Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NAT-Tを使用したルートベースVPNおよびポリシーベースVPN

Network Address Translation-Traversal(NAT-T)は、IPsecで保護されたデータが、アドレス変換のためにNATで設定されたデバイスを通過する際に発生するIPアドレス変換関連の問題を管理するために使用される方法です。

NAT-Tについて

ネットワークアドレス変換トラバーサル(NAT-T)とは、IPsecで保護されたデータがアドレス変換のためにNATデバイスを通過する際に発生するIPアドレス変換の問題を回避するための手法です。NATの機能であるIPアドレッシングの変更があった場合、IKEはパケットを破棄します。NAT-Tは、フェーズ1交換時にデータパスに沿って1つ以上のNATデバイスを検出した後、IPsecパケットにユーザーデータグラムプロトコル(UDP)カプセル化のレイヤーを追加し、アドレス変換後のパケットが廃棄されないようにします。NAT-Tは、IKEとESPの両方のトラフィックをUDP内でカプセル化し、ポート4500を送信元と宛先の両方のポートとして使用します。NATデバイスは古くなったUDP変換を期限切れにするため、ピア間でキープアライブメッセージが必要になります。

NAT-Tはデフォルトで有効化されているため、NAT-Tを無効にするには、[edit security ike gateway gateway-name階層レベルでno-nat-traversalステートメントを使用する必要があります。

NATには2つの大きなカテゴリーがあります。

  • 静的NATでは、プライベートアドレスとパブリックアドレスの間に1対1の関係があります。静的NATは、インバウンドとアウトバウンドの双方向で動作します。

  • 動的NATでは、プライベートアドレスとパブリックアドレスの間に多対1または多対多の関係があります。動的NATは、アウトバウンドの方向のみで動作します。

NATデバイスの位置は、次のようにできます。

  • IKEv1またはIKEv2開始側のみがNATデバイスの背後にあります。複数の開始側を別個のNATデバイスの背後に置くことができます。開始側は、複数のNATデバイスを介して応答側に接続することもできます。

  • IKEv1またはIKEv2応答側のみがNATデバイスの背後にあります。

  • IKEv1またはIKEv2開始側と応答側の両方がNATデバイスの後ろにあります。

動的エンドポイントVPNは、開始側のIKE外部アドレスが固定されておらず、応答側がそのアドレスを知らない状況に対応できます。これは、開始側のアドレスがISPによって動的に割り当てられたり、動的アドレスのプールからアドレスを割り当てる動的NATデバイスを開始側の接続が超えたりする場合に発生する可能性があります。

応答側のみがNATデバイスの背後にあるトポロジーと、開始側と応答側の双方がNATデバイスの背後にあるトポロジーについて、NAT-Tの設定例を提供します。NAT-TのサイトツーサイトIKEゲートウェイ設定は、開始側と応答側の双方でサポートされます。リモートIKE IDは、IKEトンネルネゴシエーションのフェーズ1の際にピアのローカルIKE IDを検証するのに利用されます。開始側と応答側の双方で、local-identityおよびremote-identityの設定が必要です。

SRX5400、SRX5600とSRX5800デバイスでは、IPsec NAT-Tトンネルのスケーリングと維持問題は次のようになります。

  • ある特定のプライベートIPアドレスにおいて、NATデバイスは500と4500のプライベートポートの双方を同じパブリックIPアドレスに変換するはずです。

  • 特定のパブリックな変換されたIPからのトンネルは合計1000個を超えることができません。

Junos OS Release 19.2R1以降では、NAT-T向けPowerMode IPSec(PMI)に対応するのは、SRX5K-SPC3サービスプロセシングカード(SPC)を搭載したSRX5400、SRX5600およびSRX5800デバイスまたはvSRXのみです。

例:NATデバイスの背後にあるレスポンダのみを使用したルートベースVPNの構成

この例では、データを支店と本社の間で安全に転送できるように、NATデバイスの背後にあるレスポンダのみを使用したルートベースVPNを設定する方法を示します。

要件

始める前に、IPsec の概要を読んでください。

概要

この例では、トンネルリソースを節約しながらも、VPNトラフィックに詳細な制限を設定したいために、イリノイ州シカゴの支店にルートベースVPNを設定しています。シカゴ支店のユーザーは、このVPNを使用してカリフォルニア州サニーベールの本社に接続します。

図 1は、NATデバイスの背後にあるレスポンダのみを使用したルートベースVPNのトポロジーの例を示しています。

図 1: NATデバイスの背後にあるレスポンダのみを使用したルートベースVPNのトポロジーNATデバイスの背後にあるレスポンダのみを使用したルートベースVPNのトポロジー

