Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポリシーベースの IPsec VPN

ポリシーベース VPN とは、ポリシーの一致基準を満たすトランジット トラフィックに対するポリシー アクションを使用して、2 つのエンド ポイント間に作成された IPsec VPN トンネルがポリシー自体で指定される設定です。

ポリシーベースの IPsec VPN について

ポリシーベースの IPsec VPN の場合、セキュリティ ポリシーは、ポリシーの一致条件を満たすトランジット トラフィックに使用する VPN トンネルをアクションとして指定します。VPN は、ポリシー ステートメントに依存しません。ポリシー ステートメントは、名前で VPN を参照し、トンネルへのアクセスが許可されるトラフィックを指定します。ポリシーベース VPN の場合、各ポリシーはリモート ピアとの個々の IPsec セキュリティ アソシエーション(SA)を作成し、それぞれが個々の VPN トンネルとしてカウントされます。たとえば、ポリシーにグループ送信元アドレスとグループ宛先アドレスが含まれている場合、そのアドレス セットに属するいずれかのユーザーが宛先アドレスとして指定されたいずれかのホストとの通信を試みるたびに、新しいトンネルがネゴシエートされ、確立されます。各トンネルには独自のネゴシエーション プロセスと個別の SA ペアが必要であるため、ポリシーベースの IPsec VPN の使用は、ルートベース VPN よりもリソース集約型になります。

ポリシーベース VPN の使用例:

  • ダイヤルアップ VPN を実装しています。

  • ポリシーベース VPN を使用すると、ファイアウォール ポリシーに基づいてトラフィックを誘導できます。

複数のリモート サイト間で VPN を設定する場合は、ルートベース VPN を使用することをお勧めします。ルートベース VPN は、ポリシーベース VPN と同じ機能を提供できます。

例:ポリシーベース VPN の設定

この例では、2 つのサイト間でデータを安全に転送できるように、ポリシーベースの IPsec VPN を設定する方法を示しています。

要件

この例では、次のハードウェアを使用します。

  • 任意の SRX シリーズ デバイス

    • Junos OS リリース 20.4R1 で vSRX を使用して更新および再検証。
注:

このガイドで取り上げたトピックと運用について実践的な経験を積むことに興味がありますか?ジュニパーネットワークスバーチャルラボのIPsecポリシーベースのデモにアクセスして、今すぐ無料のサンドボックスを予約してください。セキュリティ カテゴリには、IPsec VPN ポリシーベースサンドボックスがあります。

始める前に、 を読んでください IPsec の概要

概要

この例では、SRX1 と SRX2 にポリシーベース VPN を設定します。Host1 と Host2 は VPN を使用して、両方のホスト間でインターネット経由でトラフィックを安全に送信します。

図 1 は、ポリシーベース VPN トポロジーの例を示しています。

図 1: ポリシーベース VPN トポロジー ポリシーベース VPN トポロジー

IKE IPsec トンネル ネゴシエーションは 2 つのフェーズで行われます。フェーズ 1 では、参加者は、SA(IPsec セキュリティ アソシエーション)をネゴシエートするセキュア チャネルを確立します。フェーズ 2 では、参加者はトンネルを通過するトラフィックを認証するために IPsec SA をネゴシエートします。トンネル ネゴシエーションには 2 つのフェーズがありますが、トンネル設定には 2 つのフェーズがあります。

この例では、インターフェイス、IPv4 デフォルト ルート、セキュリティ ゾーンを設定します。次に、IKE フェーズ 1、IPsec フェーズ 2、セキュリティ ポリシー、TCP-MSS パラメーターを設定します。詳細を確認 表 1 してください 表 5

表 1: SRX1 のインターフェイス、スタティック ルート、セキュリティ ゾーン情報

特長

お名前

設定パラメータ

インターフェイス

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

セキュリティ ゾーン

信頼

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

 

