Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルートベースの Vpn でのトラフィックセレクター

トラフィックの選択は、トラフィックがローカルおよびリモートアドレスの指定されたペアと一致する場合に、VPN トンネルを通過するトラフィックを許可する IKE ピア間の合意です。関連するセキュリティーアソシエーション (SA) では、トラフィックセレクターに準拠しているトラフィックのみが許可されます。

ルートベースの Vpn でのトラフィックセレクターの理解

トラフィックの選択は、トラフィックがローカルおよびリモートアドレスの指定されたペアと一致する場合に、トンネルを通過するトラフィックを許可する IKE ピア間の取り決めです。この機能を使用すると、特定のルートベースの VPN 内でトラフィックセレクターを定義できます。これにより、複数フェーズ2の IPsec セキュリティーアソシエーション (Sa) が生成されます。関連する SA では、トラフィックセレクターに準拠しているトラフィックのみが許可されています。

Junos OS リリース 12.1 X46 ~ D10 および Junos OS Release 17.3 R1 をはじめ、トラフィックセレクターは、IKEv1 サイトツーサイト Vpn で設定できます。Junos OS リリース 15.1 X49-D100 では、IKEv2 のサイトツーサイト Vpn を使用してトラフィックセレクターを設定できます。

トラフィックセレクターの設定

トラフィックセレクターを構成するには、 traffic-selector [edit security ipsec vpn vpn-name] 階層レベルで構成ステートメントを使用します。トラフィックセレクターは、必須local-ip ip-address/netmaskおよびremote-ip ip-address/netmaskステートメントで定義されています。CLI の運用コマンドshow security ipsec security-association detailにより、sa のトラフィックセレクター情報が表示されます。CLI show security ipsec security-association traffic-selector traffic-selector-nameコマンドは、指定されたトラフィックセレクターの情報を表示します。

特定のトラフィックセレクターで、ローカルおよびリモートアドレスに対して、単一のアドレスとネットマスクが指定されています。トラフィックセレクターは、IPv4 または IPv6 アドレスで設定できます。アドレスブックを使用してローカルまたはリモートアドレスを指定することはできません。

同じ VPN に対して複数のトラフィックセレクターを設定できます。最大で200のトラフィックセレクターを VPN ごとに設定できます。トラフィックセレクターは、IPv4 イン ipv4、ipv4/ipv6、ipv6 イン ipv6、または IPv6 イン IPv4 トンネルモードで使用できます。

以下の機能は、トラフィックセレクターではサポートされていません。

  • VPN 監視

  • トラフィックセレクターのローカルおよびリモート IP アドレス用に構成されている異なるアドレスファミリ

  • リモートアドレス 0.0.0.0/0 (IPv4) または0::0(IPv6) サイトツーサイト Vpn

    Junos OS Release 15.1X49-D140 から、すべての SRX シリーズ デバイスと vSRX インスタンスで、リモート アドレス 0:0 でトラフィック セレクターを設定する場合(IPv6)では、コミットの “error: configuration check-out failed” 実行時に次のメッセージが表示され、設定チェックアウトが失敗します。

  • ポイントツーマルチポイントインターフェイス

  • St0 インターフェイス上で構成された動的ルーティングプロトコル

ルートベース VPN に対して複数のトラフィックセレクターが設定されている場合、IKE ゲートウェイの外部インターフェイスが別の仮想ルーター (VR) に移動された場合、トラフィックの選択に一致せずに、クリアなトラフィックが VPN トンネルに入ることがあります。ソフトウェアは、IKE ゲートウェイの外部インターフェイスを別の VR に移動したときに生成される複数の非同期インターフェイスイベントを処理しません。この回避策として、まず IPsec VPN トンネルを非アクティブ化し、そのトンネルを使用せずに構成をコミットしてから、IKE ゲートウェイの外部インターフェイスを別の VR に移動します。