この例では、シカゴのイニシベーターとサニーベースのレスポンダーの両方に対して、インターフェイス、ルーティングオプション、セキュリティゾーン、セキュリティポリシーを設定します。次に、IKEのフェーズ1およびIPsecのフェーズ2のパラメーターを設定します。

イニシエータから送信された宛先アドレス1.1.1.1/32のパケットは、NATデバイス上で宛先アドレス71.1.1.1/32に変換されます。

例でイニシエーターに使用する固有の設定パラメーターについては、表 1表 3を参照してください。

表 1: イニシアーターのインターフェイス、ルーティングオプション、ゾーンおよびセキュリティポリシー

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/1

1.0.0.1/24

 

ge-0/0/3

33.1.1.1/24

 

st0.1(トンネル インターフェイス)

31.1.1.2/24

静的ルート

32.1.1.0/24

ネクスト ホップはst0.1です。

 

1.1.1.1/32

ネクストホップは 1.0.0.2です。

セキュリティ ゾーン

untrust

  • IKEシステムサービスのみが有効です。

  • ge-0/0/1.0 および st0.1 インターフェイスはこのゾーンにバインドされています。

 

trust

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • ge-0/0/3.0インターフェイスは、このゾーンにバインドされています。

セキュリティ ポリシー

to-sunnyvale

trustゾーンの 33.1.1.1/24 からuntrustゾーンの 32.1.1.1/24へのトラフィックを許可します。

from-sunnyvale

untrustゾーンの 32.1.1.1/24からtrustゾーンの 33.1.1.1/24にトラフィックを許可します。

表 2: イニシエーターのIKEフェーズ1の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:sha1

  • 暗号化アルゴリズム3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKEフェーズ1ポリシー認証方法:pre-shared-key ascii-text

ゲートウェイ

gw1

  • IKE ポリシーの参照:ike_pol

  • 外部インターフェイス:ge-0/0/1.0

  • ゲートウェイ アドレス:1.1.1.1

  • ローカルピア(イニシエーター):branch_natt1@example.net

  • リモートピア(レスポンダー):responder_natt1@example.net

表 3: イニシエーターのIPsecフェーズ2の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha1-96

  • 暗号化アルゴリズム3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • 完全転送機密保持(PFS)キーgroup2

VPN

vpn1

  • IKEゲートウェイ リファレンス:gw1

  • IPsecポリシー リファレンス:ipsec_pol

  • インターフェイスへのバインド:st0.1

  • トンネルを即時確立

この例のレスポンダーで使われた特定の設定パラメーターについては、表 4表 6 をご覧ください。

表 4: レスポンダーのインターフェイス、ルーティングオプション、ゾーンおよびセキュリティポリシー

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/2

71.1.1.1/24

 

ge-0/0/3

32.1.1.1/24

 

st0.1(トンネル インターフェイス)

31.1.1.1/24

静的ルート

0.0.0.0/0(デフォルトルート)

ネクストホップは 71.1.1.2です。

 

33.1.1.0/24

ネクスト ホップはst0.1です。

セキュリティ ゾーン

untrust

  • IKEシステムサービスのみが有効です。

  • ge-0/0/2.0 および st0.1インターフェイスはこのゾーンにバインドされます。

 

trust

  • すべてのシステム サービスが許可されます。

    すべてのプロトコルが許可されます。

  • ge-0/0/3.0インターフェイスは、このゾーンにバインドされています。

セキュリティ ポリシー

to-chicago

trustゾーンの 32.1.1.1/24から、untrustゾーンの 33.1.1.1/24へトラフィックを許可します。

from-chicago

untrustゾーンの 33.1.1.1/24からtrustゾーンの 32.1.1.1/24へのトラフィックを許可します。

表 5: レスポンダーのIKEフェーズ1設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:sha1

  • 暗号化アルゴリズム3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKEフェーズ1ポリシー認証方法:pre-shared-key ascii-text

ゲートウェイ

gw1

  • IKE ポリシーの参照:ike_pol

  • 外部インターフェイス:ge-0/0/2.0

  • ゲートウェイ アドレス:1.0.0.1

  • ローカルピア(レスポンダー):responder_natt1@example.net

  • リモートピア(イニシエーター):branch_natt1@example.net

表 6: レスポンダー用IPsecフェーズ2設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha1-96

  • 暗号化アルゴリズム3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • PFSキー:group2

VPN

vpn1

  • IKEゲートウェイ リファレンス:gw1

  • IPsecポリシー リファレンス:ipsec_pol

  • インターフェイスへのバインド:st0.1

  • トンネルを即時確立

設定

イニシエーターのインターフェイス、ルーティングオプション、セキュリティゾーン、セキュリティポリシーの構成

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

インターフェイス、静的ルート、セキュリティゾーン、セキュリティポリシー情報を設定するには、以下の通り設定を行います。

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルートの情報を設定します。

  3. untrustセキュリティ ゾーンを設定します。

  4. untrustセキュリティ ゾーンにインターフェイスを割り当てます。

  5. untrustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  6. trustセキュリティ ゾーンを設定します。

