Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポリシーベースの IPsec Vpn

ポリシーベース VPN は、ポリシーの一致条件を満たすトランジット トラフィックに対するポリシー アクションを使用して、2 つのエンド ポイント間に作成された IPsec VPN トンネルをポリシー自体で指定する設定です。

ポリシーベースの IPsec Vpn について

ポリシーベースの IPsec VPN の場合、セキュリティ ポリシーは、ポリシーの一致条件を満たすトランジット トラフィックに使用する VPN トンネルのアクションとして指定します。VPN は、ポリシーステートメントとは別に構成されています。このポリシーステートメントは、名前によって VPN を参照し、トンネルへのアクセスを許可するトラフィックを指定します。ポリシーベースの Vpn では、各ポリシーによって個別の IPsec セキュリティーアソシエーション (SA) がリモートピアとともに作成され、それぞれが個別の VPN トンネルとしてカウントします。たとえば、あるポリシーにグループ送信元アドレスとグループ宛先アドレスが含まれている場合、そのアドレスセットに属しているユーザーのいずれかが宛先アドレスとして指定されたホストと通信しようとするたびに、新しいトンネルがネゴシエートされ、所定. 各トンネルは独自のネゴシエーションプロセスと SAs の独立したペアを必要とするため、ポリシーベースの IPsec Vpn を使用すると、ルートベースの Vpn よりもリソースを多く消費する可能性があります。

ポリシーベースの Vpn の使用例は次のとおりです。

  • あなたは、ダイヤルアップ VPN を実装しています。

  • ポリシーベースの Vpn を使用すると、ファイアウォールポリシーに基づいてトラフィックを送信できます。

複数のリモートサイト間で VPN を構成する場合は、ルートベースの VPN を使用することをお勧めします。ルートベースの Vpn は、ポリシーベースの Vpn と同じ機能を提供できます。

例:ポリシーベースの VPN の構成

この例では、ポリシーベースの IPsec VPN を構成して、支社オフィスと本社オフィスの間でデータを安全に転送できるようにする方法を示します。

要件

開始する前に、 IPSEC VPN の概要を読みます。

概要

この例では、トンネルリソースを節約したり、トンネルを通過するトラフィックをフィルタリングするために多くのセキュリティポリシーを設定したりする必要がないため、シカゴ、イリノイ州の支社にポリシーベースの VPN を構成します。シカゴ支店のユーザーは、カリフォルニア州 Sunnyvale で本社に接続するために VPN を使用します。

図 1は、ポリシーベースの VPN トポロジの例を示しています。このトポロジでは、SRX シリーズデバイスは Sunnyvale にあり、SSG シリーズデバイス (またはその他のサードパーティー製デバイス) はシカゴに設置されています。

図 1: ポリシーベースの VPN トポロジポリシーベースの VPN トポロジ

IPsec トンネルネゴシエーションは、2つのフェーズで行われます。 IKE します。フェーズ1では、参加者は、IPsec セキュリティーアソシエーション (SA) をネゴシエートするためのセキュアチャネルを確立します。フェーズ2では、参加者は IPsec SA をネゴシエートして、トンネルを通過するトラフィックを認証します。ネゴシエーションのための2つのフェーズがあるのと同様に、トンネル構成には2つのフェーズがあります。

この例では、インターフェイス、IPv4 のデフォルトルート、セキュリティゾーン、アドレスブックを構成します。次に、IKE フェーズ1、IPsec フェーズ2、セキュリティポリシー、TCP MSS パラメーターを設定します。表 1をご覧表 5ください。

表 1: インターフェイス、セキュリティゾーン、アドレス帳の情報

機能

名前

構成パラメーター

インターフェイス

ge-0/0/0.0

192.168.10.1/24

 

ge-0/0/3.0

10.1.1.2/30

セキュリティ ゾーン

トラスト

  • すべてのシステムサービスが許可されます。

  • このゾーンには、ge-0/0/0.0 インターフェイスがバインドされています。

 

untrust

  • 許可されている唯一のシステムサービスは IKE です。

  • このゾーンには、ge-0/0/3.0 インターフェイスがバインドされています。

アドレス帳のエントリ

sunnyvale

  • このアドレスはアドレスブックbook1に登録されているエントリです。これは、 trustという名前のゾーンに接続しています。

  • このアドレス帳エントリのアドレスは 192.168.10.0/24 です。

 

