Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IKEv2 を使用したルートベース VPN

インターネット 鍵交換バージョン 2(IKEv2)は、ピア VPN デバイス間にセキュアな VPN 通信チャネルを提供し、保護された方法で IPsec セキュリティ アソシエーション(SA)のネゴシエーションと認証を定義する、IPsec ベースのトンネリング プロトコルです。

例:IKEv2 のルートベース VPN の設定

この例では、支社と本社間でデータを安全に転送できるように、ルートベースの IPsec VPN を設定する方法を示しています。

要件

この例では、次のハードウェアを使用します。

  • SRX240 デバイス

  • SSG140 デバイス

始める前に、 を読んでください IPsec の概要

概要

この例では、トンネル リソースを節約する一方で VPN トラフィックの細かい制限を受ける必要があるため、イリノイ州シカゴの支社にルートベース VPN を設定します。シカゴオフィスのユーザーは、VPNを使用してカリフォルニア州サニーベールにある本社に接続します。

この例では、インターフェイス、IPv4 デフォルト ルート、セキュリティ ゾーン、アドレス ブックを設定します。次に、IKE フェーズ 1、IPsec フェーズ 2、セキュリティ ポリシー、TCP-MSS パラメーターを設定します。この例で使用する特定の設定パラメータについては、以下表 5を参照してください表 1

表 1: インターフェイス、スタティック ルート、セキュリティ ゾーン、アドレスブックの情報

特長

お名前

設定パラメータ

インターフェイス

ge-0/0/0.0

192.168.10.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0(トンネル インターフェイス)

10.11.11.10/24

スタティックルート

0.0.0.0/0(デフォルト ルート)

ネクスト ホップは 10.1.1.1 です。

192.168.168.0/24

ネクスト ホップは st0.0 です。

セキュリティ ゾーン

信頼

  • すべてのシステム サービスが許可されます。

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

信頼できない

  • IKE は、許可される唯一のシステム サービスです。

  • ge-0/0/3.0インターフェイスは、このゾーンにバインドされています。

vpn-シカゴ

st0.0インターフェイスはこのゾーンにバインドされています。

アドレス帳エントリ

サニーベール

  • このアドレスは trust ゾーンのアドレス帳用です。

  • このアドレス 帳のエントリのアドレスは、192.168.10.0/24 です。

シカゴ

  • このアドレスは、untrust ゾーンのアドレス 帳用です。

  • このアドレス 帳のエントリのアドレスは、192.168.168.0/24 です。

表 2: IKE フェーズ 1 設定パラメータ

特長

お名前

設定パラメータ

提案

ike-phase1-proposal

  • 認証方法: 事前共有鍵

  • Diffie-Hellman グループ: グループ2

  • 認証アルゴリズム: sha1

  • 暗号化アルゴリズム: aes-128-cbc

ポリシー

ike-phase1-policy

  • モード:メイン

  • プロポーザル リファレンス: ike-phase1-proposal

  • IKE フェーズ 1 ポリシー認証方法: 事前共有鍵 ascii テキスト

ゲートウェイ

gw-chicago

  • IKEポリシーリファレンス: ike-phase1-policy

  • 外部インターフェイス: ge-0/0/3.0

  • ゲートウェイ アドレス: 10.2.2.2

表 3: IPsec フェーズ 2 設定パラメータ

特長

お名前

設定パラメータ

提案

ipsec-phase2-proposal

  • プロトコル:特に

  • 認証アルゴリズム: hmac-sha1-96

  • 暗号化アルゴリズム: aes-128-cbc

ポリシー

ipsec-phase2-policy

  • プロポーザル リファレンス: ipsec-phase2-proposal

  • PFS:Diffie-Hellman グループ 2

VPN

ipsec-vpn-chicago

  • IKEゲートウェイリファレンス: gw-chicago

  • IPsec ポリシーリファレンス: ipsec-phase2-policy

  • インターフェイスへのバインド: st0.0

表 4: セキュリティ ポリシー設定パラメータ

目的

お名前

設定パラメータ

セキュリティ ポリシーは、trust ゾーンから vpn-chicago ゾーンへのトラフィックを許可します。

vpn-tr-chi

  • 一致条件:

    • 送信元アドレスサニーベール

    • 宛先アドレスシカゴ

    • アプリケーション

  • アクション:許可

セキュリティ ポリシーは、vpn-chicago ゾーンから trust ゾーンへのトラフィックを許可します。

vpn-chi-tr

  • 一致条件:

