ルートベースVPNにおけるトラフィックセレクター
ルートベースIPsec VPNのトラフィックセレクターと、ファイアウォールでトラフィックセレクターを設定する方法については、このトピックをお読みください。
トラフィックセレクターは、トラフィックが指定されたローカルアドレスとリモートアドレスのペアに一致する場合に、VPNトンネルを介したトラフィックを許可するためのIKEピア間の合意です。トラフィックセレクターに適合したトラフィックのみが、関連するセキュリティアソシエーション(SA)を介して許可されます。
ルートベースVPNのトラフィックセレクターを理解する
トラフィックセレクターは、トラフィックが指定されたローカルアドレスとリモートアドレスのペアに一致する場合に、トンネルを介したトラフィックを許可するためのIKEピア間の合意です。この機能により、特定のルートベースVPN内でトラフィックセレクターを定義できるため、複数のフェーズ2 IPsecセキュリティアソシエーション(SA)を実現できます。トラフィックセレクターに適合したトラフィックのみが、関連するSAを介して許可されます。
トラフィックセレクターの設定
トラフィックセレクターを設定するには、[edit security ipsec vpn vpn-name]階層レベルでtraffic-selector設定ステートメントを使用します。トラフィックセレクターは、必須のlocal-ip ip-address/netmaskおよびremote-ip ip-address/netmaskステートメントで定義されています。CLI操作コマンドshow security ipsec security-association detail、SAのトラフィックセレクター情報を表示します。show security ipsec security-association traffic-selector traffic-selector-nameCLIコマンドは、指定されたトラフィックセレクターの情報を表示します。
特定のトラフィックセレクターに対して、ローカルアドレスとリモートアドレスに1つのアドレスとネットマスクが指定されます。トラフィックセレクターは、IPv4またはIPv6アドレスで設定できます。アドレス帳を使用してローカルアドレスまたはリモートアドレスを指定することはできません。
同じVPNに対して、複数のトラフィックセレクターを設定することができます。VPNごとに最大200のトラフィックセレクターを設定できます。トラフィックセレクターは、IPv4-in-IPv4、IPv4-in-IPv6、IPv6-in-IPv6、またはIPv6-in-IPv4トンネルモードで使用できます。
トラフィックセレクターでは、以下の機能はサポートされていません。
-
VPN監視
-
トラフィックセレクターのローカルおよびリモートIPアドレス用に設定された異なるアドレスファミリ
-
サイト間VPN用のリモートアドレス0.0.0.0/0(IPv4)または0::0(IPv6)
-
ポイントツーマルチポイントインターフェイス
-
st0インターフェイス上に設定された動的ルーティングプロトコル
ルートベースVPNに複数のトラフィックセレクターが設定されている場合、IKEゲートウェイの外部インターフェイスが別の仮想ルーター(トンネル)に移動すると、トラフィックセレクターと一致しないクリアトンネルに入ることがあります。ソフトウェアは、IKEゲートウェイの外部インターフェイスが別のVRに移動したときに生成される複数の非同期インターフェイスイベントを処理しません。回避策として、IKEゲートウェイの外部インターフェイスを別のVRに移動する前に、まずIPsec VPNトンネルを非アクティブ化し、そのトンネルなしの設定をコミットします。
トラフィックを選択するには、ローカルIPプレフィックス、リモートIPプレフィックス、送信元ポート範囲、宛先ポート範囲、およびプロトコルの複数のセットを設定できます。つまり、複数のIPアドレス範囲、ポート範囲、およびプロトコルを、RFC 7296で定義されているのと同じトラフィックセレクターの一部にすることができます。複数のトラフィックセレクターを設定すると、それぞれのトラフィックセレクターが個別のネゴシエーションへと導かれ、複数のIPsecトンネルが生じます。しかしながら、1つのトラフィックセレクターのもとに複数の項目を設定すると、複数のIPプレフィックス、ポート、およびプロトコルを持つ単一のIPsec SAネゴシエーションになります。 トラフィックセレクターを参照してください。
kmdおよびikeプロセスにおけるトラフィックセレクターのサポートについては、 表1をご覧ください。
| コンポーネント | IKEv1 | IKEv2 |
|---|---|---|
| kmd プロセス | トラフィックセレクターの設定は、リモートIPとローカルIPをサポートします。 |
トラフィックセレクターの設定は、リモートIPとローカルIPをサポートします。 |
| ikedプロセス | トラフィックセレクターの設定は、リモートIPとローカルIPのみをサポートします。設定は、トラフィックセレクター内のプロトコル、ポート、または条件をサポートしていません。 |
トラフィックセレクターの設定は、リモートIP、ローカルIP、ポート、および用語設定を含むプロトコルをサポートします。 |
自動ルート挿入を理解する
自動ルート挿入(ARI) は、リモートネットワークの静的ルートと、リモートトンネルエンドポイントによって保護されるホストを自動的に挿入します。トラフィックセレクターに設定されたリモートIPアドレスに基づいてルートが作成されます。トラフィックセレクターの場合、設定されたリモートアドレスは、VPNにバインドされたst0インターフェイスに関連付けられたルーティングインスタンスにルートとして挿入されます。
ルーティングプロトコルとトラフィックセレクターの設定は、相互に排他的な方法でトラフィックをトンネルへと誘導します。ARIルートは、ルーティングプロトコルを介して入力されたルートと競合する可能性があります。そのため、トラフィックセレクターを設定したVPNにバインドされたst0インターフェイスには、ルーティングプロトコルを設定しないでください。
ARIは、リバースルート挿入(RRI)としても知られています。ARIルートは、以下のようにルーティングテーブルに挿入されます。
establish-tunnels immediatelyオプションが[edit security ipsec vpn vpn-name]階層レベルで設定されている場合、フェーズ1とフェーズ2のネゴシエートが完了した後にARIルートが追加されます。SAが確立されるまでルートは追加されないため、ネゴシエートが失敗しても、トラフィックが停止しているst0インターフェイスにルーティングされることはありません。代替またはバックアップのトンネルが代わりに使用されます。establish-tunnels immediatelyオプションが[edit security ipsec vpn vpn-name]階層レベルで設定されていない場合、設定のコミット時にARIルートが追加されます。トラフィックセレクターで設定またはネゴシエートされたリモートアドレスが0.0.0.0/0または0::0の場合、ARIルートは追加されません。
