Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IKEv2 を使用したルートベース VPN

インターネット鍵交換バージョン 2 (IKEv2) は、ピア VPN デバイス間にセキュアな VPN 通信チャネルを提供し、保護された方法で IPsec セキュリティーアソシエーション (Sa) のネゴシエーションと認証を定義する IPsec ベースのトンネリングプロトコルです。

例:IKEv2 用のルートベース VPN の構成

この例では、ルートベースの IPsec VPN を構成して、支社オフィスと本社オフィス間でデータをセキュアに転送できるようにする方法を示します。

要件

この例では、以下のハードウェアを使用しています。

  • SRX240 デバイス

  • SSG140 デバイス

開始する前に、 IPSEC VPN の概要を読みます。

概要

この例では、トンネルリソースを節約する一方で、VPN トラフィックにはきめ細かな制限があるため、シカゴ、イリノイ州の支社にルートベースの VPN を構成します。シカゴ支店のユーザーは、カリフォルニア州 Sunnyvale で本社に接続するために VPN を使用します。

この例では、インターフェイス、IPv4 のデフォルトルート、セキュリティゾーン、アドレスブックを構成します。次に、IKE フェーズ1、IPsec フェーズ2、セキュリティポリシー、TCP MSS パラメーターを設定します。この表 1表 5で使用されている特定の構成パラメーターについては、を参照してください。

表 1: インターフェイス, 静的ルート, セキュリティゾーン, アドレス帳の情報

機能

名前

構成パラメーター

インターフェイス

ge-0/0/0.0

192.168.10.1/24

ge-0/0/3.0

10.1.1.2/30

st 0.0 (トンネルインターフェイス)

10.11.11.10/24

スタティック ルート

0.0.0.0/0 (デフォルトルート)

次ホップは10.1.1.1 です。

192.168.168.0/24

次ホップは st 0.0 です。

セキュリティ ゾーン

トラスト

  • すべてのシステムサービスが許可されます。

  • このゾーンには、ge-0/0/0.0 インターフェイスがバインドされています。

untrust

  • 許可されている唯一のシステムサービスは IKE です。

  • このゾーンには、ge-0/0/3.0 インターフェイスがバインドされています。

vpn-シカゴ

St 0.0 インターフェイスはこのゾーンにバインドされています。

アドレス帳のエントリ

sunnyvale

  • このアドレスは、trustゾーンのアドレスブック用です。

  • このアドレス帳エントリのアドレスは 192.168.10.0/24 です。

chicago

  • このアドレスは Untrust ゾーンのアドレス帳用です。

  • このアドレス帳エントリのアドレスは 192.168.168.0/24 です。

表 2: 第1段階の構成パラメーターを IKE

機能

名前

構成パラメーター

提案

ike-phase1-proposal

  • 認証方法: 事前共有キー

  • Diffie-hellman グループ: group2

  • 認証アルゴリズム: sha1

  • 暗号化アルゴリズム: aes-128-cbc

ポリシー

ike-phase1-policy

  • モード重要

  • 提案の参考資料: ike-phase1-proposal

  • IKE フェーズ1ポリシー認証方法: 事前共有鍵の ascii テキスト

活用

gw-シカゴ

  • IKE ポリシーのリファレンス: ike-phase1-policy

  • 外部インターフェイス: ge-0/0/3.0

  • ゲートウェイアドレス: 10.2.2.2

表 3: IPsec フェーズ2の構成パラメーター

機能

名前

構成パラメーター

提案

ipsec-phase2-proposal

  • Protocol esp

  • 認証アルゴリズム: hmac-sha1-96

  • 暗号化アルゴリズム: aes-128-cbc

ポリシー

ipsec-phase2-policy

  • 提案の参考資料: ipsec-phase2-proposal

  • PF Diffie-hellman group2

VPN

ipsec-vpn-シカゴ

  • IKE ゲートウェイリファレンス: gw-シカゴ

  • IPsec ポリシー参照: ipsec-phase2-policy

  • インターフェイスへのバインド: st0.0

表 4: セキュリティポリシーの構成パラメーター

目的

名前

構成パラメーター

セキュリティポリシーにより、信頼ゾーンからシカゴのゾーンへのトラフィックが許可されます。

vpn-カイ

  • 条件の一致:

    • 発信元アドレス sunnyvale

    • 宛先/住所シカゴ

    • アプリケーション

  • 対応許可

セキュリティポリシーによって、vpn/シカゴのゾーンからトラストゾーンへのトラフィックが許可されます。

vpn-カイ-tr

  • 条件の一致:

    • 送信元/アドレスシカゴ

    • 宛先アドレス sunnyvale

    • アプリケーション

  • 対応許可

表 5: TCP MSS 構成パラメーター

目的

構成パラメーター

Tcp MSS は TCP スリーウェイハンドシェイクの一部としてネゴシエートされ、tcp セグメントの最大サイズを制限して、ネットワークの MTU の制限に合わせます。VPN トラフィックの場合、IPsec カプセル化のオーバーヘッドと IP とフレームのオーバーヘッドにより、物理インターフェイスの MTU を超える ESP パケットが発生する可能性があります。この結果、フラグメンテーションが発生します。断片化によって、帯域幅とデバイスリソースが増加します。

1500以上の MTU を使用するほとんどのイーサネットベースのネットワークの出発点として、1350の価値をお勧めします。パフォーマンスを最適化するには、さまざまな TCP MSS 値を試してみる必要があるかもしれません。たとえば、パス内のいずれかのデバイスに低い MTU がある場合、または PPP やフレームリレーなど追加のオーバーヘッドがある場合は、値を変更する必要があるかもしれません。

MSS 値: 1350

構成

インターフェイス、静的ルート、セキュリティゾーン、アドレス帳情報の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

インターフェイス、静的ルート、セキュリティーゾーン、アドレスブックの情報を構成するには、以下の手順に従います。

  1. イーサネットインターフェイス情報を構成します。

  2. 静的なルート情報を構成します。

  3. 信頼できないセキュリティゾーンを構成します。

  4. セキュリティゾーンにインターフェイスを割り当てます。

  5. セキュリティゾーンに対して許可されるシステムサービスを指定します。

  6. 信頼セキュリティゾーンを構成します。

  7. インターフェイスを信頼セキュリティゾーンに割り当てます。

  8. 許可されたシステムサービスを信頼セキュリティーゾーンに指定します。

  9. 信頼セキュリティーゾーン用のアドレスブックエントリを設定します。

  10. Vpn/シカゴのセキュリティーゾーンを設定します。

  11. セキュリティゾーンにインターフェイスを割り当てます。

  12. Vpn/シカゴ zone 用のアドレス帳のエントリを設定します。

結果

設定モードから、、、およびshow interfacesshow routing-optionsshow security zonesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

IKE の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

IKE を設定するには

  1. IKE フェーズ1の提案を作成します。

  2. IKE 提案認証方法を定義します。

  3. IKE 提案の Diffie-hellman グループを定義します。

  4. IKE 提案認証アルゴリズムを定義します。

  5. IKE 提案の暗号化アルゴリズムを定義します。

  6. IKE フェーズ1ポリシーを作成します。

  7. IKE 案への参照を指定します。

  8. IKE フェーズ1ポリシーの認証方法を定義します。

  9. IKE Phase 1 ゲートウェイを作成し、外部インターフェイスを定義します。

  10. IKE フェーズ1ポリシーのリファレンスを定義します。

  11. IKE フェーズ1ゲートウェイアドレスを定義します。

  12. IKE フェーズ1ゲートウェイバージョンを定義します。

結果

設定モードから、 show security ikeコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

IPsec の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

IPsec を構成するには

  1. IPsec フェーズ2案を作成します。

  2. IPsec フェーズ2提案プロトコルを指定します。

  3. IPsec フェーズ2提案認証アルゴリズムを指定します。

  4. IPsec フェーズ2提案の暗号化アルゴリズムを指定します。

  5. IPsec フェーズ2ポリシーを作成します。

  6. IPsec フェーズ2提案の参照を指定します。

  7. Diffie-hellman グループ2を使用するように、IPsec フェーズ 2 PFS を指定します。

  8. IKE ゲートウェイを指定します。

  9. IPsec フェーズ2ポリシーを指定します。

  10. バインドするインターフェイスを指定します。

結果

設定モードから、 show security ipsecコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

セキュリティポリシーの設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

セキュリティーポリシーを設定するには、次のようにします。

  1. セキュリティポリシーを作成して、信頼ゾーンからシカゴのゾーンへのトラフィックを許可します。

  2. Vpn/シカゴのゾーンからトラストゾーンへのトラフィックを許可するセキュリティーポリシーを作成します。

結果

設定モードから、 show security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

TCP MSS の構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

TCP MSS 情報を構成するには、次のようにします。

  1. TCP MSS 情報を構成します。

結果

設定モードから、 show security flowコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

SSG シリーズデバイスの構成

CLI クイック構成

SSG シリーズデバイスの構成については、こちらを参照してください。デバイスの設定についてSSG シリーズ、次のページにある「概念と例のScreenOSリファレンス ガイド」をhttps://www.juniper.net/documentation。