自動ルート挿入について

自動ルート挿入 (ARI)は、リモートネットワークおよびリモートトンネルエンドポイントによって保護されるホストの静的ルートを自動的に挿入します。トラフィックセレクターに構成されているリモート IP アドレスに基づいてルートが作成されます。トラフィックセレクターの場合、設定されたリモートアドレスは、VPN にバインドされた st0 インターフェイスに関連付けられたルーティングインスタンスにルートとして挿入されます。

ルーティングプロトコルとトラフィックセレクターの設定は相互に排他的なため、トンネルへのトラフィックをステアリングできます。ARI ルートは、ルーティングプロトコルによって設定されたルートと競合することがあります。そのため、トラフィックセレクターが設定されている VPN にバインドされている st0 インターフェイスでは、ルーティングプロトコルを設定しないでください。

また、ルートのリバース挿入 (RRI) としても知られています。ARI ルートは、以下のようにルーティングテーブルに挿入されます。

  • このestablish-tunnels immediatelyオプションが [edit security ipsec vpn vpn-name] 階層レベルで設定されている場合は、phase 1 と phase 2 ネゴシエーションが完了した後に、ARI ルートが追加されます。Sa が確立されるまでルートが追加されないため、ネゴシエーションが失敗しても、トラフィックは停止している st0 インターフェイスにルーティングされることはありません。代わりに代わりまたはバックアップトンネルが使用されます。

  • このestablish-tunnels immediatelyオプションが [edit security ipsec vpn vpn-name] 階層レベルで設定されていない場合は、設定のコミット時に ARI ルートが追加されます。

  • トラフィックセレクターに設定またはネゴシエートされたリモートアドレスが 0.0.0.0/0 または0::0 の場合、ARI ルートは追加されません。

静的な ARI ルートの優先度は5です。この値は、ルーティングプロトコルプロセスによって追加される可能性のある類似のルートとの競合を回避するために必要です。静的な ARI ルートのメトリックを設定することはできません。

静的な ARI ルートは、 rib-groups構成を使用して他のルーティングインスタンスにリークすることはできません。構成をimport-policy使用して、静的な ARI ルートをリークします。

トラフィックセレクターと重複した IP アドレスについて

ここでは、トラフィックセレクターの構成における重複した IP アドレスについて説明します。

同一の st0 インターフェイスにバインドされている異なる Vpn に重複した IP アドレス

このシナリオは、トラフィックセレクターではサポートされていません。次の例に示すように、同じポイントツーマルチポイント st0 インターフェイスにバインドされているさまざまな Vpn 上に、トラフィックセレクターを設定することはできません。

同一の st0 インターフェイスにバインドされている同じ VPN に重複する IP アドレスがある

重複する IP アドレスが同じ VPN の複数のトラフィックセレクターに設定されている場合、パケットに一致する最初に設定されたトラフィックセレクターが、パケットの暗号化に使用されるトンネルを決定します。

次の例では、ポイントツーポイントの st 0.1 インターフェイスにバインドされている VPN (vpn) 用に、4つのトラフィックセレクター (ts-1、ts-2、ts-3、および ts-4) が設定されています。

送信元アドレス192.168.5.5 と宛先アドレス10.1.5.10 を持つパケットが、トラフィックセレクターとして ts-1 と ts-2 と一致します。ただし、トラフィックセレクター ts は最初に設定された対戦であり、ts に関連付けられたトンネルはパケットの暗号化に使用されます。

送信元アドレス172.16.5.5 と宛先アドレス10.2.5.10 を持つパケットは、トラフィックセレクター ts および ts-4 と一致します。ただし、トラフィックセレクター ts は最初に設定された対戦であり、トラフィックセレクターに関連付けられたトンネルはパケットの暗号化に使用されます。

さまざまな st0 インターフェイスにバインドされたさまざまな Vpn に重複した IP アドレス

異なる Vpn で複数のトラフィックセレクターに重複した IP アドレスが設定されていて、ポイントツーポイントの st0 インターフェイスが異なっている場合、特定のパケットに対して最も長いプレフィックスの一致によって st0 のインターフェイスが最初に選択されます。選択した st0 インターフェイスにバインドされている VPN 内では、パケットに対して最初に設定された一致に基づいてトラフィックセレクターが選択されます。

