ポリシーベース IPsec VPN
ポリシーベースVPNは、2つのエンドポイント間に作成されたIPsec VPNトンネルをポリシー自体内で指定し、ポリシーの一致基準を満たすトランジットトラフィックに対するポリシーアクションを設定する設定です。
ポリシーベースIPsec VPNについて
ポリシーベースのIPsec VPNの場合、セキュリティポリシーは、ポリシーの一致基準を満たすトランジットトラフィックに使用するVPNトンネルをアクションとして指定します。VPN は、ポリシー ステートメントとは独立して設定されます。ポリシーステートメントは、VPNを名前で参照し、トンネルへのアクセスを許可するトラフィックを指定します。ポリシーベースのVPNの場合、各ポリシーはリモートピアと個別のIPsecセキュリティアソシエーション(SA)を作成し、それぞれが個別のVPNトンネルとしてカウントされます。例えば、ポリシーにグループの送信元アドレスとグループの宛先アドレスが含まれている場合、アドレスセットに属するユーザーの1人が宛先アドレスとして指定されたホストのいずれかと通信しようとすると、新しいトンネルがネゴシエートされ、確立されます。各トンネルには独自のネゴシエーションプロセスと個別のSAペアが必要なため、ポリシーベースのIPsec VPNを使用すると、ルートベースのVPNよりもリソースを大量に消費する可能性があります。
ポリシーベースVPNの使用例は次のとおりです。
ダイヤルアップVPNを実装しています。
ポリシーベースのVPNでは、ファイアウォールポリシーに基づいてトラフィックを誘導できます。
複数のリモート サイト間で VPN を設定する場合は、ルートベース VPN の使用をお勧めします。ルートベースVPNは、ポリシーベースVPNと同じ機能を提供できます。
制限事項:
-
ポリシーベースのIPSec VPNはIKEv2ではサポートされていません。
-
IPsec VPNサービスのプロセスを実行しているファイアウォールで
junos-ikeパッケージを使用している場合ikedポリシーベースのIPsec VPNのサポートは利用できません。junos-ikeパッケージでは、ポリシーベースのIPsec VPN設定は効果がないため削除します。RE3を搭載したSRX5K-SPC3では、junos-ikeパッケージがデフォルトで利用可能です。SRX1500以上のプラットフォームでは、オプションのパッケージとなります。詳細については、「 新しいパッケージでのIPsec VPN機能サポート 」を参照してください。
関連項目
例:ポリシーベースVPNの設定
この例では、2 つのサイト間でデータを安全に転送できるようにポリシーベースの IPsec VPN を設定する方法を示しています。
要件
この例では、次のハードウェアを使用しています。
-
任意のSRXシリーズファイアウォール
- Junos OSリリース20.4R1でvSRX仮想ファイアウォールを使用して更新および再検証しました。
このガイドで取り上げられているトピックや操作を実際に体験してみませんか? ジュニパーネットワークス仮想ラボのIPsecポリシーベースのデモ を今すぐご覧になり、無料のサンドボックスをご予約ください。IPsec VPNポリシーベースサンドボックスは、セキュリティカテゴリにあります。
開始する前に、 IPsecの概要をお読みください。
概要
この例では、SRX1 と SRX2 上でポリシーベースの VPN を設定します。Host1とHost2は、VPNを使用して、インターネットを介して両ホスト間でトラフィックを安全に送信します。
図1 は、ポリシーベースのVPNトポロジーの例を示しています。
IKE IPsec トンネル ネゴシエーションには 2 つのフェーズが存在します。フェーズ1では、参加者はIPsecセキュリティアソシエーション(SA)をネゴシエートするためのセキュアなチャネルを確立します。フェーズ2では、参加者はトンネルを通過するトラフィックを認証するためにIPsec SAとネゴシエートします。トンネルネゴシエーションに2つのフェーズがあるのと同様に、トンネル設定にも2つのフェーズがあります。
この例では、インターフェイス、IPv4 デフォルト ルート、およびセキュリティ ゾーンを設定します。次に、IKEフェーズ1、IPsecフェーズ2、セキュリティポリシー、TCP-MSSパラメータを設定します。 表 1 から 表 5 を参照してください。
| 機能 |
名前 |
設定パラメータ |
|---|---|---|
| インターフェイス |
ge-0/0/0.0 |
10.100.11.1/24 |
| ge-0/0/1.0 |
172.16.13.1/24 |
|
| セキュリティゾーン |
信頼 |
|
| 信頼できない |
|
|
| スタティックルート |
0.0.0.0/0 |
|
| 機能 |
名前 |
設定パラメータ |
|---|---|---|
| プロポーザル |
標準 |
|
| ポリシー |
IKE-POL |
|
| ゲートウェイ |
IKE-GW |
|
| 機能 |
名前 |
設定パラメータ |
|---|---|---|
| プロポーザル |
標準 |
|
| ポリシー |
IPSEC-POL |
|
| VPN |
VPNからホスト2 |
|
| 目的 |
名前 |
設定パラメータ |
|---|---|---|
| このセキュリティポリシーは、trustゾーンからuntrustゾーンへのトラフィックを許可します。 |
VPN-OUT |
|
| このセキュリティ ポリシーは、untrust ゾーンから trust ゾーンへのトラフィックを許可します。 |
VPNイン |
|
| このセキュリティポリシーは、trustゾーンからuntrustゾーンへのすべてのトラフィックを許可します。 デフォルト許可セキュリティポリシーの前にVPN-OUTポリシーを配置する必要があります。Junos OS は、リストの一番上からセキュリティ ポリシーのルックアップを実行します。デフォルト許可ポリシーがVPN-OUTポリシーの前に来る場合、トラストゾーンからのすべてのトラフィックはデフォルト許可ポリシーに一致し、許可されます。したがって、VPN-OUTポリシーに一致するトラフィックはありません。 |
デフォルト許可 |
|
| 目的 |
設定パラメータ |
|---|---|
| TCP-MSSは、TCPスリーウェイハンドシェイクの一部としてネゴシエートされ、TCPセグメントの最大サイズをネットワークの最大送信単位(MTU)制限に適応するように制限します。これはVPNトラフィックにとって特に重要です。IPsecカプセル化のオーバーヘッドと、IPおよびフレームのオーバーヘッドにより、結果として得られるカプセル化セキュリティペイロード(ESP)パケットが物理インターフェイスのMTUを超え、フラグメント化が発生する可能性があるためです。フラグメント化は、帯域幅とデバイスリソースの使用増加の原因となります。 MTU が 1500 以上のイーサネットベース ネットワークのほとんどでは、1350 を開始値としてお勧めします。最適なパフォーマンスを得るには、さまざまなTCP-MSS値を試す必要があるかもしれません。例えば、パス内にMTUが小さいデバイスが存在したり、PPPやフレームリレーなどの追加オーバーヘッドがあったりすると、値を変更する必要がある場合があります。 |
MSS値:1350 |
設定
基本的なネットワークおよびセキュリティゾーン情報の設定
CLIクイックコンフィグレーション
