このページで
グループ VPNv2 の概要
グループVPNv2テクノロジーの概要
グループVPNv2は、MX5、MX10、MX40、MX80、MX104、MX240、MX480、MX960ルーター上のグループVPN技術の名前です。グループVPNv2は、SRXセキュリティゲートウェイに実装されているグループVPN技術とは異なります。本書では、SRX 技術ではなく、一般的な技術を指すために Group VPN という用語を使用する場合があります。
SRXセキュリティゲートウェイデバイス上のグループVPNの詳細については、 グループVPNv2の概要を参照してください。
このセクションでは、グループ VPNv2 の技術的概念について説明します。
- グループVPNv2について
- グループ VPNv2 および標準 IPsec VPN
- GDOI プロトコルについて
- GDOIプロトコルおよびグループVPNv2
- グループ VPNv2 トラフィック
- グループ セキュリティ アソシエーション
- グループ コントローラ/キー サーバー
- グループ メンバー
- グループ VPNv2 トラフィックのアンチリプレイ保護
- MX シリーズ メンバー ルーターの部分フェイルオープン
グループVPNv2について
グループVPNは、ポイントツーポイントトンネルとそれに関連するオーバーレイルーティングを排除する信頼できるグループです。すべてのグループ メンバーは、グループ SA(GSA)と呼ばれる共通セキュリティー アソシエーション(SA)を共有します。GSA により、グループ・メンバーは、他のグループ・メンバーによって暗号化されたトラフィックの暗号化解除が可能になります。Junos OS リリース 18.2R1 以降、MX ルーターで実行されているサービス冗長プロトコル [SRD] によるグループ VPN 冗長性を確認します。それらの間の冗長性を備えたMXルーターは、グループVPNメンバーとして機能します。サービス冗長性プロトコルの詳細については、 サービス冗長デーモンの概要を参照してください。
Junos OSリリース15.1以降、Junos OSはグループVPNv2をサポートしています。グループVPNv2はVPNのカテゴリーで、メッシュアーキテクチャでポイントツーポイントVPNトンネルが不要になります。これは、ルーターから発信された、またはルーターを通過するプライベートWAN上のユニキャストトラフィックを保護するために必要な一連の機能です。
グループVPNv2は、信頼できるグループという概念を導入し、ポイントツーポイントトンネルとそれに関連するオーバーレイルーティングを排除します。すべてのグループ メンバーは、グループ SA とも呼ばれる共通セキュリティー アソシエーション(SA)を共有します。これにより、グループ メンバーは、他のグループ メンバーによって暗号化されたトラフィックを復号化できます。
グループVPNv2には、以下のメリットがあります。
データセキュリティとトランスポート認証を提供し、すべてのWANトラフィックを暗号化することで、セキュリティのコンプライアンスと内部規制に対応します。
大規模なネットワークメッシュを可能にし、グループ暗号化キーによる複雑なピアツーピア鍵管理を排除します。
グループメンバーの変更やポリシーの変更により必要なエンドポイント変更の数を減らします。
MPLS ネットワークにおけるフルメッシュ接続、自然なルーティング パス、サービス品質(QoS)などのネットワーク インテリジェンスを維持します。
集中鍵サーバーを使用して認証されたメンバーシップ・コントロールを付与します。
グループ ポリシーで定義されたすべてのグループ メンバー間のトラフィックの暗号化と復号化を可能にします。
中央ハブを経由するトランスポートを必要とせずに、サイト間でフルタイムの直接通信を可能にすることで、低レイテンシとジッターを保証するのに役立ちます。
コアネットワークを使用してトラフィックの複製を行うことで、加入者宅内機器(CPE)およびプロバイダエッジ(PE)の暗号化デバイスのトラフィック負荷を軽減し、個々のピアサイトでのパケット複製を回避します。
グループ VPNv2 および標準 IPsec VPN
Group VPNv2は、ルーティングと暗号化をネットワークに統合するスタンダードベースの技術に基づいて構築されています。IPsecセキュリティSAは、認証と暗号化アルゴリズム、鍵交換メカニズム、安全な通信に使用するルールを定義するVPN参加者間の一方向合意です。