  7. trustセキュリティ ゾーンにインターフェイスを割り当てます。

  8. trustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  9. アドレスブックを設定します。

  10. セキュリティポリシーを作成します。

結果

コンフィギュレーションモードから、show interfacesshow routing-optionsshow security zonesshow security address-bookおよびshow security policiesコマンドを入力して、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのIKE設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEプロポーザルの認証方法を定義します。

  3. IKEプロポーザルのDiffie-hellmanグループを定義します。

  4. IKEプロポーザルの認証アルゴリズムを定義します。

  5. IKEプロポーザルの暗号化アルゴリズムを定義します。

  6. IKEポリシー1のポリシーを作成します。

  7. IKEフェーズ1ポリシーモードを設定します。

  8. IKEプロポーザルへのリファレンスを指定します。

  9. IKEフェーズ1ポリシー認認証方法を定義します。

  10. IKEフェーズ1ゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKEフェーズ1ポリシーリファレンスを定義します。

  12. IKEフェーズ1のゲートウェイアドレスを定義します。

  13. ローカルピアのlocal-identityを設定します。

  14. レスポンダのremote-identityを設定します。これはIKE識別子です。

  15. 外部インターフェイスを定義します。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのIPsecの設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のプロポーザルプロトコルを指定します。

  3. IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2ポリシーを作成します。

  6. PFS(完全転送秘密)を使用するIPsecフェーズ2を指定します。

  7. IPsecフェーズ2のプロポーザルのリファレンスを指定します。

  8. IKEゲートウェイを指定します。

  9. IPsecフェーズ2ポリシーを指定します。

  10. バインドするインターフェイスを指定します。

  11. 検証パケットの送信を待たずに、すぐにトンネルを立ち上げることを指定します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダのインターフェイス、ルーティングオプション、セキュリティゾーン、セキュリティポリシーの設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

インターフェイス、静的ルート、セキュリティゾーン、ポリシー、ゲートウェイを設定するには:

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルートの情報を設定します。

  3. untrustセキュリティ ゾーンを設定します。

  4. untrustセキュリティ ゾーンにインターフェイスを割り当てます。

  5. untrustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  6. trustセキュリティ ゾーンを設定します。

  7. trustセキュリティ ゾーンにインターフェイスを割り当てます。

  8. trustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  9. アドレスブックを設定します。

  10. セキュリティポリシーを作成します。

結果

show security address-bookコンフィギュレーション・モードから、 show interfacesshow routing-optionsshow security zonesおよびとコマshow security policiesンドを入力して、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダのIKE設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEプロポーザルの認証方法を定義します。

  3. IKEプロポーザルのDiffie-hellmanグループを定義します。

  4. IKEプロポーザルの認証アルゴリズムを定義します。

  5. IKEプロポーザルの暗号化アルゴリズムを定義します。

  6. IKEポリシー1のポリシーを作成します。

  7. IKEフェーズ1ポリシーモードを設定します。

  8. IKEプロポーザルへのリファレンスを指定します。

  9. IKEフェーズ1ポリシー認認証方法を定義します。

  10. IKEフェーズ1ゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKEフェーズ1ポリシーリファレンスを定義します。

  12. IKEフェーズ1のゲートウェイアドレスを定義します。

  13. レスポンダのlocal-identityを設定します。

  14. レスポンダのremote-identityを設定します。これはIKE識別子です。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダのIPsecの設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のプロポーザルプロトコルを指定します。

  3. IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2ポリシーを作成します。

  6. PFS(完全転送秘密)を使用するIPsecフェーズ2を指定します。

  7. IPsecフェーズ2のプロポーザルのリファレンスを指定します。

  8. IKEゲートウェイを指定します。

  9. IPsecフェーズ2ポリシーを指定します。

  10. バインドするインターフェイスを指定します。

  11. 検証パケットの送信を待たずに、すぐにトンネルを立ち上げることを指定します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

イニシエーターのIKEフェーズ1ステータスの確認

目的

IKEフェーズ1のステータスを確認します。

対処

認証プロセスを開始する前に、33.1.1.0 ネットワーク内のホストから 32.1.1.0 ネットワーク内のホストにトラフィックを送信する必要があります。ルートベースVPNでは、SRXシリーズ デバイスからトンネルを通ってトラフィックを開始できます。IPsecトンネルをテストする場合は、VPNの片側にあるデバイスからVPNの別の側にある第2デバイスにテスト トラフィックを送信することをお勧めします。例えば、33.1.1.2 から 32.1.1.2 への ping 操作を開始します。

