2は、VPNを使用して、インターネットを介して両方のホスト間でトラフィックを安全に送信します。
図 1 は、ポリシーベースのVPNトポロジーの例を示しています。
IKE IPsecトンネルネゴシエーションは2つのフェーズで行われます。フェーズ 1 では、参加者は IPsec セキュリティ アソシエーション(SA)をネゴシエートするセキュア チャネルを確立します。フェーズ 2 では、参加者はトンネルを通過するトラフィックを認証するために IPsec SA をネゴシエートします。トンネルネゴシエーションには2つのフェーズがありますが、トンネル設定には2つのフェーズがあります。
この例では、インターフェイス、IPv4デフォルトルート、セキュリティゾーンを設定します。次に、IKEフェーズ1、IPsecフェーズ2、セキュリティポリシー、TCP-MSSパラメーターを設定します。~を参照してください表 1表 5。
|
特長 |
お名前 |
設定パラメータ |
|---|---|---|
|
インターフェイス |
ge-0/0/0.0 |
10.100.11.1/24 |
|
ge-0/0/1.0 |
172.16.13.1/24 |
|
|
セキュリティ ゾーン |
trust |
|
|
untrust |
|
|
|
スタティックルート |
0.0.0.0/0 |
|
|
特長 |
お名前 |
設定パラメータ |
|---|---|---|
|
提案 |
標準 |
|
|
ポリシー |
IKE-POL |
|
|
ゲートウェイ |
IKE-GW |
|
|
特長 |
お名前 |
設定パラメータ |
|---|---|---|
|
提案 |
標準 |
|
|
ポリシー |
IPSEC-POL |
|
|
VPN |
VPN-to-Host2 |
|
|
目的 |
お名前 |
設定パラメータ |
|---|---|---|
|
このセキュリティポリシーは、trustゾーンからtrustゾーンへのトラフィックを許可します。 |
VPN-OUT |
|
|
このセキュリティポリシーは、untrustゾーンからtrustゾーンへのトラフィックを許可します。 |
VPN-IN |
|
|
このセキュリティポリシーは、trustゾーンからtrustゾーンへのすべてのトラフィックを許可します。 デフォルトの許可セキュリティ ポリシーの前に VPN-OUT ポリシーを設定する必要があります。Junos OS は、リストの最上位から始まるセキュリティ ポリシー ルックアップを実行します。VPN-OUTポリシーの前にデフォルトの許可ポリシーが設定されている場合、trustゾーンのすべてのトラフィックはデフォルトの許可ポリシーと一致し、許可されます。したがって、VPN-OUT ポリシーに一致するトラフィックは発生しません。 |
デフォルトの許可 |
|
|
目的 |
設定パラメータ |
|---|---|
|
TCP-MSSは、TCPスリーウェイハンドシェイクの一部としてネゴシエートされ、TCPセグメントの最大サイズを、ネットワークの最大送信単位(MTU)制限にうまく適合するよう制限します。これは VPN トラフィックにとって特に重要です。IPsec カプセル化のオーバーヘッドと IP およびフレームのオーバーヘッドにより、物理インターフェイスの MTU を超える ESP(セキュリティ ペイロードのカプセル化)パケットが発生し、フラグメント化が発生する可能性があります。フラグメント化により、帯域幅とデバイス リソースの使用が増加します。 MTUが1500以上のイーサネットベースネットワークのほとんどの場合、開始点として1350を推奨します。最適なパフォーマンスを得るために、さまざまな TCP-MSS 値を試す必要がある場合があります。例えば、パス内のデバイスの MTU が低い場合や、PPP やフレーム リレーなどの追加オーバーヘッドがある場合、値を変更する必要がある場合があります。 |
MSS値: 1350 |
設定
基本的なネットワークおよびセキュリティ ゾーン情報の設定
CLI クイックコンフィギュレーション
この例をSRX1に素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLIにコピーアンドペーストして、設定モードから を入力 commit します。
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。手順については、 CLIユーザーガイドを参照してください。
インターフェイス、静的ルート、セキュリティゾーンの情報を設定するには:
-
インターフェイスを設定します。
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32
-
静的ルートを設定します。
[edit] user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
インターネットに接続するインターフェイスを untrust セキュリティ ゾーンに割り当てます。
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
untrust セキュリティ ゾーンで許可されるシステム サービスを指定します。
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Host1 に面したインターフェイスを trust セキュリティ ゾーンに割り当てます。
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
trust セキュリティ ゾーンで許可されるシステム サービスを指定します。
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
結果
設定モードから、 、 、 show routing-optionsコマンドを入力して設定をshow interfacesshow security zones確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.100.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.13.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.100.100.1/32;
}
}
}
[edit]
user@SRX1# show routing-options
static {
route 0.0.0.0/0 next-hop 172.16.13.2;
}
[edit]
user@SRX1# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
IKEの設定
CLI クイックコンフィギュレーション
この例をSRX1に素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLIにコピーアンドペーストして、設定モードから を入力 commit します。
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドを参照してください。
IKEを設定するには:
-
IKEプロポーザルを作成します。
