NAT-Tを使用したルートベースVPNおよびポリシーベースVPN
Network Address Translation-Traversal(NAT-T)は、IPsecで保護されたデータが、アドレス変換のためにNATで設定されたデバイスを通過する際に発生するIPアドレス変換関連の問題を管理するために使用される方法です。
NAT-Tについて
ネットワークアドレス変換トラバーサル(NAT-T)とは、IPsecで保護されたデータがアドレス変換のためにNATデバイスを通過する際に発生するIPアドレス変換の問題を回避するための手法です。NATの機能であるIPアドレッシングの変更があった場合、IKEはパケットを破棄します。NAT-Tは、フェーズ1交換時にデータパスに沿って1つ以上のNATデバイスを検出した後、IPsecパケットにユーザーデータグラムプロトコル(UDP)カプセル化のレイヤーを追加し、アドレス変換後のパケットが廃棄されないようにします。NAT-Tは、IKEとESPの両方のトラフィックをUDP内でカプセル化し、ポート4500を送信元と宛先の両方のポートとして使用します。NATデバイスは古くなったUDP変換を期限切れにするため、ピア間でキープアライブメッセージが必要になります。
NAT-Tはデフォルトで有効化されているため、NAT-Tを無効にするには、[edit security ike gateway gateway-name
階層レベルでno-nat-traversal
ステートメントを使用する必要があります。
NATには2つの大きなカテゴリーがあります。
静的NATでは、プライベートアドレスとパブリックアドレスの間に1対1の関係があります。静的NATは、インバウンドとアウトバウンドの双方向で動作します。
動的NATでは、プライベートアドレスとパブリックアドレスの間に多対1または多対多の関係があります。動的NATは、アウトバウンドの方向のみで動作します。
NATデバイスの位置は、次のようにできます。
IKEv1またはIKEv2開始側のみがNATデバイスの背後にあります。複数の開始側を別個のNATデバイスの背後に置くことができます。開始側は、複数のNATデバイスを介して応答側に接続することもできます。
IKEv1またはIKEv2応答側のみがNATデバイスの背後にあります。
IKEv1またはIKEv2開始側と応答側の両方がNATデバイスの後ろにあります。
動的エンドポイントVPNは、開始側のIKE外部アドレスが固定されておらず、応答側がそのアドレスを知らない状況に対応できます。これは、開始側のアドレスがISPによって動的に割り当てられたり、動的アドレスのプールからアドレスを割り当てる動的NATデバイスを開始側の接続が超えたりする場合に発生する可能性があります。
応答側のみがNATデバイスの背後にあるトポロジーと、開始側と応答側の双方がNATデバイスの背後にあるトポロジーについて、NAT-Tの設定例を提供します。NAT-TのサイトツーサイトIKEゲートウェイ設定は、開始側と応答側の双方でサポートされます。リモートIKE IDは、IKEトンネルネゴシエーションのフェーズ1の際にピアのローカルIKE IDを検証するのに利用されます。開始側と応答側の双方で、local-identity
およびremote-identity
の設定が必要です。
SRX5400、SRX5600とSRX5800デバイスでは、IPsec NAT-Tトンネルのスケーリングと維持問題は次のようになります。
ある特定のプライベートIPアドレスにおいて、NATデバイスは500と4500のプライベートポートの双方を同じパブリックIPアドレスに変換するはずです。
特定のパブリックな変換されたIPからのトンネルは合計1000個を超えることができません。
Junos OS Release 19.2R1以降では、NAT-T向けPowerMode IPSec(PMI)に対応するのは、SRX5K-SPC3サービスプロセシングカード(SPC)を搭載したSRX5400、SRX5600およびSRX5800デバイスまたはvSRXのみです。
関連項目
例:NATデバイスの背後にあるレスポンダのみを使用したルートベースVPNの構成
この例では、データを支店と本社の間で安全に転送できるように、NATデバイスの背後にあるレスポンダのみを使用したルートベースVPNを設定する方法を示します。
要件
始める前に、IPsec の概要を読んでください。
概要
この例では、トンネルリソースを節約しながらも、VPNトラフィックに詳細な制限を設定したいために、イリノイ州シカゴの支店にルートベースVPNを設定しています。シカゴ支店のユーザーは、このVPNを使用してカリフォルニア州サニーベールの本社に接続します。
図 1は、NATデバイスの背後にあるレスポンダのみを使用したルートベースVPNのトポロジーの例を示しています。

この例では、シカゴのイニシベーターとサニーベースのレスポンダーの両方に対して、インターフェイス、ルーティングオプション、セキュリティゾーン、セキュリティポリシーを設定します。次に、IKEのフェーズ1およびIPsecのフェーズ2のパラメーターを設定します。
イニシエータから送信された宛先アドレス1.1.1.1/32のパケットは、NATデバイス上で宛先アドレス71.1.1.1/32に変換されます。
例でイニシエーターに使用する固有の設定パラメーターについては、表 1~表 3を参照してください。
機能 |
お名前 |
設定パラメータ |
---|---|---|
インターフェイス |
ge-0/0/1 |
1.0.0.1/24 |
ge-0/0/3 |
33.1.1.1/24 |
|
st0.1(トンネル インターフェイス) |
31.1.1.2/24 |
|
静的ルート |
32.1.1.0/24 |
ネクスト ホップはst0.1です。 |
1.1.1.1/32 |
ネクストホップは 1.0.0.2です。 |
|
セキュリティ ゾーン |
untrust |
|
trust |
|
|
セキュリティ ポリシー |
to-sunnyvale |
trustゾーンの 33.1.1.1/24 からuntrustゾーンの 32.1.1.1/24へのトラフィックを許可します。 |
from-sunnyvale |
untrustゾーンの 32.1.1.1/24からtrustゾーンの 33.1.1.1/24にトラフィックを許可します。 |
機能 |
お名前 |
設定パラメータ |
---|---|---|
プロポーザル |
ike_prop |
|
ポリシー |
ike_pol |
|
ゲートウェイ |
gw1 |
|
機能 |
お名前 |
設定パラメータ |
---|---|---|
プロポーザル |
ipsec_prop |
|
ポリシー |
ipsec_pol |
|
VPN |
vpn1 |
|
この例のレスポンダーで使われた特定の設定パラメーターについては、表 4~表 6 をご覧ください。
機能 |
お名前 |
設定パラメータ |
---|---|---|
インターフェイス |
ge-0/0/2 |
71.1.1.1/24 |
ge-0/0/3 |
32.1.1.1/24 |
|
st0.1(トンネル インターフェイス) |
31.1.1.1/24 |
|
静的ルート |
0.0.0.0/0(デフォルトルート) |
ネクストホップは 71.1.1.2です。 |
33.1.1.0/24 |
ネクスト ホップはst0.1です。 |
|
セキュリティ ゾーン |
untrust |
|
trust |
|
|
セキュリティ ポリシー |
to-chicago |
trustゾーンの 32.1.1.1/24から、untrustゾーンの 33.1.1.1/24へトラフィックを許可します。 |
from-chicago |
untrustゾーンの 33.1.1.1/24からtrustゾーンの 32.1.1.1/24へのトラフィックを許可します。 |
機能 |
お名前 |
設定パラメータ |
---|---|---|
プロポーザル |
ike_prop |
|
ポリシー |
ike_pol |
|
ゲートウェイ |
gw1 |
|
機能 |
お名前 |
設定パラメータ |
---|---|---|
プロポーザル |
ipsec_prop |
|
ポリシー |
ipsec_pol |
|
VPN |
vpn1 |
|
設定
- イニシエーターのインターフェイス、ルーティングオプション、セキュリティゾーン、セキュリティポリシーの構成
- イニシエーターのIKE設定
- イニシエーターのIPsecの設定
- レスポンダのインターフェイス、ルーティングオプション、セキュリティゾーン、セキュリティポリシーの設定
- レスポンダのIKE設定
- レスポンダのIPsecの設定
イニシエーターのインターフェイス、ルーティングオプション、セキュリティゾーン、セキュリティポリシーの構成
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set interfaces ge-0/0/1 unit 0 family inet address 1.0.0.1/24 set interfaces ge-0/0/3 unit 0 family inet address 33.1.1.1/24 set interfaces st0 unit 1 family inet address 31.1.1.2/24 set routing-options static route 32.1.1.0/24 next-hop st0.1 set routing-options static route 1.1.1.1/32 next-hop 1.0.0.2 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security address-book book1 address Chicago-lan 33.1.1.1/24 set security address-book book1 attach zone trust set security address-book book2 address Sunnyvale-lan 32.1.1.1/24 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy to-sunnyvale match source-address Chicago-lan set security policies from-zone trust to-zone untrust policy to-sunnyvale match destination-address Sunnyvale-lan set security policies from-zone trust to-zone untrust policy to-sunnyvale match application any set security policies from-zone trust to-zone untrust policy to-sunnyvale then permit set security policies from-zone untrust to-zone trust policy from-sunnyvale match source-address Sunnyvale-lan set security policies from-zone untrust to-zone trust policy from-sunnyvale match destination-address Chicago-lan set security policies from-zone untrust to-zone trust policy from-sunnyvale match application any set security policies from-zone untrust to-zone trust policy from-sunnyvale then permit
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
インターフェイス、静的ルート、セキュリティゾーン、セキュリティポリシー情報を設定するには、以下の通り設定を行います。
イーサネット インターフェイス情報を設定します。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family inet address 1.0.0.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet address 33.1.1.1/24 user@host# set interfaces st0 unit 1 family inet address 31.1.1.2/24
静的ルートの情報を設定します。
[edit] user@host# set routing-options static route 32.1.1.0/24 next-hop st0.1 user@host# set routing-options static route 1.1.1.1/32 next-hop 1.0.0.2
untrustセキュリティ ゾーンを設定します。
[edit ] user@host# set security zones security-zone untrust
untrustセキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.1
untrustセキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike
trustセキュリティ ゾーンを設定します。
[edit] user@host# set security zones security-zone trust host-inbound-traffic protocols all
trustセキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/3.0
trustセキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
アドレスブックを設定します。
[edit security address-book] user@host# set book1 address Chicago-lan 33.1.1.1/24 user@host# set book1 attach zone trust user@host# set book2 address Sunnyvale-lan 32.1.1.1/24 user@host# set book2 attach zone untrust
セキュリティポリシーを作成します。
[edit security security-policies from-zone trust to-zone untrust] user@host# set policy to-sunnyvale match source-address Chicago-lan user@host# set policy to-sunnyvale match destination-address Sunnyvale-lan user@host# set policy to-sunnyvale match application any user@host# set policy to-sunnyvale then permit [edit security security-policies from-zone untrust to-zone trust] user@host# set policy from-sunnyvale match source-address Sunnyvale-lan user@host# set policy from-sunnyvale match destination-address Chicago-lan user@host# set policy from-sunnyvale match application any user@host# set policy from-sunnyvale then permit
結果
コンフィギュレーションモードから、show interfaces
、show routing-options
、show security zones
、show security address-book
およびshow security policies
コマンドを入力して、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 1.0.0.1/24; } } } ge-0/0/3 { unit 0 { family inet { address 33.1.1.1/24; } } } st0 { unit 1 { family inet { address 31.1.1.2/24 } } }
[edit] user@host# show routing-options static { route 32.1.1.0/24 next-hop st0.1; route 1.1.1.1/32 next-hop 1.0.0.2; }
[edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { ike; } } interfaces { st0.1; ge-0/0/1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; } [edit] [edit] user@host# show security address-book book1 { address Chicago-lan 33.1.1.1/24; attach { zone trust; } } book2 { address Sunnyvale-lan 32.1.1.1/24; attach { zone untrust; } } [edit] user@host# show security policies from-zone trust to-zone untrust { policy to-sunnyvale { match { source-address Chicago-lan; destination-address Sunnyvale-lan; application any; } then { permit; } } } from-zone untrust to-zone trust { policy from-sunnyvale { match { source-address Sunnyvale-lan; destination-address Chicago-lan; application any; } then { permit; } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
イニシエーターのIKE設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha1 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text “$ABC123” set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address 1.1.1.1 set security ike gateway gw1 local-identity user-at-hostname branch_natt1@example.net set security ike gateway gw1 remote-identity user-at-hostname responder_natt1@example.net set security ike gateway gw1 external-interface ge-0/0/1.0
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
IKEを設定するには、次の手順に従います。
IKEフェーズ1のプロポーザルを作成します。
[edit security ike] user@host# set proposal ike_prop
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-keys
IKEプロポーザルのDiffie-hellmanグループを定義します。
[edit security ike proposal ike_prop] user@host# set dh-group group2
IKEプロポーザルの認証アルゴリズムを定義します。
[edit security ike proposal ike_prop] user@host# set authentication-algorithm sha1
IKEプロポーザルの暗号化アルゴリズムを定義します。
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
IKEポリシー1のポリシーを作成します。
[edit security ike] user@host# set policy ike_pol
IKEフェーズ1ポリシーモードを設定します。
[edit security ike policy ike_pol] user@host# set mode main
IKEプロポーザルへのリファレンスを指定します。