この例をSRX1用にすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。これを行う方法の詳細については、 CLIユーザーガイドを参照してください。
インターフェイス、静的ルート、セキュリティゾーンの情報を設定するには:
-
インターフェイスを設定します。
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32
-
静的ルートを設定します。
[edit] user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
インターネットに面したインターフェイスをuntrustセキュリティゾーンに割り当てます。
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
untrust セキュリティ ゾーンで許可されるシステム サービスを指定します。
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Host1 を向いたインターフェイスを trust セキュリティ ゾーンに割り当てます。
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
trust セキュリティ ゾーンで許可されるシステム サービスを指定します。
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
結果
設定モードから、 show interfaces、 show routing-options、 show security zones コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.100.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.13.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.100.100.1/32;
}
}
}
[edit]
user@SRX1# show routing-options
static {
route 0.0.0.0/0 next-hop 172.16.13.2;
}
[edit]
user@SRX1# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
IKEの設定
CLIクイックコンフィグレーション
この例をSRX1用にすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。手順については、 『CLIユーザーガイド』を参照してください。
IKEを設定するには:
-
IKEプロポーザルを作成します。
[edit security ike] user@SRX1# set proposal standard
-
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
IKEポリシーを作成します。
[edit security ike] user@SRX1# set policy IKE-POL
-
IKEポリシーモードを設定します。
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
IKEプロポーザルへのリファレンスを指定します。
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
IKEポリシーの認証方法を定義します。
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
IKEゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike gateway IKE-GW] user@SRX1# set external-interface ge-0/0/1.0
-
IKEゲートウェイアドレスを定義します。
[edit security ike gateway IKE-GW] user@SRX1# address 172.16.23.1
-
IKEポリシーリファレンスを定義します。
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
結果
設定モードから、 show security ike コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security ike
proposal standard {
authentication-method pre-shared-keys;
}
policy IKE-POL {
mode main;
proposals standard;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway IKE-GW {
ike-policy IKE-POL;
address 172.16.23.1;
external-interface ge-0/0/1;
}
IPsecの設定
CLIクイックコンフィグレーション
この例をSRX1用にすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。手順については、 『CLIユーザーガイド』を参照してください。
IPsecを設定するには:
-
IPsecプロポーザルを作成します。
[edit] user@SRX1# set security ipsec proposal standard
-
IPsecポリシーを作成します。
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
IPsecプロポーザルのリファレンスを指定します。
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
IKEゲートウェイを指定します。
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
IPsecポリシーを指定します。
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
すぐに確立するようにトンネルを設定します。
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 establish-tunnels immediately
結果
設定モードから、 show security ipsec コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@SRX1# show security ipsec
proposal standard;
policy IPSEC-POL {
proposals standard;
}
vpn VPN-to-Host2 {
ike {
gateway IKE-GW;
ipsec-policy IPSEC-POL;
}
establish-tunnels immediately;
}
セキュリティポリシーの設定
CLIクイックコンフィグレーション