[edit security ike] user@SRX1# set proposal standard
-
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
IKEポリシーを作成します。
[edit security ike] user@SRX1# set policy IKE-POL
-
IKEポリシーモードを設定します。
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
IKEプロポーザルへの参照を指定します。
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
IKEポリシーの認証方法を定義します。
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
IKEゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike gateway IKE-GW] user@SRX1# set external-interface ge-0/0/1.0
-
IKEゲートウェイアドレスを定義します。
[edit security ike gateway IKE-GW] user@SRX1# address 172.16.23.1
-
IKEポリシーリファレンスを定義します。
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
結果
設定モードから、 コマンドを入力して設定を show security ike 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security ike
proposal standard {
authentication-method pre-shared-keys;
}
policy IKE-POL {
mode main;
proposals standard;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway IKE-GW {
ike-policy IKE-POL;
address 172.16.23.1;
external-interface ge-0/0/1;
}
IPsec の設定
CLI クイックコンフィギュレーション
この例をSRX1に素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLIにコピーアンドペーストして、設定モードから を入力 commit します。
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドを参照してください。
IPsecを設定するには:
-
IPsecプロポーザルを作成します。
[edit] user@SRX1# set security ipsec proposal standard
-
IPsec ポリシーを作成します。
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
IPsecプロポーザルリファレンスを指定します。
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
IKEゲートウェイを指定します。
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
IPsecポリシーを指定します。
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
すぐに確立するようにトンネルを設定します。
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 establish-tunnels immediately
結果
設定モードから、 コマンドを入力して設定を show security ipsec 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@SRX1# show security ipsec
proposal standard;
policy IPSEC-POL {
proposals standard;
}
vpn VPN-to-Host2 {
ike {
gateway IKE-GW;
ipsec-policy IPSEC-POL;
}
establish-tunnels immediately;
}
セキュリティ ポリシーの設定
CLI クイックコンフィギュレーション
この例をSRX1に素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLIにコピーアンドペーストして、設定モードから を入力 commit します。
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone untrust set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドを参照してください。
セキュリティポリシーを設定するには:
-
セキュリティ ポリシーで使用するネットワークのアドレス帳エントリーを作成します。
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone untrust
-
trust ゾーンの Host1 から untrust ゾーンの Host2 へのトラフィックで一致させるセキュリティ ポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2
-
trust ゾーンから untrust ゾーンへのインターネットへの他のすべてのトラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
untrustゾーンのHost2からtrustゾーンのHost1へのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone untrust to-zone trust] user@SRX1# set policy VPN-IN match source-address Host2-Net user@SRX1# set policy VPN-IN match destination-address Host1-Net user@SRX1# set policy VPN-IN match application any user@SRX1# set policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
結果
設定モードから、 コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@SRX1# show security policies
from-zone trust to-zone untrust {
policy VPN-OUT {
match {
source-address Host1-Net;