[edit security ike policy ike_pol] user@host# set proposals ike_prop
IKEフェーズ1ポリシー認認証方法を定義します。
[edit security ike policy ike_pol] user@host# set pre-shared-key ascii-text “$ABC123”
IKEフェーズ1ゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike gateway gw1] user@host# set external-interface ge-0/0/1.0
IKEフェーズ1ポリシーリファレンスを定義します。
[edit security ike gateway gw1] user@host# set ike-policy ike_pol
IKEフェーズ1のゲートウェイアドレスを定義します。
[edit security ike gateway gw1] user@host# set address 1.1.1.1
ローカルピアの
local-identity
を設定します。[edit security ike gateway gw1] user@host# set local-identity user-at-hostname branch_natt1@example.net
レスポンダの
remote-identity
を設定します。これはIKE識別子です。[edit security ike gateway gw1] user@host# set remote-identity user-at-hostname responder_natt1@example.net
外部インターフェイスを定義します。
[edit security ike gateway gw1] user@host# set external-interface ge-0/0/1.0
結果
設定モードから、show security ike
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security ike proposal ike_prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy ike_pol { mode main; proposals ike_prop; pre-shared-key ascii-text “$ABC123”; } gateway gw1 { ike-policy ike_poly; address 1.1.1.1; local-identity user-at-hostname branch_natt1@example.net; remote-identity user-at-hostname responder_natt1@example.net; external-interface ge-0/0/1.0; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
イニシエーターのIPsecの設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn vpn1 bind-interface st0.1 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
IPsecを設定するには、次の手順に従います。
IPsecフェーズ2のプロポーザルを作成します。
[edit] user@host# set security ipsec proposal ipsec_prop
IPsecフェーズ2のプロポーザルプロトコルを指定します。
[edit security ipsec proposal ipsec_prop] user@host# set protocol esp
IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-sha1-96
IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm 3des-cbc
IPsecフェーズ2ポリシーを作成します。
[edit security ipsec] user@host# set policy ipsec_pol
PFS(完全転送秘密)を使用するIPsecフェーズ2を指定します。
[edit security ipsec policy ipsec_pol] user@host# set perfect-forward-secrecy keys group2
IPsecフェーズ2のプロポーザルのリファレンスを指定します。
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
IKEゲートウェイを指定します。
[edit security ipsec] user@host# set vpn vpn1 ike gateway gw1
IPsecフェーズ2ポリシーを指定します。
[edit security ipsec] user@host# set vpn vpn1 ike ipsec-policy ipsec_pol
バインドするインターフェイスを指定します。
[edit security ipsec] user@host# set vpn vpn1 bind-interface st0.1
検証パケットの送信を待たずに、すぐにトンネルを立ち上げることを指定します。
[edit security ipsec] user@host# set vpn vpn1 establish-tunnels immediately
結果
設定モードから、show security ipsec
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security ipsec proposal ipsec_prop { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy ipsec_pol { perfect-forward-secrecy { keys group2; } proposals ipsec_prop; } vpn vpn1 { bind-interface st0.1; ike { gateway gw1; ipsec-policy ipsec_pol; } establish-tunnels immediately; } proposals ipsec_prop; } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
レスポンダのインターフェイス、ルーティングオプション、セキュリティゾーン、セキュリティポリシーの設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set interfaces ge-0/0/2 unit 0 family inet address 71.1.1.1/24 set interfaces ge-0/0/3 unit 0 family inet address 32.1.1.1/24 set interfaces st0 unit 1 family inet address 31.1.1.1/24 set routing-options static route 0.0.0.0/0 next-hop 71.1.1.2 set routing-options static route 33.1.1.0/24 next-hop st0.1 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security address-book book1 address Sunnyvale-lan 32.1.1.1/24 set security address-book book1 attach zone trust set security address-book book2 address Chicago-lan 33.1.1.1/24 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy to-chicago match source-address Sunnyvale-lan set security policies from-zone trust to-zone untrust policy to-chicago match destination-address Chicago-lan set security policies from-zone trust to-zone untrust policy to-chicago match application any set security policies from-zone trust to-zone untrust policy to-chicago then permit set security policies from-zone untrust to-zone trust policy from-chicago match source-address Chicago-lan set security policies from-zone untrust to-zone trust policy from-chicago match destination-address Sunnyvale-lan set security policies from-zone untrust to-zone trust policy from-chicago match application any set security policies from-zone untrust to-zone trust policy from-chicago then permit
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
インターフェイス、静的ルート、セキュリティゾーン、ポリシー、ゲートウェイを設定するには:
イーサネット インターフェイス情報を設定します。
[edit] user@host# set interfaces ge-0/0/2 unit 0 family inet address 71.1.1.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet address 32.1.1.1/24 user@host# set interfaces st0 unit 1 family inet address 31.1.1.1/24
静的ルートの情報を設定します。
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 71.1.1.2 user@host# set routing-options static route 33.1.1.0/24 next-hop st0.1
untrustセキュリティ ゾーンを設定します。
[edit ] user@host# set security zones security-zone untrust
untrustセキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone untrust] user@host# set security zones security-zone untrust interfaces ge-0/0/2.0 user@host# set security zones security-zone untrust interfaces st0.1
untrustセキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike
trustセキュリティ ゾーンを設定します。
[edit] user@host# set security zones security-zone trust host-inbound-traffic protocols all
trustセキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/3.0
trustセキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
アドレスブックを設定します。
[edit security address-book] user@host# set book1 address Sunnyvale-lan 32.1.1.1/24 user@host# set book1 attach zone trust user@host# set book2 address Chicago-lan 33.1.1.1/24 user@host# set book2 attach zone untrust
セキュリティポリシーを作成します。
[edit security security-policies from-zone trust to-zone untrust] user@host# set policy to-chicago match source-address Sunnyvale-lan user@host# set policy to-chicago match destination-address Chicago-lan user@host# set policy to-chicago match application any user@host# set policy to-chicago then permit [edit security security-policies from-zone untrust to-zone trust] user@host# set policy from-chicago match source-address Chicago-lan user@host# set policy from-chicago match destination-address Sunnyvale-lan user@host# set policy from-chicago match application any user@host# set policy from-chicago then permit
結果
show security address-book
コンフィギュレーション・モードから、 show interfaces
、 show routing-options
、show security zones
およびとコマshow security policies
ンドを入力して、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/2 { unit 0 { family inet { address 71.1.1.1/24; } } } ge-0/0/3 { unit 0 { family inet { address 32.1.1.1/24; } } } st0 { unit 1 { family inet { address 31.1.1.1/24 } } }
[edit] user@host# show routing-options static { route 0.0.0.0/0 next-hop 71.1.1.2; route 33.1.1.0/24 next-hop st0.1; }
[edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { ike; } } interfaces { ge-0/0/2.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/3.0; } } [edit] user@host# show security address-book book1 { address Sunnyvale-lan 32.1.1.1/24; attach { zone trust; } } book2 { address Chicago-lan 33.1.1.1/24; attach { zone untrust; } } [edit] user@host# show security policies from-zone trust to-zone untrust { policy to-chicago { match { source-address Sunnyvale-lan; destination-address Chicago-lan; application any; } then { permit; } } } from-zone untrust to-zone trust { policy from-chicago { match { source-address Chicago-lan; destination-address Sunnyvale-lan; application any; } then { permit; } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
レスポンダのIKE設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha1 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text “$ABC123” set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address 1.0.0.1 set security ike gateway gw1 local-identity user-at-hostname responder_natt1@example.net set security ike gateway gw1 remote-identity user-at-hostname branch_natt1@example.net set security ike gateway gw1 external-interface ge-0/0/2.0
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
IKEを設定するには、次の手順に従います。
IKEフェーズ1のプロポーザルを作成します。
[edit security ike] user@host# set proposal ike_prop
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-keys
IKEプロポーザルのDiffie-hellmanグループを定義します。
[edit security ike proposal ike_prop] user@host# set dh-group group2
IKEプロポーザルの認証アルゴリズムを定義します。
[edit security ike proposal ike_prop] user@host# set authentication-algorithm sha1
IKEプロポーザルの暗号化アルゴリズムを定義します。
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
IKEポリシー1のポリシーを作成します。
[edit security ike] user@host# set policy ike_pol
IKEフェーズ1ポリシーモードを設定します。
[edit security ike policy ike_pol] user@host# set mode main
IKEプロポーザルへのリファレンスを指定します。
[edit security ike policy ike_pol] user@host# set proposals ike_prop
IKEフェーズ1ポリシー認認証方法を定義します。
[edit security ike policy ike_pol] user@host# set pre-shared-key ascii-text “$ABC123”
IKEフェーズ1ゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike gateway gw1] user@host# set external-interface ge-0/0/2.0
IKEフェーズ1ポリシーリファレンスを定義します。
[edit security ike gateway gw1] user@host# set ike-policy ike_pol
IKEフェーズ1のゲートウェイアドレスを定義します。
[edit security ike gateway gw1] user@host# set address 1.0.0.1
レスポンダの
local-identity
を設定します。[edit security ike gateway gw1] user@host# set local-identity user-at-hostname responder_natt1@example.net
レスポンダの
remote-identity
を設定します。これはIKE識別子です。[edit security ike gateway gw1] user@host# set remote-identity user-at-hostname branch_natt1@example.net