動作モードから show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1SAを一覧表示します。SAがリストにない場合、フェーズ1の確立に問題が発生したことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • Index—この値は、各IKE SAに固有のもので、 コマshow security ike security-associations index detailンドで使用してSAの詳細情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ピアツーピア通信にそのポート500を使用していることを確認します。

  • ロールイニシエータの状態

    • 上向き—フェーズ1 SAが確立しています。

    • 下向き—フェーズ1 SAの確立に問題がありました。

    • IPsec SAペアの両ピアが、ポート500を使用しています。

    • ピアIKE ID—リモートアドレスが正しいかを確認します。

    • ローカルIDとリモートID—これらが正しいことを確認します。

  • モード—正しいモードが使用されていることを確認します。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティの関連付けに関する追加情報を一覧表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

イニシエーターのIPsecセキュリティ関連付けの確認

目的

IPsecステータスを検証します。

対処

動作モードから show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • リモートゲートウェイのNATアドレスは1.1.1.1です。

  • IPsec SAペアの両ピアが、ポート500を使用しています。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。2532/unlim値は、フェーズ2のライフタイムの期限が2532秒であり、ライフサイズが指定されていないことを示しており、無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

レスポンダーのIKEフェーズ1のステータスの確認

目的

IKEフェーズ1のステータスを確認します。

対処

動作モードから show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1SAを一覧表示します。SAがリストにない場合、フェーズ1の確立に問題が発生したことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • Index—この値は、各IKE SAに固有のもので、show security ike security-associations index detail コマンドで使用してSAの詳細情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ピアツーピア通信にそのポート500を使用していることを確認します。

  • ロールレスポンダーの状態

    • 上向き—フェーズ1 SAが確立しています。

    • 下向き—フェーズ1 SAの確立に問題がありました。

    • ピアIKE ID—アドレスが正しいことを確認します。

    • ローカルIDとリモートID—アドレスが正しいことを確認します。

  • モード—正しいモードが使用されていることを確認します。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティの関連付けに関する追加情報を一覧表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

レスポンダーのIPsecセキュリティアソシエーションの確認

目的

IPsecステータスを検証します。

対処

動作モードから show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • リモートゲートウェイのIPアドレスは1.0.0.1です。

  • IPsec SAペアの両ピアが、ポート500を使用しています。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3571/unlim値は、フェーズ2のライフタイムが3571秒で期限が切れ、ライフサイズが指定されていないことを示し、無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

show security ipsec security-associations index index_iddetailコマンドからの出力には、次の情報が表示されます。

  • ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。

    プロキシID不一致は、フェーズ2の失敗の原因となる最も一般的な原因の1つです。IPsec SAがリストにない場合、プロキシID設定を含むフェーズ2のプロポーザルが両方のピアで正しいことを確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。

  • STインターフェイスのバインディングが指定されていないことも、フェーズ2が失敗するよくある理由の1つです。IPsecを完了できない場合は、kmdログを確認するか、トレース オプションを設定します。

例:NAT デバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースの VPN を設定します

この例では、NAT デバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースのVPNを設定し、支社と本社の間で安全にデータを伝送する方法をご紹介します。

要件

始める前に、IPsec の概要をご覧ください。

概要

この例では、イリノイ州シカゴにある支社においてポリシー ベースの VPN を設定します。トンネル リソースを節約しながら、VPN トラフィックをきめ細かく制限することを目標とします。支店のユーザーは、この VPN を使用してカリフォルニア州サニーベールの本社と接続します。

この例では、イニシエーターとレスポンダーの両方に対して、インターフェイス、ルーティング オプション、セキュリティ ゾーン、セキュリティー ポリシーを設定します。

図 2 は、静的 NAT デバイスの背後にイニシエータとレスポンダーの両方を備えたVPNのトポロジーの例を示します。

図 2: NATデバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースのVPNトポロジーNATデバイスの背後にイニシエーターとレスポンダーの両方を備えたポリシーベースのVPNトポロジー

この例では、インターフェイス、IPv4デフォルトルート、セキュリティゾーンを設定します。次に、ローカルピアとリモートピアを含めたIKEフェーズ1、IPsecフェーズ2、そしてセキュリティポリシー を設定します。なお、上記の例では、レスポンダーのプライベート IP アドレス 13.168.11.1 は静的 NAT デバイスによって非表示にされ、パブリック IP アドレス 1.1.100.1 にマップされています。

この例のイニシエーターに用いられた特定の設定パラメーターについては、表 7から 表 10をご覧ください。

表 7: イニシエーター向けインターフェイス、ルーティング オプション、セキュリティ ゾーンの設定パラメーター

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/0

12.168.99.100/24

 

ge-0/0/1

10.1.99.1/24

静的ルート

10.2.99.0/24(デフォルト ルート)