destination-address Host2-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy VPN-IN {
match {
source-address Host2-Net;
destination-address Host1-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
}
TCP-MSS の設定
CLI クイックコンフィギュレーション
この例をSRX1に素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLIにコピーアンドペーストして、設定モードから を入力 commit します。
set security flow tcp-mss ipsec-vpn mss 1350
手順
TCP-MSS情報を設定するには:
-
TCP-MSS情報を設定します。
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
結果
設定モードから、 コマンドを入力して設定を show security flow 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@SRX1# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
SRX2の設定
CLI クイックコンフィギュレーション
参考までに、SRX2の設定が提供されています。
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone untrust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host1 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
IKEステータスの検証
目的
IKE ステータスを確認します。
対処
動作モードから、 コマンドを show security ike security-associations 入力します。コマンドからインデックス番号を取得した後、 コマンドを show security ike security-associations index index_number detail 使用します。
user@SRX1> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 1859361 UP 9788fa59c3ee2e2a 0b17e52f34b83aba Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859361 detail
IKE peer 172.16.23.1, Index 1859361, Gateway Name: IKE-GW
Role: Responder, State: UP
Initiator cookie: 9788fa59c3ee2e2a, Responder cookie: 0b17e52f34b83aba
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Lifetime: Expires in 17567 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 172.16.23.1
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1740
Output bytes : 1132
Input packets: 15
Output packets: 7
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 4 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Local identity: 172.16.13.1
Remote identity: 172.16.23.1
Flags: IKE SA is created
意味
コマンドは、 show security ike security-associations すべてのアクティブなIKEフェーズ1セキュリティアソシエーション(SA)を一覧表示します。SAが表示されない場合、フェーズ1の確立に問題が発生しました。構成でIKEポリシーパラメータと外部インターフェイス設定を確認します。
SA が表示される場合は、次の情報を確認します。
-
インデックス—この値は各IKE SAで一意であり、 コマンドで
show security ike security-associations index detail使用してSAの詳細な情報を取得できます。 -
リモートアドレス—リモートIPアドレスが正しいことを確認します。
-
都道府県(州)
-
UP—フェーズ1のSAが確立されました。
-
DOWN - フェーズ1 SAの確立に問題がありました。
-
-
モード—正しいモードが使用されていることを確認します。
設定で以下が正しいことを確認します。
-
外部インターフェイス(IKEパケットを受信するインターフェイスである必要があります)
-
IKEポリシーパラメーター
-
事前共有鍵情報
-
フェーズ1のプロポーザルパラメーター(両方のピアで一致する必要があります)
コマンドは show security ike security-associations index 1859361 detail 、1859361のインデックス番号とのセキュリティアソシエーションに関する追加情報を一覧表示します。
-
使用される認証および暗号化アルゴリズム
-
フェーズ1のライフタイム
-
トラフィック統計(トラフィックが両方向に正しく流れているかどうかを確認するために使用できます)
-
イニシエーターとレスポンダーのロール情報
トラブルシューティングは、レスポンダロールを使用してピアで実行するのが最適です。
-
作成された IPsec SA の数
-
進行中のフェーズ2ネゴシエーションの数
IPsecフェーズ2のステータスの確認
目的
IPsecフェーズ2のステータスを確認します。
対処
動作モードから、 コマンドを show security ipsec security-associations 入力します。コマンドからインデックス番号を取得した後、 コマンドを show security ipsec security-associations index index_number detail 使用します。
user@SRX1 show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/sha1 ae5afc5a 921/ unlim - root 500 172.16.23.1 >2 ESP:3des/sha1 6388a743 921/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 2 detail
ID: 2 Virtual-system: root, VPN Name: VPN-to-Host2
Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1
