このページの内容
ルートベースIPsec VPN
ルートベースVPNは、宛先IPアドレスに基づいてトンネルを通過するトラフィックを決定するルートが、2つのエンドポイント間に作成されたIPsec VPNトンネルを参照する設定です。
ルートベースIPsec VPNについて
ルートベースVPNを使用すると、数十のセキュリティポリシーを設定して、2つのサイト間にある1つのVPNトンネルを通過するトラフィックを規制できます。この場合に動作するのはIKEおよびIPsec SAの1セットのみです。ポリシーベースのVPNとは異なり、ルートベースのVPNの場合、ポリシーはVPNトンネルではなく宛先アドレスを指します。Junos OSパケットの宛先アドレスへのトラフィック送信に使用するインターフェイスを見つけるためにルートを検索すると、セキュアなトンネルインターフェイス(st0.x)を介するルートが検出されます。トンネル インターフェイスは特定の VPN トンネルにバインドされており、ポリシー アクションが許可されている場合、トラフィックはトンネルにルーティングされます。
セキュア トンネル(st0)インターフェイスは、同時に 1 つの IPv4 アドレスと 1 つの IPv6 アドレスのみをサポートします。これは、すべてのルートベースVPNに適用されます。 disable オプションは、st0インターフェイスではサポートされていません。
st0.16000からst0.16385までのセキュアトンネルインターフェイス(st0)は、マルチノード高可用性とシャーシクラスターでのHA制御リンク暗号化のために予約されています。これらのインターフェイスは、ユーザー設定可能なインターフェイスではありません。st0.0からst0.15999までのインターフェイスのみを使用できます。
ルートベースVPNの使用例は次のとおりです。
2つのLAN間には、重複するサブネットまたはIPアドレスがあります。
ネットワークではハブアンドスポーク VPN トポロジーが使用されており、スポークツースポーク トラフィックが必要です。
プライマリVPNとバックアップVPNが必要です。
動的ルーティング プロトコル(OSPF、RIP、BGP など)は、VPN 全体で実行されています。
ポイントツーマルチポイントVPNインターフェイスを介したRIPデマンド回線の設定はサポートされていません。
複数のリモートサイト間でVPNを設定する場合は、ルートベースVPNの使用をお勧めします。ルートベースのVPNを使用すると、複数のリモートサイト間のスポーク間のルーティングが可能になります。設定、監視、トラブルシューティングがより簡単になります。
関連項目
例:ルートベースVPNの設定
この例では、2 つのサイト間でデータを安全に転送できるように、ルートベースの IPsec VPN を設定する方法を示します。
要件
この例では、次のハードウェアを使用しています。
-
任意のSRXシリーズファイアウォール
- Junos OSリリース20.4R1でvSRX仮想ファイアウォールを使用して更新および再検証しました。
このガイドで取り上げられているトピックや操作を実際に体験してみませんか? ジュニパーネットワークス仮想ラボの IPsec ルートベース VPN のデモ を今すぐご覧になり、無料のサンドボックスをご予約ください。IPsec VPNルートベースサンドボックスは、セキュリティカテゴリにあります。
開始する前に、 IPsecの概要をお読みください。
概要
この例では、SRX1 と SRX2 上でルートベースの VPN を設定します。Host1とHost2は、VPNを使用して、インターネットを介して両ホスト間でトラフィックを安全に送信します。
図1 は、ルートベースVPNトポロジーの例を示しています。
この例では、インターフェイス、IPv4 デフォルト ルート、およびセキュリティ ゾーンを設定します。次に、IKE、IPsec、セキュリティ ポリシー、TCP-MSS パラメーターを設定します。この例で使用されている特定の設定パラメータについては、 表1 から 表5 を参照してください。
| 機能 |
名前 |
設定パラメータ |
|---|---|---|
| インターフェイス |
ge-0/0/0.0 |
10.100.11.1/24 |
| ge-0/0/1.0 |
172.16.13.1/24 |
|
| st0.0(トンネルインターフェイス) |
10.100.200.1/24 |
|
| スタティックルート |
10.100.22.0/24 0.0.0.0/0 |
ネクストホップはst0.0です。 ネクスト ホップは 172.16.13.2 です。 |
| セキュリティゾーン |
信頼 |
|
| 信頼できない |
|
|
| VPN |
|
| 機能 |
名前 |
設定パラメータ |
|---|---|---|
| プロポーザル |
標準 |
|
| ポリシー |
IKE-POL |
|
| ゲートウェイ |
IKE-GW |
|
| 機能 |
名前 |
設定パラメータ |
|---|---|---|
| プロポーザル |
標準 |
|
| ポリシー |
IPSEC-POL |
|
| VPN |
VPNからホスト2 |
|
| 目的 |
名前 |
設定パラメータ |
|---|---|---|
| セキュリティ ポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。 |
VPN-OUT |
|
| セキュリティ ポリシーは、VPN ゾーンから trust ゾーンへのトラフィックを許可します。 |
VPNイン |
|
| 目的 |
設定パラメータ |
|---|---|
| TCP-MSSは、TCPスリーウェイハンドシェイクの一部としてネゴシエートされ、TCPセグメントの最大サイズをネットワークのMTU制限に適応するように制限します。VPN トラフィックの場合、IPsec カプセル化のオーバーヘッドと、IP およびフレームのオーバーヘッドにより、結果として ESP パケットが物理インターフェイスの MTU を超える可能性があり、これはフラグメント化を引き起こします。フラグメント化は、帯域幅とデバイスのリソースを増加させます。 MTU が 1500 以上のイーサネットベース ネットワークのほとんどでは、1350 を開始値としてお勧めします。最適なパフォーマンスを得るには、さまざまなTCP-MSS値を試す必要があるかもしれません。例えば、パス内にMTUが小さいデバイスが存在したり、PPPやフレームリレーなどの追加オーバーヘッドがあったりすると、値を変更する必要がある場合があります。 |
MSS値:1350 |
設定
基本的なネットワークおよびセキュリティゾーン情報を設定する
CLIクイックコンフィグレーション
SRX1の例のセクションをすばやく構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーして貼り付け、構成モードから commit を入力します。
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set interfaces st0 unit 0 family inet address 10.100.200.1/24 set routing-options static route 10.100.22.0/24 next-hop st0.0 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN host-inbound-traffic system-services ping set security zones security-zone VPN interfaces st0.0