chicago

  • このアドレスはアドレスブックbook2に登録されているエントリです。これは、 untrustという名前のゾーンに接続しています。

  • このアドレス帳エントリのアドレスは 192.168.168.0/24 です。

表 2: 第1段階の構成パラメーターを IKE

機能

名前

構成パラメーター

提案

ike-phase1-proposal

  • 認証方法: 事前共有キー

  • Diffie-hellman グループ: group2

  • 認証アルゴリズム: sha1

  • 暗号化アルゴリズム: aes-128-cbc

ポリシー

ike-phase1-policy

  • モード重要

  • 提案の参考資料: ike-phase1-proposal

  • IKE フェーズ1ポリシー認証方法: 事前共有鍵の ascii テキスト

活用

gw-シカゴ

  • IKE ポリシーのリファレンス: ike-phase1-policy

  • 外部インターフェイス: ge-0/0/3.0

  • ゲートウェイアドレス: 10.1.1.1

表 3: IPsec フェーズ2の構成パラメーター

機能

名前

構成パラメーター

提案

ipsec-phase2-proposal

  • Protocol esp

  • 認証アルゴリズム: hmac-sha1-96

  • 暗号化アルゴリズム: aes-128-cbc

ポリシー

ipsec-phase2-policy

  • 提案の参考資料: ipsec-phase2-proposal

  • PF Diffie-hellman group2

VPN

ike-vpn-シカゴ

  • IKE ゲートウェイリファレンス: gw-シカゴ

  • IPsec ポリシー参照: ipsec-phase2-policy

表 4: セキュリティポリシーの構成パラメーター

目的

名前

構成パラメーター

このセキュリティーポリシーにより、信頼ゾーンから untrust ゾーンへのトラフィックが許可されます。

vpn-tr-tr

  • 条件の一致:

    • 発信元アドレス sunnyvale

    • 宛先/住所シカゴ

    • アプリケーション

  • 許可アクション: トンネル ipsec-vpn ike-vpn-シカゴ

  • 許可アクション: トンネルペアポリシー vpn-tr

このセキュリティーポリシーは、untrust ゾーンからトラストゾーンへのトラフィックを許可します。

vpn-tr

  • 条件の一致:

    • 送信元/アドレスシカゴ

    • 宛先アドレス sunnyvale

    • アプリケーション

  • 許可アクション: トンネル ipsec-vpn ike-vpn-シカゴ

  • 許可アクション: トンネルペアポリシー vpn-tr-tr

このセキュリティポリシーにより、信頼ゾーンから非信頼ゾーンへのすべてのトラフィックが許可されます。

Vpn-tr-非稼働ポリシーは、許可-すべてのセキュリティポリシーの前に配置する必要があります。Junos OS は、リストの先頭からセキュリティポリシーのルックアップを実行します。許可-任意のポリシーが vpn-tr-tr ポリシーよりも前になっている場合、trust zone からのすべてのトラフィックは、許可-すべてのポリシーに一致し、許可されます。したがって、どのトラフィックも vpn の tr-tr ポリシーに一致しません。

許可-any

  • 条件の一致:

    • 送信元アドレス

    • 送信元/宛先

    • アプリケーション

  • 対応許可

表 5: TCP MSS 構成パラメーター

目的

構成パラメーター

Tcp MSS は TCP スリーウェイハンドシェイクの一部としてネゴシエートされ、tcp セグメントの最大サイズを制限して、ネットワークの最大送信単位 (MTU) の制限に合わせます。これは VPN トラフィックにとって特に重要なことです。 IPsec カプセル化のオーバーヘッドと IP とフレームのオーバーヘッドがあるために、結果としてカプセルセキュリティペイロード (ESP) パケットが物理インターフェイスの MTU を超えることが原因で断片化が発生することがあります。断片化が発生すると、帯域幅とデバイスリソースの使用率が向上します。

1500以上の MTU を使用するほとんどのイーサネットベースのネットワークの出発点として、1350の価値をお勧めします。パフォーマンスを最適化するには、さまざまな TCP MSS 値を試してみる必要があるかもしれません。たとえば、パス内のいずれかのデバイスに低い MTU がある場合、または PPP やフレームリレーなど追加のオーバーヘッドがある場合は、値を変更する必要があるかもしれません。