信頼できない

  • ge-0/0/1.0インターフェイスは、このゾーンにバインドされています。

スタティックルート

0.0.0.0/0

  • ネクスト ホップは 172.16.13.2 です。

表 2: IKE フェーズ 1 設定パラメータ

特長

お名前

設定パラメータ

提案

標準

  • 認証方法: 事前共有鍵

ポリシー

IKE-POL

  • モード:メイン

  • プロポーザル リファレンス: 標準

  • IKE フェーズ 1 ポリシー認証方法: 事前共有鍵 ascii テキスト

ゲートウェイ

IKE-GW

  • IKEポリシーリファレンス: IKE-POL

  • 外部インターフェイス: ge-0/0/1

  • ゲートウェイ アドレス: 172.16.23.1

表 3: IPsec フェーズ 2 設定パラメータ

特長

お名前

設定パラメータ

提案

標準

  • デフォルト設定の使用

ポリシー

IPSEC-POL

  • プロポーザル リファレンス: 標準

VPN

VPN-to-Host2

  • IKEゲートウェイリファレンス: IKE-GW

  • IPsec ポリシーリファレンス: IPSEC-POL

  • 直ちにトンネルを確立
表 4: セキュリティ ポリシー設定パラメータ

目的

お名前

設定パラメータ

このセキュリティ ポリシーは、trust ゾーンから untrust ゾーンへのトラフィックを許可します。

VPN アウト

  • 一致条件:

    • 送信元アドレス Host1-Net

    • 宛先アドレス Host2-Net

    • アプリケーション

  • アクションの許可: トンネル ipsec-vpn VPN-to-Host2

このセキュリティ ポリシーは、untrust ゾーンから trust ゾーンへのトラフィックを許可します。

VPN-IN

  • 一致条件:

    • 送信元アドレス Host2-Net

    • 宛先アドレス Host1-Net

    • アプリケーション

  • アクションの許可: トンネル ipsec-vpn VPN-to-Host2

このセキュリティ ポリシーは、trust ゾーンから untrust ゾーンへのすべてのトラフィックを許可します。

デフォルトの許可セキュリティ ポリシーの前に VPN-OUT ポリシーを設定する必要があります。Junos OS は、リストの先頭からセキュリティ ポリシー ルックアップを実行します。デフォルトの許可ポリシーが VPN-OUT ポリシーの前に来る場合、信頼ゾーンからのすべてのトラフィックはデフォルトの許可ポリシーと一致し、許可されます。したがって、トラフィックが VPN-OUT ポリシーと一致することはありません。

デフォルトの許可

  • 一致条件:

    • 送信元アドレス any

    • 送信元-宛先

    • アプリケーション

  • アクション:許可

表 5: TCP-MSS 設定パラメータ

目的

設定パラメータ

TCP-MSS は TCP スリーウェイ ハンドシェイクの一部としてネゴシエートされ、TCP セグメントの最大サイズをネットワーク上の最大伝送単位(MTU)制限に合わせて制限します。これは VPN トラフィックにとって特に重要です。IPsec カプセル化のオーバーヘッドと IP とフレームのオーバーヘッドにより、結果として生じる ESP(セキュリティ ペイロードのカプセル化)パケットが物理インターフェイスの MTU を超え、フラグメント化が発生する可能性があるためです。フラグメント化により、帯域幅とデバイス リソースの使用が増加します。

MTUが1500以上のイーサネットベースのほとんどのネットワークの開始点として、1350の値を推奨します。最適なパフォーマンスを得るために、さまざまな TCP-MSS 値を試す必要がある場合があります。たとえば、パス内のデバイスの MTU が低い場合や、PPP やフレーム リレーなどの追加オーバーヘッドがある場合は、値を変更する必要があります。

MSS 値: 1350

設定

基本的なネットワークおよびセキュリティ ゾーン情報の設定

CLI クイック設定

この例を SRX1 に迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLI ユーザー ガイドを参照してください。