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。手順については、 『CLIユーザーガイド』を参照してください。
インターフェイス、静的ルート、セキュリティゾーンの情報を設定するには:
-
インターフェイスを設定します。
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32 user@SRX1# set interfaces st0 unit 0 family inet address 10.100.200.1/24
-
静的ルートを設定します。
[edit] user@SRX1# set routing-options static route 10.100.22.0/24 next-hop st0.0 user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
インターネットに面したインターフェイスをuntrustセキュリティゾーンに割り当てます。
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
untrust セキュリティ ゾーンで許可されるシステム サービスを指定します。
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Host1 を向いたインターフェイスを trust セキュリティ ゾーンに割り当てます。
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
trust セキュリティ ゾーンで許可されるシステム サービスを指定します。
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
-
VPN セキュリティ ゾーンにセキュア トンネル インターフェイスを割り当てます。
[edit security zones security-zone VPN] user@SRX1# set interfaces st0.0
-
VPNセキュリティゾーンで許可されるシステムサービスを指定します。
[edit security zones security-zone VPN] user@SRX1# set host-inbound-traffic system-services ping
結果
設定モードから、 show interfaces、 show routing-options、 show security zones コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.100.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.13.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.100.100.1/32;
}
}
}
st0 {
unit 0 {
family inet {
address 10.100.200.1/24;
}
}
}
[edit]
user@SRX1# show routing-options
static {
route 10.100.22.0/24 next-hop st0.0;
route 0.0.0.0/0 next-hop 172.16.13.2;
}
[edit]
user@SRX1# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
st0.0;
}
}
IKEの設定
CLIクイックコンフィグレーション
SRX1の例のセクションをすばやく構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーして貼り付け、構成モードから commit を入力します。
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。手順については、 CLIユーザーガイドを参照してください。
IKEを設定するには:
-
IKEプロポーザルを作成します。
[edit security ike] user@SRX1# set proposal standard
-
IKEプロポーザルの認証方法を定義します。
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
IKEポリシーを作成します。
[edit security ike] user@SRX1# set policy IKE-POL
-
IKEポリシーモードを設定します。
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
IKEプロポーザルへのリファレンスを指定します。
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
IKEポリシーの認証方法を定義します。
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
IKEゲートウェイを作成し、その外部インターフェイスを定義します。
[edit security ike] user@SRX1# set gateway IKE-GW external-interface ge-0/0/1
-
IKEポリシーリファレンスを定義します。
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
-
IKEゲートウェイアドレスを定義します。
[edit security ike gateway IKE-GW] user@SRX1# set address 172.16.23.1
結果
設定モードから、 show security ike コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@SRX1# show security ike
proposal standard {
authentication-method pre-shared-keys;
}
policy IKE-POL {
mode main;
proposals standard;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway IKE-GW {
ike-policy IKE-POL;
address 172.16.23.1;
external-interface ge-0/0/1;
}
IPsecの設定
CLIクイックコンフィグレーション
SRX1の例のセクションをすばやく構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーして貼り付け、構成モードから commit を入力します。
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 bind-interface st0.0 set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。手順については、 『CLIユーザーガイド』を参照してください。
IPsecを設定するには:
-
IPsecプロポーザルを作成します。
[edit] user@SRX1# set security ipsec proposal standard
-
IPsecポリシーを作成します。