静的ARIルートの優先度は5です。この値は、ルーティングプロトコルプロセスによって追加される可能性のある類似ルートとの競合を避けるために必要です。
静的ARIルートは、 rib-groups 設定を使用して他のルーティングインスタンスにリークさせることはできません。 import-policy 設定を使用して、静的ARIルートをリークします。
トラフィックセレクターと重複するIPアドレスを理解する
このセクションでは、トラフィックセレクター設定における重複するIPアドレスについて説明します。
- 同一st0インターフェイスにバインドされた異なるVPN内で重複するIPアドレス
- 同一st0インターフェイスにバインドされた同一VPN内で重複するIPアドレス
- 異なるst0インターフェイスにバインドされた異なるVPN内で重複するIPアドレス
同一st0インターフェイスにバインドされた異なるVPN内で重複するIPアドレス
このシナリオは、トラフィックセレクターではサポートされていません。以下の例のように、トラフィックセレクターは、同じポイントツーマルチポイントのst0インターフェイスにバインドされている異なるVPNに設定することはできません。
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
}
vpn vpn-2 {
bind-interface st0.1;
}
同一st0インターフェイスにバインドされた同一VPN内で重複するIPアドレス
同一VPN内の複数のトラフィックセレクターに重複するIPアドレスが設定されている場合、パケットと一致する最初に設定されたトラフィックセレクターが、パケットの暗号化に使用するトンネルを決定します。
次の例では、ポイントツーポイントのst0.1インターフェイスにバインドされているVPN(vpn-1)に対して4つのトラフィックセレクター(ts-1、ts-2、ts-3、ts-4)が設定されています。
[edit]
user@host# show security ipsec vpn vpn-1
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.5.0/24;
remote-ip 10.1.5.0/24;
}
traffic-selector ts-2 {
local-ip 192.168.0.0/16;
remote-ip 10.1.0.0/16;
}
traffic-selector ts-3 {
local-ip 172.16.0.0/16;
remote-ip 10.2.0.0/16;
}
traffic-selector ts-4 {
local-ip 172.16.5.0/24;
remote-ip 10.2.5.0/24;
}
}
送信元アドレス192.168.5.5と宛先アドレス10.1.5.10のパケットは、トラフィックセレクターts-1とts-2と一致します。ただし、トラフィックセレクターts-1は、最初に設定された一致であり、ts-1に関連付けられたトンネルがパケットの暗号化に使用されます。
送信元アドレス172.16.5.5と宛先アドレス10.2.5.10のパケットは、トラフィックセレクターts-3およびts-4と一致します。ただし、トラフィックセレクターts-3は、最初に設定された一致であり、トラフィックセレクターts-3に関連付けられたトンネルがパケットの暗号化に使用されます。
異なるst0インターフェイスにバインドされた異なるVPN内で重複するIPアドレス
重複するIPアドレスが、異なるポイントツーポイントのst0インターフェイスにバインドされた異なるVPN内の複数のトラフィックセレクターに設定されている場合、特定のパケットと一致する最長のプレフィックスによってst0インターフェイスが最初に選択されます。選択したst0インターフェイスにバインドされているVPN内では、パケットに対して設定された最初の一致に基づいてトラフィックセレクターが選択されます。
次の例では、2つのVPNそれぞれにトラフィックセレクターを設定しています。トラフィックセレクターは、同じローカルサブネットワークで設定されますが、リモートサブネットワークが異なります。
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.1.0/24;
remote-ip 10.2.2.0/24;
}
}
トラフィックセレクターごとに異なるリモートサブネットワークが設定されているため、ルーティングテーブルには2つの異なるルートが追加されます。ルートルックアップは、適切なVPNにバインドされたst0インターフェイスを使用します。
次の例では、2つのVPNそれぞれにトラフィックセレクターを設定しています。トラフィックセレクターは、異なるリモートサブネットワークで設定されています。トラフィックセレクターごとに同じローカルサブネットワークが設定されていますが、異なるネットマスク値が指定されています。
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.0.0/8;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.0.0/16;
remote-ip 10.2.2.0/24;
}
}
トラフィックセレクターごとに異なるリモートサブネットワークが設定されているため、ルーティングテーブルには2つの異なるルートが追加されます。ルートルックアップは、適切なVPNにバインドされたst0インターフェイスを使用します。
次の例では、トラフィックセレクターが2つのVPNそれぞれに設定されています。トラフィックセレクターは、異なるローカルサブネットワークとリモートサブネットワークで設定されます。
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 172.16.1.0/24;
remote-ip 10.2.2.0/24;
}
}
この場合、トラフィックセレクターは重複しません。トラフィックセレクターに設定されているリモートサブネットワークが異なるため、2つの異なるルートがルーティングテーブルに追加されます。ルートルックアップは、適切なVPNにバインドされたst0インターフェイスを使用します。
次の例では、2つのVPNそれぞれにトラフィックセレクターを設定しています。トラフィックセレクターは、同じローカルサブネットワークで設定されています。トラフィックセレクターごとに同じリモートサブネットワークが設定されていますが、異なるネットマスク値が指定されています。
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 192.168.1.0/24;