例のこのセクションを迅速に構成するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク構成に一致する必要がある詳細を変更し、コマンドを[edit]階層の CLI にコピー & ペーストします。レベルを選択し、 commit設定モードから入力します。

検証

構成が正常に機能していることを確認します。

IKE フェーズ1のステータスを確認します。

目的

IKE フェーズ1のステータスを確認します。

アクション

検証プロセスを開始する前に、192.168.10/24 ネットワーク内のホストから 192.168.168/24 ネットワーク内のホストにトラフィックを送信する必要があります。ルートベースの Vpn では、トラフィックを SRX シリーズデバイスからトンネルを通って開始できます。IPsec トンネルをテストする場合、VPN の片側の別のデバイスから VPN のもう一方の側の2番目のデバイスにテストトラフィックを送信することをお勧めします。たとえば、192.168.10.10 から192.168.168.10 に ping を開始します。

動作モードから、 show security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ike security-associations index index_number detailコマンドを使用します。

このshow security ike security-associationsコマンドは、アクティブな IKE フェーズ 1 SAs すべてをリストします。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。

Sa が表示されている場合は、以下の情報を確認します。

  • インデックス — この値は SA の各IKE一意です。SA に関する詳しい情報を取得するために コマンド show security ike security-associations index detail で使用できます。

  • リモート アドレス —リモート IP アドレスが正しいか検証します。

  • 都道府県

    • UP — フェーズ 1 SA が確立されています。

    • ダウン — フェーズ 1 SA の確立に問題が発生しました。

  • モード — 正しいモードが使用されていることを検証します。

構成において以下のことが正しいことを確認します。

  • 外部インターフェイス (インターフェイスは、IKE パケットを受信するものである必要があります)。

  • ポリシーパラメーターを IKE します。

  • 事前共有鍵の情報です。

  • フェーズ1の提案パラメーター (両方のピアで一致する必要があります)。

このshow security ike security-associations index 1 detailコマンドは、次のインデックス番号で SA に関する追加情報をリストします。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ1の有効期間

  • トラフィック統計 (トラフィックが双方向で正しく流れることを確認するために使用できます)

  • ロール情報

    トラブルシューティングは、応答側ロールを使用してピア上で実行することをお勧めします。

  • 開始側とレスポンダーの情報

  • 作成された IPsec Sa の数

IPsec フェーズ2の状態を確認しています

目的

IPsec フェーズ2のステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations index index_number detailコマンドを使用します。

show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • ID 番号は16384です。この値をコマンドとshow security ipsec security-associations indexともに使用して、この特定の SA に関する詳細情報を取得します。

  • ポート500を使用した IPsec SA ペアが1つあります。

  • 両方の方向について、Spi、有効期限 (秒)、使用制限 (KB 単位) が表示されます。3363/lim 値は、フェーズ2の有効期間が3363秒以内に有効期限切れになり、lifesize が指定されていないことを示しています。これは無制限であることを示しています。フェーズ2は、VPN が稼働してからフェーズ1に依存していないため、フェーズ2の有効期間はフェーズ1の有効期間とは異なる可能性があります。

  • Vsys はルートシステムであり、常に0として表示されます。

  • IKEv2 は、バージョン2のピアからの接続を許可し、バージョン2のネゴシエーションを開始します。

show security ipsec security-associations index 16384 detailコマンドからの出力には、以下の情報が表示されます。

  • ローカルアイデンティティとリモートアイデンティティによって SA のプロキシ ID が構成されます。

    Proxy ID の不一致は、フェーズ2障害の最も一般的な原因の1つです。IPsec SA が表示されていない場合は、プロキシ ID 設定などのフェーズ2提案が両方のピアに対して適切であることを確認します。ルートベースの Vpn の場合、デフォルトのプロキシ ID はローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、service = any になります。同じピア IP から複数のルートベースの Vpn を使用すると、問題が発生する可能性があります。この場合、各 IPsec SA の固有のプロキシ ID を指定する必要があります。一部のサードパーティーベンダーでは、プロキシ ID を手動で入力して照合する必要があります。

  • フェーズ2障害のもう1つの一般的な理由として、ST インターフェイスバインディングが指定されていないことがあります。IPsec を完了できない場合は、kmd ログを確認するか、トレースオプションを設定してください。

IPsec セキュリティアソシエーションの統計とエラーを確認する

目的

IPsec SA の ESP および認証ヘッダーのカウンターとエラーを確認します。

アクション

動作モードから、統計情報show security ipsec statistics index index_numberを表示する VPN のインデックス番号を使用してコマンドを入力します。