この例をSRX1用にすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone untrust set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。手順については、 『CLIユーザーガイド』を参照してください。
セキュリティポリシーを設定するには:
-
セキュリティポリシーで使用するネットワークのアドレス帳エントリを作成します。
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone untrust
-
trustゾーンのHost1からuntrustゾーンのHost2へのトラフィックでマッチングするセキュリティポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2
-
trustゾーンからuntrustゾーンへのインターネットへの他のすべてのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
untrustゾーンのHost2からtrustゾーンのHost1へのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone untrust to-zone trust] user@SRX1# set policy VPN-IN match source-address Host2-Net user@SRX1# set policy VPN-IN match destination-address Host1-Net user@SRX1# set policy VPN-IN match application any user@SRX1# set policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
結果
設定モードから、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@SRX1# show security policies
from-zone trust to-zone untrust {
policy VPN-OUT {
match {
source-address Host1-Net;
destination-address Host2-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy VPN-IN {
match {
source-address Host2-Net;
destination-address Host1-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
}
TCP-MSSの設定
CLIクイックコンフィグレーション
この例をSRX1用にすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security flow tcp-mss ipsec-vpn mss 1350
ステップバイステップの手順
TCP-MSS情報を設定するには、次の手順に従います。
-
TCP-MSS情報を設定します。
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
結果
設定モードから、 show security flow コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@SRX1# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
SRX2 の設定
CLIクイックコンフィグレーション
参考までに、SRX2 の構成を示します。
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone untrust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host1 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
IKEステータスの検証
目的
IKEステータスを確認します。
アクション
動作モードから、 show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detail コマンドを使用します。
user@SRX1> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 1859361 UP 9788fa59c3ee2e2a 0b17e52f34b83aba Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859361 detail
IKE peer 172.16.23.1, Index 1859361, Gateway Name: IKE-GW
Role: Responder, State: UP
Initiator cookie: 9788fa59c3ee2e2a, Responder cookie: 0b17e52f34b83aba
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Lifetime: Expires in 17567 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 172.16.23.1
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1740
Output bytes : 1132
Input packets: 15
Output packets: 7
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 4 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Local identity: 172.16.13.1
Remote identity: 172.16.23.1
Flags: IKE SA is created
意味
show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSA(セキュリティアソシエーション)を一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。
SAが表示される場合は、以下の情報を確認します。
-
インデックス—この値はIKE SAごとに固有で、
show security ike security-associations index detailコマンドで使用すると、SAに関する詳細情報を得ることができます。 -
リモートアドレス—リモートIPアドレスが正しいことを確認します。
-
状態
-
UP - フェーズ1のSAが確立されました。
-
DOWN - フェーズ 1 SA の確立に問題がありました。
-
-
モード—正しいモードが使用されていることを確認します。
設定で以下が適切か検証します。
-
外部インターフェイス(インターフェイスはIKEパケットを受信するインターフェイスである必要があります)
-
IKEポリシーパラメータ
-
事前共有鍵情報
-
フェーズ1のプロポーザルパラメーター(両方のピアで一致する必要があります)