MSS 値: 1350

構成

基本的なネットワーク、セキュリティゾーン、アドレス帳情報の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

基本的なネットワーク、セキュリティーゾーン、アドレスブックの情報を構成するには、次の手順に従います。

  1. イーサネットインターフェイス情報を構成します。

  2. 静的なルート情報を構成します。

  3. 信頼できないセキュリティゾーンを構成します。

  4. セキュリティゾーンにインターフェイスを割り当てます。

  5. セキュリティゾーンに対して許可されるシステムサービスを指定します。

  6. 信頼セキュリティゾーンを構成します。

  7. セキュリティゾーンにインターフェイスを割り当てます。

  8. セキュリティゾーンに対して許可されるシステムサービスを指定します。

  9. アドレスブックを作成し、ゾーンに接続します。

  10. 別のアドレスブックを作成し、ゾーンに接続します。

結果

構成モードからshow interfaces、、、 show routing-optionsshow security zones、およびshow security address-bookコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

IKE の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

IKE を設定するには

  1. IKE フェーズ1の提案を作成します。

  2. IKE 提案認証方法を定義します。

  3. IKE 提案の Diffie-hellman グループを定義します。

  4. IKE 提案認証アルゴリズムを定義します。

  5. IKE 提案の暗号化アルゴリズムを定義します。

  6. IKE フェーズ1ポリシーを作成します。

  7. IKE フェーズ1ポリシーモードを設定します。

  8. IKE 案への参照を指定します。

  9. IKE フェーズ1ポリシーの認証方法を定義します。

  10. IKE Phase 1 ゲートウェイを作成し、外部インターフェイスを定義します。

  11. IKE フェーズ1ポリシーのリファレンスを定義します。

結果

設定モードから、 show security ikeコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

IPsec の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

IPsec を構成するには

  1. IPsec フェーズ2案を作成します。

  2. IPsec フェーズ2提案プロトコルを指定します。

  3. IPsec フェーズ2提案認証アルゴリズムを指定します。

  4. IPsec フェーズ2提案の暗号化アルゴリズムを指定します。

  5. IPsec フェーズ2ポリシーを作成します。

  6. IPsec フェーズ2提案の参照を指定します。

  7. Diffie-hellman グループ2を使用するように、IPsec フェーズ 2 PFS を指定します。

  8. IKE ゲートウェイを指定します。

  9. IPsec フェーズ2ポリシーを指定します。

結果

設定モードから、 show security ipsecコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

セキュリティポリシーの設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

セキュリティーポリシーを設定するには、次のようにします。

  1. セキュリティポリシーを作成して、信頼ゾーンから untrust ゾーンへのトラフィックを許可します。

  2. セキュリティーポリシーを作成して、untrust ゾーンからトラストゾーンへのトラフィックを許可します。

  3. セキュリティポリシーを作成して、信頼ゾーンから untrust ゾーンへのトラフィックを許可します。

  4. セキュリティポリシーの順序を変更して、vpn の tr-tr-ダウンしていない security policy が許可-すべてのセキュリティポリシーの上に配置されるようにします。

結果

設定モードから、 show security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

TCP MSS の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

TCP MSS 情報を構成するには、次のようにします。

  1. TCP MSS 情報を構成します。

結果

設定モードから、 show security flowコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

SSG シリーズデバイスの構成

CLI クイック構成

SSG シリーズデバイスの構成については、こちらを参照してください。デバイスの設定についてSSG シリーズ、 の「ScreenOSリファレンス ガイドの概念と例」を参照 https://www.juniper.net/documentation。

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更し、コマンドを[edit]階層の CLI にコピー & ペーストします。レベルを選択し、 commit設定モードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

IKE フェーズ1のステータスを確認します。

目的

IKE フェーズ1のステータスを確認します。

アクション

検証プロセスを開始する前に、192.168.10/24 ネットワーク内のホストから 192.168.168/24 ネットワーク内のホストにトラフィックを送信する必要があります。ポリシーベースの Vpn では、独立したホストがトラフィックを生成する必要があります。SRX シリーズデバイスから開始されたトラフィックは VPN ポリシーと一致しません。テストトラフィックは、VPN の片側の別のデバイスから VPN の他方の側の2番目のデバイスに送信することをお勧めします。たとえば、192.168.10.10 から192.168.168.10 への ping を開始します。