このshow security ipsec statisticsコマンドを使用して、すべての sa の統計とエラーを確認することもできます。

すべての IPsec 統計情報を消去するclear security ipsec statisticsには、このコマンドを使用します。

VPN 全体でパケットロスの問題が発生した場合、またshow security ipsec statisticsshow security ipsec statistics detail何回かのコマンドを実行して、暗号化および暗号化解除されたパケットカウンターが増加していることを確認できます。また、他のエラーカウンターも増加していることを確認する必要があります。

VPN 全体でのトラフィックフローのテスト

目的

VPN 全体のトラフィックフローを確認します。

アクション

SRX シリーズデバイスのコマンドpingを使用して、リモートホスト PC へのトラフィックフローをテストできます。ルートルックアップが正しく、適切なセキュリティゾーンがポリシールックアップ時に参照されるように、ソースインターフェイスを指定していることを確認してください。

動作モードから、 pingコマンドを入力します。

SSG シリーズデバイスのpingコマンドを使用することもできます。

SRX シリーズまたpingは Ssg シリーズデバイスからコマンドが失敗した場合は、ルーティング、セキュリティポリシー、エンドホスト、または ESP パケットの暗号化と復号化に問題がある可能性があります。

例:IKEv2 構成ペイロードを使用した Pico セルのプロビジョニング用の SRX シリーズの構成

多くのデバイスが導入されているネットワークでは、ネットワークの管理をシンプルにする必要があります。IKEv2 構成ペイロード機能は、デバイス設定または SRX シリーズ構成のいずれにも触れずに、これらのデバイスのプロビジョニングをサポートします。次の例は、IKEv2 構成ペイロード機能を使用して pico セルのプロビジョニングをサポートするように SRX シリーズを設定する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • シャーシクラスターで構成された2つの SRX シリーズデバイス

  • 中間ルーターとして構成された SRX シリーズデバイス1台

  • Pico の2つのセルクライアント

  • Pico cell クライアントのプロビジョニング情報を使用して構成された1台の RADIUS サーバー

  • Junos OS リリース12.1 以降 (IKEv2 構成ペイロードをサポートするための X46)

概要

この例では、SRX シリーズは IKEv2 構成ペイロード機能を使用して、プロビジョニング情報を一連の pico のセルに伝達します。Pico のセルは、標準設定で出荷されており、そのデータを SRX シリーズに接続することができますが、pico のセルのプロビジョニング情報は外部の RADIUS サーバーに保存します。Pico のセルは、保護されたネットワークでプロビジョニングサーバーとのセキュアな接続を確立した後、完全なプロビジョニング情報を受け取ります。IKEv2 構成ペイロード機能は、IPv4 でのみサポートされています。

図 1 は、IKEv2 設定ペイロード機能SRX シリーズ pico セル プロビジョニングをサポートしているトポロジを示しています。

図 1: IKEv2 構成ペイロードを使用した Pico セルのプロビジョニングのサポート SRX シリーズ IKEv2 構成ペイロードを使用した Pico セルのプロビジョニングのサポート SRX シリーズ

このトポロジの各 pico セルは、2つの IPsec Vpn を開始します。1つは管理用、もう1つはデータ用です。この例では、管理トラフィックは OAM トンネルというトンネルを使用しますが、データトラフィックは 3GPP Tunnel というラベルの付いたトンネルを介してフローします。各トンネルは、独立した構成可能なネットワーク上での OAM および3GPP のプロビジョニングサーバーとの接続をサポートし、個別のルーティングインスタンスと Vpn を必要とします。この例では、OAM と 3GPP Vpn を確立するための IKE フェーズ1およびフェーズ2の各オプションを提供しています。

この例では、SRX シリーズは IKEv2 構成ペイロードサーバーとして機能し、RADIUS サーバーからプロビジョニング情報を取得し、その情報を pico のセルクライアントに提供します。SRX シリーズは、トンネルのネゴシエーション中に IKEv2 構成ペイロードで承認された各クライアントのプロビジョニング情報を返します。SRX シリーズをクライアントデバイスとして使用することはできません。

さらに、SRX シリーズは、トンネルのネゴシエーション中にクライアントと交換されたトラフィックセレクターイニシエーター (TSi) およびトラフィックセレクターレスポンダー (TSr) 値を更新するために IKEv2 構成ペイロード情報を使用します。構成ペイロードでは、[ proxy-identityedit security ipsec vpn vpn-name ike] 階層レベルのステートメントを使用して、SRX シリーズに設定された tsi および TSr 値を使用します。TSi と TSr の値によって、各 VPN のネットワークトラフィックが定義されます。