Local Identity: ipv4_subnet(any:0,[0..7]=10.100.11.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=10.100.22.0/24)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: VPN-OUT
Port: 500, Nego#: 30, Fail#: 0, Def-Del#: 0 Flag: 0x600829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Thu Jul 29 2021 14:29:22 -0700: IPSec SA negotiation successfully completed (29 times)
Thu Jul 29 2021 12:00:30 -0700: IKE SA negotiation successfully completed (4 times)
Wed Jul 28 2021 15:20:58
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Jul 28 2021 15:05:13 -0700: IPSec SA negotiation successfully completed (1 times)
Wed Jul 28 2021 15:05:13
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's address received. Information updated (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's zone received. Information updated (1 times)
Wed Jul 28 2021 11:17:38
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Jul 28 2021 09:27:11 -0700: IKE SA negotiation successfully completed (19 times)
Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times)
Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times)
Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times)
Direction: inbound, SPI: ae5afc5a, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 6388a743, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
意味
コマンドからの出力は、 show security ipsec security-associations 以下の情報を一覧表示します。
-
ID番号は2です。この値を コマンドと一緒に使用して、
show security ipsec security-associations indexこの特定のSAに関する詳細な情報を取得します。 -
ポート500を使用する1つのIPsec SAペアがあり、NATトラバーサルが実装されていないことを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな大数字のポートを使用します)。
-
両方向のSPI、ライフタイム(秒)、使用制限(またはKB単位のライフサイズ)が表示されます。921/unlim値は、フェーズ2のライフタイムの有効期限は921秒であり、ライフサイズは指定されていません。これは無制限であることを示しています。フェーズ2のライフタイムはフェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後のフェーズ2はフェーズ1に依存されないためです。
-
モン列のハイフンで示されているように、このSAではVPN監視は有効になっていません。VPN監視が有効になっている場合、U(アップ)またはD(ダウン)が表示されます。
-
仮想システム(vsys)はルート システムで、常に 0 がリストされます。
コマンドからの出力は、 show security ipsec security-associations index 2 detail 以下の情報を一覧表示します。
-
ローカルIDとリモートIDがSAのプロキシIDを構成します。
プロキシIDの不一致は、フェーズ2の失敗の最も一般的な理由の1つです。ポリシーベース VPN の場合、プロキシ ID はセキュリティ ポリシーから取得されます。ローカル アドレスとリモート アドレスはアドレス帳エントリーから取得され、サービスはポリシーに設定されたアプリケーションから派生します。プロキシIDの不一致によりフェーズ2が失敗した場合、ポリシーを使用して、どのアドレス帳エントリーが設定されているかを確認できます。アドレスが送信される情報と一致することを確認します。送信される情報とポートが一致していることを確認します。
VPN 全体のトラフィック フローのテスト
目的
VPN 全体のトラフィック フローを検証します。
対処
ping Host1 デバイスから Host2 へのトラフィック フローをテストするには、 コマンドを使用します。
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.300/3.936/8.562/0.720 ms
意味
Host1 からの コマンドが ping 失敗した場合、ルーティング、セキュリティ ポリシー、エンド ホスト、ESP パケットの暗号化と復号化に問題がある可能性があります。
IPsec セキュリティ アソシエーションの統計情報とエラーの確認
目的
IPsec セキュリティ アソシエーションの ESP および認証ヘッダー カウンターとエラーを確認します。
対処
運用モードから、統計を show security ipsec statistics index index_number 表示するVPNのインデックス番号を使用して、 コマンドを入力します。
user@SRX1> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
コマンドを show security ipsec statistics 使用して、すべての SA の統計情報とエラーを確認することもできます。
すべての IPsec 統計をクリアするには、 コマンドを clear security ipsec statistics 使用します。
意味
VPN全体でパケット損失の問題が発生した場合、 コマンドを show security ipsec statistics 数回実行して、暗号化および復号化されたパケットカウンターが増加していることを確認できます。また、他のエラー カウンターが増加しているかどうかを確認する必要があります。