ポリシーベース IPsec VPN
ポリシーベースVPNは、2つのエンドポイント間に作成されたIPsec VPNトンネルをポリシー自体の中で指定し、ポリシーの一致条件を満たすトランジットトラフィックに対するポリシーアクションを設定する設定です。
ポリシーベース IPsec VPN について
ポリシーベースのIPsec VPNの場合、セキュリティポリシーは、ポリシーの一致基準を満たすトランジットトラフィックに使用するVPNトンネルをアクションとして指定します。VPN は、ポリシー ステートメントとは独立して設定されます。ポリシーステートメントは、トンネルへのアクセスを許可するトラフィックを指定するために、名前でVPNを参照します。ポリシーベースの VPN の場合、各ポリシーはリモート ピアとともに個別の IPsec セキュリティアソシエーション (SA) を作成し、それぞれが個別の VPN トンネルとしてカウントされます。例えば、ポリシーにグループ送信元アドレスとグループ宛先アドレスが含まれている場合、アドレスセットに属するユーザーの1人が宛先アドレスとして指定されたホストのいずれかと通信しようとすると、新しいトンネルがネゴシエートされて確立されます。各トンネルは独自のネゴシエーション プロセスと個別の SA ペアを必要とするため、ポリシーベースの IPsec VPN を使用した方がルートベースの VPN よりもリソースを大量に消費する可能性があります。
ポリシーベースのVPNの使用例は次のとおりです。
ダイヤルアップ VPN を実装しています。
ポリシーベースのVPNでは、ファイアウォールポリシーに基づいてトラフィックを誘導することができます。
複数のリモート サイト間でVPNを設定する場合は、ルートベースVPNの使用をお勧めします。ルートベース VPN は、ポリシーベース VPN と同じ機能を提供できます。
制限:
-
ポリシーベースの IPSec VPN は、IKEv2 ではサポートされません。
-
IPsec VPNサービスの
ikedプロセスを実行しているファイアウォールでjunos-ikeパッケージを使用する場合、ポリシーベースのIPsec VPNのサポートは利用できません。junos-ikeパッケージでは、ポリシーベースのIPsec VPN設定が無効になるため削除します。RE3対応SRX5K-SPC3では、デフォルトでjunos-ikeパッケージが使用可能であることに注意してください。SRX1500以上のプラットフォームでは、これはオプションのパッケージです。詳細については、 新しいパッケージによるIPsec VPN機能のサポート を参照してください。
関連項目
例:ポリシーベースVPNの設定
この例では、ポリシーベースのIPsec VPNを設定して、2つのサイト間でデータを安全に転送できるようにする方法を示しています。
要件
この例では、次のハードウェアを使用しています。
-
任意のSRXシリーズファイアウォール
- Junos OSリリース20.4R1でvSRX仮想ファイアウォールを使用して更新され、再検証されました。
このガイドで紹介されているトピックや操作を実際に体験してみませんか?今すぐ ジュニパーネットワークス仮想ラボの IPsec ポリシーベースのデモをご覧になり、無料のサンドボックスをご予約ください。IPsec VPNポリシーベースのサンドボックスは、セキュリティカテゴリーにあります。
始める前に、IPsec の概要を読んでください。
概要
この例では、SRX1 と SRX2 上でポリシーベースの VPN を構成します。Host1とHost2は、VPNを使用して、インターネットを介して両ホスト間でトラフィックを安全に送信します。
図 1 にポリシーベースのVPNトポロジーの例を示します。
IKE IPsec トンネルのネゴシエーションには 2 つのフェーズが存在します。フェーズ1では、参加デバイスはIPsecセキュリティアソシエーション(SA)とのネゴシエーションのためのセキュアなチャンネルを確立します。フェーズ2では、参加デバイスはトンネルを通過するトラフィックを認証するためにIPsec SAとネゴシエートします。トンネル ネゴシエーションに 2 つのフェーズがあるのと同様に、トンネルの設定にも 2 つのフェーズがあります。
この例では、インターフェイス、IPv4 デフォルト ルート、およびセキュリティ ゾーンを構成します。次に、IKEフェーズ1、IPsecフェーズ2、セキュリティポリシー、TCP-MSSパラメータを設定します。「 表 1 から 表 5」を参照してください。
|
機能 |
お名前 |
設定パラメータ |
|---|---|---|
|
インターフェイス |
ge-0/0/0.0 |
10.100.11.1/24 |
|
ge-0/0/1.0 |
172.16.13.1/24 |
|
|
セキュリティ ゾーン |
trust |
|
|
untrust |
|
|
|
静的ルート |
0.0.0.0/0 |
|
|
機能 |
お名前 |
設定パラメータ |
|---|---|---|
|
プロポーザル |
標準 |
|
|
ポリシー |
IKE-POL |
|
|
ゲートウェイ |
IKE-GW |
|
|
機能 |
お名前 |
設定パラメータ |
|---|---|---|
|
プロポーザル |
標準 |
|
|
ポリシー |
IPSEC-POL |
|
|
VPN |
VPN-to-Host2 |
|
|
目的 |
お名前 |
設定パラメータ |
|---|---|---|
|
このセキュリティ ポリシーは、trust ゾーンから untrust ゾーンへのトラフィックを許可します。 |
VPN-OUT |
|
|
このセキュリティ ポリシーは、untrust ゾーンから trust ゾーンへのトラフィックを許可します。 |
VPN-IN |
|
|
このセキュリティ ポリシーは、trust ゾーンから untrust ゾーンへのすべてのトラフィックを許可します。 VPN-OUT ポリシーは、デフォルトの許可セキュリティ ポリシーの前に配置する必要があります。Junos OSは、リストの一番上からセキュリティポリシーの検索を実行します。default-permit ポリシーが VPN-OUT ポリシーの前に来る場合、trust ゾーンからのすべてのトラフィックはdefault-permit ポリシーに一致し、許可されます。したがって、VPN-OUTポリシーに一致するトラフィックはありません。 |
デフォルト許可 |
|
|
目的 |
設定パラメータ |
|---|---|
|
TCP-MSSは、TCPスリーウェイ ハンドシェイクの一部としてネゴシエートされ、TCPセグメントの最大サイズを、ネットワーク上の最大送信単位(MTU)制限に適応するよう制限します。IPsecカプセル化のオーバーヘッドと、IPおよびフレームのオーバーヘッドにより、結果として得られるESP(カプセル化セキュリティペイロード)パケットが物理インターフェイスのMTUを超え、フラグメント化を引き起こす可能性があるため、これはVPNトラフィックにとって特に重要です。フラグメント化は、帯域幅とデバイスリソースの使用増加の原因となります。 MTUが1500以上のイーサネットベース ネットワークでは、ほとんどの場合で1350を開始値としてお勧めします。最適なパフォーマンスを実現するためには、さまざまなTCP-MSS値を試す必要があるかもしれません。たとえば、パス内にMTUが小さいデバイスが存在したり、PPPやフレーム リレーなどの追加オーバーヘッドがあったりすると、値を変更する必要がある場合もあります。 |
MSS値:1350 |
設定
基本的なネットワークおよびセキュリティ ゾーン情報の設定
CLIクイック構成