ネクスト ホップは 12.168.99.100 です。

 

1.1.100.0/24

12.168.99.100

セキュリティ ゾーン

trust

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • ge-0/0/1.0 インターフェイスは、このゾーンにバインドされています。

 

untrust

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

表 8: イニシエーター向け IKE フェーズ 1 の設定 パラメーター

機能

お名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:md5

  • 暗号化アルゴリズム3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKE フェーズ 1 ポリシーの認証方法:pre-shared-key ascii-text

ゲートウェイ

gate

  • IKE ポリシーの参照:ike_pol

  • 外部インターフェイス:ge-0/0/1.0

  • ゲートウェイ アドレス:1.1.100.23

  • ローカル ピアのホスト名は chicago

  • リモート ピアのホスト名は sunnyvale

表 9: イニシエーター向け IPsec フェーズ 2 の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-md5-96

  • 暗号化アルゴリズム3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • Perfect Forward Secrecy(PFS):group1

VPN

first_vpn

  • IKEゲートウェイ リファレンス:gate

  • IPsecポリシー リファレンス:ipsec_pol

表 10: イニシエーター向けセキュリティ ポリシーの設定パラメーター

目的

お名前

設定パラメータ

セキュリティポリシーによって、 trustゾーンからuntrustゾーンへのトンネルトラフィックを許可します。

pol1

  • 一致する条件:

    • source-address any

    • destination-address any

    • application any

  • アクション:permit tunnel ipsec-vpn first_vpn

セキュリティポリシーによって、untrustゾーンからtrustゾーンへのトンネルトラフィックを許可します。

pol1

  • 一致する条件:

    • application any

  • アクション:permit tunnel ipsec-vpn first_vpn

この例のレスポンダーで使われた特定の設定パラメーターについては、表 11 から表 14 をご覧ください。

表 11: レスポンダー向けインターフェイス、ルーティング オプション、セキュリティ ゾーンの設定パラメーター

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/0

13.168.11.100/24

 

ge-0/0/1

10.2.99.1/24

静的ルート

10.1.99.0/24(デフォルト ルート)

ネクスト ホップは 13.168.11.100 です。

 

1.1.100.0/24

13.168.11.100

セキュリティ ゾーン

trust

  • すべてのシステム サービスが許可されます。

  • すべてのプロトコルが許可されます。

  • ge-0/0/1.0 インターフェイスは、このゾーンにバインドされています。

 

untrust

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

表 12: レスポンダー向け IKE フェーズ 1 の設定 パラメーター

機能

お名前

設定パラメータ

プロポーザル

ike_prop

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:md5

  • 暗号化アルゴリズム3des-cbc

ポリシー

ike_pol

  • モード:メイン

  • プロポーザル リファレンス:ike_prop

  • IKE フェーズ 1 ポリシーの認証方法:pre-shared-key ascii-text

ゲートウェイ

gate

  • IKE ポリシーの参照:ike_pol

  • 外部インターフェイス:ge-0/0/1.0

  • ゲートウェイ アドレス:1.1.100.22

  • 常にデッドピア検出を送信

  • ローカル ピアのホスト名は sunnyvale

  • リモート ピアのホスト名は chicago

表 13: レスポンダー向けIPsecフェーズ2の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-md5-96

  • 暗号化アルゴリズム3des-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • Perfect Forward Secrecy(PFS):group1

VPN

first_vpn

  • IKEゲートウェイ リファレンス:gate

  • IPsecポリシー リファレンス:ipsec_pol

表 14: レスポンダー向けセキュリティ ポリシーの設定パラメーター

目的

お名前

設定パラメータ

セキュリティポリシーによって、 trustゾーンからuntrustゾーンへのトンネルトラフィックを許可します。

pol1

  • 一致する条件:

    • source-address any

    • destination-address any

    • application any

  • アクション:permit tunnel ipsec-vpn first_vpn

セキュリティポリシーによって、untrustゾーンからtrustゾーンへのトンネルトラフィックを許可します。

pol1

  • 一致する条件:

    • application any

  • アクション:permit tunnel ipsec-vpn first_vpn

設定

イニシエーターのインターフェイス、ルーティング オプション、セキュリティ ゾーンの設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

インターフェイス、静的ルート、セキュリティゾーンの設定方法:

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルートの情報を設定します。

  3. trustセキュリティ ゾーンを設定します。

  4. trustセキュリティ ゾーンにインターフェイスを割り当てます。

  5. trust セキュリティ ゾーンのシステム サービスを指定します。

  6. untrust セキュリティ ゾーンにインターフェイスを割り当てます。

結果

設定モードで、show interfacesshow routing-optionsshow security zones コマンドを入力して設定を確認します。出力に目的の設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのIKEの設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IKEを設定するには、次の手順に従います。