remote-ip 10.1.0.0/16;
}
}
ts-1に設定された remote-ip は10.1.1.0/24で、ts-2に設定されている remote-ip は10.1.0.0/16であることに注意してください。パケットの宛先が10.1.1.1の場合、ルートルックアップでは、長いプレフィックスが一致するst0.1インターフェイスが選択されます。パケットは、st0.1インターフェイスに対応するトンネルに基づいて暗号化されます。
場合によっては、トラフィックセレクターのトラフィックの適用により有効なパケットが破棄されることがあります。次の例では、トラフィックセレクターが2つのVPNそれぞれに設定されています。トラフィックセレクターは、異なるローカルサブネットワークで設定されています。トラフィックセレクターごとに同じリモートサブネットワークが設定されていますが、異なるネットマスク値が指定されています。
[edit]
user@host# show security ipsec
vpn vpn-1 {
bind-interface st0.1;
traffic-selector ts-1 {
local-ip 192.168.1.0/24;
remote-ip 10.1.1.0/24;
}
}
vpn vpn-2 {
bind-interface st0.2;
traffic-selector ts-2 {
local-ip 172.16.1.0/16;
remote-ip 10.1.0.0/16;
}
}
10.1.1.0へのルートとして、st0.1インターフェイス経由の10.1.1.0/24およびst0.2インターフェイス経由の10.1.0.0/16の2つがルーティングテーブルに追加されています。送信元172.16.1.1から宛先10.1.1.1に送信されたパケットは、st0.1インターフェイス経由の10.1.1.0/24のルーティングテーブルエントリと一致します。ただし、パケットはトラフィックセレクターts-1で指定されたトラフィックと一致しないため、破棄されます。
複数のトラフィックセレクターが同じリモートサブネットワークとネットマスクで設定されている場合、等コストのルートがルーティングテーブルに追加されます。このケースは、選択したルートが予測できないため、トラフィックセレクターではサポートされていません。
関連項目
例:ルートベースVPNでトラフィックセレクターを設定する
この例では、ルートベースVPNのトラフィックセレクターを設定する方法を示しています。
要件
始める前に、
-
IKEパッケージをインストールします。
request system software add optional://junos-ike.tgz
junos-ikeパッケージのプラットフォームサポートについては、「junos-ikeパッケージのサポート」を参照してください。
概要
この例では、トラフィックセレクターを設定して、SRX_A上のサブネットワークとSRX_B上のサブネットワークの間にトラフィックが流れるようにします。
表2は 、この例のトラフィックセレクターを示しています。トラフィックセレクターは、フェーズ2のオプションで設定します。
SRX_A |
SRX_B |
||||
|---|---|---|---|---|---|
トラフィックセレクター名 |
ローカルIP |
リモートIP |
トラフィックセレクター名 |
ローカルIP |
リモートIP |
TS1-ipv6 |
2001:db8:10::0/64 |
2001:db8:20::0/64 |
TS1-ipv6 |
2001:db8:20::0/64 |
2001:db8:10::0/64 |
TS2-ipv4 |
192.168.10.0/24 |
192.168.0.0/16 |
TS2-ipv4 |
192.168.0.0/16 |
192.168.10.0/24 |
IPv6 トラフィックのフローベース処理は、[edit security forwarding-options family inet6] 階層レベルの mode flow-based 設定オプションで有効にする必要があります。
トポロジー
図1では、IPv6 VPNトンネルは、SRX_AデバイスとSRX_Bデバイスの間でIPv4とIPv6の両方のトラフィックを伝送しています。つまり、このトンネルは、IPv4-in-IPv6 および IPv6-in-IPv6 の両方のトンネルモードで動作します。
設定
SRX_Aの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set interfaces ge-1/0/1 unit 0 family inet address 192.168.10.1/24 set interfaces ge-1/0/1 unit 0 family inet6 address 2001:db8:10::0/64 set security ike proposal PSK-DH14-AES256-SHA256 authentication- method pre-shared-keys set security ike proposal PSK-DH14-AES256-SHA256 dh-group group14 set security ike proposal PSK-DH14-AES256-SHA256 authentication- algorithm sha-256 set security ike proposal PSK-DH14-AES256-SHA256 encryption-algorithm aes-256-cbc set security ike policy site-2-site mode main set security ike policy site-2-site proposals PSK-DH14-AES256-SHA256 set security ike policy site-2-site pre-shared-key ascii-text "$ABC123" set security ike gateway SRX_A-to-SRX_B ike-policy site-2-site set security ike gateway SRX_A-to-SRX_B address 192.168.20.2 set security ike gateway SRX_A-to-SRX_B external-interface ge-0/0/1.0 set security ike gateway SRX_A-to-SRX_B local-address 192.168.10.1 set security ipsec proposal ESP-AES256-SHA256 protocol esp set security ipsec proposal ESP-AES256-SHA256 