この例を SRX1 ですばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルの CLI に貼り付けて、設定モードから commit を入力します。
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、 CLIユーザーガイドを参照してください。
インターフェイス、静的ルート、セキュリティ ゾーンの情報を構成するには:
-
インターフェイスを設定します。
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32
-
静的ルートを構成します。
[edit] user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
インターネットに面したインターフェイスをuntrust セキュリティゾーンに割り当てます。
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
untrust セキュリティ ゾーンで許可されるシステム サービスを指定します。
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Host1 を向いたインターフェイスを trust セキュリティ ゾーンに割り当てます。
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
trust セキュリティ ゾーンで許可されるシステム サービスを指定します。
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
結果
コンフィギュレーションモードから、show interfacesshow routing-options、、およびの各コマshow security zonesンドを入力し、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.100.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.13.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.100.100.1/32;
}
}
}
[edit]
user@SRX1# show routing-options
static {
route 0.0.0.0/0 next-hop 172.16.13.2;
}
[edit]
user@SRX1# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
IKEの設定
CLIクイック構成
この例を SRX1 ですばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルの CLI に貼り付けて、設定モードから commit を入力します。
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、CLIユーザーガイドを参照してください。
IKEを設定するには、次の手順に従います。
-
IKEプロポーザルを作成します。
[edit security ike] user@SRX1# set proposal standard
-
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
IKEポリシーを作成します。
[edit security ike] user@SRX1# set policy IKE-POL
-
IKEポリシー モードを設定します。
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
IKEプロポーザルへのリファレンスを指定します。
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
IKEポリシーの認証方法を定義します。
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
IKEゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike gateway IKE-GW] user@SRX1# set external-interface ge-0/0/1.0
-
IKEゲートウェイ アドレスを定義します。
[edit security ike gateway IKE-GW] user@SRX1# address 172.16.23.1
-
IKE ポリシーのリファレンスを定義します。
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
結果
設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security ike
proposal standard {
authentication-method pre-shared-keys;
}
policy IKE-POL {
mode main;
proposals standard;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway IKE-GW {
ike-policy IKE-POL;
address 172.16.23.1;
external-interface ge-0/0/1;
}
IPsecの設定
CLIクイック構成
この例を SRX1 ですばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルの CLI に貼り付けて、設定モードから commit を入力します。
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、CLIユーザーガイドを参照してください。
IPsecを設定するには、次の手順に従います。
-
IPsecプロポーザルを作成します。
[edit] user@SRX1# set security ipsec proposal standard
-
IPsecポリシーを作成します。
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
IPsecプロポーザル リファレンスを指定します。
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
IKEゲートウェイを指定します。
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
IPsecポリシーを指定します。
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
すぐに確立するようにトンネルを構成します。
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 establish-tunnels immediately
結果
設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@SRX1# show security ipsec
proposal standard;
policy IPSEC-POL {
proposals standard;
}
vpn VPN-to-Host2 {
ike {
gateway IKE-GW;
ipsec-policy IPSEC-POL;
}
establish-tunnels immediately;
}