結果
設定モードから、show security ike
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security ike proposal ike_prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; } policy ike_pol { mode main; proposals ike_prop; pre-shared-key ascii-text “$ABC123”; } gateway gw1 { ike-policy ike_pol; address 1.0.0.1; local-identity user-at-hostname "responder_natt1@example.net"; remote-identity user-at-hostname "branch_natt1@example.net"; external-interface ge-0/0/2.0; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
レスポンダのIPsecの設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group2 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn vpn1 bind-interface st0.1 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
IPsecを設定するには、次の手順に従います。
IPsecフェーズ2のプロポーザルを作成します。
[edit] user@host# set security ipsec proposal ipsec_prop
IPsecフェーズ2のプロポーザルプロトコルを指定します。
[edit security ipsec proposal ipsec_prop] user@host# set protocol esp
IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-sha1-96
IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。
[edit security ipsec proposal ipsec_prop ] user@host# set encryption-algorithm 3des-cbc
IPsecフェーズ2ポリシーを作成します。
[edit security ipsec] user@host# set policy ipsec_pol
PFS(完全転送秘密)を使用するIPsecフェーズ2を指定します。
[edit security ipsec policy ipsec_pol] user@host# set perfect-forward-secrecy keys group2
IPsecフェーズ2のプロポーザルのリファレンスを指定します。
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
IKEゲートウェイを指定します。
[edit security ipsec] user@host# set security ipsec vpn vpn1 ike gateway gw1
IPsecフェーズ2ポリシーを指定します。
[edit security ipsec] user@host# set vpn vpn1 ike ipsec-policy ipsec_pol
バインドするインターフェイスを指定します。
[edit security ipsec] user@host# set vpn vpn1 bind-interface st0.1
検証パケットの送信を待たずに、すぐにトンネルを立ち上げることを指定します。
[edit security ipsec] user@host# set vpn vpn1 establish-tunnels immediately
結果
設定モードから、show security ipsec
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security ipsec proposal ipsec_prop { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; } policy ipsec_pol { perfect-forward-secrecy { keys group2; } proposals ipsec_prop; } vpn vpn1 { bind-interface st0.1; ike { gateway gw1; ipsec-policy ipsec_pol; } establish-tunnels immediately; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- イニシエーターのIKEフェーズ1ステータスの確認
- イニシエーターのIPsecセキュリティ関連付けの確認
- レスポンダーのIKEフェーズ1のステータスの確認
- レスポンダーのIPsecセキュリティアソシエーションの確認
イニシエーターのIKEフェーズ1ステータスの確認
目的
IKEフェーズ1のステータスを確認します。
対処
認証プロセスを開始する前に、33.1.1.0 ネットワーク内のホストから 32.1.1.0 ネットワーク内のホストにトラフィックを送信する必要があります。ルートベースVPNでは、SRXシリーズ デバイスからトンネルを通ってトラフィックを開始できます。IPsecトンネルをテストする場合は、VPNの片側にあるデバイスからVPNの別の側にある第2デバイスにテスト トラフィックを送信することをお勧めします。例えば、33.1.1.2 から 32.1.1.2 への ping 操作を開始します。
動作モードから show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 106321 UP d31d6833108fd69f 9ddfe2ce133086aa Main 1.1.1.1
user@host> show security ike security-associations index 1 detail IKE peer 1.1.1.1, Index Initiator cookie: d31d6833108fd69f, Responder cookie: 9ddfe2ce133086aa Exchange type: Main, Authentication method: Pre-shared-keys Local: 1.0.0.1:500, Remote: 1.1.1.1:500 Lifetime: Expires in 28785 seconds Peer ike-id: responder_natt1@example.net Xauth assigned IP: responder_natt1@example.net Algorithms: Authentication : hmac-sha1-96 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Flags: IKE SA is created IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 0 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 1.0.0.1:500, Remote: 1.1.1.1:500 Local identity: branch_natt1@example.net Remote identity: responder_natt1@example.net Flags: IKE SA is created
意味
show security ike security-associations
コマンドは、すべてのアクティブなIKEフェーズ1SAを一覧表示します。SAがリストにない場合、フェーズ1の確立に問題が発生したことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。
SAが表示される場合は、次の情報を確認します。
Index—この値は、各IKE SAに固有のもので、 コマ
show security ike security-associations index detail
ンドで使用してSAの詳細情報を得ることができます。リモートアドレス—リモートIPアドレスが正しく、ピアツーピア通信にそのポート500を使用していることを確認します。
ロールイニシエータの状態
上向き—フェーズ1 SAが確立しています。
下向き—フェーズ1 SAの確立に問題がありました。
IPsec SAペアの両ピアが、ポート500を使用しています。
ピアIKE ID—リモートアドレスが正しいかを確認します。
ローカルIDとリモートID—これらが正しいことを確認します。
モード—正しいモードが使用されていることを確認します。
設定で以下が適切か検証します。
外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)
IKEポリシー パラメータ
事前共有鍵情報
フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)
show security ike security-associations
コマンドは、セキュリティの関連付けに関する追加情報を一覧表示します。
使用している認証および暗号化アルゴリズム
フェーズ1のライフタイム
トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)
ロール情報
トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。
イニシエータとレスポンダの情報
作成されたIPsec SAの数
進行中のフェーズ2ネゴシエーションの数
イニシエーターのIPsecセキュリティ関連付けの確認
目的
IPsecステータスを検証します。
対処
動作モードから show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。
user@host> show security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:3des/sha1 ac23df79 2532/ unlim - root 500 1.1.1.1 >131073 ESP:3des/sha1 cbc9281a 2532/ unlim - root 500 1.1.1.1
user@host> show security ipsec security-associations detail Virtual-system: root Local Gateway: 1.0.0.1, Remote Gateway: 1.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv1 DF-bit: clear Direction: inbound, SPI: ac23df79, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3186 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2578 seconds Mode: Tunnel, Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: cbc9281a, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3186 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2578 seconds Mode: Tunnel, Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
意味
show security ipsec security-associations
コマンドからの出力には、次の情報が表示されます。
リモートゲートウェイのNATアドレスは1.1.1.1です。
IPsec SAペアの両ピアが、ポート500を使用しています。
両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。2532/unlim値は、フェーズ2のライフタイムの期限が2532秒であり、ライフサイズが指定されていないことを示しており、無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。
月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。
仮想システム(vsys)はルート システムであり、常に0が表示されます。
レスポンダーのIKEフェーズ1のステータスの確認
目的
IKEフェーズ1のステータスを確認します。
対処
動作モードから show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5802591 UP d31d6833108fd69f 9ddfe2ce133086aa Main 1.0.0.1
user@host> show security ike security-associations index 1 detail IKE peer 1.0.0.1, Index 5802591, Role: Responder, State: UP Initiator cookie: d31d6833108fd69f, Responder cookie: 9ddfe2ce133086aa Exchange type: Main, Authentication method: Pre-shared-keys Local: 71.1.1.1:500, Remote: 1.0.0.1:500 Lifetime: Expires in 25704 seconds Peer ike-id: branch_natt1@example.net Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : 3des-cbc Pseudo random function: hmac-sha1 Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Flags: IKE SA is created IPSec security associations: 8 created, 2 deleted Phase 2 negotiations in progress: 0 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 71.1.1.1:500, Remote: 1.0.0.1:500 Local identity: responder_natt1@example.net Remote identity: branch_natt1@example.net Flags: IKE SA is created
意味
show security ike security-associations
コマンドは、すべてのアクティブなIKEフェーズ1SAを一覧表示します。SAがリストにない場合、フェーズ1の確立に問題が発生したことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。
SAが表示される場合は、次の情報を確認します。
Index—この値は、各IKE SAに固有のもので、
show security ike security-associations index detail
コマンドで使用してSAの詳細情報を得ることができます。リモートアドレス—リモートIPアドレスが正しく、ピアツーピア通信にそのポート500を使用していることを確認します。
ロールレスポンダーの状態
上向き—フェーズ1 SAが確立しています。
下向き—フェーズ1 SAの確立に問題がありました。
ピアIKE ID—アドレスが正しいことを確認します。
ローカルIDとリモートID—アドレスが正しいことを確認します。
モード—正しいモードが使用されていることを確認します。
設定で以下が適切か検証します。
外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)
IKEポリシー パラメータ
事前共有鍵情報
フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)
show security ike security-associations
コマンドは、セキュリティの関連付けに関する追加情報を一覧表示します。
使用している認証および暗号化アルゴリズム
フェーズ1のライフタイム
トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)
ロール情報
トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。
イニシエータとレスポンダの情報
作成されたIPsec SAの数
進行中のフェーズ2ネゴシエーションの数
レスポンダーのIPsecセキュリティアソシエーションの確認
目的
IPsecステータスを検証します。
対処
動作モードから show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。
user@host> show security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <131073 ESP:3des/sha1 a5224cd9 3571/ unlim - root 500 1.0.0.1 >131073 ESP:3des/sha1 82a86a07 3571/ unlim - root 500 1.0.0.1
user@host> show security ipsec security-associations detail Virtual-system: root Local Gateway: 71.1.1.1, Remote Gateway: 1.0.0.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv1 DF-bit: clear Direction: inbound, SPI: a5224cd9, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3523 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2923 seconds Mode: Tunnel, Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 82a86a07, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 3523 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2923 seconds Mode: Tunnel, Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
意味
show security ipsec security-associations
コマンドからの出力には、次の情報が表示されます。
リモートゲートウェイのIPアドレスは1.0.0.1です。
IPsec SAペアの両ピアが、ポート500を使用しています。
両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3571/unlim値は、フェーズ2のライフタイムが3571秒で期限が切れ、ライフサイズが指定されていないことを示し、無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。
月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。
仮想システム(vsys)はルート システムであり、常に0が表示されます。
show security ipsec security-associations index index_iddetail
コマンドからの出力には、次の情報が表示されます。
ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。
プロキシID不一致は、フェーズ2の失敗の原因となる最も一般的な原因の1つです。IPsec SAがリストにない場合、プロキシID設定を含むフェーズ2のプロポーザルが両方のピアで正しいことを確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。
STインターフェイスのバインディングが指定されていないことも、フェーズ2が失敗するよくある理由の1つです。IPsecを完了できない場合は、kmdログを確認するか、トレース オプションを設定します。