  1. IKE フェーズ 1 プロポーザルを作成します。

  2. IKEプロポーザルの認証方法を定義します。

  3. IKEプロポーザルのDiffie-hellmanグループを定義します。

  4. IKEプロポーザルの認証アルゴリズムを定義します。

  5. IKEプロポーザルの暗号化アルゴリズムを定義します。

  6. IKE フェーズ 1 ポリシーを作成します。

  7. IKEフェーズ1のポリシーモードを設定します。

  8. IKEプロポーザルへのリファレンスを指定します。

  9. IKEフェーズ1ポリシーの認証方法を定義します。

  10. IKE フェーズ 1 ゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKE フェーズ 1 ゲートウェイのアドレスを作成します。

  12. IKEフェーズ1のポリシーリファレンスを定義します。

  13. local-identity でローカル ピアを設定します。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのIPsecの設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsec フェーズ 2 プロポーザルを作成します。

  2. IPsec フェーズ 2 プロポーザルのプロトコルを指定します。

  3. IPsec フェーズ 2 プロポーザルの認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザル暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2のプロポーザルリファレンスを指定します。

  6. Perfect Forward Secrecy(PFS)グループ1を使用するため、IPsecフェーズ2を指定します。

  7. IKEゲートウェイを指定します。

  8. IPsec フェーズ 2 ポリシーを指定します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのセキュリティポリシーの設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

セキュリティ ポリシーを設定するには、次の手順に従います。

  1. trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。

  2. untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

イニシエーターのNATの設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

NAT を提供するイニシエーターの設定方法:

  1. インターフェイスを設定します。

  2. ゾーンを設定します。

  3. NATを設定します。

  4. デフォルトのセキュリティポリシーを設定します。

  5. ルーティング オプションを設定します。

結果

設定モードから、show security natコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダーのインターフェイス、ルーティングオプション、セキュリティゾーンの設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

インターフェイス、静的ルート、セキュリティ ゾーン、セキュリティ ポリシーの設定手順:

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルートの情報を設定します。

  3. untrust セキュリティ ゾーンにインターフェイスを割り当てます。

  4. trustセキュリティ ゾーンを設定します。

  5. trustセキュリティ ゾーンにインターフェイスを割り当てます。

  6. trustセキュリティ ゾーンで許可されたシステム サービスを指定します。

結果

コンフィギュレーションモードから、show routing-optionsshow security zones、およびshow interfacesの各コマンドを入力し、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダーの IKE の設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEプロポーザルの認証方法を定義します。

  2. IKEプロポーザルのDiffie-hellmanグループを定義します。

  3. IKEプロポーザルの認証アルゴリズムを定義します。

  4. IKEプロポーザルの暗号化アルゴリズムを定義します。

  5. IKE フェーズ 1 ポリシーを作成します。

  6. IKEフェーズ1のポリシーモードを設定します。

  7. IKEプロポーザルへのリファレンスを指定します。

  8. IKEフェーズ1ポリシーの認証方法を定義します。

  9. IKE フェーズ 1 ゲートウェイを作成し、その動的なホスト名を定義します。

  10. IKE フェーズ 1 ゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKEフェーズ1のポリシーリファレンスを定義します。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダーの IPsec の設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsec フェーズ 2 プロポーザルを作成します。

  2. IPsec フェーズ 2 プロポーザルのプロトコルを指定します。

  3. IPsec フェーズ 2 プロポーザルの認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザル暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2のポリシーを作成します。

  6. Perfect Forward Secrecy(PFS)グループ1を使用するため、IPsecフェーズ2を設定します。

  7. IPsecフェーズ2のプロポーザルリファレンスを指定します。

  8. IKEゲートウェイを指定します。

  9. IPsec フェーズ 2 ポリシーを指定します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダーのセキュリティ ポリシーの設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

セキュリティ ポリシーを設定するには、次の手順に従います。

  1. trustゾーンからuntrustゾーンへのトラフィックを許可するセキュリティポリシーを作成します。

  2. untrust ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

レスポンダーの NAT の設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

NATを提供するレスポンダーを設定するには

  1. インターフェイスを設定します。

  2. ゾーンを設定します。

  3. NATを設定します。

  4. デフォルトのセキュリティポリシーを設定します。

  5. ルーティング オプションを設定します。

結果

設定モードから、show security natコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

イニシエーターの IKE フェーズ 1 ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

対処

確認プロセスを開始する前に、10.1.99.0ネットワーク内のホストから10.2.99.0ネットワーク内のホストにトラフィックを送信する必要があります。ルートベースVPNでは、SRXシリーズ デバイスからトンネルを通ってトラフィックを開始できます。IPsecトンネルをテストする場合は、VPNの片側にあるデバイスからVPNの別の側にある第2デバイスにテスト トラフィックを送信することをお勧めします。例えば、10.1.99.2 から 10.2.99.2 に ping 操作を開始します。