インターフェイス、静的ルート、セキュリティ ゾーンの情報を設定するには、次の手順に沿います。

  1. インターフェイスを設定します。

  2. 静的ルートを設定します。

  3. インターネットに接続するインターフェイスを信頼できないセキュリティ ゾーンに割り当てます。

  4. 信頼できないセキュリティ ゾーンで許可されるシステム サービスを指定します。

  5. Host1 対応インターフェイスを trust セキュリティ ゾーンに割り当てます。

  6. trust セキュリティ ゾーンで許可されるシステム サービスを指定します。

結果

設定モードから、 、および コマンドをshow interfacesshow routing-options入力して設定をshow security zones確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

IKE の設定

CLI クイック設定

この例を SRX1 に迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLI ユーザー ガイドを参照してください。

IKEを設定するには、次の手順に関する手順に関

  1. IKE プロポーザルを作成します。

  2. IKE プロポーザルの認証方法を定義します。

  3. IKE ポリシーを作成します。

  4. IKE ポリシー モードを設定します。

  5. IKEプロポーザルへの参照を指定します。

  6. IKE ポリシー認証方法を定義します。

  7. IKE ゲートウェイを作成し、その外部インターフェイスを定義します。

  8. IKE ゲートウェイ アドレスを定義します。

  9. IKEポリシーリファレンスを定義します。

結果

設定モードから、コマンドを入力して設定を show security ike 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

IPsec の設定

CLI クイック設定

この例を SRX1 に迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLI ユーザー ガイドを参照してください。

IPsec を設定するには、次の手順に関する手順にしてください。

  1. IPsec プロポーザルを作成します。

  2. IPsec ポリシーを作成します。

  3. IPsec プロポーザル リファレンスを指定します。

  4. IKEゲートウェイを指定します。

  5. IPsec ポリシーを指定します。

  6. 直ちに確立するようにトンネルを設定します。

結果

設定モードから、コマンドを入力して設定を show security ipsec 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

セキュリティ ポリシーの設定

CLI クイック設定

この例を SRX1 に迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLI ユーザー ガイドを参照してください。

セキュリティ ポリシーを設定するには、以下の手順に関する手順にしてください。

  1. セキュリティ ポリシーで使用されるネットワークのアドレス帳エントリを作成します。

  2. trust ゾーンの Host1 から untrust ゾーンの Host2 へのトラフィックに一致するセキュリティ ポリシーを作成します。

  3. trust ゾーンから untrust ゾーンへのインターネットへの他のすべてのトラフィックを許可するセキュリティ ポリシーを作成します。

  4. 信頼ゾーンの Host2 から信頼ゾーンの Host1 へのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

TCP-MSS の設定

CLI クイック設定

この例を SRX1 に迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

TCP-MSS 情報を設定するには、以下の手順に応えます。

  1. TCP-MSS 情報を設定します。

結果

設定モードから、コマンドを入力して設定を show security flow 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

SRX2 の設定

CLI クイック設定

参考までに、SRX2 の設定が用意されています。

この例のセクションを迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピーアンドペーストしてから、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認するには、次のタスクを実行します。

IKE ステータスの検証

目的

IKE ステータスを確認します。

対処

動作モードから、コマンドを show security ike security-associations 入力します。コマンドからインデックス番号を取得した後、コマンドを show security ike security-associations index index_number detail 使用します。

意味

このコマンドは show security ike security-associations 、すべてのアクティブな IKE フェーズ 1 セキュリティ アソシエーション(SA)をリストします。SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。

SA が表示されている場合は、次の情報を確認します。

  • インデックス—この値は各 IKE SA で一意です。この値は、コマンドで show security ike security-associations index detail 使用して SA に関する詳細情報を取得できます。

  • リモート アドレス — リモート IP アドレスが正しいことを確認します。

  • 都道府県

    • UP — フェーズ 1 SA が確立されました。

    • DOWN—フェーズ 1 SA の確立に問題が発生しました。

  • モード — 正しいモードが使用されていることを確認します。

設定で以下が正しいことを確認します。

  • 外部インターフェイス(インターフェイスは IKE パケットを受信するインターフェイスである必要があります)

  • IKE ポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ 1 プロポーザル パラメーター(両方のピアで一致する必要があります)