中間ルーターは、pico のセルトラフィックを SRX シリーズ上の適切なインターフェイスにルーティングします。

次のプロセスでは、接続シーケンスについて説明します。

  1. Pico のセルは、工場出荷時の構成を使用して SRX シリーズとの IPsec トンネルを開始します。

  2. SRX シリーズは、クライアント証明書情報と、SRX シリーズに登録された CA のルート証明書を使用してクライアントを認証します。認証が完了すると、IKE のアイデンティティ情報がクライアント証明書から RADIUS サーバーに渡され、認証要求として SRX シリーズます。

  3. クライアントを承認した後、RADIUS サーバーは、クライアントプロビジョニング情報を使用して SRX シリーズに応答します。

    • IP アドレス (TSi 値)

    • IP サブネットマスク (オプション、デフォルトは32ビット)

    • DNS アドレス (オプション)

  4. SRX シリーズは、各クライアント接続に対して IKEv2 構成ペイロードのプロビジョニング情報を返し、最終的な TSi および TSr の値を pico のセルと交換します。この例では、SRX シリーズは VPN ごとに以下の TSi および TSr 情報を提供しています。

    VPN 接続

    SRX によって提供される TSi/TSr 値

    Pico 1 OAM

    TSi: 12.12.1.201/32、TSr: 192.168.2.0/24

    Pico 1 3GPP

    TSi: 13.13.1.201/32、TSr: 192.169.2.0/24、TSr: 13.13.0.0/16

    Pico 2 OAM

    TSi: 12.12.1.205/32、TSr: 192.168.2.0/24

    Pico 2 3GPP

    TSi: 13.13.1.205/32、TSr: 192.169.2.0/24、TSr: 13.13.0.0/16

    RADIUS サーバーによって提供されるプロビジョニング情報にサブネットマスクが含まれている場合、SRX シリーズは IP サブネットを含むクライアント接続に対して2つ目の TSr 値を返します。これにより、そのサブネット上のデバイスの intrapeer 通信が可能になります。この例では、intrapeer の通信は、3GPP VPN (13.13.0.0/16) に関連付けられたサブネットで有効になっています。

    IKEv2 構成ペイロード機能は、ポイントツーマルチポイントのセキュアトンネル (st0) インターフェイスでのみサポートされています。Point-to-point インターフェイスの場合、インターフェイスには番号が付けられている必要があります。また、構成ペイロードで指定されたアドレスは、関連するポイントツーマルチポイントインターフェイスのサブネットワークの範囲内にある必要があります。

表 6 は、OAM トンネルと 3GPP トンネルの両方を確立するための情報SRX シリーズ設定されたフェーズ 1 およびフェーズ 2 オプションを示しています。

表 6: SRX シリーズ用フェーズ1とフェーズ2のオプション

オプション

金額

IKE 提案:

提案の名前

IKE_PROP

認証方法

RSA デジタル証明書

Diffie-hellman (DH) グループ

group5

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 256 CBC

IKE ポリシー:

IKE ポリシー名

IKE_POL

ローカル証明書

Example_SRX

IKE ゲートウェイ (OAM):

IKE ポリシー

IKE_POL

リモート IP アドレス

IKE ユーザータイプ

グループ-ike id

ローカル IKE ID

hostname srx_series. 例 net

リモート IKE ID

ホスト名 pico_cell .net

外部インターフェイス

reth 0.0

アクセスプロファイル

radius_pico

IKE バージョン

v2-only

IKE ゲートウェイ (3GPP):

IKE ポリシー

IKE_POL

リモート IP アドレス

動的

IKE ユーザータイプ

グループ-ike id

ローカル IKE ID

識別名ワイルドカード OU = srx_series

リモート IKE ID

識別名ワイルドカード OU = pico_cell

外部インターフェイス

reth1

アクセスプロファイル

radius_pico

IKE バージョン

v2-only

IPsec 提案:

提案の名前

IPSEC_PROP

プロトコル

ESP

認証アルゴリズム

HMAC SHA-1 96

暗号化アルゴリズム

AES 256 CBC

IPsec ポリシー:

ポリシー名

IPSEC_POL

完全順機密性 (PFS) キー

group5

IPsec 提案

IPSEC_PROP

IPsec VPN (OAM):