従来の IPsec VPN 導入環境では、ポイントツーポイント トンネルの使用に基づいてオーバーレイ ネットワークを作成することで、ネットワーク内のゲートウェイ間のトラフィックを保護する問題に取り組んでいます。通常、これらのトンネルを介して送信されるトラフィックは、データの整合性と機密性を提供するために暗号化および認証されます。セキュア グループ メンバーは、GDOI(解釈プロトコルのグループ ドメイン)を通じて管理されます。GDOI ソリューションは、暗号化と認証の問題をトランスポートから切り離すことで、異なるアプローチを採用しています。これにより、GDOI ベースのソリューションは、支社間の通信を暗号化する方法を提供します。支社間のトンネルを設定する必要はありません。
グループVPNv2はクライアント/サーバーアーキテクチャです。すべてのメンバーには、キーサーバーと一意のフェーズ1 IKE SAがあります。したがって、メンバーがある n 場合、フェーズ1 IKE SAの n 合計があります。ただし、グループ全体が単一のフェーズ2 SAを共有します。
従来の IPsec では、トンネル エンドポイント アドレスが新しいパケット送信元と宛先として使用されます。その後、パケットは、暗号化エンドポイントの送信元IPアドレスと復号化エンドポイントの宛先IPアドレスを使用して、IPインフラストラクチャ上でルーティングされます。グループVPNの場合、IPsecで保護されたデータパケットは、IPアドレスを保持するために、外部IPヘッダーにホストの元の送信元アドレスと宛先アドレスを保持します。これは、トンネルヘッダーの保持と呼ばれます。トンネルヘッダーの保持の最大の利点は、基盤となるネットワークルーティングインフラストラクチャを使用して、暗号化されたパケットをルーティングできることです。
機能 |
従来のポイントツーポイント IPsec トンネル |
グループ VPN |
|---|---|---|
スケーラビリティ |
各ピアペア間のIKE/IPsecトンネルにより、管理と設定が複雑になります。 |
any-to-anyグループ全体に使用される単一のSAとキーペア。管理と設定の複雑さを軽減します。 |
エニーツーエニー型の即時接続 |
管理と設定が複雑なため、拡張に対応できません。 |
グループ内でGDOIと共有SAが使用されているため、拡張が十分です。 |
オーバーレイルーティング |
オーバーレイルーティングが必要。 |
オーバーレイネイティブルーティングなし。 |
IP ヘッダーの保持 |
元のパケットに新しい IP ヘッダーが追加された場合、サービス品質(QoS)が制限されます。NAT 環境で動作します。 |
元の IP ヘッダーを IPsec パケットに保持します。高度な QoS 機能を保持します。NAT 環境では動作しません。 |
GDOI プロトコルについて
RFC 6407に記載されているGDOI(解釈のグループドメイン)プロトコルは、一連の暗号化キーとポリシーをデバイスのグループに配布するために使用されます。GDOIは、グループキー管理のためのインターネットセキュリティアソシエーションキー管理プロトコル(ISAKMP)解釈(DOI)ドメインとして定義されています。グループ管理モデルでは、GDOIプロトコルは、グループメンバーとグループコントローラまたはキーサーバー(GC/KS)の間で動作し、一連のセキュリティ参加者のグループセキュリティアソシエーションとグループキーを管理します。ISAKMP は、ネゴシエーションの 2 つのフェーズを定義します。GDOI は、フェーズ 1 ISAKMP セキュリティ アソシエーションによって保護されたフェーズ 2 プロトコルです。IKEv1は、RFC 6407でフェーズ1プロトコルとして指定されています。
GDOI には、2 つの異なる暗号化キーが導入されています。
鍵暗号化キー(KEK):コントロール プレーンのセキュリティを強化するために使用されます。KEKは、GC/KSからキー更新メッセージを復号化するためにグループメンバーが使用するキーの名前です。この鍵は、Security Association Key Encryption Key(SAK)の一部です。
トラフィック暗号化キー(TEK):データプレーンのセキュリティを強化するために使用されます。TEKは、グループメンバーが他のグループメンバー間の通信を暗号化または復号化するために使用するキーの名前です。この鍵は、SA TEK(Security Association Transport Encryption Key)の一部です。
標準的なIPsecと同様に、すべてのキーにはライフタイムがあり、鍵更新が必要です。GDOI を介して配布される鍵はグループ鍵であり、グループ全体で使用されます。
グループ SA と鍵管理は、2 種類の GDOI 交換によって処理されます。