    • 送信元アドレスシカゴ

    • 宛先アドレスサニーベール

    • アプリケーション

  • アクション:許可

表 5: TCP-MSS 設定パラメータ

目的

設定パラメータ

TCP-MSS は TCP スリーウェイ ハンドシェイクの一部としてネゴシエートされ、TCP セグメントの最大サイズをネットワークの MTU 制限に合わせて制限します。VPN トラフィックの場合、IPsec カプセル化のオーバーヘッドと IP とフレームのオーバーヘッドにより、結果として生じる ESP パケットが物理インターフェイスの MTU を超える可能性があり、フラグメント化が発生します。フラグメント化により、帯域幅とデバイス リソースが増加します。

MTUが1500以上のイーサネットベースのほとんどのネットワークの開始点として、1350の値を推奨します。最適なパフォーマンスを得るために、さまざまな TCP-MSS 値を試す必要がある場合があります。たとえば、パス内のデバイスの MTU が低い場合や、PPP やフレーム リレーなどの追加オーバーヘッドがある場合は、値を変更する必要があります。

MSS 値: 1350

設定

インターフェイス、スタティック ルート、セキュリティ ゾーン、アドレスブック情報の設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

インターフェイス、静的ルート、セキュリティ ゾーン、アドレスブックの情報を設定するには、次の手順に沿います。

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルート情報を設定します。

  3. untrust セキュリティ ゾーンを設定します。

  4. インターフェイスをセキュリティ ゾーンに割り当てます。

  5. セキュリティ ゾーンで許可されるシステム サービスを指定します。

  6. trust セキュリティ ゾーンを設定します。

  7. インターフェイスを trust セキュリティ ゾーンに割り当てます。

  8. trust セキュリティ ゾーンで許可されるシステム サービスを指定します。

  9. trust セキュリティ ゾーンのアドレス 帳エントリを設定します。

  10. vpn-chicago セキュリティ ゾーンを設定します。

  11. インターフェイスをセキュリティ ゾーンに割り当てます。

  12. vpn-chicago ゾーンのアドレス帳エントリを設定します。

結果

設定モードから、 、および コマンドをshow interfacesshow routing-options入力して設定をshow security zones確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

IKE の設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

IKEを設定するには、次の手順に関する手順に関

  1. IKE フェーズ 1 プロポーザルを作成します。

  2. IKE プロポーザルの認証方法を定義します。

  3. IKE プロポーザル Diffie-Hellman グループを定義します。

  4. IKEプロポーザル認証アルゴリズムを定義します。

  5. IKEプロポーザル暗号化アルゴリズムを定義します。

  6. IKE フェーズ 1 ポリシーを作成します。

  7. IKEプロポーザルへの参照を指定します。

  8. IKE フェーズ 1 ポリシー認証方法を定義します。

  9. IKE フェーズ 1 ゲートウェイを作成し、外部インターフェイスを定義します。

  10. IKE フェーズ 1 ポリシー リファレンスを定義します。

  11. IKE フェーズ 1 ゲートウェイ アドレスを定義します。

  12. IKE フェーズ 1 ゲートウェイ バージョンを定義します。

結果

設定モードから、コマンドを入力して設定を show security ike 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

IPsec の設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

IPsec を設定するには、次の手順に関する手順にしてください。

  1. IPsec フェーズ 2 プロポーザルを作成します。

  2. IPsec フェーズ 2 プロポーザル プロトコルを指定します。

  3. IPsec フェーズ 2 プロポーザル認証アルゴリズムを指定します。

  4. IPsec フェーズ 2 プロポーザル暗号化アルゴリズムを指定します。

  5. IPsec フェーズ 2 ポリシーを作成します。

  6. IPsec フェーズ 2 プロポーザル リファレンスを指定します。

  7. Diffie-Hellman グループ 2 を使用する IPsec フェーズ 2 PFS を指定します。

  8. IKEゲートウェイを指定します。

  9. IPsec フェーズ 2 ポリシーを指定します。

  10. バインドするインターフェイスを指定します。

結果

設定モードから、コマンドを入力して設定を show security ipsec 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

セキュリティ ポリシーの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

セキュリティ ポリシーを設定するには、以下の手順に関する手順にしてください。

  1. trust ゾーンから vpn-chicago ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  2. vpn-chicago ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

TCP-MSS の設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。

TCP-MSS 情報を設定するには、以下の手順に応えます。

  1. TCP-MSS 情報を設定します。

結果

設定モードから、コマンドを入力して設定を show security flow 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

SSG シリーズ デバイスの設定

CLI クイック設定

リファレンスについては、SSG シリーズ デバイスの設定が用意されています。SSG シリーズ デバイスの設定の詳細については、https://www.juniper.net/documentation にある「概念および例 ScreenOS リファレンス ガイド」を参照してください。

この例のセクションを迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピーアンドペーストしてから、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