authentication- algorithm hmac-sha-256-128 set security ipsec proposal ESP-AES256-SHA256 encryption-algorithm aes-256-cbc set security ipsec policy site-2-site perfect-forward-secrecy keys group14 set security ipsec policy site-2-site proposals ESP-AES256-SHA256 set security ipsec vpn SRX_A-to-SRX_B bind-interface st0.1 set security ipsec vpn SRX_A-to-SRX_B ike ipsec-policy site-2-site set security ipsec vpn SRX_A-to-SRX_B ike gateway SRX_A-to-SRX_B set security ipsec vpn SRX_A-to-SRX_B traffic-selector TS1-ipv6 term term1 local-ip 2001:db8:10::0/64 remote-ip 2001:db8:20::0/64 set security ipsec vpn SRX_A-to-SRX_B traffic-selector TS2-ipv4 term term2 local-ip 192.168.10.0/24 remote-ip 192.168.0.0/16 set security forwarding-options family inet6 mode flow-based set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-1/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone VPN interfaces st0.1 set security policies from-zone VPN to-zone trust policy 1 match source-address any set security policies from-zone VPN to-zone trust policy 1 match destination-address any set security policies from-zone VPN to-zone trust policy 1 match application any set security policies from-zone VPN to-zone trust policy 1 then permit set security policies from-zone trust to-zone VPN policy 1 match source-address any set security policies from-zone trust to-zone VPN policy 1 match destination-address any set security policies from-zone trust to-zone VPN policy 1 match application any set security policies from-zone trust to-zone VPN policy 1 then permit set security policies default-policy deny -all
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
トラフィックセレクターを設定するには:
外部インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::1/64
セキュアトンネルインターフェイスを設定します。
[edit interfaces] user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
内部インターフェイスを設定します。
[edit interfaces] user@host# set ge-1/0/1 unit 0 family inet address 192.168.10.1/24 user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:10::0/64
フェーズ1のオプションを設定します。
[edit security ike proposal PSK-DH14-AES256-SHA256] user@host# set authentication-method pre-shared-keys user@host# set dh-group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy site-2-site] user@host# set mode main user@host# set proposals PSK-DH14-AES256-SHA256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway SRX_A-to-SRX_B] user@host# set ike-policy site-2-site user@host# set address 192.168.20.2 user@host# set external-interface ge-0/0/1.0 user@host# set local-address 192.168.10.1
フェーズ2のオプションを設定します。
[edit security ipsec proposal ESP-AES256-SHA256] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy site-2-site] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ESP-AES256-SHA256 [edit security ipsec vpn SRX_A-to-SRX_B] user@host# set bind-interface st0.1 user@host# set ike gateway SRX_A-to-SRX_B user@host# set ike ipsec-policy site-2-site user@host# set traffic-selector TS1-ipv6 term term1 local-ip 2001:db8:10::0/64 remote-ip 2001:db8:20::0/64 user@host# set traffic-selector TS2-ipv4 term term2 local-ip 192.168.10.0/24 remote-ip 192.168.0.0/16
