Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルートベースの IPsec Vpn

ルートベースVPNは、宛先IPアドレスに基づきトンネルを通過するトラフィックを決定するルートが、2つのエンド ポイント間に作成されたIPsec VPNトンネルを参照する設定です。

ルートベースIPsec VPNについて

ルートベースのVPNを使用すると、数十のセキュリティ ポリシーを設定して、2つのサイト間にある1つのVPNトンネルを通過するトラフィック規制できます。この場合、稼働するのは1セットのIKEおよびIPsec SAのみです。ポリシーベースの vpn では、ルートベースの vpn の場合とは異なり、ポリシーは VPN トンネルではなく宛先アドレスを指します。パケットJunos OS宛先アドレスへのトラフィック送信に使用するインターフェイスを見つけるルートを検索すると、セキュア トンネル インターフェイス(st0)を介するルートが見つけ出されます。x ) トンネルインターフェイスは特定の VPN トンネルにバインドされており、ポリシーアクションが許可されている場合、トラフィックはトンネルにルーティングされます。

セキュア トンネル(st0)インターフェイスは、1個のIPv4アドレスと1個のIPv6アドレスのみを同時にサポートしています。これは、すべてのルートベースVPNに適用されます。このdisableオプションは、st0インターフェイスではサポートされていません。

ルートベースVPNの使用例は次のとおりです。

  • 2個のLAN間には、重複するサブネットまたはIPアドレスがあります。

  • ネットワークではハブアンドスポーク VPNトポロジーが使用されており、スポークツースポーク トラフィックが必要です。

  • プライマリVPNとバックアップVPNが必要です。

  • 動的ルーティング プロトコル(OSPF、RIP、BGPなど)は、VPN全体で実行されています。

    ポイントツーマルチポイントVPNインターフェイスを介したRIPデマンド回線の設定はサポートされていません。

複数のリモート サイト間でVPNを設定する場合は、ルートベースVPNの使用をお勧めします。ルートベースのVPNを使用すると、複数のリモート サイト間におけるスポーク間のルーティングが可能になり、設定、監視、トラブルシューティングを容易に行えます。

例:ルートベース VPN の設定

この例では、2 つのサイト間で安全にデータを転送できるルートベースの IPsec VPN を設定する方法を示しています。

要件

この例では、次のハードウェアを使用しています。

  • SRX シリーズデバイス

    • リリースリリースのリリースで使用vSRXしてJunos OS更新および20.4R1。
注:

このガイドで取り上げされているトピックと運用の実践的な経験を得てみませんか? 仮想ラボ での IPsec ルート ベース VPN のデモをごジュニパーネットワークス、今すぐ無料のサンドボックスを予約しましょう。セキュリティ カテゴリーでは、IPsec VPN ルートベース サンドボックスを確認できます。

開始する前に、 をお読み IPsec の概要 ください。

概要

この例では、SRX1およびSRX2でルートベースVPNを設定します。Host1 と Host2 は、VPN を使用して、両方のホスト間でインターネット上でトラフィックを安全に送信します。

図 1は、ルートベースの VPN トポロジの例を示しています。

図 1: ルートベース VPN トポロジ ルートベース VPN トポロジ

この例では、インターフェイス、IPv4 のデフォルトルート、セキュリティゾーンを構成します。次に、IKE、IPsec、セキュリティポリシー、TCP MSS の各パラメーターを構成します。この表 1表 5で使用されている特定の構成パラメーターについては、を参照してください。

表 1: SRX1のインターフェイス、静的ルート、セキュリティゾーン、セキュリティポリシー情報

機能

名前

設定パラメータ

インターフェイス

ge-0/0/0.0

10.100.11.1/24

 

ge-0/0/1.0

172.16.13.1/24

 

st 0.0 (トンネルインターフェイス)

10.100.200.1/24

スタティック ルート

10.100.22.0/24

0.0.0.0/0

次ホップは st 0.0 です。

ネクスト ホップは 172.16.13.2 です。

セキュリティ ゾーン

トラスト

  • このゾーンには、ge-0/0/0.0 インターフェイスがバインドされています。

 

untrust

  • このゾーンには、ge-0/0/1.0 インターフェイスがバインドされています。

 