IKE フェーズ 1 ステータスの検証

目的

IKE フェーズ 1 ステータスを検証します。

対処

検証プロセスを開始する前に、192.168.10/24ネットワーク内のホストから192.168.168/24ネットワーク内のホストにトラフィックを送信する必要があります。ルートベース VPN の場合、トラフィックはトンネルを介して SRX シリーズ デバイスによって開始できます。IPsec トンネルをテストする場合、テスト トラフィックを VPN の一方の側にある別のデバイスから、VPN のもう一方の側にある 2 つ目のデバイスに送信することをお勧めします。たとえば、192.168.10.10 から 192.168.168.10 まで ping を開始します。

動作モードから、コマンドを show security ike security-associations 入力します。コマンドからインデックス番号を取得した後、コマンドを show security ike security-associations index index_number detail 使用します。

意味

このコマンドは show security ike security-associations 、すべてのアクティブな IKE フェーズ 1 SA をリストします。SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。

SA が表示されている場合は、次の情報を確認します。

  • インデックス—この値は各 IKE SA で一意です。この値は、コマンドで show security ike security-associations index detail 使用して SA に関する詳細情報を取得できます。

  • リモート アドレス — リモート IP アドレスが正しいことを確認します。

  • 都道府県

    • UP — フェーズ 1 SA が確立されました。

    • DOWN—フェーズ 1 SA の確立に問題が発生しました。

  • モード — 正しいモードが使用されていることを確認します。

設定で以下が正しいことを確認します。

  • 外部インターフェイス(インターフェイスは IKE パケットを受信するインターフェイスである必要があります)。

  • IKEポリシー パラメータ。

  • 事前共有鍵情報。

  • フェーズ 1 プロポーザル パラメーター(両方のピアで一致する必要があります)。

このコマンドは show security ike security-associations index 1 detail 、インデックス番号1を持つSAに関する追加情報をリストします。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ 1 ライフタイム

  • トラフィック統計(トラフィックが双方向に適切に流れているかどうかを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダーロールを使用してピアで実行するのが最善です。

  • イニシエーターとレスポンダーの情報

  • 作成された IPsec SA の数

IPsec フェーズ 2 ステータスの検証

目的

IPsec フェーズ 2 ステータスを確認します。

対処

動作モードから、コマンドを show security ipsec security-associations 入力します。コマンドからインデックス番号を取得した後、コマンドを show security ipsec security-associations index index_number detail 使用します。

意味

コマンドからの出力には、 show security ipsec security-associations 以下の情報がリストされます。

  • ID 番号は 16384 です。この値をコマンドと一緒に show security ipsec security-associations index 使用して、この特定の SA に関する詳細情報を取得します。

  • ポート 500 を使用する IPsec SA ペアが 1 つあります。

  • 両方向の SPI、ライフタイム(秒)、使用制限(または KB 単位のライフサイズ)が表示されます。3363/unlim 値は、フェーズ 2 のライフタイムが 3363 秒で期限切れになり、ライフサイズが指定されておらず、無制限であることを示します。フェーズ 2 のライフタイムはフェーズ 1 のライフタイムと異なる場合があります。なぜなら、フェーズ 2 は VPN が稼働した後のフェーズ 1 に依存しないためです。

  • vsys はルート システムであり、常に 0 と表示されます。

  • IKEv2 は、バージョン 2 ピアからの接続を許可し、バージョン 2 ネゴシエーションを開始します。

コマンドからの出力には、 show security ipsec security-associations index 16384 detail 以下の情報がリストされます。

  • ローカル ID とリモート ID が SA のプロキシ ID を構成します。

    プロキシ ID の不一致は、フェーズ 2 障害の最も一般的な原因の 1 つです。IPsec SA が表示されていない場合は、プロキシ ID 設定を含むフェーズ 2 プロポーザルが両方のピアに対して正しいことを確認します。ルートベース VPN の場合、デフォルトのプロキシ ID は local=0.0.0.0/0、remote=0.0.0.0/0、service=any です。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各 IPsec SA の固有のプロキシ ID を指定する必要があります。一部のサードパーティー ベンダーでは、プロキシ ID を一致するように手動で入力する必要があります。

  • フェーズ 2 エラーのもう 1 つの一般的な理由は、ST インターフェイス バインディングを指定していないということです。IPsec を完了できない場合は、kmd ログを確認するか、トレース オプションを設定します。

IPsec セキュリティ アソシエーションの統計情報とエラーの確認

目的

IPsec SA の ESP および認証ヘッダー カウンターとエラーを確認します。

対処

動作モードから、統計情報を show security ipsec statistics index index_number 表示する VPN のインデックス番号を使用してコマンドを入力します。