IPv6のフローベース転送を有効にします。
[edit security forwarding-options] user@host# set family inet6 mode flow-based
セキュリティゾーンとセキュリティポリシーを設定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-1/0/1.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone VPN] user@host# set interfaces st0.1 [edit security policies from-zone VPN to-zone trust ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies from-zone trust to-zone VPN ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies] user@host# set default-policy deny-all
結果
設定モードから、 show interfaces、 show security ike、 show security ipsec、 show security forwarding-options、 show security zones、および show security policies コマンドを入力して、設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
ge-1/0/1 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
family inet6 {
address 10::1/64;
}
}
}
st0 {
unit 1 {
family inet;
family inet6;
}
}
[edit]
user@host# show security ike
proposal PSK-DH14-AES256-SHA256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
mode main;
proposals PSK-DH14-AES256-SHA256;
pre-shared-key ascii-text
"$ABC123"; ## SECRET-DATA
}
gateway SRX_A-to-SRX_B {
ike-policy site-2-site;
address 192.168.20.2;
external-interface ge-0/0/1.0;
local-address 192.168.10.1;
}
[edit]
user@host# show security ipsec
proposal ESP-AES256-SHA256 {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
perfect-forward-secrecy keys group14;
proposals ESP-AES256-SHA256;
}
vpn SRX_A-to-SRX_B {
bind-interface st0.1;
ike {
ipsec-policy site-2-site;
gateway SRX_A-to-SRX_B;
}
traffic-selector TS1-ipv6 {
local-ip 2001:db8:10::0/64;
remote-ip 2001:db8:20::0/64;
}
traffic-selector TS2-ipv4 {
local-ip 192.168.10.0/24;
remote-ip 192.168.0.0/16;
}
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
interfaces {
st0.1;
}
}
[edit]
user@host# show security policies
from-zone VPN to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
SRX_Bの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::2/64 set interfaces st0 unit 1 family inet set interfaces st0 unit 1 family inet6 set interfaces ge-1/0/1 unit 0 family inet address 192.168.20.1/24 set interfaces ge-1/0/1 unit 0 family inet6 address 2001:db8:20::0/64 set interfaces ge-1/1/1 unit 0 family inet address 192.168.0.1/24 set security ike proposal PSK-DH14-AES256-SHA256 authentication-method pre-shared-keys set security ike proposal PSK-DH14-AES256-SHA256 dh-group group14 set security ike proposal PSK-DH14-AES256-SHA256 authentication-algorithm sha-256 set security ike proposal PSK-DH14-AES256-SHA256 encryption-algorithm aes-256-cbc set security ike policy site-2-site mode main set security ike policy site-2-site proposals PSK-DH14-AES256-SHA256 set security ike policy site-2-site pre-shared-key ascii-text "$ABC123" set security ike gateway SRX_B-to-SRX_A ike-policy site-2-site set security ike gateway SRX_B-to-SRX_A address 192.168.10.1 set security ike gateway SRX_B-to-SRX_A external-interface ge-0/0/1.0 set security ike gateway SRX_B-to-SRX_A local-address 192.168.20.2 set security ipsec proposal