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
IPsecプロポーザルのリファレンスを指定します。
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
IKEゲートウェイを指定します。
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
IPsecポリシーを指定します。
[edit security ipsec] user@host# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
バインドするインターフェイスを指定します。
[edit security ipsec] user@host# set vpn VPN-to-Host2 bind-interface st0.0
-
すぐに確立するようにトンネルを設定します。
[edit security ipsec] user@host# set vpn VPN-to-Host2 establish-tunnels immediately
結果
設定モードから、 show security ipsec コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security ipsec
proposal standard;
policy IPSEC-POL {
proposals standard;
}
vpn VPN-to-Host2 {
bind-interface st0.0;
ike {
gateway IKE-GW;
ipsec-policy IPSEC-POL;
}
establish-tunnels immediately;
}
セキュリティポリシーの設定
CLIクイックコンフィグレーション
SRX1 のセキュリティ ポリシーを迅速に構成するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク構成に合わせて必要な詳細をすべて変更し、コマンドをコピーして [edit] 階層レベルの CLI に貼り付け、構成モードから commit を入力します。
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone VPN set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match application any set security policies from-zone trust to-zone VPN policy VPN-OUT then permit set security policies from-zone VPN to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone VPN to-zone trust policy VPN-IN match application any set security policies from-zone VPN to-zone trust policy VPN-IN then permit
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。手順については、 『CLIユーザーガイド』を参照してください。
セキュリティポリシーを設定するには:
-
セキュリティポリシーで使用するネットワークのアドレス帳エントリを作成します。
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone VPN
-
インターネットへのトラフィックに対して、trust ゾーンから untrust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
trustゾーンのHost1からVPNゾーンのHost2に宛てたトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone trust to-zone VPN] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit
-
VPN ゾーンの Host2 から trust ゾーンの Host1 へのトラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone VPN to-zone trust] user@host# set policy VPN-IN match source-address Host2-Net user@host# set policy VPN-IN match destination-address Host1-Net user@host# set policy VPN-IN match application any user@host# set policy VPN-IN then permit
結果
設定モードから、 show security address-book および show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security address-book
Host1 {
address Host1-Net 10.100.11.0/24;
attach {
zone trust;
}
}
Host2 {
address Host2-Net 10.100.22.0/24;
attach {
zone VPN;
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy VPN-OUT {
match {
source-address Host1-Net;
destination-address Host2-Net;
application any;
}
then {
permit;
}
}
}
from-zone VPN to-zone trust {
policy VPN-IN {
match {
source-address Host2-Net;
destination-address Host1-Net;
application any;
}
then {
permit;
}
}
}
TCP-MSSの設定
CLIクイックコンフィグレーション
SRX1用のTCP MSSを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security flow tcp-mss ipsec-vpn mss 1350
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。手順については、 『CLIユーザーガイド』を参照してください。
TCP-MSS情報を設定するには、次の手順に従います。
-
TCP-MSS情報を設定します。
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
結果
設定モードから、 show security flow コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@SRX1# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
SRX2 の設定
CLIクイックコンフィグレーション
参考までに、SRX2 の構成を示します。