コマンドを使用して、 show security ipsec statistics すべての SA の統計情報とエラーを確認することもできます。

すべての IPsec 統計情報を消去するには、コマンドを clear security ipsec statistics 使用します。

意味

VPN 全体でパケット 損失の問題が発生した場合は、or show security ipsec statistics detail コマンドをshow security ipsec statistics数回実行して、暗号化および復号化されたパケット カウンターが増加していることを確認できます。また、他のエラー カウンターが増加していることを確認する必要があります。

VPN 全体のトラフィック フローのテスト

目的

VPN 全体のトラフィック フローを検証します。

対処

SRX シリーズ デバイスのコマンドを ping 使用して、リモート ホスト PC へのトラフィック フローをテストできます。ルート ルックアップが正しく、ポリシー ルックアップ中に適切なセキュリティ ゾーンが参照されるように、送信元インターフェイスを指定することを確認します。

動作モードから、コマンドを ping 入力します。

SSG シリーズ デバイスからコマンドを使用 ping することもできます。

意味

ping SRX シリーズまたは SSG シリーズ デバイスからコマンドが失敗した場合、ルーティング、セキュリティ ポリシー、エンド ホスト、ESP パケットの暗号化と復号化に問題が発生している可能性があります。

例:IKEv2 設定ペイロードによるピコ セル プロビジョニング用 SRX シリーズの設定

多くのデバイスが導入されているネットワークでは、ネットワークの管理をシンプルにする必要があります。IKEv2 設定ペイロード機能は、デバイス設定や SRX シリーズ設定に触れずに、これらのデバイスのプロビジョニングをサポートします。この例では、IKEv2 設定ペイロード機能を使用して、sRX シリーズを設定してピコ セル プロビジョニングをサポートする方法を示しています。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • シャーシ クラスタに設定された 2 台の SRX シリーズ デバイス

  • 中間ルーターとして構成された 1 台の SRX シリーズ デバイス

  • 2 個のピコセル クライアント

  • ピコセル クライアント プロビジョニング情報を使用して設定された 1 台の RADIUS サーバー

  • IKEv2 設定ペイロードサポート用 Junos OS リリース 12.1X46-D10 以降

概要

この例では、SRX シリーズは IKEv2 設定ペイロード機能を使用して、プロビジョニング情報を一連のピコ セルに伝達します。ピコセルは、SRXシリーズへの接続を可能にする標準構成で工場から出荷されますが、ピコセルプロビジョニング情報は外部RADIUSサーバーに保存されます。保護されたネットワーク内のプロビジョニング サーバーとのセキュアな接続を確立した後、ピコ セルは完全なプロビジョニング情報を受け取ります。 IKEv2 設定ペイロードは、IPv4 と IPV6 の両方でサポートされています。この例では、IPv4 の IKEv2 設定ペイロードを取り上げますが、IPv6 アドレスを使用して設定することもできます。

Junos OS リリース 20.3R1 以降では、IKEd プロセスを実行する SRX5000 シリーズ デバイスに IPv6 アドレスを割り当てるための IKEv2 IPv6 設定ペイロードをサポートしています。Junos OS リリース 21.1R1 から iked プロセスを実行する vSRX にも、同じサポートが含まれています。

図 1 は、SRX シリーズが IKEv2 設定ペイロード機能を使用してピコ セル プロビジョニングをサポートするトポロジを示しています。

図 1: IKEv2設定ペイロードによるPicoセルプロビジョニングのSRXシリーズサポート IKEv2設定ペイロードによるPicoセルプロビジョニングのSRXシリーズサポート

このトポロジの各ピコ セルは、次の 2 つの IPsec VPN を開始します。1つは管理用、もう1つはデータ用です。この例では、管理トラフィックは OAM トンネルというラベルの付いたトンネルを使用し、データ トラフィックは 3GPP トンネルというラベルの付いたトンネルを通過します。各トンネルは、個別の設定可能なネットワーク上の OAM および 3GPP プロビジョニング サーバーとの接続をサポートしており、個別のルーティング インスタンスと VPN が必要です。この例では、OAM および 3GPP VPN を確立するための IKE フェーズ 1 およびフェーズ 2 オプションを示します。

この例では、SRX シリーズは IKEv2 設定ペイロード サーバーとして機能し、RADIUS サーバーからプロビジョニング情報を取得し、その情報をピコ セル クライアントに提供します。SRX シリーズは、トンネル ネゴシエーション中に IKEv2 設定ペイロード内の各承認済みクライアントのプロビジョニング情報を返します。SRX シリーズをクライアント デバイスとして使用することはできません。