例:NAT デバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースの VPN を設定します
この例では、NAT デバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースのVPNを設定し、支社と本社の間で安全にデータを伝送する方法をご紹介します。
要件
始める前に、IPsec の概要をご覧ください。
概要
この例では、イリノイ州シカゴにある支社においてポリシー ベースの VPN を設定します。トンネル リソースを節約しながら、VPN トラフィックをきめ細かく制限することを目標とします。支店のユーザーは、この VPN を使用してカリフォルニア州サニーベールの本社と接続します。
この例では、イニシエーターとレスポンダーの両方に対して、インターフェイス、ルーティング オプション、セキュリティ ゾーン、セキュリティー ポリシーを設定します。
図 2 は、静的 NAT デバイスの背後にイニシエータとレスポンダーの両方を備えたVPNのトポロジーの例を示します。

この例では、インターフェイス、IPv4デフォルトルート、セキュリティゾーンを設定します。次に、ローカルピアとリモートピアを含めたIKEフェーズ1、IPsecフェーズ2、そしてセキュリティポリシー を設定します。なお、上記の例では、レスポンダーのプライベート IP アドレス 13.168.11.1 は静的 NAT デバイスによって非表示にされ、パブリック IP アドレス 1.1.100.1 にマップされています。
この例のイニシエーターに用いられた特定の設定パラメーターについては、表 7から 表 10をご覧ください。
機能 |
お名前 |
設定パラメータ |
---|---|---|
インターフェイス |
ge-0/0/0 |
12.168.99.100/24 |
ge-0/0/1 |
10.1.99.1/24 |
|
静的ルート |
10.2.99.0/24(デフォルト ルート) |
ネクスト ホップは 12.168.99.100 です。 |
1.1.100.0/24 |
12.168.99.100 |
|
セキュリティ ゾーン |
trust |
|
untrust |
|
機能 |
お名前 |
設定パラメータ |
---|---|---|
プロポーザル |
ike_prop |
|
ポリシー |
ike_pol |
|
ゲートウェイ |
gate |
|
機能 |
お名前 |
設定パラメータ |
---|---|---|
プロポーザル |
ipsec_prop |
|
ポリシー |
ipsec_pol |
|
VPN |
first_vpn |
|
目的 |
お名前 |
設定パラメータ |
---|---|---|
セキュリティポリシーによって、 trustゾーンからuntrustゾーンへのトンネルトラフィックを許可します。 |
pol1 |
|
セキュリティポリシーによって、untrustゾーンからtrustゾーンへのトンネルトラフィックを許可します。 |
pol1 |
|
この例のレスポンダーで使われた特定の設定パラメーターについては、表 11 から表 14 をご覧ください。
機能 |
お名前 |
設定パラメータ |
---|---|---|
インターフェイス |
ge-0/0/0 |
13.168.11.100/24 |
ge-0/0/1 |
10.2.99.1/24 |
|
静的ルート |
10.1.99.0/24(デフォルト ルート) |
ネクスト ホップは 13.168.11.100 です。 |
1.1.100.0/24 |
13.168.11.100 |
|
セキュリティ ゾーン |
trust |
|
untrust |
|
機能 |
お名前 |
設定パラメータ |
---|---|---|
プロポーザル |
ike_prop |
|
ポリシー |
ike_pol |
|
ゲートウェイ |
gate |
|
機能 |
お名前 |
設定パラメータ |
---|---|---|
プロポーザル |
ipsec_prop |
|
ポリシー |
ipsec_pol |
|
VPN |
first_vpn |
|
目的 |
お名前 |
設定パラメータ |
---|---|---|
セキュリティポリシーによって、 trustゾーンからuntrustゾーンへのトンネルトラフィックを許可します。 |
pol1 |
|
セキュリティポリシーによって、untrustゾーンからtrustゾーンへのトンネルトラフィックを許可します。 |
pol1 |
|
設定
- イニシエーターのインターフェイス、ルーティング オプション、セキュリティ ゾーンの設定
- イニシエーターのIKEの設定
- イニシエーターのIPsecの設定
- イニシエーターのセキュリティポリシーの設定
- イニシエーターのNATの設定
- レスポンダーのインターフェイス、ルーティングオプション、セキュリティゾーンの設定
- レスポンダーの IKE の設定
- レスポンダーの IPsec の設定
- レスポンダーのセキュリティ ポリシーの設定
- レスポンダーの NAT の設定
イニシエーターのインターフェイス、ルーティング オプション、セキュリティ ゾーンの設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
[edit] set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24 set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24 set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1 set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/0.0
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
インターフェイス、静的ルート、セキュリティゾーンの設定方法:
イーサネット インターフェイス情報を設定します。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.100/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.1.99.1/24
静的ルートの情報を設定します。
[edit] user@host# set routing-options static route 10.2.99.0/24 next-hop 12.168.99.1 user@host# set routing-options static route 1.1.100.0/24 next-hop 12.168.99.1
trustセキュリティ ゾーンを設定します。
[edit ] user@host# set security zones security-zone trust host-inbound-traffic protocols all
trustセキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/1.0
trust セキュリティ ゾーンのシステム サービスを指定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
untrust セキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/0.0
結果
設定モードで、show interfaces
、show routing-options
、show security zones
コマンドを入力して設定を確認します。出力に目的の設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 12.168.99.100/24; } } } ge-0/0/1 { unit 0 { family inet { address 10.1.99.1/24; } } }
[edit] user@host# show routing-options static { route 10.2.99.0/24 next-hop 12.168.99.1; route 1.1.100.0/24 next-hop 12.168.99.1; }
[edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone untrust { host-inbound-traffic { } interfaces { ge-0/0/0.0; } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
イニシエーターのIKEの設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm md5 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode aggressive set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text "$ABC123” set security ike gateway gate ike-policy ike_pol set security ike gateway gate address 13.168.11.100 set security ike gateway gate external-interface ge-0/0/0.0 set security ike gateway gate local-identity hostname chicago
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
IKEを設定するには、次の手順に従います。
IKE フェーズ 1 プロポーザルを作成します。
[edit security ike] user@host# edit proposal ike_prop
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-keys
IKEプロポーザルのDiffie-hellmanグループを定義します。
[edit security ike proposal ike_prop] user@host# set dh-group group2
IKEプロポーザルの認証アルゴリズムを定義します。
[edit security ike proposal ike_prop] user@host# set authentication-algorithm md5
IKEプロポーザルの暗号化アルゴリズムを定義します。
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
IKE フェーズ 1 ポリシーを作成します。
[edit security ike policy ] user@host# edit policy ike_pol
IKEフェーズ1のポリシーモードを設定します。
[edit security ike policy ike_pol] user@host# set mode aggressive
IKEプロポーザルへのリファレンスを指定します。
[edit security ike policy ike_pol] user@host# set proposals ike_prop
IKEフェーズ1ポリシーの認証方法を定義します。
[edit security ike policy ike_pol pre-shared-key] user@host# set ascii-text "$ABC123”
IKE フェーズ 1 ゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike ] user@host# set gateway gate external-interface ge-0/0/0.0
IKE フェーズ 1 ゲートウェイのアドレスを作成します。
[edit security ike gateway gate] set address 13.168.11.100
IKEフェーズ1のポリシーリファレンスを定義します。
[edit security ike gateway gate] set ike-policy ike_pol
local-identity
でローカル ピアを設定します。[edit security ike gateway gate] user@host# set local-identity hostname chicago
結果
設定モードから、show security ike
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security ike proposal ike_prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm md5; encryption-algorithm 3des-cbc; } policy ike_pol { mode aggressive; proposals ike_prop; pre-shared-key ascii-text "$ABC123” } gateway gate { ike-policy ike_pol; address 13.168.11.100; local-identity hostname chicago; external-interface ge-0/0/0.0; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
イニシエーターのIPsecの設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group1 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn first_vpn ike gateway gate set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol set security ipsec vpn first_vpn establish-tunnels immediately
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
IPsecを設定するには、次の手順に従います。
IPsec フェーズ 2 プロポーザルを作成します。
[edit] user@host# edit security ipsec proposal ipsec_prop
IPsec フェーズ 2 プロポーザルのプロトコルを指定します。
[edit security ipsec proposal ipsec_prop] user@host# set protocol esp
IPsec フェーズ 2 プロポーザルの認証アルゴリズムを指定します。
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-md5-96
IPsecフェーズ2のプロポーザル暗号化アルゴリズムを指定します。
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm 3des-cbc
IPsecフェーズ2のプロポーザルリファレンスを指定します。
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
Perfect Forward Secrecy(PFS)グループ1を使用するため、IPsecフェーズ2を指定します。
[edit security ipsec policy ipsec_pol ] user@host# set perfect-forward-secrecy keys group1
IKEゲートウェイを指定します。
[edit security ipsec] user@host# set vpn first_vpn ike gateway gate
IPsec フェーズ 2 ポリシーを指定します。
[edit security ipsec] user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
結果
設定モードから、show security ipsec
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security ipsec proposal ipsec_prop { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm 3des-cbc; } policy ipsec_pol { perfect-forward-secrecy { keys group1; } proposals ipsec_prop; } vpn first_vpn { ike { gateway gate; ipsec-policy ipsec_pol; } establish-tunnels immediately; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
イニシエーターのセキュリティポリシーの設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security policies from-zone trust to-zone untrust policy pol1 match source-address any set security policies from-zone trust to-zone untrust policy pol1 match destination-address any set security policies from-zone trust to-zone untrust policy pol1 match application any set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn set security policies from-zone untrust to-zone trust policy pol1 match application any set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
セキュリティ ポリシーを設定するには、次の手順に従います。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy pol1 match source-address any user@host# set policy pol1 match destination-address any user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
結果
設定モードから、show security policies
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security policies from-zone trust to-zone untrust { policy pol1 { match { source-address any; destination-address any; application any; } then { permit { tunnel { ipsec-vpn first_vpn; } } } } } from-zone untrust to-zone trust { policy pol1 { match { application any; } then { permit { tunnel { ipsec-vpn first_vpn; } } } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
イニシエーターのNATの設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security nat source rule-set ipsec from zone trust set security nat source rule-set ipsec to zone untrust set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0 set security nat source rule-set ipsec rule 1 then source-nat interface set security policies from-zone trust to-zone untrust policy allow-all match source-address any set security policies from-zone trust to-zone untrust policy allow-all match destination-address any set security policies from-zone trust to-zone untrust policy allow-all match application any set security policies from-zone trust to-zone untrust policy allow-all then permit set security policies from-zone untrust to-zone trust policy allow-all match application any set security policies from-zone untrust to-zone trust policy allow-all then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 12.168.99.1/24 set interfaces ge-0/0/1 unit 0 family inet address 1.1.100.23/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.100.22