/vpn

  • st0.0インターフェイスは、このゾーンにバインドされています。

表 2: IKE設定パラメータ

機能

名前

設定パラメータ

提案

標準

  • 認証方法: 事前共有キー

ポリシー

IKE-POL

  • モードメイン

  • 提案の参考資料: 標準

  • IKE ポリシー認証方法: 事前共有キー

活用

IKE-GW

  • IKE ポリシーのリファレンス: IKE-POL

  • 外部インターフェイス: ge-0/0/1

  • ゲートウェイアドレス: 172.16.23.1

表 3: IPsec 構成パラメーター

機能

名前

設定パラメータ

提案

標準

  • デフォルト設定の使用

ポリシー

IPSEC-POL

  • 提案の参考資料: 標準

VPN

VPN-to-Host2

  • IKE ゲートウェイリファレンス: IKE-GW

  • IPsec ポリシー参照: IPSEC-POL

  • インターフェイスへのバインド: st0.0

  • 直ちにトンネルを確立
表 4: セキュリティポリシーの構成パラメーター

目的

名前

構成パラメーター

セキュリティ ポリシーは、trustゾーンからVPNゾーンへのトラフィックを許可します。

VPN アウト

  • 条件の一致:

    • 送信元アドレス Host1-Net

    • 宛先アドレス Host2-Net

    • アプリケーション

  • アクション:許可

セキュリティ ポリシーは、VPNゾーンから trustゾーンへのトラフィックを許可します。

VPN-IN

  • 条件の一致:

    • 送信元アドレス Host2-Net

    • 宛先アドレス Host1-Net

    • アプリケーション

  • アクション:permit

表 5: TCP-MSS設定パラメータ

目的

設定パラメータ

Tcp MSS は TCP スリーウェイハンドシェイクの一部としてネゴシエートされ、tcp セグメントの最大サイズを制限して、ネットワークの MTU の制限に合わせます。VPN トラフィックの場合、IPsec カプセル化のオーバーヘッドと、IP およびフレームのオーバーヘッドにより、物理インターフェイスの MTU を超える ESP パケットが発生する可能性があります。これは、フラグメント化を引き起こします。フラグメント化により、帯域幅とデバイス リソースが増加します。

1500以上の MTU を使用するほとんどのイーサネットベースのネットワークの出発点として、1350の価値をお勧めします。最適なパフォーマンスを実現するためには、さまざまなTCP-MSS値を試す必要があるかもしれません。たとえば、パス内にMTUが小さいデバイスが存在したり、PPPやフレーム リレーなどの追加オーバーヘッドがあったりすると、値を変更する必要がある場合もあります。

MSS値:1350

構成

基本的なネットワークおよびセキュリティ ゾーン情報を設定する

CLI クイック構成

SRX1 の例のこのセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]commit

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 ユーザー ガイド 」CLIを参照してください

インターフェイス、静的ルート、セキュリティーゾーン情報を構成するには、次のようにします。

  1. インターフェイスを構成します。

  2. 静的ルートを構成します。

  3. インターネットに面したインターフェイスを Untrust デバイスにセキュリティ ゾーン。

  4. Untrustトラフィック用に許可されたシステム サービスを指定セキュリティ ゾーン。

  5. Host1 に面したインターフェイスを信頼できるインターフェイスにセキュリティ ゾーン。

  6. trustサーバーに対して許可されたシステム サービスをセキュリティ ゾーン。

  7. セキュア トンネル インターフェイスを VPN インターフェイスに割り当セキュリティ ゾーン。

  8. VPN サーバーで許可されたシステム サービスをセキュリティ ゾーン。

結果

設定モードから、、、およびshow interfacesshow routing-optionsshow security zonesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

IKE の構成

CLI クイック構成

SRX1 の例のこのセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]commit

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 ユーザー ガイドCLI を参照してください

IKE を設定するには

  1. IKEプロポーザルを作成します。

  2. IKE 提案認証方法を定義します。

  3. IKE ポリシーを作成します。

  4. IKEポリシー モードを設定します。

  5. IKEプロポーザルへのリファレンスを指定します。

  6. IKEポリシーの認証方法を定義します。

  7. IKEゲートウェイを作成し、その外部インターフェイスを定義します。

  8. IKE ポリシーのリファレンスを定義します。

  9. IKE ゲートウェイアドレスを定義します。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

IPsec の構成

CLI クイック構成

SRX1 の例のこのセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]commit

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 ユーザー ガイド 」CLIを参照してください

IPsec を構成するには

  1. IPsec の提案を作成します。

  2. IPsec ポリシーを作成します。

  3. IPsecプロポーザル リファレンスを指定します。

  4. IKEゲートウェイを指定します。

  5. IPsecポリシーを指定します。

  6. バインドするインターフェイスを指定します。

  7. 即座に確立するトンネルを設定します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

セキュリティポリシーの設定

CLI クイック構成

SRX1 用にセキュリティー ポリシーを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードからを入力します。 [edit]commit