groupkey-pullこの交換により、メンバーは、グループによって共有された SA とキーをサーバーから要求できます。プルメソッドでは、グループメンバーは、キーサーバーからグループSAとポリシーを要求します。このリクエストは、IKE SAを介して保護されます。
は
groupkey-pull、GDOIプロトコルの最初の交換であり、GC/KSによるグループメンバー登録に使用されます。グループ・メンバーは、登録するグループを指定し、そのメンバーがグループへの参加を許可されている場合、GC/KSはすべての必要なグループ SA とキーをグループ・メンバーに送信します。完全な交換は、交換が開始される前groupkey-pullに IKEv1 で確立されたフェーズ 1 SA(IKEv1 SA)によって保護されます。はgroupkey-pull、GDOIプロトコルのフェーズ2の一部です。groupkey-push—この交換は、既存のグループ SA が期限切れになる前にサーバーがグループ SA とキーをメンバーに送信できるようにする単一の鍵更新メッセージです。キー更新メッセージは、サーバーからメンバーに送信される未承諾メッセージです。groupkey-pushは、GDOIプロトコルの2番目の交換であり、グループの登録されたすべてのメンバーにGC/KSによって開始されます。表 2 は、MX シリーズ グループ メンバーがメッセージでgroupkey-push受信すると予想するペイロードを示しています。表 2:groupkey-push メッセージ ペイロード ペイロード
説明
グループ関連ポリシー(GAP)
GAPペイロードにより、SAをいつアクティブ化および無効化するかなどの手順など、グループ全体のポリシーを配信できます。このペイロードには、トラフィック暗号化キー(TEK)のアクティブ化時間遅延(ATD)と非アクティブ時間遅延(DTD)の値と、IPsecトラフィックのIP配信遅延検出プロトコルウィンドウタイプとウィンドウサイズが含まれています。
セキュリティアソシエーショントランスポート暗号化キー(SA TEK)
トラフィックセレクター。
セキュリティアソシエーションキー暗号化キー(SAK)(オプション)
鍵暗号化キー(KEK)のSA(セキュリティアソシエーション)。SA KEK とも呼ばれます。
メモ:groupkey-pushオプションのペイロードを含まないメッセージは、引き続き有効なメッセージです。トラフィック暗号化キー(TEK)(オプション)
グループメンバー間のデータトラフィックを暗号化するためのキー。
鍵暗号化キー(KEK)(オプション)
TEKを保護するために使用されます。
この交換は
groupkey-push、交換時groupkey-pullに設置された SA KEK(SAK)によって保護されます。はgroupkey-push、GDOIプロトコルのフェーズ2の一部です。
場合によっては、GC/KSがグループメンバーからグループキープッシュ確認メッセージを受信することがあります。グループメンバーからのプッシュ確認メッセージは、メンバーがメッセージを受信したことを確認し、そのポリシーに対してアクションを実行したことを確認します。GC/KSはまた、確認応答を使用して、現在のグループポリシーを受信しているグループメンバーと、どのグループメンバーがグループに参加していないかを決定することもできます。Junos OS 19.2R1以降、Junos OSは、RFC 8263で定義されているSA KEKペイロードで9の標準KEK_ACK_REQUESTED値または古いキーサーバーで使用されている129のKEK_ACK_REQUESTED値を持つグループキープッシュメッセージを受信すると、SHA-256チェックサムを含む確認メッセージを送信します。
GDOIプロトコルおよびグループVPNv2
グループVPNv2は、ジュニパーネットワークスのMX5、MX10、MX40、MX240、MX480、MX960ルーターに実装されたセキュリティ技術の名前です。グループVPNv2は、その他の機能に加えて、GDOIプロトコル(RFC 6407)をベースとして使用しています。
を使用したグループ VPNv2
グループSAとグループキーを取得するには、グループメンバーが特定のグループのGC/KSに登録する必要があります。その結果、IKEv1 SA が作成され、登録プロセスの保護にのみ必要になります。登録後、グループメンバーには、他のグループメンバー(SA TEK)と通信するためのすべての情報と、キー更新メッセージ(SAK)の暗号化解除に成功するための情報が含まれます。SA TEKまたはSACのライフタイムが終了する前に、GC/KSがキー更新メッセージを送信します。同じキー更新メッセージで、SA TEKのアップデートとSAKアップデートを送信することもできます。IKEv1 SA は不要になり、ライフタイムの期限が切れた後に削除されます(IKEv1-鍵更新は不要)。