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
NAT を提供するイニシエーターの設定方法:
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 12.168.99.1/24 user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.23/24
ゾーンを設定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/1.0
NATを設定します。
[edit security nat source rule-set ipsec] user@host# set from zone trust user@host# set to zone untrust user@host# set rule 1 match source-address 0.0.0.0/0 user@host# set rule 1 then source-nat interface
デフォルトのセキュリティポリシーを設定します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy allow-all match source-address any user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any user@host# set from-zone trust to-zone untrust policy allow-all match application any user@host# set from-zone trust to-zone untrust policy allow-all then permit user@host# set from-zone untrust to-zone trust policy allow-all match application any user@host# set from-zone untrust to-zone trust policy allow-all then permit
ルーティング オプションを設定します。
[edit routing-options user@host# set static route 0.0.0.0/0 next-hop 1.1.100.22
結果
設定モードから、show security nat
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security nat source { rule-set ipsec { from zone trust; to zone untrust; rule 1 { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } policies { from-zone trust to-zone untrust { policy allow-all { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy allow-all { match { application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { } interfaces { ge-0/0/1.0; } } } } interfaces { ge-0/0/0 { unit 0 { family inet { address 12.168.99.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 1.1.100.23/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 1.1.100.22; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
レスポンダーのインターフェイス、ルーティングオプション、セキュリティゾーンの設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.100/24 set interfaces ge-0/0/1 unit 0 family inet address 10.2.99.1/24 set routing-options static route 10.1.99.0/24 next-hop 13.168.11.1 set routing-options static route 1.1.100.0/24 next-hop 13.168.11.1 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
インターフェイス、静的ルート、セキュリティ ゾーン、セキュリティ ポリシーの設定手順:
イーサネット インターフェイス情報を設定します。
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.100/24 user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.2.99.1/24
静的ルートの情報を設定します。
[edit] user@host# set routing-options static route 10.1.99.0/24 next-hop 13.168.11.1 user@host# set routing-options static route 1.1.100.0/24 next-hop 13.168.11.1
untrust セキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/0.0
trustセキュリティ ゾーンを設定します。
[edit] user@host# set security zones security-zone trust host-inbound-traffic protocols all
trustセキュリティ ゾーンにインターフェイスを割り当てます。
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/1.0
trustセキュリティ ゾーンで許可されたシステム サービスを指定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all
結果
コンフィギュレーションモードから、show routing-options
、show security zones
、およびshow interfaces
の各コマンドを入力し、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 13.168.11.100/24; } } } ge-0/0/1 { unit 0 { family inet { address 10.2.99.1/24; } } }
[edit] user@host# show routing-options static { route 10.1.99.0/24 next-hop 13.168.11.1; route 1.1.100.0/24 next-hop 13.168.11.1; }
[edit] user@host# show security zones security-zone untrust { host-inbound-traffic { } interfaces { ge-0/0/0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
レスポンダーの IKE の設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm md5 set security ike proposal ike_prop encryption-algorithm 3des-cbc set security ike policy ike_pol mode aggressive set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text "$ABC123" set security ike gateway gate ike-policy ike_pol set security ike gateway gate dynamic hostname chicago set security ike gateway gate external-interface ge-0/0/0.0
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
IKEを設定するには、次の手順に従います。
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal ike_prop] user@host# set authentication-method pre-shared-key
IKEプロポーザルのDiffie-hellmanグループを定義します。
[edit security ike proposal ike_prop] user@host# set dh-group group2
IKEプロポーザルの認証アルゴリズムを定義します。
[edit security ike proposal ike_prop] user@host# set authentication-algorithm md5
IKEプロポーザルの暗号化アルゴリズムを定義します。
[edit security ike proposal ike_prop] user@host# set encryption-algorithm 3des-cbc
IKE フェーズ 1 ポリシーを作成します。
[edit security ike] user@host# edit policy ike_pol
IKEフェーズ1のポリシーモードを設定します。
[edit security ike policy ike_pol] user@host# set mode aggressive
IKEプロポーザルへのリファレンスを指定します。
[edit security ike policy ike_pol] user@host# set proposals ike_prop
IKEフェーズ1ポリシーの認証方法を定義します。
[edit security ike policy ike_pol] user@host# set pre-shared-key ascii-text "$ABC123"
IKE フェーズ 1 ゲートウェイを作成し、その動的なホスト名を定義します。
[edit security ike gateway gate] user@host# set dynamic hostname chicago
IKE フェーズ 1 ゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike gateway gate] user@host# set external-interface ge-0/0/0.0
IKEフェーズ1のポリシーリファレンスを定義します。
[edit security ike gateway gate] user@host# set ike-policy ike_pol
結果
設定モードから、show security ike
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security ike proposal ike_prop { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm md5; encryption-algorithm 3des-cbc; } policy ike_pol { mode aggressive; proposals ike_prop; pre-shared-key ascii-text "$ABC123"; } gateway gate { ike-policy ike_pol; dynamic hostname chicago; external-interface ge-0/0/0.0; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
レスポンダーの IPsec の設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec_prop encryption-algorithm 3des-cbc set security ipsec policy ipsec_pol perfect-forward-secrecy keys group1 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn first_vpn ike gateway gate set security ipsec vpn first_vpn ike ipsec-policy ipsec_pol
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
IPsecを設定するには、次の手順に従います。
IPsec フェーズ 2 プロポーザルを作成します。
[edit] user@host# edit security ipsec proposal ipsec_prop
IPsec フェーズ 2 プロポーザルのプロトコルを指定します。
[edit security security ipsec proposal ipsec_prop] user@host# set protocol esp
IPsec フェーズ 2 プロポーザルの認証アルゴリズムを指定します。
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-md5-96
IPsecフェーズ2のプロポーザル暗号化アルゴリズムを指定します。
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm 3des-cbc
IPsecフェーズ2のポリシーを作成します。
[edit security ipsec] user@host# edit policy ipsec_pol
Perfect Forward Secrecy(PFS)グループ1を使用するため、IPsecフェーズ2を設定します。
[edit security ipsec policy ipsec_pol] user@host# set perfect-forward-secrecy keys group1
IPsecフェーズ2のプロポーザルリファレンスを指定します。
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
IKEゲートウェイを指定します。
[edit security ipsec] user@host# set vpn first_vpn ike gateway gate
IPsec フェーズ 2 ポリシーを指定します。
[edit security ipsec] user@host# set vpn first_vpn ike ipsec-policy ipsec_pol
結果
設定モードから、show security ipsec
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security ipsec proposal ipsec_prop { protocol esp; authentication-algorithm hmac-md5-96; encryption-algorithm 3des-cbc; } policy ipsec_pol { perfect-forward-secrecy { keys group1; } proposals ipsec_prop; } vpn first_vpn { ike { gateway gate; ipsec-policy ipsec_pol; } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
レスポンダーのセキュリティ ポリシーの設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security policies from-zone trust to-zone untrust policy pol1 match source-address any set security policies from-zone trust to-zone untrust policy pol1 match destination-address any set security policies from-zone trust to-zone untrust policy pol1 match application any set security policies from-zone trust to-zone untrust policy pol1 then permit tunnel ipsec-vpn first_vpn set security policies from-zone untrust to-zone trust policy pol1 match application any set security policies from-zone untrust to-zone trust policy pol1 then permit tunnel ipsec-vpn first_vpn
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
セキュリティ ポリシーを設定するには、次の手順に従います。
trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@host# set policy pol1 match source-address any user@host# set policy pol1 match destination-address any user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone untrust to-zone trust] user@host# set policy pol1 match application any user@host# set policy pol1 then permit tunnel ipsec-vpn first_vpn
結果
設定モードから、show security policies
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security policies from-zone trust to-zone untrust { policy pol1 { match { source-address any; destination-address any; application any; } then { permit { tunnel { ipsec-vpn first_vpn; } } } } } from-zone untrust to-zone trust { policy pol1 { match { application any; } then { permit { tunnel { ipsec-vpn first_vpn; } } } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