次の例では、2つの Vpn のそれぞれでトラフィックセレクターを設定しています。トラフィックセレクターは、同じローカルサブネットワークで構成されていますが、リモートサブネットが異なります。

各トラフィックセレクターに異なるリモートサブネットワークが設定されているため、2つの異なるルートがルーティングテーブルに追加されます。ルートルックアップは、適切な VPN にバインドされた st0 インターフェイスを使用します。

次の例では、2つの Vpn のそれぞれでトラフィックセレクターを設定しています。トラフィックセレクターは、さまざまなリモートサブネットワークで構成されています。各トラフィックセレクターに同じローカルサブネットワークが設定されていますが、異なるネットマスク値が指定されています。

各トラフィックセレクターに異なるリモートサブネットワークが設定されているため、2つの異なるルートがルーティングテーブルに追加されます。ルートルックアップは、適切な VPN にバインドされた st0 インターフェイスを使用します。

次の例では、トラフィックセレクターが2つの Vpn のそれぞれに設定されています。トラフィックセレクターは、異なるローカルサブネットワークとリモートサブネットワークで構成されています。

この場合、トラフィックセレクターは重複しません。トラフィックセレクターに設定されているリモートサブネットワークが異なるため、ルーティングテーブルには2つの異なるルートが追加されます。ルートルックアップは、適切な VPN にバインドされた st0 インターフェイスを使用します。

次の例では、2つの Vpn のそれぞれでトラフィックセレクターを設定しています。トラフィックセレクターは、同じローカルサブネットワークで構成されています。各トラフィックセレクターに同じリモートサブネットワークが設定されていますが、異なるネットマスク値が指定されています。

Ts-1 remote-ip用に設定された 10.1.1.0/24 remote-ipは、ts-2 用に設定されていますが、10.1.0.0/16 です。パケットの宛先が10.1.1.1 であれば、ルートルックアップでは、長いプレフィックスが一致する st 0.1 インターフェイスが選択されます。パケットは、st 0.1 インターフェイスに対応するトンネルに基づいて暗号化されます。

場合によっては、有効なパケットがトラフィックセレクタートラフィックの適用によって破棄されることがあります。次の例では、トラフィックセレクターが2つの Vpn のそれぞれに設定されています。トラフィックセレクターは、異なるローカルサブネットワークで構成されています。各トラフィックセレクターに同じリモートサブネットワークが設定されていますが、異なるネットマスク値が指定されています。

10.1.1.0 への2つのルート (インターフェイスセント0.1 を介して 10.1.1.0/24、インターフェイスセント0.2 経由で 10.1.0.0/16) がルーティングテーブルに追加されています。ソース172.16.1.1 から宛先10.1.1.1 に送信されるパケットは、インターフェイスセント0.1 経由で 10.1.1.0/24 のルーティングテーブルエントリと一致します。しかし、パケットは、トラフィックセレクター ts によって指定されたトラフィックと一致せず、破棄されます。

複数のトラフィックセレクターが同じリモートサブネットワークとネットマスクで設定されている場合は、均等コストのルートがルーティングテーブルに追加されます。選択したルートが予測できないため、このケースはトラフィックセレクターではサポートされていません。