さらに、SRX シリーズは IKEv2 設定ペイロード情報を使用して、トンネル ネゴシエーション中にクライアントと交換されるトラフィック セレクター イニシエータ(TSi)およびトラフィック セレクター レスポンダ(TSr)の値を更新します。設定ペイロードは、[] 階層レベルのステートメントを使用して、SRX シリーズで設定されている TSi および TSr の値をedit security ipsec vpn vpn-name ike使用proxy-identityします。TSi と TSr の値は、各 VPN のネットワーク トラフィックを定義します。

中間ルーターは、ピコセル トラフィックを SRX シリーズの適切なインターフェイスにルーティングします。

次のプロセスでは、接続シーケンスについて説明します。

  1. ピコ セルは、工場出荷時の設定を使用して SRX シリーズを使用して IPsec トンネルを開始します。

  2. SRX シリーズは、SRX シリーズに登録されている CA のクライアント証明書情報とルート証明書を使用してクライアントを認証します。認証が完了すると、SRX シリーズは IKE アイデンティティ情報をクライアント証明書から RADIUS サーバーに許可要求で渡します。

  3. クライアントを承認すると、RADIUS サーバーはクライアント プロビジョニング情報を使用して SRX シリーズに応答します。

    • IP アドレス(TSi 値)

    • IP サブネット マスク(オプション、デフォルトは 32 ビット)

    • DNS アドレス(オプション)

  4. SRX シリーズは、クライアント接続ごとに IKEv2 設定ペイロードのプロビジョニング情報を返し、最終的な TSi と TSr の値をピコ セルと交換します。この例では、SRX シリーズは各 VPN の次の TSi および TSr 情報を提供します。

    VPN 接続

    SRX によって提供される TSi/TSr 値

    ピコ1 OAM

    Tsi:12.12.1.201/32、TSr: 192.168.2.0/24

    ピコ 1 3GPP

    Tsi:13.13.1.201/32、TSr: 192.169.2.0/24、TSr: 13.13.0.0/16

    ピコ2 OAM

    Tsi:12.12.1.205/32、TSr: 192.168.2.0/24

    ピコ 2 3GPP

    Tsi:13.13.1.205/32、TSr: 192.169.2.0/24、TSr: 13.13.0.0/16

    RADIUS サーバーから提供されるプロビジョニング情報にサブネット マスクが含まれている場合、SRX シリーズは IP サブネットを含むクライアント接続の 2 番目の TSr 値を返します。これにより、そのサブネット上のデバイスに対するピア内通信が可能になります。この例では、3GPP VPN(13.13.0.0/16)に関連付けられたサブネットに対して、イントラピア通信が有効になっています。

    IKEv2 設定ペイロード機能は、ポイントツーマルチポイント セキュア トンネル(st0)インターフェイスとポイントツーポイント インターフェイスの両方でサポート されています。ポイントツーマルチポイント インターフェイスの場合、インターフェイスには番号を付ける必要があり、設定ペイロードで提供されるアドレスは、関連するポイントツーマルチポイント インターフェイスのサブネットワーク範囲内にある必要があります。

    Junos OS リリース 20.1R1 以降では、SRX5000 シリーズ デバイス上のポイントツーポイント インターフェイスと iked を実行する vSRX を使用した IKEv2 設定ペイロード機能をサポートしています。

表 6 は、OAM トンネルと 3GPP トンネルの両方を確立するための情報を含め、SRX シリーズで設定されたフェーズ 1 およびフェーズ 2 オプションを示しています。

表 6: SRX シリーズのフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

プロポーザル名

IKE_PROP

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

group5

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 256 CBC

IKEポリシー:

IKE ポリシー名

IKE_POL

ローカル証明書

Example_SRX

IKEゲートウェイ(OAM):

IKE ポリシー

IKE_POL

リモート IP アドレス

動的

IKE ユーザー タイプ

グループ ike-id

ローカル IKE ID

ホスト名srx_series.example.net

リモート IKE ID

ホスト名.pico_cell.net

外部インターフェイス

reth0.0

アクセス プロファイル

radius_pico

IKE バージョン

v2-only

IKE ゲートウェイ(3GPP):

IKE ポリシー

IKE_POL

リモート IP アドレス

動的

IKE ユーザー タイプ

グループ ike-id

ローカル IKE ID

distinguished-name ワイルドカード OU=srx_series

リモート IKE ID

distinguished-name ワイルドカード OU=pico_cell

外部インターフェイス

reth1

アクセス プロファイル

radius_pico

IKE バージョン

v2 のみ

IPsec プロポーザル:

プロポーザル名

IPSEC_PROP

プロトコル

特に

認証アルゴリズム

HMAC SHA-1 96

暗号化アルゴリズム

AES 256 CBC

IPsec ポリシー:

ポリシー名

IPSEC_POL

PFS(Perfect Forward Secrecy)キー

グループ5

IPsec プロポーザル

IPSEC_PROP

IPsec VPN(OAM):