show security ike security-associations index 1859361 detailコマンドは、セキュリティ アソシエーションに関する追加情報をインデックス番号 1859361 で一覧表示します。
-
使用される認証および暗号化アルゴリズム
-
フェーズ1のライフタイム
-
トラフィック統計情報(トラフィックが双方向に正しく流れていることを検証するために使用できます)
-
開始側と応答側のロール情報
トラブルシューティングは、レスポンダ ロールを使用してピア上で実行するのが最適です。
-
作成されたIPsec SAの数
-
進行中のフェーズ2ネゴシエーションの数
IPsecフェーズ2ステータスの確認
目的
IPsecフェーズ2のステータスを確認します。
アクション
動作モードから、 show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detail コマンドを使用します。
user@SRX1 show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/sha1 ae5afc5a 921/ unlim - root 500 172.16.23.1 >2 ESP:3des/sha1 6388a743 921/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 2 detail
ID: 2 Virtual-system: root, VPN Name: VPN-to-Host2
Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1
Local Identity: ipv4_subnet(any:0,[0..7]=10.100.11.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=10.100.22.0/24)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: VPN-OUT
Port: 500, Nego#: 30, Fail#: 0, Def-Del#: 0 Flag: 0x600829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Thu Jul 29 2021 14:29:22 -0700: IPSec SA negotiation successfully completed (29 times)
Thu Jul 29 2021 12:00:30 -0700: IKE SA negotiation successfully completed (4 times)
Wed Jul 28 2021 15:20:58
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Jul 28 2021 15:05:13 -0700: IPSec SA negotiation successfully completed (1 times)
Wed Jul 28 2021 15:05:13
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's address received. Information updated (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's zone received. Information updated (1 times)
Wed Jul 28 2021 11:17:38
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Jul 28 2021 09:27:11 -0700: IKE SA negotiation successfully completed (19 times)
Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times)
Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times)
Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times)
Direction: inbound, SPI: ae5afc5a, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 6388a743, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
意味
show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。
-
ID番号は2です。この値を
show security ipsec security-associations indexコマンドと併用して、この特定のSAに関する詳細情報を取得します。 -
ポート500を使用するIPsec SAペアが1つあり、NATトラバーサルが実装されていないことを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな数字の大きいポートを使用します。)
-
両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。921/unlim値は、フェーズ2のライフタイムの有効期限が921秒であり、ライフサイズが指定されていないことを示し、無制限であることを示しています。フェーズ2のライフタイムはフェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しないためです。
-
月曜の列にあるハイフンで示されているように、このSAではVPN監視が有効になっていません。VPN監視が有効な場合、U(アップ)またはD(ダウン)がリストされます。
-
仮想システム(vsys)はルート システムであり、常に 0 が表示されます。
show security ipsec security-associations index 2 detailコマンドからの出力には、以下の情報が表示されます。
-
ローカル ID とリモート ID により、SA のプロキシ ID が構成されます。
プロキシIDの不一致は、フェーズ2の失敗で最もよくある理由の1つです。ポリシーベースのVPNの場合、プロキシIDはセキュリティポリシーから取得されます。ローカルアドレスとリモートアドレスはアドレス帳エントリから取得され、サービスはポリシーに設定されたアプリケーションから取得されます。プロキシIDの不一致によりフェーズ2が失敗した場合、ポリシーを使用してどのアドレス帳エントリが設定されているかを確認できます。アドレスが送信される情報と一致していることを確認します。ポートが送信される情報と一致していることを確認します。
VPN全体のトラフィックフローをテストする
目的
VPN全体のトラフィックフローを検証します。
アクション
Host1デバイスから ping コマンドを使用して、Host2へのトラフィックフローをテストします。
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.300/3.936/8.562/0.720 ms
意味
Host1 からの ping コマンドが失敗した場合は、ルーティング、セキュリティ ポリシー、エンド ホスト、ESP パケットの暗号化と復号化に問題がある可能性があります。