ESP-AES256-SHA256 protocol esp set security ipsec proposal ESP-AES256-SHA256 authentication-algorithm hmac-sha-256-128 set security ipsec proposal ESP-AES256-SHA256 encryption-algorithm aes-256-cbc set security ipsec policy site-2-site perfect-forward-secrecy keys group14 set security ipsec policy site-2-site proposals ESP-AES256-SHA256 set security ipsec vpn SRX_B-to-SRX-A bind-interface st0.1 set security ipsec vpn SRX_B-to-SRX-A ike ipsec-policy site-2-site set security ipsec vpn SRX_B-to-SRX-A ike gateway SRX_B-to-SRX_A set security ipsec vpn SRX_B-to-SRX-A traffic-selector TS1-ipv6 local-ip 2001:db8:20::0/64 remote-ip 2001:db8:10::0/64 set security ipsec vpn SRX_B-to-SRX-A traffic-selector TS2-ipv4 local-ip 192.168.0.0/16 remote-ip 192.168.10.0/24 set security forwarding-options family inet6 mode flow-based set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-1/0/1.0 set security zones security-zone trust interfaces ge-1/1/1.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone VPN interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set security policies from-zone VPN to-zone trust policy 1 match source-address any set security policies from-zone VPN to-zone trust policy 1 match destination-address any set security policies from-zone VPN to-zone trust policy 1 match application any set security policies from-zone VPN to-zone trust policy 1 then permit set security policies from-zone trust to-zone VPN policy 1 match source-address any set security policies from-zone trust to-zone VPN policy 1 match destination-address any set security policies from-zone trust to-zone VPN policy 1 match application any set security policies from-zone trust to-zone VPN policy 1 then permit set security policies default-policy deny -all
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
トラフィックセレクターを設定するには:
外部インターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:2000::2/64
セキュアトンネルインターフェイスを設定します。
[edit interfaces] user@host# set st0 unit 1 family inet user@host# set st0 unit 1 family inet6
内部インターフェイスを設定します。
[edit interfaces] user@host# set ge-1/0/1 unit 0 family inet address 192.168.20.1/24 user@host# set ge-1/0/1 unit 0 family inet6 address 2001:db8:20::0/64 user@host# set ge-1/1/1 unit 0 family inet address 192.168.0.1/24
フェーズ1のオプションを設定します。
[edit security ike proposal PSK-DH14-AES256-SHA256] user@host# set authentication-method pre-shared-keys user@host# set dh-group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy site-2-site] user@host# set mode main user@host# set proposals PSK-DH14-AES256-SHA256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security ike gateway SRX_B-to-SRX_A] user@host# set ike-policy site-2-site user@host# set address 192.168.10.1 user@host# set external-interface ge-0/0/1.0 user@host# set local-address 192.168.20.2
フェーズ2のオプションを設定します。