バインド インターフェイス

st0.0

IKEゲートウェイ

OAM_GW

ローカル プロキシアイデンティティ

192.168.2.0/24

リモート プロキシアイデンティティ

0.0.0.0/0

IPsec ポリシー

IPSEC_POL

IPsec VPN(3GPP):

バインド インターフェイス

st0.1

IKEゲートウェイ

3GPP_GW

ローカル プロキシアイデンティティ

192.169.2.0/24

リモート プロキシアイデンティティ

0.0.0.0/0

IPsec ポリシー

IPSEC_POL

証明書は、ピコ セルと SRX シリーズに保存されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティ ポリシーがすべてのデバイスに使用されます。本番環境では、より制限の厳しいセキュリティ ポリシーを設定する必要があります。「セキュリティ ポリシーの概要」を参照してください。

設定

SRX シリーズの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

SRX シリーズを設定するには、次の手順にしたがってください。

  1. シャーシ クラスタを設定します。

  2. インターフェイスを設定します。

  3. ルーティング オプションを設定します。

  4. セキュリティ ゾーンを指定します。

  5. RADIUS プロファイルを作成します。

  6. フェーズ 1 オプションを設定します。

  7. フェーズ 2 オプションを指定します。

  8. ルーティング インスタンスを指定します。

  9. サイト間トラフィックを許可するセキュリティ ポリシーを指定します。

結果

設定モードから、 、 、 、 show interfacesshow security zonesshow access profile radius_picoshow security ipsecshow security ikeshow routing-instancesおよび コマンドをshow chassis cluster入力して、設定をshow security policies確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

中間ルーターの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、「 設定モードでの CLI エディターの使用」を参照してください。

中間ルーターを設定するには、次の手順にしたがってください。

  1. インターフェイスを設定します。

  2. ルーティング オプションを設定します。

  3. セキュリティ ゾーンを指定します。

  4. セキュリティ ポリシーを指定します。

結果

設定モードから、 、 show routing-optionsshow security zonesおよび コマンドをshow interfaces入力して設定をshow security policies確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

ピコ セルの設定(サンプル設定)

手順

この例では、ピコセル情報を参照のために提供しています。詳細なピコセル構成情報は、本書の範囲を超えています。ピコセル 工場出荷時の設定には、次の情報を含める必要があります。

  • ローカル証明書(X.509v3)およびIKEアイデンティティ情報

  • トラフィック セレクター(TSi、TSr)の値を any/any(0.0.0.0/0)に設定

  • SRX シリーズ IKE アイデンティティ情報とパブリック IP アドレス

  • SRX シリーズ構成に一致するフェーズ 1 およびフェーズ 2 のプロポーザル

この例のピコセルは、IPsecベースのVPN接続に強力なSwanオープンソースソフトウェアを使用しています。この情報は、IKEv2 設定ペイロード機能を使用したピコセル プロビジョニングに SRX シリーズで使用されます。多くのデバイスが導入されているネットワークでは、証明書(左証明書)とID(左ID)情報を除いて、ピコセル構成は同一になります。次のサンプル構成は、工場出荷時の設定を示しています。

  1. ピコ 1 の構成を確認します。

    ピコ1: 設定例

  2. ピコ 2 の構成を確認します。

    ピコ2サンプル構成

RADIUS サーバーの設定(FreeRADIUS を使用したサンプル設定)

手順

この例の RADIUS サーバー情報は、参照用に提供されています。完全な RADIUS サーバー設定情報は、このドキュメントの範囲を超えています。次の情報が RADIUS サーバーによって SRX シリーズに返されます。

  • フレーム化された IP アドレス

  • Framed-IP-Netmask(オプション)

  • プライマリDNSおよびセカンダリDNS(オプション)

この例では、RADIUS サーバーは OAM 接続と 3GPP 接続用に個別のプロビジョニング情報を持っています。ユーザー名は、SRX シリーズ認証要求で提供されたクライアント証明書情報から取得されます。

RADIUS サーバーが DHCP サーバーからクライアント プロビジョニング情報を取得する場合、RADIUS サーバーによって DHCP サーバーにリレーされるクライアント アイデンティティ情報は、SRX シリーズ デバイスによって RADIUS サーバーにリレーされるクライアント IKE アイデンティティ情報と一致している必要があります。これにより、さまざまなプロトコルでクライアントアイデンティティの継続性が保証されます。

SRX シリーズ デバイスと RADIUS サーバー間の通信チャネルは、RADIUS 共有シークレットによって保護されます。

  1. ピコ 1 OAM VPN の RADIUS 設定を確認します。RADIUS サーバーには、次の情報があります。

    15.1X49-D160、17.3R3、17.4R2、18.1R3、18.2R2、18.3R1、18.1R3-S2以前のJunos OSリリース12.3X48およびJunos OSリリースのRADIUS設定例:

    FreeRADIUS の設定例:

    Junos OS リリース 15.X49-D161、15.1X49-D170、17.3R3、17.4R2、18.1R3、18.2R2、18.3R1、18.1R3-S2 から始まる RADIUS 設定例:

    FreeRADIUS の設定例:

    この場合、RADIUSサーバーはデフォルトのサブネットマスク(255.255.255.255)を提供し、これにより、イントラピアトラフィックがブロックされます。

  2. ピコ 1 3GPP VPN の RADIUS 設定を確認します。RADIUS サーバーには、次の情報があります。

    15.1X49-D160、17.3R3、17.4R2、18.1R3、18.2R2、18.3R1、18.1R3-S2以前のJunos OSリリース12.3X48およびJunos OSリリースのRADIUS設定例:

    FreeRADIUS の設定例:

    Junos OS リリース 15.X49-D161、15.1X49-D170、17.3R3、17.4R2、18.1R3、18.2R2、18.3R1、18.1R3-S2 から始まる RADIUS 設定例:

    FreeRADIUS の設定例:

    この場合、RADIUS サーバーはサブネット マスク値(255.255.0.0)を提供し、これにより、イントラピア トラフィックを有効にします。

    Junos OS リリース 20.1R1 以降では、IKE ゲートウェイ設定の IKEv2 設定ペイロード要求に共通パスワードを設定できます。1~128 文字の共通パスワードを使用すると、管理者は共通パスワードを定義できます。このパスワードは、SRX シリーズ デバイスが IKEv2 設定ペイロードを使用してリモート IPsec ピアの代わりに IP アドレスを要求する場合に、SRX シリーズ デバイスと RADIUS サーバーの間で使用されます。RADIUS サーバーは、設定ペイロード要求用に SRX シリーズ デバイスに IP 情報を提供する前に、認証情報を検証します。階層レベルで設定ステートメントを使用して、共通パスワードをconfig-payload-password configured-password[edit security ike gateway gateway-name aaa access-profile access-profile-name]設定できます。さらに、この例では、IKE ID(ユーザー名)情報の証明書のさまざまな部分を使用して、同じクライアント証明書から 2 つのトンネルを作成します。

検証

設定が正しく機能していることを確認します。

SRX シリーズの IKE フェーズ 1 ステータスの検証

目的

IKE フェーズ 1 ステータスを検証します。

対処

ノード 0 の動作モードから、コマンドを show security ike security-associations 入力します。コマンドからインデックス番号を取得した後、コマンドを show security ike security-associations detail 使用します。

意味

このコマンドは show security ike security-associations 、アクティブな IKE フェーズ 1 SA すべてを、ピコ セル デバイスとともにリストします。SA がリストされていない場合、フェーズ 1 の確立に問題が発生しました。設定で IKE ポリシー パラメータと外部インターフェイス設定を確認します。この例では、OAM VPN の IKE フェーズ 1 SA のみを示しています。ただし、3GPP VPN の IKE フェーズ 1 パラメータを示す別の IKE フェーズ 1 SA が表示されます。

SA が表示されている場合は、次の情報を確認します。

  • インデックス:この値は、各 IKE SA で一意です。コマンドを show security ike security-associations index detail 使用して SA に関する詳細情報を取得できます。

  • リモート アドレス—ローカル IP アドレスが正しく、ポート 500 がピアツーピア通信に使用されていることを確認します。

  • ロール レスポンダーの状態:

    • Up — フェーズ 1 SA が確立されました。

    • ダウン:フェーズ 1 SA の確立に問題が発生しました。

  • ピア(リモート)IKE ID—証明書情報が正しいことを確認します。

  • ローカル ID とリモート ID —これらのアドレスが正しいことを確認します。

  • モード — 正しいモードが使用されていることを確認します。

構成で次の項目が正しいことを確認します。

  • 外部インターフェイス(インターフェイスは IKE パケットを送信するインターフェイスである必要があります)

  • IKE ポリシー パラメータ

  • フェーズ 1 プロポーザル パラメーター(ピア間で一致する必要があります)

このコマンドは show security ike security-associations 、セキュリティ アソシエーションに関する以下の追加情報をリストします。

  • 使用される認証および暗号化アルゴリズム

  • フェーズ 1 ライフタイム

  • トラフィック統計(トラフィックが双方向に適切に流れているかどうかを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダーロールを使用してピアで実行するのが最善です。