例:ルートベース VPN でのトラフィックセレクターの構成

この例では、ルートベース VPN のトラフィックセレクターを構成する方法について説明します。

要件

開始する前に、ルートベースの vpn でトラフィックセレクターについて理解しておくことをお読みください。

概要

この例では、トラフィックセレクターを設定して、SRX_B 上の SRX_A およびサブネットワーク間でトラフィックを送受信できます。

表 1は、この例のトラフィックセレクターを示しています。トラフィックセレクターは、フェーズ2オプションで構成されています。

表 1: トラフィックセレクターの設定

SRX_A

SRX_B

トラフィックセレクター名

ローカル IP

リモート IP

トラフィックセレクター名

ローカル IP

リモート IP

TS1-ipv6

2001:db8:10::0/64

2001:db8:20::0/64

TS1-ipv6

2001:db8:20::0/64

2001:db8:10::0/64

TS2-ipv4

192.168.10.0/24

192.168.0.0/16

TS2-ipv4

192.168.0.0/16

192.168.10.0/24

[ mode flow-basededit security forwarding-options family inet6] 階層レベルの設定オプションで、IPv6 トラフィックのフローベースの処理を有効にする必要があります。

Topology

図 1は、IPv6 VPN トンネルは、SRX_A と SRX_B のデバイス間で IPv4 と IPv6 の両方のトラフィックを伝送しています。つまり、トンネルは IPv4/ipv6 と ipv6 イン IPv6 の両方のトンネルモードで動作します。

図 1: トラフィックセレクターの設定例トラフィックセレクターの設定例

構成

SRX_A の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

トラフィックセレクターを構成するには、次のようにします。

  1. 外部インターフェイスを構成します。

  2. セキュアトンネルインターフェイスを構成します。

  3. 内部インターフェイスを構成します。

  4. フェーズ1のオプションを構成します。

  5. フェーズ2オプションを構成します。

  6. IPv6 のフローベースの転送を有効にします。

  7. セキュリティーゾーンとセキュリティーポリシーを設定します。

結果

設定show interfacesモードから、、、、、およびshow security ikeshow security ipsecshow security forwarding-optionsshow security zonesshow security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

SRX_B の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

トラフィックセレクターを構成するには、次のようにします。

  1. 外部インターフェイスを構成します。

  2. セキュアトンネルインターフェイスを構成します。

  3. 内部インターフェイスを構成します。

  4. フェーズ1のオプションを構成します。

  5. フェーズ2オプションを構成します。

  6. IPv6 のフローベースの転送を有効にします。

  7. セキュリティーゾーンとセキュリティーポリシーを設定します。

結果

設定show interfacesモードから、、、、、およびshow security ikeshow security ipsecshow security forwarding-optionsshow security zonesshow security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

この出力例は、SRX A に記載されています。

IPsec フェーズ2の状態を検証しています

目的

IPsec フェーズ2のステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。

動作モードから、 show security ipsec security-associations detailコマンドを入力します。

このshow security ipsec security-associationsコマンドは、アクティブな IKE フェーズ 2 sa のすべてのリストを表示します。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。フェーズ2提案のパラメーターは、ピアデバイスで一致しなければなりません。

トラフィックのセレクターの確認

目的

セキュアトンネルインターフェイスでネゴシエーションされたトラフィックセレクターを検証します。

アクション

動作モードから、 show security ipsec traffic-selector st0.1コマンドを入力します。

ルートの確認

目的

アクティブルートの確認

アクション

動作モードから、 show routeコマンドを入力します。

このshow routeコマンドは、ルーティングテーブル内のアクティブなエントリーをリストします。各トラフィックセレクターに構成されたリモート IP アドレスへのルートは、適切な st0 インターフェイスを使用して存在する必要があります。

リリース履歴テーブル
リリース
説明
15.1X49-D140
Junos OS Release 15.1X49-D140 から、すべての SRX シリーズ デバイスと vSRX インスタンスで、リモート アドレス 0:0 でトラフィック セレクターを設定する場合(IPv6)では、コミットの “error: configuration check-out failed” 実行時に次のメッセージが表示され、設定チェックアウトが失敗します。
15.1X49-D100
Junos OS リリース 15.1 X49-D100 では、IKEv2 のサイトツーサイト Vpn を使用してトラフィックセレクターを設定できます。
12.1X46-D10
Junos OS リリース 12.1 X46 ~ D10 および Junos OS Release 17.3 R1 をはじめ、トラフィックセレクターは、IKEv1 サイトツーサイト Vpn で設定できます。