動作モードから、 show security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detailコマンドを使用します。

このshow security ike security-associationsコマンドは、アクティブなすべての IKE フェーズ1セキュリティーアソシエーション (sa) をリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。

Sa が表示されている場合は、以下の情報を確認します。

  • インデックス — この値は SA の各IKE一意です。SA に関する詳しい情報を取得するために コマンド show security ike security-associations index detail で使用できます。

  • リモート アドレス —リモート IP アドレスが正しいか検証します。

  • 都道府県

    • UP — フェーズ 1 SA が確立されています。

    • ダウン — フェーズ 1 SA の確立に問題が発生しました。

  • モード — 正しいモードが使用されていることを検証します。

構成において以下のことが正しいことを確認します。

  • 外部インターフェイス (インターフェイスは、IKE パケットを受信するものである必要があります)

  • IKE ポリシーパラメーター

  • 事前共有鍵情報

  • フェーズ1の提案パラメーター (両方のピアで一致する必要があります)

このshow security ike security-associations index 1 detailコマンドは、インデックス番号1のセキュリティアソシエーションに関する追加情報をリストします。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ1の有効期間

  • トラフィック統計 (トラフィックが双方向で正しく流れることを確認するために使用できます)

  • 開始側/応答側ロール情報

    トラブルシューティングは、応答側ロールを使用してピア上で実行することをお勧めします。

  • 作成された IPsec Sa の数

  • 進行中のフェーズ2ネゴシエーション数

IPsec フェーズ2の状態を確認しています

目的

IPsec フェーズ2のステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detailコマンドを使用します。

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • ID 番号は2です。この値をコマンドとshow security ipsec security-associations indexともに使用して、この特定の SA に関する詳細情報を取得します。

  • 1つの IPsec SA ペアがポート500を使用しているため、NAT トラバーサルが実装されていないことを示しています。(NAT トラバースでは、ポート4500またはその他のランダムな乱数ポートが使用します。

  • 両方の方向について、Spi、有効期限 (秒)、使用制限 (KB 単位) が表示されます。3565/lim 値は、フェーズ2の有効期間が3565秒以内に有効期限切れになり、lifesize が指定されていないことを示しています。これは無制限であることを示しています。フェーズ2は、VPN が稼働している段階1に依存していないため、フェーズ1のライフタイムとは異なる可能性があります。

  • 月曜日列にハイフンが記載されているため、この SA に対して VPN 監視が有効になっていません。VPN 監視が有効になっている場合は、U (up) または D (down) が表示されます。

  • 仮想システム (vsys) はルートシステムであり、常に0をリストします。

show security ipsec security-associations index 16384 detailコマンドからの出力には、以下の情報が表示されます。

  • ローカルアイデンティティとリモートアイデンティティによって SA のプロキシ ID が構成されます。

    Proxy ID の不一致は、フェーズ2障害の最も一般的な理由の1つです。ポリシーベースの Vpn については、プロキシ ID はセキュリティポリシーから派生しています。ローカルアドレスとリモートアドレスはアドレス帳のエントリから取得され、サービスはそのポリシー用に設定されたアプリケーションから取得されます。Proxy ID の不一致が原因でフェーズ2が失敗した場合は、ポリシーを使用して、どのアドレス帳エントリを構成するかを確認できます。アドレスが送信した情報と一致していることを確認します。サービスをチェックして、ポートが送信されている情報と一致していることを確認します。

IPsec セキュリティアソシエーションの統計とエラーを確認する

目的

IPsec セキュリティアソシエーションの ESP および認証ヘッダーのカウンターとエラーを確認します。

アクション

動作モードから、統計情報show security ipsec statistics index index_numberを表示する VPN のインデックス番号を使用してコマンドを入力します。

このshow security ipsec statisticsコマンドを使用して、すべての sa の統計とエラーを確認することもできます。

すべての IPsec 統計情報を消去するclear security ipsec statisticsには、このコマンドを使用します。

VPN全体でパケット損失の問題が発生した場合、コマンドを数回実行して、暗号化および復号化されたパケット カウンターが増加している show security ipsec statistics のを確認できます。また、他のエラーカウンターが増加しているかどうかも確認する必要があります。