コマンドは show security ike security-associations index 1859361 detail 、セキュリティアソシエーションに関する追加情報をインデックス番号の1859361にリストします。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ 1 ライフタイム

  • トラフィック統計(トラフィックが双方向に適切に流れているかどうかを検証するために使用できます)

  • イニシエーターとレスポンダーの役割情報

    トラブルシューティングは、レスポンダーロールを使用してピアで実行するのが最善です。

  • 作成された IPsec SA の数

  • 進行中のフェーズ 2 ネゴシエーション数

IPsec フェーズ 2 ステータスの検証

目的

IPsec フェーズ 2 ステータスを確認します。

対処

動作モードから、コマンドを show security ipsec security-associations 入力します。コマンドからインデックス番号を取得した後、コマンドを show security ipsec security-associations index index_number detail 使用します。

意味

コマンドからの出力には、 show security ipsec security-associations 以下の情報がリストされます。

  • ID 番号は 2 です。この値をコマンドと一緒に show security ipsec security-associations index 使用して、この特定の SA に関する詳細情報を取得します。

  • ポート 500 を使用する 1 つの IPsec SA ペアは、NAT トラバーサルが実装されていないことを示します。(NAT トラバーサルは、ポート 4500 または別のランダムな高番号ポートを使用します)。

  • 両方向の SPI、ライフタイム(秒)、使用制限(または KB 単位のライフサイズ)が表示されます。921/unlim 値は、フェーズ 2 のライフタイムが 921 秒で期限切れになり、ライフサイズが指定されておらず、無制限であることを示します。フェーズ 2 のライフタイムはフェーズ 1 のライフタイムと異なる場合があります。フェーズ 2 は VPN が稼働した後のフェーズ 1 に依存しません。

  • 「モン」列のハイフンで示されているように、この SA では VPN 監視は有効になっていません。VPN 監視が有効になっている場合は、U(アップ)または D(ダウン)が表示されます。

  • 仮想システム(vsys)はルートシステムであり、常に0をリストします。

コマンドからの出力には、 show security ipsec security-associations index 2 detail 以下の情報がリストされます。

  • ローカル ID とリモート ID が SA のプロキシ ID を構成します。

    プロキシ ID の不一致は、フェーズ 2 の障害の最も一般的な理由の 1 つです。ポリシーベース VPN の場合、プロキシ ID はセキュリティ ポリシーから派生します。ローカル アドレスとリモート アドレスはアドレス 帳のエントリから派生し、サービスはポリシーに対して設定されたアプリケーションから派生します。プロキシ ID の不一致が原因でフェーズ 2 が失敗した場合は、ポリシーを使用して、設定されているアドレス帳エントリを確認できます。アドレスが送信される情報と一致することを確認します。ポートが送信される情報と一致していることを確認します。

VPN 全体のトラフィック フローのテスト

目的

VPN 全体のトラフィック フローを検証します。

対処

ping Host1 デバイスのコマンドを使用して、Host2 へのトラフィック フローをテストします。

意味

Host1 からコマンドが ping 失敗した場合、ルーティング、セキュリティ ポリシー、エンド ホスト、または ESP パケットの暗号化と復号化に問題が発生している可能性があります。

IPsec セキュリティ アソシエーションの統計情報とエラーの確認

目的

IPsec セキュリティ アソシエーションの ESP および認証ヘッダー カウンターとエラーを確認します。

対処

動作モードから、統計情報を show security ipsec statistics index index_number 表示する VPN のインデックス番号を使用してコマンドを入力します。

コマンドを使用して、 show security ipsec statistics すべての SA の統計情報とエラーを確認することもできます。

すべての IPsec 統計情報を消去するには、コマンドを clear security ipsec statistics 使用します。

意味

VPN 全体でパケット 損失の問題が発生した場合は、コマンドを show security ipsec statistics 数回実行して、暗号化および復号化されたパケット カウンターが増加していることを確認できます。また、他のエラー カウンターが増加しているかどうかを確認する必要があります。