インターフェイスのバインド

st0.0

IKE ゲートウェイ

OAM_GW

ローカルプロキシ-アイデンティティ

192.168.2.0/24

リモートプロキシ-アイデンティティ

0.0.0.0/0

IPsec ポリシー

IPSEC_POL

IPsec VPN (3GPP):

インターフェイスのバインド

st0.1

IKE ゲートウェイ

3GPP_GW

ローカルプロキシ-アイデンティティ

192.169.2.0/24

リモートプロキシ-アイデンティティ

0.0.0.0/0

IPsec ポリシー

IPSEC_POL

証明書は pico セルと SRX シリーズに格納されています。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。より制限的なセキュリティポリシーを実稼働環境に設定する必要があります。セキュリティポリシーの概要を参照してください。

構成

SRX シリーズの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

SRX シリーズを設定するには、次のようにします。

  1. シャーシクラスターを構成します。

  2. インターフェイスを構成します。

  3. ルーティングオプションを構成します。

  4. セキュリティゾーンを指定します。

  5. RADIUS プロファイルを作成します。

  6. フェーズ1のオプションを構成します。

  7. フェーズ2オプションを指定します。

  8. ルーティングインスタンスを指定します。

  9. サイト対サイトのトラフィックを許可するセキュリティポリシーを指定します。

結果

設定モードから、、、、、、、 show chassis clusterおよびshow interfacesshow routing-instancesshow security policiesコマンドshow security zonesshow access profile radius_pico入力show security ikeshow security ipsecして設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

中間ルーターの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、設定モードでの CLI エディターの使用を参照してください。

中間ルーターを構成するには、次のようにします。

  1. インターフェイスを構成します。

  2. ルーティングオプションを構成します。

  3. セキュリティゾーンを指定します。

  4. セキュリティポリシーを指定します。

結果

構成モードからshow interfaces、、、 show routing-optionsshow security zones、およびshow security policiesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

Pico セルの設定 (サンプル設定)

順を追った手順

この例の pico セル情報は、参考用に用意されています。Pico のセル構成情報の詳細については、本書の範囲外です。Pico のセルファクトリ構成には、以下の情報が含まれている必要があります。

  • ローカル証明書 (X 509v3) および IKE のアイデンティティ情報

  • トラフィックセレクター (TSi、TSr) の値が、any/any (0.0.0.0/0) に設定されています。

  • SRX シリーズ IKE id 情報とパブリック IP アドレス

  • SRX シリーズの構成と一致するフェーズ1およびフェーズ2の提案

この例の pico セルでは、strongSwan のオープンソースソフトウェアを使用して IPsec ベースの VPN 接続を実現しています。この情報は、SRX シリーズが IKEv2 構成ペイロード機能を使用してセルのプロビジョニングを実行するために使用します。多くのデバイスが導入されているネットワークでは、pico セル構成は証明書 (左証明) とアイデンティティ (leftid) の情報を除いて同じであることができます。次の構成例は、工場出荷時の設定を示しています。

  1. Pico 1 の構成を確認します。

    Pico 1: サンプル構成

  2. Pico 2 構成を確認します。

    Pico 2 サンプル構成

RADIUS サーバーの設定 (FreeRADIUS を使用したサンプル構成)

順を追った手順

この例の RADIUS サーバー情報は、参考用に用意されています。完全な RADIUS サーバーの構成情報については、本書の範囲外です。RADIUS サーバーによって SRX シリーズに返される情報は次のとおりです。

  • フレーム-IP アドレス

  • フレーム-IP-ネットマスク (オプション)

  • プライマリ DNS およびセカンダリ-DNS (オプション)

この例では、RADIUS サーバーは、OAM および3GPP 接続の個別の準備情報を持っています。ユーザー名は、SRX シリーズ承認要求で提供されるクライアント証明書情報から取得されます。

RADIUS サーバーが DHCP サーバーからクライアントプロビジョニング情報を取得した場合、RADIUS サーバーによって DHCP サーバーに転送されるクライアント id 情報は、SRX によって RADIUS サーバーに中継するクライアント IKE id 情報と一貫している必要があります。シリーズデバイスです。これにより、さまざまなプロトコルでクライアント id の連続性が保証されます。

SRX シリーズデバイスと RADIUS サーバー間の通信チャネルは、RADIUS 共有シークレットによって保護されています。

  1. Pico 1 OAM VPN の RADIUS 設定を確認します。RADIUS サーバーには、以下の情報が含まれています。

    15.1X49-D160、17.3R3、17.4R2、18.1R3、18.2R2、18.3R1、18.1R3-S2 以前の Junos OS リリース 12.3X48 および Junos OS リリースのサンプル 18.1R3 構成 : RADIUS