セキュリティ ポリシーの設定
CLIクイック構成
この例を SRX1 ですばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルの CLI に貼り付けて、設定モードから commit を入力します。
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone untrust set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、CLIユーザーガイドを参照してください。
セキュリティ ポリシーを設定するには、次の手順に従います。
-
セキュリティ ポリシーで使用するネットワークのアドレス帳エントリを作成します。
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone untrust
-
trustゾーンのHost1からuntrustゾーンのHost2へのトラフィックでマッチングするセキュリティポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2
-
trustゾーンからuntrustゾーンへのインターネットへの他のすべてのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
untrust ゾーンの Host2 から trust ゾーンの Host1 へのトラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone untrust to-zone trust] user@SRX1# set policy VPN-IN match source-address Host2-Net user@SRX1# set policy VPN-IN match destination-address Host1-Net user@SRX1# set policy VPN-IN match application any user@SRX1# set policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
結果
設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@SRX1# show security policies
from-zone trust to-zone untrust {
policy VPN-OUT {
match {
source-address Host1-Net;
destination-address Host2-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy VPN-IN {
match {
source-address Host2-Net;
destination-address Host1-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
}
TCP-MSSの設定
CLIクイック構成
この例を SRX1 ですばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルの CLI に貼り付けて、設定モードから commit を入力します。
set security flow tcp-mss ipsec-vpn mss 1350
ステップバイステップでの手順
TCP-MSS情報を設定するには、次の手順に従います。
-
TCP-MSS 情報を構成します。
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
結果
設定モードから、show security flowコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@SRX1# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
SRX2 を構成する
CLIクイック構成
参考までに、SRX2 の構成を示します。
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone untrust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host1 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
IKEステータスの検証
目的
IKEステータスを検証します。
アクション
動作モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。
user@SRX1> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 1859361 UP 9788fa59c3ee2e2a 0b17e52f34b83aba Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859361 detail
IKE peer 172.16.23.1, Index 1859361, Gateway Name: IKE-GW
Role: Responder, State: UP
Initiator cookie: 9788fa59c3ee2e2a, Responder cookie: 0b17e52f34b83aba
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Lifetime: Expires in 17567 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 172.16.23.1
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1740
Output bytes : 1132
Input packets: 15
Output packets: 7
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 4 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Local identity: 172.16.13.1
Remote identity: 172.16.23.1
Flags: IKE SA is created
意味
show security ike security-associations コマンドは、すべてのアクティブな IKE フェーズ 1 セキュリティー アソシエーション(SA)を一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。
SAが表示される場合は、次の情報を確認します。
-
インデックス—この値は、各IKE SAに固有のもので、
show security ike security-associations index detailコマンドで使用すると、SAの詳細な情報を得ることができます。 -
Remote Address - リモート IP アドレスが正しいかどうかを確認します。
-
State
-
UP - フェーズ1のSAが確立されました。
-
DOWN - フェーズ1のSAの確立に問題がありました。
-
-
Mode:正しいモードが使用されていることを確認してください。
設定で以下が適切か検証します。
-
外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)