レスポンダーの NAT の設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set security nat source rule-set ipsec from zone trust set security nat source rule-set ipsec to zone untrust set security nat source rule-set ipsec rule 1 match source-address 0.0.0.0/0 set security nat source rule-set ipsec rule 1 then source-nat interface set security policies from-zone trust to-zone untrust policy allow-all match source-address any set security policies from-zone trust to-zone untrust policy allow-all match destination-address any set security policies from-zone trust to-zone untrust policy allow-all match application any set security policies from-zone trust to-zone untrust policy allow-all then permit set security policies from-zone untrust to-zone trust policy allow-all match application any set security policies from-zone untrust to-zone trust policy allow-all then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 13.168.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 1.1.100.22/24 set routing-options static route 0.0.0.0/0 next-hop 1.1.100.23
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
NATを提供するレスポンダーを設定するには
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet address 13.168.11.1/24 user@host# set ge-0/0/1 unit 0 family inet address 1.1.100.22/24
ゾーンを設定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/0.0
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/1.0
NATを設定します。
[edit security nat source rule-set ipsec] user@host# set from zone trust user@host# set to zone untrust user@host# set rule 1 match source-address 0.0.0.0/0 user@host# set rule 1 then source-nat interface
デフォルトのセキュリティポリシーを設定します。
[edit security policies] user@host# set from-zone trust to-zone untrust policy allow-all match source-address any user@host# set from-zone trust to-zone untrust policy allow-all match destination-address any user@host# set from-zone trust to-zone untrust policy allow-all match application any user@host# set from-zone trust to-zone untrust policy allow-all then permit user@host# set from-zone untrust to-zone trust policy allow-all match application any user@host# set from-zone untrust to-zone trust policy allow-all then permit
ルーティング オプションを設定します。
[edit routing-options user@host# set static route 0.0.0.0/0 next-hop 1.1.100.23
結果
設定モードから、show security nat
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit] user@host# show security nat nat { source { rule-set ipsec { from zone trust; to zone untrust; rule 1 { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } policies { from-zone trust to-zone untrust { policy allow-all { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy allow-all { match { application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } security-zone untrust { host-inbound-traffic { } interfaces { ge-0/0/1.0; } } } } interfaces { ge-0/0/0 { unit 0 { family inet { address 13.168.11.1/24; } } } ge-0/0/1 { unit 0 { family inet { address 1.1.100.22/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 1.1.100.23; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- イニシエーターの IKE フェーズ 1 ステータスの確認
- イニシエーターのIPセキュリティ関連付けの確認
- レスポンダーの IKE フェーズ 1 ステータスの確認
- レスポンダーの IPsec Security Associations の確認
イニシエーターの IKE フェーズ 1 ステータスの確認
目的
IKEフェーズ1ステータスを確認します。
対処
確認プロセスを開始する前に、10.1.99.0ネットワーク内のホストから10.2.99.0ネットワーク内のホストにトラフィックを送信する必要があります。ルートベースVPNでは、SRXシリーズ デバイスからトンネルを通ってトラフィックを開始できます。IPsecトンネルをテストする場合は、VPNの片側にあるデバイスからVPNの別の側にある第2デバイスにテスト トラフィックを送信することをお勧めします。例えば、10.1.99.2 から 10.2.99.2 に ping 操作を開始します。
動作モードから show security ike security-associations
コマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detail
コマンドを使用します。
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5649304 UP c3193077d38e426f 011f0ef28d928f4c Aggressive 13.168.11.
user@host> show security ike security-associations index 5649304 detail IKE peer 13.168.11.100, Index 5649304, Gateway Name: gate Role: Initiator, State: UP Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c Exchange type: Aggressive, Authentication method: Pre-shared-keys Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500 Lifetime: Expires in 26359 seconds Reauth Lifetime: Disabled IKE Fragmentation: Disabled, Size: 0 Remote Access Client Info: Unknown Client Peer ike-id: 13.168.11.100 AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-md5-96 Encryption : 3des-cbc Pseudo random function: hmac-md5 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 1140 Output bytes : 1203 Input packets: 6 Output packets: 6 Input fragmentated packets: 0 Output fragmentated packets: 0 IPSec security associations: 2 created, 3 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 12.168.99.100:4500, Remote: 13.168.11.100:4500 Local identity: chicago Remote identity: 13.168.11.100 Flags: IKE SA is created
意味
show security ike security-associations
コマンドは、すべてのアクティブな IKE フェーズ 1 SA を一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。
SAが表示される場合は、次の情報を確認します。
インデックス—この値は、各IKE SAに固有のもので、
show security ike security-associations index detail
コマンドで使用すると、SAの詳細な情報を得ることができます。リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。
ロールイニシエータの状態
UP - フェーズ1 SAが確立されました。
Down - フェーズ 1 SA の確立に問題がありました。
IPsec SAペアの両方のピアがポート番号4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート番号4500または他のランダムな大きな番号のポートを使用します)。
Peer IKE ID—リモート(レスポンダー)ID が正しいことを確認します。この例のホスト名はsunnyvaleです。
ローカルIDとリモートID—これらが正しいことを確認します。
Mode - 正しいモードが使用されていることを確認します。
設定で以下が適切か検証します。
外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)
IKEポリシー パラメータ
事前共有鍵情報
フェーズ 1 のプロポーザル パラメーター(両ピアで一致する必要があります)
show security ike security-associations
コマンドは、セキュリティアソシエーションに関する追加情報を一覧表示します。
使用している認証および暗号化アルゴリズム
フェーズ 1 のライフタイム
トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)
ロール情報
トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。
イニシエータとレスポンダの情報
作成されたIPsec SAの数
進行中のフェーズ2ネゴシエーションの数
イニシエーターのIPセキュリティ関連付けの確認
目的
IPsecステータスを検証します。
対処
動作モードから show security ipsec security-associations
コマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detail
コマンドを使用します。
user@host> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/md5 aff3ac30 1103/ unlim - root 4500 13.168.11.100 >2 ESP:3des/md5 40539d12 1103/ unlim - root 4500 13.168.11.100
user@host> show security ipsec security-associations detail ID: 2 Virtual-system: root, VPN Name: first_vpn Local Gateway: 12.168.99.100, Remote Gateway: 13.168.11.100 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv1 DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: pol1 Port: 4500, Nego#: 7, Fail#: 0, Def-Del#: 0 Flag: 0x600829 Multi-sa, Configured SAs# 1, Negotiated SAs#: 1 Tunnel events: Wed Apr 08 2020 19:13:53: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 : IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times) Wed Apr 08 2020 19:13:09: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 19:13:09: User cleared IPSec SA from CLI (1 times) Wed Apr 08 2020 19:13:09: IKE SA negotiation successfully completed (5 times) Wed Apr 08 2020 19:12:18: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 19:12:18: User cleared IPSec SA from CLI (1 times) Wed Apr 08 2020 19:12:12: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 19:12:12: User cleared IPSec SA from CLI (1 times) Wed Apr 08 2020 19:06:52: Peer's IKE-ID validation failed during negotiation (2 times) Wed Apr 08 2020 : Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (2 times) Wed Apr 08 2020 19:05:26: Peer's IKE-ID validation failed during negotiation (1 times) Wed Apr 08 2020 : Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times) Wed Apr 08 2020 19:04:26: Peer's IKE-ID validation failed during negotiation (1 times) Wed Apr 08 2020 : Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times) Wed Apr 08 2020 19:03:26: Peer's IKE-ID validation failed during negotiation (1 times) Direction: inbound, SPI: aff3ac30, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 1093 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 453 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 40539d12, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 1093 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 453 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
意味
show security ipsec security-associations
コマンドからの出力には、次の情報が表示されます。
リモートゲートウェイのNATアドレスは13.168.11.100です。
IPsec SAペアの両方のピアがポート番号4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート番号 4500 または他のランダムな大きな番号のポートを使用します)。
両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3390/ unlimited という値は、フェーズ2のライフタイムの有効期限は3390秒であり、ライフサイズは指定されていないため、無制限であることを示しています。VPN の起動後は、フェーズ 2 は フェーズ 1 に依存しないため、各フェーズのライフタイムが異なることがあります。
月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。
仮想システム(vsys)はルート システムであり、常に0が表示されます。
レスポンダーの IKE フェーズ 1 ステータスの確認
目的
IKEフェーズ1ステータスを確認します。
対処
動作モードから show security ike security-associations
コマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detail
コマンドを使用します。
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2914355 UP c3193077d38e426f 011f0ef28d928f4c Aggressive 1.1.100.23
user@host> show security ike security-associations index 2914355 detail IKE peer 1.1.100.23, Index 2914355, Gateway Name: gate Role: Responder, State: UP Initiator cookie: c3193077d38e426f, Responder cookie: 011f0ef28d928f4c Exchange type: Aggressive, Authentication method: Pre-shared-keys Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434 Lifetime: Expires in 26137 seconds Reauth Lifetime: Disabled IKE Fragmentation: Disabled, Size: 0 Remote Access Client Info: Unknown Client Peer ike-id: chicago AAA assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-md5-96 Encryption : 3des-cbc Pseudo random function: hmac-md5 Diffie-Hellman group : DH-group-2 Traffic statistics: Input bytes : 1203 Output bytes : 1140 Input packets: 6 Output packets: 6 Input fragmentated packets: 0 Output fragmentated packets: 0 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 13.168.11.100:4500, Remote: 1.1.100.23:23434 Local identity: 13.168.11.100 Remote identity: chicago Flags: IKE SA is created