動作モードから show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。

意味

show security ike security-associations コマンドは、すべてのアクティブな IKE フェーズ 1 SA を一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、各IKE SAに固有のもので、show security ike security-associations index detail コマンドで使用すると、SAの詳細な情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。

  • ロールイニシエータの状態

    • UP - フェーズ1 SAが確立されました。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • IPsec SAペアの両方のピアがポート番号4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート番号4500または他のランダムな大きな番号のポートを使用します)。

    • Peer IKE ID—リモート(レスポンダー)ID が正しいことを確認します。この例のホスト名はsunnyvaleです。

    • ローカルIDとリモートID—これらが正しいことを確認します。

  • Mode - 正しいモードが使用されていることを確認します。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ 1 のプロポーザル パラメーター(両ピアで一致する必要があります)

show security ike security-associations コマンドは、セキュリティアソシエーションに関する追加情報を一覧表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ 1 のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

イニシエーターのIPセキュリティ関連付けの確認

目的

IPsecステータスを検証します。

対処

動作モードから show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • リモートゲートウェイのNATアドレスは13.168.11.100です。

  • IPsec SAペアの両方のピアがポート番号4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート番号 4500 または他のランダムな大きな番号のポートを使用します)。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3390/ unlimited という値は、フェーズ2のライフタイムの有効期限は3390秒であり、ライフサイズは指定されていないため、無制限であることを示しています。VPN の起動後は、フェーズ 2 は フェーズ 1 に依存しないため、各フェーズのライフタイムが異なることがあります。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

レスポンダーの IKE フェーズ 1 ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

対処

動作モードから show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。

意味

show security ike security-associations コマンドは、すべてのアクティブな IKE フェーズ 1 SA を一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、各IKE SAに固有のもので、show security ike security-associations index detail コマンドで使用すると、SAの詳細な情報を得ることができます。

  • リモートアドレス—リモートIPアドレスが正しく、ポート4500がピアツーピア通信に使用されていることを確認します。

  • ロール レスポンダーの状態

    • UP - フェーズ1 SAが確立されました。

    • Down - フェーズ 1 SA の確立に問題がありました。

    • Peer IKE ID - ピアのローカル ID が正しいことを確認します。この例のホスト名はchicagoです。

    • ローカルIDとリモートID—これらが正しいことを確認します。

  • Mode - 正しいモードが使用されていることを確認します。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ 1 のプロポーザル パラメーター(両ピアで一致する必要があります)

show security ike security-associations コマンドは、セキュリティアソシエーションに関する追加情報を一覧表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ 1 のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

レスポンダーの IPsec Security Associations の確認

目的

IPsecステータスを検証します。

対処

動作モードから show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • リモート ゲートウェイの NAT アドレスは 1.1.100.23 です。

  • IPsec SAペアの両方のピアがポート番号4500を使用しています。これはNAT-Tが実装されたことを示しています。(NAT-T は、ポート番号4500または他のランダムな大きな番号のポートを使用します)。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3571/ unlim という値は、フェーズ 2 の ライフタイムは 3571 秒までで、ライフサイズは指定されていないため、無制限であることを示しています。VPN の起動後は、フェーズ 2 は フェーズ 1 に依存しないため、各フェーズのライフタイムが異なることがあります。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

例:動的エンドポイントVPNによるNAT-Tの設定

この例は、IKEv2イニシエーターがNATデバイスの背後にある動的エンドポイントであるルートベースのVPNを設定する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • シャーシクラスターで設定された2台のSRXシリーズデバイス

  • NATを提供する1台のSRXシリーズ

  • 支社のネットワークアクセスを提供する1台のSRXシリーズデバイス

  • Junos OSリリース12.1X46-D10またはそれ以降(IKEv2 NAT-Tサポート用)

概要

この例では、支社(IKEv2イニシエーター)と本社(IKEv2レスポンダー)の間にIPsec VPNを設定し、2つの拠点間のネットワークトラフィックを保護します。支社はNATデバイスの背後にあります。支社のアドレスは動的に割り当てられ、レスポンダーには分かりません。イニシエータには、トンネルネゴシエーション用にレスポンダーのリモートIDが設定されます。この設定により、NATデバイスを介したピア間に動的なエンドポイントVPNが確立されます。

図 3は、NATトラバーサル(NAT-T)と動的なエンドポイントVPNを使用したトポロジーの例を示しています。

図 3: 動的なエンドポイントVPNを使用したNAT-T動的なエンドポイントVPNを使用したNAT-T

この例では、デバイスに動的に割り当てられたイニシエータのIPアドレス192.179.100.50は、NATデバイスによって隠され、100.10.1.253に変換されます。