[edit security ipsec proposal ESP-AES256-SHA256] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy site-2-site] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ESP-AES256-SHA256 [edit security ipsec vpn SRX_B-to-SRX-A] user@host# set bind-interface st0.1 user@host# set ike gateway SRX_B-to-SRX_A user@host# set ike ipsec-policy site-2-site user@host# set traffic-selector TS1-ipv6 local-ip 2001:db8:20::0/64 remote-ip 2001:db8:10::0/64 user@host# set traffic-selector TS2-ipv4 local-ip 192.168.0.0/16 remote-ip 192.168.10.0/24
IPv6のフローベース転送を有効にします。
[edit security forwarding-options] user@host# set family inet6 mode flow-based
セキュリティゾーンとセキュリティポリシーを設定します。
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-1/0/1.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone VPN] user@host# set interfaces st0.1 [edit security policies from-zone VPN to-zone trust ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies from-zone trust to-zone VPN ] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit [edit security policies] user@host# set default-policy deny-all
結果
設定モードから、 show interfaces、 show security ike、 show security ipsec、 show security forwarding-options、 show security zones、および show security policies コマンドを入力して、設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:2000::2/64;
}
}
}
ge-1/0/1 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
family inet6 {
address 2001:db8:20::0/64;
}
}
}
ge-1/1/1 {
unit 0 {
family inet {
address 192.168.0.1/24;
}
}
}
st0 {
unit 1 {
family inet;
family inet6;
}
}
[edit]
user@host# show security ike
proposal PSK-DH14-AES256-SHA256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
mode main;
proposals PSK-DH14-AES256-SHA256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway SRX_B-to-SRX_A {
ike-policy site-2-site;
address 192.168.10.1;
external-interface ge-0/0/1.0;
local-address 192.168.20.2;
}
[edit]
user@host# show security ipsec
proposal ESP-AES256-SHA256 {
protocol esp;
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
}
policy site-2-site {
perfect-forward-secrecy keys group14;
proposals ESP-AES256-SHA256;
}
vpn SRX_B-to-SRX-A {
bind-interface st0.1;
ike {
ipsec-policy site-2-site;
gateway SRX_B-to-SRX_A;
}
traffic-selector TS1-ipv6 {
local-ip 2001:db8:20::0/64;
remote-ip 2001:db8:10::0/64;
}
traffic-selector TS2-ipv4 {
local-ip 192.168.0.0/16;
remote-ip 192.168.10.0/24;
}
}
[edit]
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-1/0/1.0;
ge-1/1/1.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPN {
interfaces {
st0.1;
}
}
[edit]
user@host# show security policies
from-zone VPN to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
ここに示されている出力例はSRX-Aです。
IPsecフェーズ2ステータスの確認
目的
IPsecフェーズ2のステータスを確認します。
アクション
動作モードから、 show security ipsec security-associations コマンドを入力します。
user@host> show security ipsec security-associations Total active tunnels: 3 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <268173313 ESP:3des/ sha-256 3d75aeff 2984/ unlim - root 500 2001:db8:2000::2 >268173313 ESP:3des/ sha-256 a468fece 2984/ unlim - root 500 2001:db8:2000::2 <268173316 ESP:3des/ sha-256 417f3cea 3594/ unlim - root 500 2001:db8:2000::2 >268173316 ESP:3des/ sha-256 a4344027 3594/ unlim - root 500 2001:db8:2000::2
動作モードから、 show security ipsec security-associations detail コマンドを入力します。