グループ VPNv2 トラフィック
グループVPNv2トラフィックには以下が含まれます。
制御プレーントラフィック—GDOIプロトコルのみを使用して、グループVPNv2導入におけるグループメンバーからGC/KSへのトラフィック。
データプレーントラフィック—IPsecからすでに知られているESPプロトコルのみを使用して、グループVPNv2導入内のグループメンバー間のトラフィック。
グループ セキュリティ アソシエーション
従来の IPsec 暗号化ソリューションとは異なり、グループ VPN はグループ セキュリティ アソシエーションという概念を使用します。グループSAは、機能の点でSAと似ています。グループ SA は、共通の GDOI グループのすべてのグループ・メンバー間で共有されます。グループ VPN グループのすべてのメンバーは、共通の暗号化ポリシーと共有グループ SA を使用して相互に通信できます。共通の暗号化ポリシーと共有グループSAにより、グループメンバー間でIPsecをネゴシエートする必要はありません。これにより、グループ メンバーのリソース負荷が軽減されます。従来の IPsec 拡張性の問題(トンネル数と関連 SA)は、グループ VPN グループ メンバーには適用されません。
グループ コントローラ/キー サーバー
グループコントローラまたはキーサーバー(GC/KS)は、グループVPNv2コントロールプレーンの作成と維持に使用されるデバイスです。グループ SA およびグループ キーの作成と配布を担当します。グループメンバーが他のグループメンバーと通信するために必要なすべての情報は、GC/KSによって提供されます。興味深いトラフィック、暗号化プロトコル、セキュリティアソシエーション、キー更新タイマーなどのすべての暗号化ポリシーは、GC/KSで一元的に定義され、登録時にすべてのグループメンバーにプッシュされます。グループメンバーは、IKEフェーズ1を使用してGC/KSで認証し、グループVPN操作に必要な暗号化ポリシーとキーをダウンロードします。GC/KSはキーの更新と配布も担当します。
MXシリーズルーターでは、GC/KS機能はサポートされていません。グループメンバーとして設定されたMXシリーズルーターは、Cisco GC/KSとのみ接続できます。GCとして機能するジュニパーネットワークスSRXシリーズとやり取りするMXシリーズグループメンバーのサポートはありません。さまざまなタイプのグループメンバーとGC/KSsの互換性については 、表5 を参照してください。
グループ メンバー
グループメンバーは、トラフィック暗号化プロセスに使用されるIPsecエンドポイントデバイスであり、データトラフィックの実際の暗号化と復号化を担当します。グループメンバーは、IKEフェーズ1パラメーターとGC/KS情報で構成されます。暗号化ポリシーはGC/KSで一元的に定義され、登録が成功するとグループメンバーにダウンロードされます。その後、各グループメンバーは、そのグループメンバーシップに基づいて、送受信トラフィックを(SAを使用して)暗号化または暗号化するかどうかを決定します。
機能の観点から見ると、グループ メンバーは IPsec ゲートウェイと似ています。ただし、通常の IPsec の SA は 2 つの IPsec ゲートウェイ間に存在します。GDOIでは、グループメンバーはGC/KSに登録して、グループVPNに参加します。登録時に、グループメンバーはGC/KSにグループIDを提供して、このグループに必要な各ポリシー、SA、キーを取得します。鍵更新は、メソッド(再登録)を介したグループメンバーまたはメソッドを介 groupkey-pull したGC/KSによって実行されます groupkey-push 。
グループ VPNv2 トラフィックのアンチリプレイ保護
グループ VPN 通信は、基本的に同じ共有セキュリティ アソシエーション上の any-to-any 通信であるため、アンチリプレイ保護にシーケンス番号を使用しても機能しません。このため、Junos OS は時間ベースのアンチリプレイ メカニズム、draft-weis-delay-detection-01 の IETF ドラフト仕様をサポートしています。これは、 http://tools.ietf.org/html/draft-weis-delay-detection-01 で利用可能です.