この例では、以下の設定オプションが適用されます。

  • イニシエーターで設定されたローカルIDは、レスポンダーで設定されたリモートゲートウェイIDと一致する必要があります。

  • フェーズ1とフェーズ2のオプションは、イニシエーターとレスポンダー間で一致する必要があります。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

Junos OSリリース12.1X46-D10およびJunos OSリリース17.3R1から、[edit security ike gateway gateway-name]階層レベルで設定するnat-keepaliveオプションのデフォルト値が、5秒から20秒に変更されました。

SRX1400、SRX3400、SRX3600、SRX5600、SRX5800デバイスでは、ネゴシエーション中にIKEパケットのソースIPアドレスを変更するNATデバイスの背後にIKEピアがある場合、NATトラバーサルを含むIKEネゴシエーションは機能しません。たとえば、NATデバイスがDIPで設定されていれば、IKEプロトコルによってUDPポートが500から4500に切り替わるため、送信元IPが変更されます。(プラットフォームのサポートは、インストールされた Junos OS リリースによって異なります)。

設定

支社デバイス(IKEv2イニシエーター)の設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

支社デバイスを以下の通り設定します。

  1. インターフェイスを設定します。

  2. ルーティングオプションを設定します。

  3. ゾーンを設定します。

  4. フェーズ1のオプションを設定します。

  5. フェーズ2のオプションを設定します。

  6. セキュリティポリシーを設定します。

結果

設定モードから、show interfacesshow routing-optionsshow security zonesshow security ikeshow security ipsecshow security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

NATデバイスの設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

NATを提供する中間ルーターを以下の通り設定します。

  1. インターフェイスを設定します。

  2. ゾーンを設定します。

  3. NATを設定します。

  4. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、show interfacesshow security zonesshow security nat source、およびshow security policies のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

本社デバイス(IKEv2レスポンダー)の設定

CLIクイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

ステップ・バイ・ステップの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

  1. 2つのノードをシャーシクラスターとして設定します。

  2. インターフェイスを設定します。

  3. ルーティングオプションを設定します。

  4. ゾーンを設定します。

  5. フェーズ1のオプションを設定します。

  6. フェーズ2のオプションを設定します。

  7. デフォルトのセキュリティポリシーを設定します。

結果

設定モードから、show chassis clustershow interfacesshow routing-optionsshow security zonesshow security ikeshow security ipsecshow security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

検証

設定が正常に機能していることを確認します。

レスポンダーのIKEフェーズ1ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

対処

ノード0の運用モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations detail コマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス:この値は、各IKE SAごとに一意であり、コマshow security ike security-associations index index_id detailンドに使えば、SAの詳細な情報を得ることができます。

  • リモートアドレス:ローカルIPアドレスが正しいことと、ポート4500がピアツーピア通信に使用されていることを確認します。

  • ロールレスポンダーの状態

    • UP:フェーズ1 SAが確立されました。

    • Down:フェーズ1 SAの確立に問題がありました。

    • Peer IKE ID:アドレスが正しいことを確認してください。

    • ローカルIDおよびリモートID:これらのアドレスが正しいことを確認してください。

  • Mode:正しいモードが使用されていることを確認してください。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを送信するインターフェイスである必要があります)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)

show security ike security-associationsコマンドは、セキュリティアソシエーションに関する以下に示す追加情報を一覧表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

レスポンダーのIPsec Security Associationsの確認

目的

IPsecステータスを検証します。

対処

ノード0の運用モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • リモートゲートウェイのIPアドレスは100.10.1.253です。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。ライフタイムという値は、フェーズ2のライフタイムの有効期限は7186秒であり、ライフサイズは指定されていないため、無制限であることを示しています。VPNの起動後は、フェーズ2はフェーズ1に依存しないため、各フェーズのライフタイムが異なることがあります。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

show security ipsec security-associations index index_id detailコマンドからの出力には、次の情報が表示されます。

  • ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。

    プロキシIDの不一致は、フェーズ2の失敗で最もよくある原因の1つです。IPsec SAが表示されない場合、プロキシIDの設定を含むフェーズ2のプロポーザルが両ピアで一致することを確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。

  • フェーズ2の失敗でよくある理由のもう1つに、STインターフェイスのバインディングが指定されていないことがあります。IPsecを完了できない場合は、kmdログを確認するか、トレース オプションを設定します。

リリース履歴テーブル
リリース
説明
12.1X46-D10
Junos OSリリース12.1X46-D10およびJunos OSリリース17.3R1から、[edit security ike gateway gateway-name]階層レベルで設定するnat-keepaliveオプションのデフォルト値が、5秒から20秒に変更されました。