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 bind-interface st0.0 set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone VPN set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone trust to-zone VPN policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone VPN policy VPN-OUT match application any set security policies from-zone trust to-zone VPN policy VPN-OUT then permit set security policies from-zone VPN to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone VPN to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone VPN to-zone trust policy VPN-IN match application any set security policies from-zone VPN to-zone trust policy VPN-IN then permit set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN host-inbound-traffic system-services ping set security zones security-zone VPN interfaces st0.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set interfaces st0 unit 0 family inet address 10.100.200.2/24 set routing-options static route 10.100.11.0/24 next-hop st0.0 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
検証
以下のタスクを実行して、設定が正しく機能していることを確認します。
IKEステータスの確認
目的
IKEステータスを確認します。
アクション
動作モードから、 show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detail コマンドを使用します。
user@SRX1> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
1859340 UP b153dc24ec214da9 5af2ee0c2043041a Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859340 detail
IKE peer 172.16.23.1, Index 1859340, Gateway Name: IKE-GW
Role: Responder, State: UP
Initiator cookie: b153dc24ec214da9, Responder cookie: 5af2ee0c2043041a
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Lifetime: Expires in 23038 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 172.16.23.1
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1236
Output bytes : 868
Input packets: 9
Output packets: 5
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 2 created, 2 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Local identity: 172.16.13.1
Remote identity: 172.16.23.1
Flags: IKE SA is created
意味
show security ike security-associationsコマンドは、すべてのアクティブなIKE SAを一覧表示します。SAが表示されない場合は、IKEの確立に問題が発生しています。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。
SAが表示される場合は、以下の情報を確認します。
-
インデックス—この値はIKE SAごとに固有で、
show security ike security-associations index detailコマンドで使用すると、SAに関する詳細情報を得ることができます。 -
リモートアドレス—リモートIPアドレスが正しいことを確認します。
-
状態
-
UP - IKE SAが確立されています。
-
DOWN - IKE SA の確立に問題がありました。
-
-
モード—正しいモードが使用されていることを確認します。
設定で以下が適切か検証します。
-
外部インターフェイス(インターフェイスはIKEパケットを受信するインターフェイスである必要があります)
-
IKEポリシーパラメータ
-
事前共有鍵情報
-
プロポーザルパラメーター(両方のピアで一致する必要があります)
show security ike security-associations index 1859340 detailコマンドは、インデックス番号1859340セキュリティ アソシエーションに関する追加情報を一覧表示します。
-
使用される認証および暗号化アルゴリズム
-
ライフタイム
-
トラフィック統計情報(トラフィックが双方向に正しく流れていることを検証するために使用できます)
-
ロール情報
トラブルシューティングは、レスポンダ ロールを使用してピア上で実行するのが最適です。
-
開始側と応答側の情報
-
作成されたIPsec SAの数
-
進行中のネゴシエーション数
IPsecステータスの検証
目的
IPsecステータスを確認します。
アクション
動作モードから、 show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detail コマンドを使用します。
user@SRX1> show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131074 ESP:3des/sha1 912f9063 3403/ unlim - root 500 172.16.23.1 >131074 ESP:3des/sha1 71dbaa56 3403/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 131074 detail
ID: 131074 Virtual-system: root, VPN Name: VPN-to-Host2
Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 500, Nego#: 26, Fail#: 0, Def-Del#: 0 Flag: 0x600a29