-
IKEポリシー パラメータ
-
事前共有鍵情報
-
フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)
show security ike security-associations index 1859361 detailコマンドは、インデックス番号1859361のセキュリティ アソシエーションに関する追加情報を表示します。
-
使用している認証および暗号化アルゴリズム
-
フェーズ1のライフタイム
-
トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)
-
開始側と応答側のロール情報
トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。
-
作成されたIPsec SAの数
-
進行中のフェーズ2ネゴシエーションの数
IPsecフェーズ2のステータスの確認
目的
IPsec フェーズ 2 のステータスを確認します。
アクション
動作モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。
user@SRX1 show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/sha1 ae5afc5a 921/ unlim - root 500 172.16.23.1 >2 ESP:3des/sha1 6388a743 921/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 2 detail
ID: 2 Virtual-system: root, VPN Name: VPN-to-Host2
Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1
Local Identity: ipv4_subnet(any:0,[0..7]=10.100.11.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=10.100.22.0/24)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: VPN-OUT
Port: 500, Nego#: 30, Fail#: 0, Def-Del#: 0 Flag: 0x600829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Thu Jul 29 2021 14:29:22 -0700: IPSec SA negotiation successfully completed (29 times)
Thu Jul 29 2021 12:00:30 -0700: IKE SA negotiation successfully completed (4 times)
Wed Jul 28 2021 15:20:58
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Jul 28 2021 15:05:13 -0700: IPSec SA negotiation successfully completed (1 times)
Wed Jul 28 2021 15:05:13
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's address received. Information updated (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's zone received. Information updated (1 times)
Wed Jul 28 2021 11:17:38
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Jul 28 2021 09:27:11 -0700: IKE SA negotiation successfully completed (19 times)
Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times)
Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times)
Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times)
Direction: inbound, SPI: ae5afc5a, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 6388a743, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
意味
show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。
-
ID番号は2です。この値を
show security ipsec security-associations indexコマンドと併用して、この特定の SA に関する詳細情報を取得します。 -
ポート500を使用する1つのIPsec SAペアがあり、NATトラバーサルが未実装であることを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな数字の大きいポートを使用します。)
-
両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。921/unlim値は、フェーズ2のライフタイムの期限が921秒であり、ライフサイズが指定されていないことを示しており、無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。
-
月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効になっている場合、U(アップ)またはD(ダウン)が表示されます。
-
仮想システム(vsys)はルート システムであり、常に0が表示されます。
show security ipsec security-associations index 2 detailコマンドからの出力には、次の情報が表示されます。
-
ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。
プロキシIDの不一致は、フェーズ2の失敗で最もよくある理由の1つです。ポリシーベース VPN の場合、プロキシー ID はセキュリティ ポリシーから取得されます。ローカルアドレスとリモートアドレスはアドレス帳エントリーから派生し、サービスはポリシー用に設定されたアプリケーションから派生します。プロキシIDが一致しないためにフェーズ2が失敗した場合は、ポリシーを使用して、設定されているアドレス帳エントリを確認できます。アドレスが送信する情報と一致することを確認します。サービスをチェックして、ポートが送信される情報と一致していることを確認します。
VPN全体におけるトラフィックフローのテスト
目的
VPN全体で、トラフィックフローを検証します。
アクション
ping コマンドを使用して、Host1 デバイスから Host2 へのトラフィックフローをテストします。
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.300/3.936/8.562/0.720 ms
意味