  • イニシエーターとレスポンダーの情報

  • 作成された IPsec SA の数

  • 進行中のフェーズ 2 ネゴシエーション数

SRX シリーズの IPsec セキュリティ アソシエーションの検証

目的

IPsec ステータスを確認します。

対処

ノード 0 の動作モードから、コマンドを show security ipsec security-associations 入力します。コマンドからインデックス番号を取得した後、コマンドを show security ipsec security-associations detail 使用します。

意味

この例は、ピコ 1 のアクティブ IKE フェーズ 2 SA を示しています。SA がリストされていない場合は、フェーズ 2 の確立に問題が発生しました。設定の IPsec ポリシー パラメータを確認します。フェーズ 2 SA(OAM および 3GPP)ごとに、インバウンドとアウトボードの両方の方向に情報が提供されます。コマンドからの出力には、 show security ipsec security-associations 以下の情報がリストされます。

  • リモート ゲートウェイの IP アドレスは 1.1.1.1 です。

  • 両方向の SPI、ライフタイム(秒)、使用制限(または KB 単位のライフサイズ)が表示されます。3529/ の値は、フェーズ 2 のライフタイムが 3529 秒で期限切れになり、ライフサイズが指定されていないことを示します。これは、無制限であることを示します。フェーズ 2 のライフタイムはフェーズ 1 のライフタイムと異なる場合があります。なぜなら、フェーズ 2 は VPN が稼働した後のフェーズ 1 に依存しないためです。

  • 「モン」列のハイフンで示されているように、この SA では VPN 監視は有効になっていません。VPN 監視が有効になっている場合、U は監視が稼働していることを示し、D は監視がダウンしていることを示します。

  • 仮想システム(vsys)はルートシステムであり、常に0をリストします。

コマンドからの上記の出力は、 show security ipsec security-associations index index_id detail 次の情報を示しています。

  • ローカル ID とリモート ID が SA のプロキシ ID を構成します。

    プロキシ ID の不一致は、フェーズ 2 障害の最も一般的な原因の 1 つです。IPsec SA が表示されていない場合は、プロキシ ID 設定を含むフェーズ 2 プロポーザルが両方のピアに対して正しいことを確認します。ルートベース VPN の場合、デフォルトのプロキシ ID は local=0.0.0.0/0、remote=0.0.0.0/0、service=any です。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各 IPsec SA の固有のプロキシ ID を指定する必要があります。一部のサードパーティー ベンダーでは、プロキシ ID を一致するように手動で入力する必要があります。

  • 使用される認証および暗号化アルゴリズム。

  • フェーズ 2 プロポーザル パラメーター(ピア間で一致する必要があります)。

  • OAM および 3GPP ゲートウェイへのセキュア トンネル(st0.0 および st0.1)バインディング。

信頼できる CA を使用した IKE ポリシー

この例では、信頼できる CA サーバーをピアの IKE ポリシーにバインドする方法を示しています。

開始する前に、ピアの IKE ポリシーに関連付ける信頼できる CA のリストが必要です。

IKE ポリシーは、単一の信頼できる CA プロファイルまたは信頼された CA グループに関連付けることができます。セキュアな接続を確立するために、IKEゲートウェイは、IKEポリシーを使用して、証明書を検証しながら、それ自体を設定されたCAグループ(caプロファイル)に制限します。信頼された CA または信頼できる CA グループ以外のソースによって発行された証明書は検証されません。IKEポリシーからの証明書検証要求がある場合、IKEポリシーの関連付けられたCAプロファイルが証明書を検証します。IKEポリシーがCAに関連付けられていない場合、デフォルトでは、設定済みのCAプロファイルのいずれかによって証明書が検証されます。

この例では、名前の付いた root-ca CA プロファイルが作成され、a root-ca-identity がプロファイルに関連付けられています。

信頼できる CA グループに追加する CA プロファイルは最大 20 個まで設定できます。信頼された CA グループで 20 を超える CA プロファイルを設定する場合、設定をコミットすることはできません。

  1. CA プロファイルを作成し、CA 識別子をプロファイルに関連付けます。
  2. IKEプロポーザルとIKEプロポーザル認証方法を定義します。
  3. IKEプロポーザルの暗号化アルゴリズムであるDiffie-Hellmanグループ、認証アルゴリズムを定義します。
  4. IKE ポリシーを設定し、ポリシーを IKE プロポーザルに関連付けます。
  5. IKE ポリシーのローカル証明書識別子を設定します。
  6. IKE ポリシーに使用する CA を定義します。

デバイスに設定されている CA プロファイルと信頼できる CA グループを表示するには、コマンドを実行 show security pki します。

コマンドは show security ike 、指定された ike_policy IKEポリシーの下にCAプロファイルグループと、IKEポリシーに関連付けられた証明書を表示します。