IPsec セキュリティ アソシエーションの統計情報とエラーの確認
目的
IPsecセキュリティアソシエーションのESPおよび認証ヘッダーカウンターとエラーを確認します。
アクション
動作モードから、統計情報を表示するVPNのインデックス番号を使用して show security ipsec statistics index index_number コマンドを入力します。
user@SRX1> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
show security ipsec statisticsコマンドを使用して、すべてのSAの統計情報とエラーを確認することもできます。
すべてのIPsec統計情報を消去するには、 clear security ipsec statistics コマンドを使用します。
意味
VPN全体でパケット損失の問題が発生した場合は、 show security ipsec statistics コマンドを数回実行して、暗号化および復号化されたパケットカウンターが増加していることを確認できます。また、他のエラー カウンターが増加しているかどうかも確認する必要があります。
ポリシーベースVPNからルートベースVPNへの移行
共有ポイントツーポイント st0 インターフェイスを使用して、ポリシーベースの VPN からルートベースの VPN に設定を移行する場合は、このトピックをお読みください。
SRXシリーズファイアウォールは、kmdプロセスを使用してIPsec VPNを実行するファイアウォール上でポリシーベースのVPNをサポートしますが、関連する制限があります。ポリシーは、プロトコルとアプリケーションのポート番号の観点からVPNトンネルに入るトラフィックを制御できますが、IKEv1はセキュリティアソシエーション(SA)ネゴシエーションにおけるプロトコルまたはポートネゴシエーションをサポートしていません。そのため、ファイアウォールはポリシーベースのVPNではトラフィックをきめ細かく制御できません。ポリシーベースのVPNをルートベースのVPNに移行することをお勧めします。
ポリシーベースVPNからルートベースVPNに移行するには、以下の手順を実行します。
-
kmdプロセスを使用して、Junos OSデバイスで実行されているIPsec VPNオブジェクトを非アクティブ化します。
-
junos-ikeパッケージをインストールし、ikedプロセスを使用してIPsec VPNサービスを実行します。junos-ikeパッケージのインストールを参照してください。 -
共有ポイントツーポイント st0 インターフェイスに関連する前提条件を設定します。 共有ポイントツーポイントst0インターフェイスを参照してください。
-
以前に非アクティブ化されたIPsec VPNオブジェクトを、共有ポイントツーポイントのst0インターフェイスでアクティブにします。
ダウンタイムを最小限に抑えるために、移行のベストプラクティスを使用して移行を実行することをお勧めします。
制限事項
-
共有ポイントツーポイントのst0インターフェイスを使用するikedプロセスに移行した後は、kmdベースのIPsec VPNサービスに戻すことはできません。
-
ポリシーベースのVPNは、データトラフィックに対してポリシー検索が実行された場合、ポリシールックアップ時にポリシーが設定されるシーケンス順序を暗黙のうちに適用します。しかし、ルートベースVPNでは、トラフィックセレクターがあっても、VPNが設定されるシーケンス順は適用されません。これは、VPN設定ごとのトラフィックセレクターごとのメトリックによって決定されるためです。
サンプル設定
移行する前に、kmd プロセスを使用するポリシーベースの IPsec VPN について次の構成があるとします。ポリシーベースVPNのサポートは、IKEv1でのみ利用可能です。この設定では、セキュリティポリシーが基準に一致する場合、デバイスはトラフィックをVPNトンネルに誘導します。 ポリシーベースIPsec VPNを参照してください。
[edit security policies]
user@host# show
from-zone zone1 to-zone zone2 {
policy policy1 {
match {
source-address 192.168.2.0/24;
destination-address 10.0.2.0/24;
}
then {
permit {
tunnel {
ipsec-vpn vpn1;
}
}
}
}
}
from-zone zone3 to-zone zone4 {
policy policy2 {
match {
source-address 192.168.3.0/24;
destination-address 10.0.3.0/24;
}
then {
permit {
tunnel {
ipsec-vpn vpn2;
}
}
}
}
}
[edit security ipsec]
user@host# show
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 2400;
}
policy ipsec_pol {
proposals ipsec_prop;
}
vpn vpn1 {
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
vpn vpn2 {
ike {
gateway gw2;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
移行後、次の構成がわかります。複数のトラフィックセレクター、ポート、プロトコルのサポートは、IKEv1では利用できないことに注意してください。ikedプロセスを使用するIPsec VPNサービスの同じst0インターフェイスにVPNオブジェクトをバインドする必要があります。明示的なトラフィックセレクター設定を使用して、同じst0インターフェイスにバインドする2つの異なるIPsec VPNオブジェクトを持つ2つの異なるIKEゲートウェイを設定することができます。
[edit security ipsec]
user@host# show
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 2400;
}
policy ipsec_pol {
proposals ipsec_prop;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
traffic-selector ts1 {
local-ip 192.168.2.0/24;
remote-ip 10.0.2.0/24;
}
establish-tunnels immediately;
}
vpn vpn2 {
bind-interface st0.0;
ike {
gateway gw2;
ipsec-policy ipsec_pol;
}
traffic-selector ts1 {
local-ip 192.168.3.0/24;
remote-ip 10.0.3.0/24;
}
establish-tunnels immediately;
}
関連項目
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。