Host1 からの ping コマンドが失敗する場合、ルーティング、セキュリティ ポリシー、エンド ホスト、ESP パケットの暗号化と復号化のいずれかに問題がある可能性があります。
IPsecセキュリティ アソシエーションの統計情報とエラーの確認
目的
IPsecセキュリティ アソシエーションにおける、ESPおよび認証ヘッダーのカウンターとエラーを確認します。
アクション
動作モードから、統計情報を表示するVPNのインデックス番号を使用してshow security ipsec statistics index index_numberコマンドを入力します。
user@SRX1> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
show security ipsec statisticsコマンドを使用して、すべてのSAの統計情報とエラーを確認することもできます。
すべてのIPsec統計情報を消去するには、clear security ipsec statisticsコマンドを使用します。
意味
VPN全体でパケット損失の問題が発生した場合、 show security ipsec statistics コマンドを数回実行して、暗号化および復号化されたパケットカウンターが増加していることを確認できます。また、他のエラー カウンターが増加しているかどうかも確認する必要があります。
ポリシーベース VPN からルートベース VPN への移行
共有ポイントツーポイントのst0インターフェイスを使用して、ポリシーベースのVPNからルートベースのVPNに設定を移行する場合は、このトピックをお読みください。
SRXシリーズファイアウォールは、kmdプロセスを使用してIPSec VPNを実行するファイアウォールでポリシーベースのVPNをサポートしていますが、関連する制限があります。ポリシーでは、アプリケーションのプロトコルとポート番号の観点からVPNトンネルに入るトラフィックを制御できますが、IKEv1はセキュリティアソシエーション(SA)ネゴシエーションでのプロトコルまたはポートネゴシエーションをサポートしていません。そのため、ファイアウォールはポリシーベースのVPNではトラフィックをきめ細かく制御できません。ポリシーベースのVPNは、ルートベースのVPNに移行することをお勧めします。
ポリシーベース VPN からルートベース VPN に移行するには、以下の手順を実行します。
-
kmdプロセスを使用して、Junos OSデバイスで実行されているIPSec VPNオブジェクトを非アクティブ化します。
-
junos-ikeパッケージをインストールし、iked プロセスを使用してIPSec VPNサービスを実行します。junos-ikeパッケージのインストールを参照してください。 -
共有ポイントツーポイントst0インターフェイスに関連する前提条件を設定します。共有ポイントツーポイントst0インターフェイスを参照してください。
-
共有ポイントツーポイント st0 インターフェイスを使用して、以前に非アクティブ化した IPSec VPN オブジェクトをアクティブにします。
ダウンタイムを最小限に抑えるために、移行のベスト プラクティスを使用して移行を実行することをお勧めします。
限界
-
共有ポイントツーポイントst0インターフェイスを使用するikedプロセスに移行すると、kmdベースのIPSec VPNサービスに戻すことはできません。
-
ポリシーベースのVPNは、データトラフィックに対してポリシー検索が実行された場合に、ポリシーが構成される順序を暗黙的に強制します。しかし、ルートベースのVPNでは、トラフィックセレクターがあっても、VPNが設定されたシーケンス順序は強制されません。シーケンスは、vpn設定ごとのトラフィックセレクターごとのメトリックによって制御されるためです。
サンプル構成
移行の前に、kmdプロセスを使用するポリシーベースのIPSec VPNについて、次のような構成を行ったとします。ポリシーベースの VPN のサポートは、IKEv1 でのみ利用可能であることに注意してください。この設定では、セキュリティポリシーが基準に一致する場合、デバイスはトラフィックをVPNトンネルに誘導します。ポリシーベースのIPsec VPNを参照してください。
[edit security policies]
user@host# show
from-zone zone1 to-zone zone2 {
policy policy1 {
match {
source-address 192.168.2.0/24;
destination-address 10.0.2.0/24;
}
then {
permit {
tunnel {
ipsec-vpn vpn1;
}
}
}
}
}
from-zone zone3 to-zone zone4 {
policy policy2 {
match {
source-address 192.168.3.0/24;
destination-address 10.0.3.0/24;
}
then {
permit {
tunnel {
ipsec-vpn vpn2;
}
}
}
}
}
[edit security ipsec]
user@host# show
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 2400;
}
policy ipsec_pol {
proposals ipsec_prop;
}
vpn vpn1 {
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
vpn vpn2 {
ike {
gateway gw2;
ipsec-policy ipsec_pol;
}
establish-tunnels immediately;
}
移行後、次の構成が表示されます。複数のトラフィック セレクター、ポート、およびプロトコルのサポートは、IKEv1 では利用できないことに注意してください。iked プロセスを使用する IPSec VPN サービスでは、VPN オブジェクトを同じ st0 インターフェイスにバインドする必要があります。明示的なトラフィックセレクター設定で、同じst0インターフェイスにバインドする2つの異なるIPSec VPNオブジェクトを持つ2つの異なるIKEゲートウェイを設定できます。
[edit security ipsec]
user@host# show
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 2400;
}
policy ipsec_pol {
proposals ipsec_prop;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
ipsec-policy ipsec_pol;
}
traffic-selector ts1 {
local-ip 192.168.2.0/24;
remote-ip 10.0.2.0/24;
}
establish-tunnels immediately;
}
vpn vpn2 {
bind-interface st0.0;
ike {
gateway gw2;
ipsec-policy ipsec_pol;
}
traffic-selector ts1 {
local-ip 192.168.3.0/24;
remote-ip 10.0.3.0/24;
}
establish-tunnels immediately;
}
関連項目
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。