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Fri Jul 23 2021 10:46:34 -0700: IPSec SA negotiation successfully completed (23 times)
Fri Jul 23 2021 09:07:24 -0700: IKE SA negotiation successfully completed (3 times)
Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times)
Thu Jul 22 2021 16:33:50 -0700: Tunnel configuration changed. Corresponding IKE/IPSec SAs are deleted (1 times)
Thu Jul 22 2021 16:23:49 -0700: IPSec SA negotiation successfully completed (2 times)
Thu Jul 22 2021 15:34:12
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Thu Jul 22 2021 15:33:25 -0700: IPSec SA negotiation successfully completed (1 times)
Thu Jul 22 2021 15:33:25
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Thu Jul 22 2021 15:33:25 -0700: External interface's address received. Information updated (1 times)
Thu Jul 22 2021 15:33:25 -0700: Bind-interface's zone received. Information updated (1 times)
Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times)
Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times)
Direction: inbound, SPI: 912f9063, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3302 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2729 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 71dbaa56, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3302 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2729 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
意味
show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。
-
ID番号は131074です。この値を
show security ipsec security-associations indexコマンドと併用して、この特定のSAに関する詳細情報を取得します。 -
ポート500を使用するIPsec SAペアが1つあり、NATトラバーサルが実装されていないことを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな数字の大きいポートを使用します。)
-
両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3403/unlim値は、ライフタイムが3403秒で終了すること、ライフサイズが指定されていないことを示し、無制限であることを示しています。VPNが起動した後はIPsecはIKEに依存しないため、ライフタイムがライフタイムと異なる場合があります。
-
月曜の列にあるハイフンで示されているように、このSAではVPN監視が有効になっていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。
-
仮想システム(vsys)はルート システムであり、常に 0 が表示されます。
show security ipsec security-associations index 131074 detailコマンドからの出力には、以下の情報が表示されます。
-
ローカル ID とリモート ID により、SA のプロキシ ID が構成されます。
プロキシIDの不一致は、IPsecエラーの最も一般的な原因の1つです。IPsec SAが表示されない場合は、プロキシID設定を含むIPsecプロポーザルが両方のピアに対して正しいことを確認します。ルートベースVPNの場合、デフォルトのプロキシIDはローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティベンダーでは、プロキシIDを手動で入力して照合する必要があります。
-
IPsec障害のもう1つの一般的な理由は、STインターフェイスバインディングを指定していないことです。IPsecを完了できない場合は、kmdログを確認するか、トレースオプションを設定します。
VPN全体のトラフィックフローをテストする
目的
VPN全体のトラフィックフローを検証します。
アクション
Host1デバイスから ping コマンドを使用して、Host2へのトラフィックフローをテストします。
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.146/3.824/6.193/0.402 ms
意味
Host1 からの ping コマンドが失敗した場合は、ルーティング、セキュリティ ポリシー、エンド ホスト、ESP パケットの暗号化と復号化に問題がある可能性があります。
IPsec セキュリティ アソシエーションの統計情報とエラーの確認
目的
IPsecセキュリティアソシエーションのESPおよび認証ヘッダーカウンターとエラーを確認します。
アクション
動作モードから、統計情報を表示するVPNのインデックス番号を使用して show security ipsec statistics index index_number コマンドを入力します。
user@SRX1> show security ipsec statistics index 131074 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
show security ipsec statisticsコマンドを使用して、すべてのSAの統計情報とエラーを確認することもできます。
すべてのIPsec統計情報を消去するには、 clear security ipsec statistics コマンドを使用します。
意味
VPN 全体でパケット損失の問題が発生した場合、 show security ipsec statistics または show security ipsec statistics detail コマンドを数回実行して、暗号化および復号化されたパケット カウンターが増加しているかどうかを確認します。エラー カウンターが増加しているかどうかは、コマンドの出力を見てください。