この機能を実装するために、MXシリーズメンバールーターは、パケット内で新しいIP配信遅延検出プロトコルのタイムスタンプヘッダーを使用します。詳細については、 IP 配信遅延検出プロトコルの実装(時間ベースのアンチリプレイ保護) を参照してください。
MX シリーズ メンバー ルーターの部分フェイルオープン
グループVPNのグループメンバーは、共有SAのキー教材を生成するためにGC/KSに依存しています。そのため、グループメンバーとGC/KSs間の接続は、最初にトラフィックを保護し、キー更新イベントを介して継続的にトラフィックを保護するために必要です。グループ・メンバーとGC/KSの間に通信障害が発生した場合、グループ・メンバーのデフォルト動作は、転送トラフィックを停止することです。これはフェイルクローズドと呼ばれます。
非デフォルトの設定オプションは、メンバーがGC/KSに接続してアクティブなSAを取得できるようになるまで、暗号化されることなく、特定に定義されたトラフィックがグループメンバーを通過することを許可するために利用可能です。これは、部分フェイルオープンと呼ばれます。
部分的なフェイルオープン機能には、送信元アドレスと宛先アドレスで定義された特定のグループVPNv2に適用されるMXシリーズグループメンバーに対してルールを作成するポリシー設定オプションが必要です。この不合格ルールは、キー サーバーとの接続障害によりグループ SA が無効になっている場合にのみアクティブになります。通常はグループ VPN を通過しますが、フェイルオープン ルールに一致しないトラフィックは破棄されます。グループ VPN オブジェクトに対して複数のフェールオープン ルールを定義できます。fail-open ルールが設定されていない場合、フェイルオープン機能は無効になります。
グループVPNv2実装の概要
このセクションでは、グループ VPNv2 を実装するためのジュニパーネットワークスソリューションについて説明します。
- グループVPNv2の有効化
- グループ メンバーの登録
- グループ メンバーの鍵更新(グループキープッシュメソッド)
- グループ メンバーの鍵更新(グループキープルメソッド)
- グループ メンバーの認証
- グループVPNv2トラフィックのフラグメント化
- グループVPNv2トラフィックの暗号化
- グループVPNv2トラフィックの暗号化解除
- グループVPNv2のルーティングインスタンスの設定
- 複数のグループ、ポリシー、SA の確立
- 複数の協同GC/KSsとの接続
- IP 配信遅延検出プロトコルの実装(時間ベースのアンチリプレイ保護)
- グループVPNv2設定の変更
- グループVPNv2設定のバイパス
- MX シリーズ メンバー ルーターでの部分フェイルオープンの実装
- サポートされているGDOI IPsecパラメーター
- サポートされている GDOI IKEv1 パラメーター
- 動的ポリシーの適用
- TOS および DSCP のサポート
- グループ メンバーの相互運用性
- グループ VPNv2 の制限事項
グループVPNv2の有効化
サービスセットは、該当するMXシリーズルーター上の特定のインターフェイスでグループVPNv2を有効にするために使用されます。
サービス セットの設定
グループVPNv2は、 階層レベルの ステートメントを ipsec-group-vpn 使用して、サービスセット内で [edit services service-set service-set-name] 設定されます。
サービス セット設定の例 |
|---|
[edit services]
service-set service-set-name {
interface-service {
service-interface service-interface-name;
}
}
ipsec-group-vpn vpn-name;
|
サービス・セットごとに構成できるグループ・メンバーは 1 つだけです。
ネクストホップスタイルのサービスセットは、グループVPNv2ではサポートされていません。
サービス セットの適用
サービスセットは、インターフェイスレベルで適用されます。
サービス セット設定の適用例 |
|---|
[edit interfaces]
interface-name {
unit 0 {
family inet {
service {
input {
service-set service-set-name;
}
output {
service-set service-set-name;
}
}
address 10.0.30.2/30;
}
}
}
|
パケット ステアリング