意味
show security ike security-associations
コマンドは、すべてのアクティブな IKE フェーズ 1 SA を一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。
SAが表示される場合は、次の情報を確認します。
インデックス—この値は、各IKE SAに固有のもので、
show security ike security-associations index detail
コマンドで使用すると、SAの詳細な情報を得ることができます。リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。
ロール レスポンダーの状態
UP - フェーズ1 SAが確立されました。
Down - フェーズ 1 SA の確立に問題がありました。
Peer IKE ID - ピアのローカル ID が正しいことを確認します。この例のホスト名はchicagoです。
ローカルIDとリモートID—これらが正しいことを確認します。
Mode - 正しいモードが使用されていることを確認します。
設定で以下が適切か検証します。
外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)
IKEポリシー パラメータ
事前共有鍵情報
フェーズ 1 のプロポーザル パラメーター(両ピアで一致する必要があります)
show security ike security-associations
コマンドは、セキュリティアソシエーションに関する追加情報を一覧表示します。
使用している認証および暗号化アルゴリズム
フェーズ 1 のライフタイム
トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)
ロール情報
トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。
イニシエータとレスポンダの情報
作成されたIPsec SAの数
進行中のフェーズ2ネゴシエーションの数
レスポンダーの IPsec Security Associations の確認
目的
IPsecステータスを検証します。
対処
動作モードから show security ipsec security-associations
コマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detail
コマンドを使用します。
user@host> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108878 ESP:3des/md5 40539d12 939/ unlim - root 23434 1.1.100.23 >67108878 ESP:3des/md5 aff3ac30 939/ unlim - root 23434 1.1.100.23
user@host> show security ipsec security-associations detail ID: 67108878 Virtual-system: root, VPN Name: first_vpn Local Gateway: 13.168.11.100, Remote Gateway: 1.1.100.23 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv1 DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: pol1 Port: 23434, Nego#: 8, Fail#: 0, Def-Del#: 0 Flag: 0x608829 Multi-sa, Configured SAs# 1, Negotiated SAs#: 1 Tunnel events: Wed Apr 08 2020 19:14:22: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 19:14:15: User cleared IPSec SA from CLI (1 times) Wed Apr 08 2020 19:13:39: IPSec SA negotiation successfully completed (3 times) Wed Apr 08 2020 19:13:39: IKE SA negotiation successfully completed (4 times) Wed Apr 08 2020 : IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times) Wed Apr 08 2020 19:10:39: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 19:10:20: User cleared IPSec SA from CLI (1 times) Wed Apr 08 2020 19:10:08: IPSec SA negotiation successfully completed (1 times) Wed Apr 08 2020 : Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Direction: inbound, SPI: 40539d12, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 930 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 335 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: aff3ac30, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 930 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 335 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-md5-96, Encryption: 3des-cbc Anti-replay service: counter-based enabled, Replay window size: 64
意味
show security ipsec security-associations
コマンドからの出力には、次の情報が表示されます。
リモート ゲートウェイの NAT アドレスは 1.1.100.23 です。
IPsec SAペアの両方のピアがポート番号4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート番号4500または他のランダムな大きな番号のポートを使用します)。
両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3571/ unlim という値は、フェーズ 2 の ライフタイムは 3571 秒までで、ライフサイズは指定されていないため、無制限であることを示しています。VPN の起動後は、フェーズ 2 は フェーズ 1 に依存しないため、各フェーズのライフタイムが異なることがあります。
月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。
仮想システム(vsys)はルート システムであり、常に0が表示されます。
例:動的エンドポイントVPNによるNAT-Tの設定
この例は、IKEv2イニシエーターがNATデバイスの背後にある動的エンドポイントであるルートベースのVPNを設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
シャーシクラスターで設定された2台のSRXシリーズデバイス
NATを提供する1台のSRXシリーズ
支社のネットワークアクセスを提供する1台のSRXシリーズデバイス
Junos OSリリース12.1X46-D10またはそれ以降(IKEv2 NAT-Tサポート用)
概要
この例では、支社(IKEv2イニシエーター)と本社(IKEv2レスポンダー)の間にIPsec VPNを設定し、2つの拠点間のネットワークトラフィックを保護します。支社はNATデバイスの背後にあります。支社のアドレスは動的に割り当てられ、レスポンダーには分かりません。イニシエータには、トンネルネゴシエーション用にレスポンダーのリモートIDが設定されます。この設定により、NATデバイスを介したピア間に動的なエンドポイントVPNが確立されます。
図 3は、NATトラバーサル(NAT-T)と動的なエンドポイントVPNを使用したトポロジーの例を示しています。

この例では、デバイスに動的に割り当てられたイニシエータのIPアドレス192.179.100.50は、NATデバイスによって隠され、100.10.1.253に変換されます。
この例では、以下の設定オプションが適用されます。
イニシエーターで設定されたローカルIDは、レスポンダーで設定されたリモートゲートウェイIDと一致する必要があります。
フェーズ1とフェーズ2のオプションは、イニシエーターとレスポンダー間で一致する必要があります。
この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。
Junos OSリリース12.1X46-D10およびJunos OSリリース17.3R1から、[edit security ike gateway gateway-name]
階層レベルで設定するnat-keepalive
オプションのデフォルト値が、5秒から20秒に変更されました。
SRX1400、SRX3400、SRX3600、SRX5600、SRX5800デバイスでは、ネゴシエーション中にIKEパケットのソースIPアドレスを変更するNATデバイスの背後にIKEピアがある場合、NATトラバーサルを含むIKEネゴシエーションは機能しません。たとえば、NATデバイスがDIPで設定されていれば、IKEプロトコルによってUDPポートが500から4500に切り替わるため、送信元IPが変更されます。(プラットフォームのサポートは、インストールされた Junos OS リリースによって異なります)。
設定
支社デバイス(IKEv2イニシエーター)の設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set interfaces ge-0/0/1 unit 0 family inet address 192.179.100.50/24 set interfaces ge-0/0/2 unit 0 family inet address 192.179.2.20/24 set interfaces st0 unit 0 family inet address 172.168.100.1/16 set routing-options static route 192.179.1.0/24 next-hop st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security ike proposal IKE_PROP authentication-method pre-shared-keys set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway HQ_GW ike-policy IKE_POL set security ike gateway HQ_GW address 100.10.1.50 set security ike gateway HQ_GW local-identity hostname branch.example.net set security ike gateway HQ_GW external-interface ge-0/0/1.0 set security ike gateway HQ_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn HQ_VPN bind-interface st0.0 set security ipsec vpn HQ_VPN ike gateway HQ_GW set security ipsec vpn HQ_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn HQ_VPN establish-tunnels immediately set security policies default-policy permit-all
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
支社デバイスを以下の通り設定します。
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 192.179.100.50/24 user@host# set ge-0/0/2 unit 0 family inet address 192.179.2.20/24 user@host# set st0 unit 0 family inet address 172.168.100.1/16
ルーティングオプションを設定します。
[edit routing-options] user@host# set static route 192.179.1.0/24 next-hop st0.0
ゾーンを設定します。
[edit security zones security-zones trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/2.0 [edit security zones security-zones untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host#set interfaces st0.0
フェーズ1のオプションを設定します。
[edit security ike proposal IKE_PROP] user@host# set authentication-method pre-shared-keys user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway HQ_GW] user@host# set ike-policy IKE_POL user@host# set address 100.10.1.50 user@host# set local-identity hostname branch.example.net user@host# set external-interface ge-0/0/1.0 user@host# set version v2-only
フェーズ2のオプションを設定します。
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set proposals IPSEC_PROP user@host# set perfect-forward-secrecy keys group5 [edit security ipsec vpn HQ_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway HQ_GW user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
セキュリティポリシーを設定します。
[edit security policies] user@host# set default-policy permit-all
結果
設定モードから、show interfaces
、show routing-options
、show security zones
、show security ike
、show security ipsec
、show security policies
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 192.179.100.50/24; } } } ge-0/0/2 { unit 0 { family inet { address 192.179.2.20/24; } } } st0 { unit 0 { family inet { address 172.168.100.1/16; } } } [edit] user@host# show routing-options static { route 192.179.1.0/24 next-hop st0.0; } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; st0.0; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method pre-shared-keys; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; pre-shared-key ascii-text "$ABC123” } gateway HQ_GW{ ike-policy IKE_POL; address 100.10.1.50; local-identity hostname branch.example.net; external-interface ge-0/0/1.0; version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn HQ_VPN { bind-interface st0.0; ike { gateway HQ_GW; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security policies default-policy { permit-all; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
NATデバイスの設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set interfaces ge-0/0/1 unit 0 family inet address 100.10.1.253/24 set interfaces fe-0/0/2 unit 0 family inet address 192.179.100.253/24 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/2.0 set security nat source rule-set DYNAMIC from zone untrust set security nat source rule-set DYNAMIC to zone trust set security nat source rule-set DYNAMIC rule R2R3 match source-address 0.0.0.0/0 set security nat source rule-set DYNAMIC rule R2R3 then source-nat interface set security policies default-policy permit-all
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
NATを提供する中間ルーターを以下の通り設定します。
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 100.10.1.253/24 user@host# set fe-0/0/2 unit 0 family inet address 192.179.100.253/24
ゾーンを設定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/2.0
NATを設定します。
[edit security nat source rule-set DYNAMIC] user@host# set from zone untrust user@host# set to zone trust user@host# set rule R2R3 match source-address 0.0.0.0/0 user@host# set rule R2R3 then source-nat interface
デフォルトのセキュリティポリシーを設定します。
[edit security policies] user@host# set default-policy permit-all
結果
設定モードから、show interfaces
、show security zones