    FreeRADIUS の構成例:

    Junos OS リリース 15.X49-D161、15.1X49-D170、17.3R3、17.4R2、18.1R3、18.2R2、18.3R1、18.1R3-S2 のサンプル サンプル: RADIUS

    FreeRADIUS の構成例:

    この場合、RADIUS サーバーはデフォルトのサブネットマスク (255.255.255.255) を提供します。これにより、intrapeer のトラフィックがブロックされます。

  2. Pico 1 3GPP VPN の RADIUS 構成を確認します。RADIUS サーバーには、以下の情報が含まれています。

    15.1X49-D160、17.3R3、17.4R2、18.1R3 18.2R2、18.1R3、18.3R1、18.3R1、18.1R3 - S2 以前の Junos OS リリース 12.3X48 および Junos OS リリースのサンプル 18.1R3構成: RADIUS

    FreeRADIUS の構成例:

    RADIUS Junos OS リリース 15.X49-D161、15.1X49-D170、17.3R3、17.4R2、18.1R3、18.2R2、18.3R1、18.1R3- S2 から始まるサンプル 18.1R3 構成 :

    FreeRADIUS の構成例:

    この場合、RADIUS サーバーはサブネットマスク値 (255.255.0.0) を提供します。これにより、intrapeer トラフィックが可能になります。

    最初の Junos OS リリース 20.1R1、IKEv2 の設定ペイロード要求に対して共通のパスワードを設定して、IKEできます。管理者 は 、1~128 文字の範囲で共通パスワードを定義できます。このパスワード は 、IKEv2 設定 ペイロードを使用してリモート IPsec ピアに代わって IP アドレスを要求する SRX シリーズ デバイスが、SRX シリーズ デバイスと RADIUS サーバーの間で使用されます。RADIUSサーバーは、設定ペイロード要求用に任意の IP 情報をSRX シリーズする前に、認証情報を一致します。階層レベルの設定ステートメントを使用 config-payload-password configured-password して、共通パスワードを [edit security ike gateway gateway-name aaa access-profile access-profile-name] 設定できます。さらに、この例では、同じクライアント証明書から2つのトンネルを作成し、証明書のさまざまな部分をユーザー名 (IKE id) 情報として使用します。

検証

構成が正常に機能していることを確認します。

SRX シリーズの IKE フェーズ1のステータスを確認する

目的

IKE フェーズ1のステータスを確認します。

アクション

ノード0の動作モードから コマンドを入力 show security ike security-associations します。コマンドからインデックス番号を取得した後、 show security ike security-associations detail コマンドを使用します。

このshow security ike security-associationsコマンドは、pico のセルデバイスを使用して、アクティブな IKE フェーズ 1 SAs をすべて表示します。Sa が記載されていない場合は、フェーズ1の確立に関する問題が発生していました。構成の IKE ポリシーパラメーターと外部インターフェイスの設定を確認してください。この例では、OAM VPN の IKE フェーズ 1 SA のみを示しています。ただし、3GPP VPN の IKE フェーズ1のパラメーターを示す別の IKE フェーズ 1 SA が表示されます。

Sa が表示されている場合は、以下の情報を確認します。

  • インデックス — この値は SA の各値IKEです。このshow security ike security-associations index detailコマンドを使用して、SA に関する詳細な情報を取得できます。

  • リモート アドレス —ローカル IP アドレスが正しく、ポート 500 がピアツーピア通信に使用されていることを検証します。

  • 役割レスポンダーの状態:

    • アップ — フェーズ 1 SA が確立されました。

    • ダウン — フェーズ 1 SA の確立に問題が発生しました。

  • ピア(リモート)IKE ID — 証明書情報が正しいか検証します。

  • ローカルIDとリモートID —アドレスが正しいか検証します。

  • モード — 正しいモードが使用されていることを検証します。

以下の項目が正しい構成に含まれていることを確認します。

  • 外部インターフェース (インターフェイスは IKE パケットを送信するインターフェースでなければなりません)

  • IKE ポリシーパラメーター

  • フェーズ1の提案パラメーター (ピア間で一致する必要があります)

このshow security ike security-associationsコマンドを実行すると、セキュリティアソシエーションに関する以下の追加情報が表示されます。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ1の有効期間

  • トラフィック統計 (トラフィックが双方向で正しく流れることを確認するために使用できます)