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 ユーザー ガイド 」CLIを参照してください

セキュリティーポリシーを設定するには、次のようにします。

  1. セキュリティ ポリシーで使用するネットワークのアドレス帳のエントリーを作成します。

  2. Trustゾーンからインターネットへのトラフィックを Untrustゾーンに許可するセキュリティポリシーを作成します。

  3. VPN ゾーンの Host2 宛ての trust ゾーンの Host1 からのトラフィックを許可するセキュリティ ポリシーを作成します。

  4. trustゾーンのVPNゾーンのホスト2からホスト1へのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、 show security address-bookshow security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

TCP MSS の構成

CLI クイック構成

SRX1 用に TCP MSS を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]commit

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 ユーザー ガイド 」CLIを参照してください

TCP MSS 情報を構成するには、次のようにします。

  1. TCP-MSS情報を設定します。

結果

設定モードから、show security flowコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

SRX2の設定

CLI クイック構成

参照用に、SRX2 の設定が提供されています。

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更し、コマンドを[edit]階層の CLI にコピー & ペーストします。レベルを選択し、 commit設定モードから入力します。

検証

これらのタスクを実行して、設定が正常に機能されていることを確認します。

検証IKEステータス

目的

IKE のステータスを確認します。

アクション

動作モードから、 show security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detailコマンドを使用します。

このshow security ike security-associationsコマンドは、アクティブな IKE sa をすべて表示します。SAが表示されない場合、IKEの確立に問題が発生しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

Sa が表示されている場合は、以下の情報を確認します。

  • インデックス — この値は SA の各IKE一意です。SA に関する詳しい情報を取得するために コマンド show security ike security-associations index detail で使用できます。

  • リモート アドレス —リモート IP アドレスが正しいか検証します。

  • 都道府県

    • アップ — 現在IKE SA が確立されています。

    • ダウン— SAの確立時に問題がIKEしました。

  • モード — 正しいモードが使用されていることを検証します。

構成において以下のことが正しいことを確認します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • 提案パラメーター (両方のピアで一致する必要があります)

show security ike security-associations index 1859340 detailコマンドは、インデックス番号1859340のセキュリティ アソシエーションに関する追加情報を表示します。

  • 使用される認証および暗号化アルゴリズム

  • ライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中の交渉数

IPsecステータスの検証

目的

IPsec のステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detailコマンドを使用します。

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • ID番号は131074です。この値をコマンドとshow security ipsec security-associations indexともに使用して、この特定の SA に関する詳細情報を取得します。

  • ポート500を使用する1つのIPsec SAペアがあり、NATトラバーサルが未実装であることを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな数字の大きいポートを使用します。)

  • 両方の方向について、Spi、有効期限 (秒)、使用制限 (KB 単位) が表示されます。3403/unlim値は、ライフタイムが3403秒で終了し、ライフサイズが指定されていません。これは無制限を示しています。IPsec は VPN が稼働している IKE に依存していないため、有効期間は有効期間とは異なる可能性があります。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

show security ipsec security-associations index 131074 detailコマンドからの出力には、次の情報が表示されます。

  • ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。

    プロキシIDの不一致は、最も一般的なIPsecエラーの原因の1つです。IPsec SAが表示されない場合は、プロキシID設定などのIPsecプロポーザルが、両方のピアに対して適切であるか確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。

  • もう1つの一般的なIPsec障害の原因は、STインターフェイス バインディングの未指定です。IPsec を完了できない場合は、kmd ログを確認するか、トレースオプションを設定してください。

VPN 全体のトラフィック フローをテスト

目的

VPN 全体のトラフィックフローを確認します。

アクション

pingHost1 デバイスの コマンドを使用して、Host2 へのトラフィック フローをテストします。

Host1 からのコマンドが失敗した場合は、ルーティング、セキュリティ ポリシー、エンド ホスト、ESP パケットの暗号化および復号化に問題 ping がある可能性があります。

IPsecセキュリティ アソシエーションの統計情報とエラーの確認

目的

IPsec セキュリティアソシエーションの ESP および認証ヘッダーのカウンターとエラーを確認します。

アクション

動作モードから、統計情報show security ipsec statistics index index_numberを表示する VPN のインデックス番号を使用してコマンドを入力します。

show security ipsec statisticsコマンドを使用して、すべてのSAの統計情報とエラーを確認することもできます。

すべての IPsec 統計情報を消去するclear security ipsec statisticsには、このコマンドを使用します。

VPN全体でパケット損失の問題が発生した場合、またはのコマンドを数回実行して、暗号化および復号化されたパケット カウンターが増加している show security ipsec statisticsshow security ipsec statistics detail のを確認します。コマンド出力で、増加するエラー カウンターを確認します。