、show security nat source
、およびshow security policies
のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { address 100.10.1.253/24; } } } fe-0/0/2 { unit 0 { family inet { address 192.179.100.253/24; } } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { fe-0/0/2.0; } } [edit] user@host# show security nat source rule-set DYNAMIC { from zone untrust; to zone trust; rule R2R3 { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } [edit] user@host# show security policies default-policy { permit-all; }
デバイスの設定が完了したら、設定モードから commit
を入力します。
本社デバイス(IKEv2レスポンダー)の設定
CLIクイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set chassis cluster reth-count 5 set chassis cluster redundancy-group 1 node 0 priority 220 set chassis cluster redundancy-group 1 node 1 priority 149 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/1 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/2 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-8/0/2 weight 255 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-0/0/2 gigether-options redundant-parent reth1 set interfaces ge-8/0/1 gigether-options redundant-parent reth0 set interfaces ge-8/0/2 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.179.1.10/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 100.10.1.50/24 set interfaces st0 unit 0 family inet address 172.168.100.2/16 set routing-options static route 192.179.2.0/24 next-hop st0.0 set routing-options static route 192.179.100.0/24 next-hop 100.10.1.253 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces reth0.0 set security ike proposal IKE_PROP authentication-method pre-shared-keys set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL pre-shared-key ascii-text "$ABC123" set security ike gateway Branch_GW ike-policy IKE_POL set security ike gateway Branch_GW dynamic hostname branch.example.net set security ike gateway Branch_GW dead-peer-detection optimized set security ike gateway Branch_GW external-interface reth1.0 set security ike gateway Branch_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn Branch_VPN bind-interface st0.0 set security ipsec vpn Branch_VPN ike gateway Branch_GW set security ipsec vpn Branch_VPN ike ipsec-policy IPSEC_POL set security policies default-policy permit-all
ステップ・バイ・ステップの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
2つのノードをシャーシクラスターとして設定します。
[edit chassis cluster] user@host# set reth-count 5 user@host# set redundancy-group 1 node 0 priority 220 user@host# set redundancy-group 1 node 1 priority 149 user@host# set redundancy-group 1 interface-monitor ge-0/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/1 weight 255 user@host# set redundancy-group 1 interface-monitor ge-0/0/2 weight 255 user@host# set redundancy-group 1 interface-monitor ge-8/0/2 weight 255
インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/1 gigether-options redundant-parent reth0 user@host# set ge-0/0/2 gigether-options redundant-parent reth1 user@host# set ge-8/0/1 gigether-options redundant-parent reth0 user@host# set ge-8/0/2 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.179.1.10/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 100.10.1.50/24 user@host# set st0 unit 0 family inet address 172.168.100.2/16
ルーティングオプションを設定します。
[edit routing-options] user@host# set static route 192.179.2.0/24 next-hop st0.0 user@host# set static route 192.179.100.0/24 next-hop 100.10.1.253
ゾーンを設定します。
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all user@host# set interfaces st0.0 user@host# set interfaces reth1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth0.0
フェーズ1のオプションを設定します。
[edit security ike proposal IKE_PROP] user@host# set authentication-method pre-shared-keys user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway Branch_GW] user@host# set ike-policy IKE_POL user@host# set dynamic hostname branch.example.net user@host# set dead-peer-detection optimized user@host# set external-interface reth1.0 user@host# set version v2-only
フェーズ2のオプションを設定します。
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security ipsec vpn Branch_VPN] user@host# set bind-interface st0.0 user@host# set ike gateway Branch_GW user@host# set ike ipsec-policy IPSEC_POL
デフォルトのセキュリティポリシーを設定します。
[edit security policies] user@host# set default-policy permit-all
結果
設定モードから、show chassis cluster
、show interfaces
、show routing-options
、show security zones
、show security ike
、show security ipsec
、show security policies
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show chassis cluster reth-count 5; redundancy-group 1 { node 0 priority 220; node 1 priority 149; interface-monitor { ge-0/0/1 weight 255; ge-8/0/1 weight 255; ge-0/0/2 weight 255; ge-8/0/2 weight 255; } } [edit] user@host# show interfaces ge-0/0/1 { gigether-options { redundant-parent reth0; } } ge-0/0/2 { gigether-options { redundant-parent reth1; } } ge-8/0/1 { gigether-options { redundant-parent reth0; } } ge-8/0/2 { gigether-options { redundant-parent reth1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 192.179.1.10/24; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 100.10.1.50/24; } } } st0 { unit 0{ family inet { address 172.168.100.2/16; } } } [edit] user@host# show routing-options static { route 192.179.2.0/24 next-hop st0.0; route 192.179.100.0/24 next-hop 100.10.1.253; } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.0; reth1.0; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method pre-shared-keys; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; pre-shared-key ascii-text “$ABC123” } gateway Branch_GW { ike-policy IKE_POL; dynamic hostname branch.example.net; dead-peer-detection optimized; external-interface reth1.0; version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn Branch_VPN { bind-interface st0.0; ike { gateway Branch_GW; ipsec-policy IPSEC_POL; } } [edit] user@host# show security policies default-policy { permit-all; }
検証
設定が正常に機能していることを確認します。
レスポンダーのIKEフェーズ1ステータスの確認
目的
IKEフェーズ1ステータスを確認します。
対処
ノード0の運用モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations detail コマンドを使用します。
user@host# show security ike security-associations node0: Index State Initiator cookie Responder cookie Mode Remote Address 1367024684 UP f82c54347e2f3fb1 020e28e1e4cae003 IKEv2 100.10.1.253
user@host# show security ike security-associations detail node0: IKE peer 100.10.1.253, Index 1367024684, Gateway Name: Branch_GW Location: FPC 5, PIC 0, KMD-Instance 2 Role: Responder, State: UP Initiator cookie: f82c54347e2f3fb1, Responder cookie: 020e28e1e4cae003 Exchange type: IKEv2, Authentication method: Pre-shared-keys Local: 100.10.1.50:4500, Remote: 100.10.1.253:2541 Lifetime: Expires in 3593 seconds Peer ike-id: branch.example.net Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 683 Output bytes : 400 Input packets: 2 Output packets: 1 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1
意味
show security ike security-associations
コマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。
SAが表示される場合は、次の情報を確認します。
インデックス:この値は、各IKE SAごとに一意であり、コマ
show security ike security-associations index index_id detail
ンドに使えば、SAの詳細な情報を得ることができます。リモートアドレス:ローカルIPアドレスが正しいことと、ポート4500がピアツーピア通信に使用されていることを確認します。
ロールレスポンダーの状態
UP:フェーズ1 SAが確立されました。
Down:フェーズ1 SAの確立に問題がありました。
Peer IKE ID:アドレスが正しいことを確認してください。
ローカルIDおよびリモートID:これらのアドレスが正しいことを確認してください。
Mode:正しいモードが使用されていることを確認してください。
設定で以下が適切か検証します。
外部インターフェイス(IKEパケットを送信するインターフェイスである必要があります)
IKEポリシー パラメータ
事前共有鍵情報
フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)
show security ike security-associations
コマンドは、セキュリティアソシエーションに関する以下に示す追加情報を一覧表示します。
使用している認証および暗号化アルゴリズム
フェーズ1のライフタイム
トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)
ロール情報
トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。
イニシエータとレスポンダの情報
作成されたIPsec SAの数
進行中のフェーズ2ネゴシエーションの数
レスポンダーのIPsec Security Associationsの確認
目的
IPsecステータスを検証します。
対処
ノード0の運用モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations detailコマンドを使用します。
user@host# show security ipsec security-associations node0 Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <77856771 ESP:aes-cbc-256/sha1 4ad5af40 7186/unlim - root 2541 100.10.1.253 >77856771 ESP:aes-cbc-256/sha1 5bb0a5ee 7186/unlim - root 2541 100.10.1.253
user@host# show security ipsec security-associations detail node0 ID: 77856771 Virtual-system: root, VPN Name: Branch_VPN Local Gateway: 100.10.1.50, Remote Gateway: 100.10.1.253 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear Bind-interface: st0.0 Port: 2541, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 608a29 Tunnel Down Reason: SA not initiated Location: FPC 5, PIC 0, KMD-Instance 2 Direction: inbound, SPI: 4ad5af40, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 7182 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 6587 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
意味
show security ipsec security-associations
コマンドからの出力には、次の情報が表示されます。
リモートゲートウェイのIPアドレスは100.10.1.253です。
両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。ライフタイムという値は、フェーズ2のライフタイムの有効期限は7186秒であり、ライフサイズは指定されていないため、無制限であることを示しています。VPNの起動後は、フェーズ2はフェーズ1に依存しないため、各フェーズのライフタイムが異なることがあります。
仮想システム(vsys)はルート システムであり、常に0が表示されます。
show security ipsec security-associations index index_id detail
コマンドからの出力には、次の情報が表示されます。
ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。
プロキシIDの不一致は、フェーズ2の失敗で最もよくある原因の1つです。IPsec SAが表示されない場合、プロキシIDの設定を含むフェーズ2のプロポーザルが両ピアで一致することを確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。
フェーズ2の失敗でよくある理由のもう1つに、STインターフェイスのバインディングが指定されていないことがあります。IPsecを完了できない場合は、kmdログを確認するか、トレース オプションを設定します。