  • ロール情報

    トラブルシューティングは、応答側ロールを使用してピア上で実行することをお勧めします。

  • 開始側とレスポンダーの情報

  • 作成された IPsec Sa の数

  • 進行中のフェーズ2ネゴシエーション数

SRX シリーズの IPsec セキュリティアソシエーションを検証する

目的

IPsec のステータスを確認します。

アクション

ノード0の動作モードから コマンドを入力 show security ipsec security-associations します。コマンドからインデックス番号を取得した後、 show security ipsec security-associations detailコマンドを使用します。

この例は、Pico 1 のアクティブな IKE フェーズ 2 SAs を示しています。Sa が記載されていない場合は、フェーズ2の確立に関する問題が発生していました。設定で IPsec ポリシーのパラメーターを確認します。各フェーズ 2 SA (OAM と 3GPP) について、情報はインバウンドと outboard の両方の方向に提供されます。show security ipsec security-associationsコマンドからの出力には、以下の情報が表示されます。

  • リモートゲートウェイは、1.1.1.1 の IP アドレスを持っています。

  • 両方の方向について、Spi、有効期限 (秒)、使用制限 (KB 単位) が表示されます。3529/value は、フェーズ2の有効期間が3529秒以内に期限切れになり、lifesize が指定されていないことを示します。これは無制限であることを示します。フェーズ2は、VPN が稼働してからフェーズ1に依存していないため、フェーズ1の有効期間とは異なる可能性があります。

  • 月曜日列にハイフンが記載されているため、この SA に対して VPN 監視が有効になっていません。VPN 監視が有効になっている場合、U は監視が稼働していることを示し、D は監視が停止していることを示します。

  • 仮想システム (vsys) はルートシステムであり、常に0をリストします。

このshow security ipsec security-associations index index_id detailコマンドの出力には、以下の情報が記載されています。

  • ローカルアイデンティティとリモートアイデンティティによって SA のプロキシ ID が構成されます。

    Proxy ID の不一致は、フェーズ2障害の最も一般的な原因の1つです。IPsec SA が表示されていない場合は、プロキシ ID 設定などのフェーズ2提案が両方のピアに対して適切であることを確認します。ルートベースの Vpn の場合、デフォルトのプロキシ ID はローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、service = any になります。同じピア IP から複数のルートベースの Vpn を使用すると、問題が発生する可能性があります。この場合、各 IPsec SA の固有のプロキシ ID を指定する必要があります。一部のサードパーティーベンダーでは、プロキシ ID を手動で入力して照合する必要があります。

  • 認証と暗号化アルゴリズムが使用されます。

  • フェーズ2提案のパラメーター (ピア間で一致する必要があります)。

  • OAM および3GPP ゲートウェイへのセキュアトンネル (st 0.0 および st 0.1) バインディング

IKEなポリシーと信頼性の高いポリシー CA

この例では、信頼された CA サーバーをピアの IKE ポリシーにバインドする方法を示しています。

開始する前に、ピアの IKE ポリシーに関連付けるすべての信頼された Ca のリストを用意しておく必要があります。

IKE ポリシーを単一の信頼された CA プロファイルまたは信頼される CA グループに関連付けることができます。セキュア接続を確立するために、IKE ゲートウェイは、証明書の検証時に、構成済みの CAs (ca プロファイル) に対して、IKE ポリシーを制限するために使用します。信頼できる CA または信頼される CA グループ以外のソースによって発行された証明書は検証されていません。IKE ポリシーによって証明書検証要求が発生した場合、IKE ポリシーの関連 CA プロファイルによって証明書が検証されます。IKE ポリシーがどの CA にも関連付けられていない場合、デフォルトでは、その証明書は、構成済みのいずれかの CA プロファイルによって検証されます。

この例では、という名前root-caの CA プロファイルがroot-ca-identity作成され、a がプロファイルに関連付けられています。

信頼された CA グループに追加する最大20個の CA プロファイルを構成できます。信頼された CA グループに20個を超える CA プロファイルを設定している場合、構成をコミットすることはできません。

  1. CA プロファイルを作成し、CA 識別子をプロファイルに関連付けます。
  2. IKE 提案と IKE 提案認証方法を定義します。
  3. IKE 案のための、Diffie-hellman グループ、認証アルゴリズム、暗号化アルゴリズムを定義します。
  4. IKE ポリシーを設定し、そのポリシーを IKE 案に関連付けます。
  5. IKE ポリシーのローカル証明書識別子を構成します。
  6. IKE ポリシーに使用する CA を定義します。

デバイスに構成されている CA プロファイルと信頼される CA グループをshow security pki表示するには、command を実行します。

このshow security ikeコマンドは、名前付きike_policy IKE ポリシーおよび IKE ポリシーに関連付けられた証明書の CA プロファイルグループを表示します。