user@host> show security ipsec security-associations detail
ID: 268173313 Virtual-system: root, VPN Name: SRX_A-to-SRX_B
Local Gateway: 192.168.10.1, Remote Gateway: 2192.168.20.2
Traffic Selector Name: TS1-ipv6
Local Identity: ipv6(2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff)
Remote Identity: ipv6(2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff)
Version: IKEv1
DF-bit: clear
Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29
Tunnel Down Reason: SA not initiated
Direction: inbound, SPI: 3d75aeff, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2976 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2354 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: a468fece, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 2976 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2354 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
ID: 268173316 Virtual-system: root, VPN Name: SRX_A-to-SRX_B
Local Gateway: 192.168.10.1, Remote Gateway: 192.168.20.2
Traffic Selector Name: TS2-ipv4
Local Identity: ipv4(192.168.10.0-192.168.10.255)
Remote Identity: ipv4(192.168.20.0-192.168.20.255)
Version: IKEv1
DF-bit: clear
Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: c608b29
Tunnel Down Reason: SA not initiated
Direction: inbound, SPI: 417f3cea, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3586 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2948 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: a4344027, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3586 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2948 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256-128, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
意味
show security ipsec security-associationsコマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SAが表示されない場合は、フェーズ2の確立に問題があったことになります。設定でIKEポリシーパラメータと外部インターフェイスの設定を確認してください。フェーズ2のプロポーザルパラメータは、ピアデバイスで一致する必要があります。
トラフィックセレクターの検証
目的
セキュアトンネルインターフェイスでネゴシエートされたトラフィックセレクターを確認します。
アクション
動作モードから、 show security ipsec traffic-selector st0.1 コマンドを入力します。
user@host> show security ipsec traffic-selector st0.1 Source IP Destination IP Interface Tunnel-id IKE-ID 2001:db8:10::-2001:db8:10::ffff:ffff:ffff:ffff 2001:db8:20::-2001:db8:20::ffff:ffff:ffff:ffff st0.1 268173313 2001:db8:2000::1 192.168.10.0-192.168.10.255 192.168.0.0-192.168.255.255 st0.1 268173316 2001:db8:2000::1 192.168.10.0-192.168.10.255 192.168.20.0-192.168.20.255 st0.1 268173317 2001:db8:2000::1
ルートの検証
目的
アクティブルートの検証
アクション
動作モードから、 show route コマンドを入力します。
user@host> show route
inet.0: 24 destinations, 24 routes (24 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.0/16 *[ARI-TS/5] 00:00:32
> via st0.1
2001:db8:20::0/64 *[ARI-TS/5] 00:00:34
> via st0.1
意味
show routeコマンドは、ルーティングテーブル内のアクティブなエントリーを一覧表示します。各トラフィックセレクターで設定されたリモートIPアドレスへのルートは、正しいst0インターフェイスで存在する必要があります。
トラフィックセレクターの動作に関するプラットフォーム固有のARI
機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。
お使いのプラットフォームに固有の動作を確認するには、以下の表を使用して下さい。
| プラットフォーム |
違い |
|---|---|
| MXシリーズ |
|
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。