インターフェイススタイルのサービスセット設定は、パケット転送エンジンからPICにトラフィックを誘導するために使用されます。グループVPNv2オブジェクトを指すサービスセットを持つインターフェイスで受信されたパケットは、対応するサービスインターフェイスにインジェクトされてPICに転送されます。
グループ メンバーの登録
サーバーへのグループ・メンバー登録は、 ステートメントがサービス・セットに対して構成されており、サービス・インターフェースが立ち上がっているときに開始されます ipsec-group-vpn 。サービスインターフェイスがダウンすると、このインターフェイスに関連付けられたすべてのグループSAがクリアされ、インターフェイスが立ち上がるまで、これらのグループVPNに対する登録はトリガーされません。
グループメンバー登録では、GC/KSを使用してIKE SAを確立し、その後にSAと指定されたグループ識別子のトラフィックキーをダウンロードする交換を行 groupkey-pull います。
Junos OSは、グループVPNv2のグループVPNのトラフィックベースSAネゴシエーションのトリガーをサポートしていません。
グループ メンバーの鍵更新(グループキープッシュメソッド)
GC/KSは、以下の目的で登録済みグループメンバーにユニキャスト groupkey-push メッセージを送信します。
新しい鍵暗号化キー(KE)またはトラフィック暗号化キー(TEK)を送信します。
プッシュ メッセージには、 表 2 に示すペイロード要素のすべてまたは一部のみを含めることができます。GAPペイロードに古いSAと新しい置き換えSAの両方が含まれている場合、グループメンバールーターはATDとDTDの値をプッシュによる通常のキー更新として適用します。更新に ATD 値がない場合、メンバー ルーターは新しい SA を直ちにインストールします。DTD値がない場合、古いSAは有効期限が切れるまで維持されます。
既存のSAのGAP(グループ関連ポリシー)を更新します。
GC/KSは、ユニキャストプッシュメッセージを送信して、いつでもグループメンバーに設定を更新できます。GAPペイロードには、IP配信遅延検出プロトコルの設定変更、暗号化アルゴリズム、ライフタイムなどが含まれます。更新された設定は、直ちに適用されるか、遅延とともに適用されます。ATDとDTDの各値は、新しいTEKのアクティベーションと既存のTEKの削除のタイミングを達成するために使用されます。既存のTEKライフタイムを短縮する必要がある場合は、プッシュメッセージでDTD値が設定されます。プッシュ メッセージ内の新しい TEK は、ペイロード内の ATD 値に基づいてアクティブ化されます。
TEKまたはKEKの削除キー通知を送信します。
GC/KSは、プッシュメッセージでオプションの削除通知ペイロードを送信して、メンバーのキーとSAを削除できます。プッシュ メッセージには、削除通知が TEK 用か KEK 用かを示すプロトコル ID が含まれています。グループ メンバー ルーターは、ペイロードに含まれるグループ ID と SPI 値に基づいてキーを削除します。特定のTEKまたはKEKを削除するには、DTD属性で指定された遅延値を使用します。遅延値が 0 で、ペイロードに特定の SPI が含まれている場合、一致する TEK または KEK は直ちに削除されます。グループ内のすべての TEK または KE(またはその両方)を削除する必要がある場合、ペイロード内の対応するプロトコル ID に対して SPI 値が 0 に設定されます。
グループ VPNv2 のグループ VPN からメンバー ルーターを削除します。
プッシュメッセージは、GC/KSがグループVPNからメンバーを削除するために使用されます。あるケースでは、GC/KSは古いSAとより小さなDTD値のみを含むキー更新メッセージを送信します。グループ・メンバー・ルーターは、新しいより小さな DTD 値をインストールします。新しいSAキーを受信していなかったので、メンバールーターは メソッドを使用して再登録を
groupkey-pull試みます。この再登録試行はGC/KSによって拒否され、グループVPNからメンバーが削除されます。2つ目のケースでは、GC/KSが古いSAのSPIに対して削除ペイロードを送信します。グループ メンバー ルーターは直ちに SA を削除し、 メソッドを使用して再登録をgroupkey-pull試みます。この再登録試行はGC/KSによって拒否され、グループVPNからメンバーが削除されます。
登録されたMXシリーズグループメンバーは、ユニキャストPUSH ACKメッセージをGC/KSに送り返し、元のプッシュメッセージの受信を確認します。
グループ メンバーの鍵更新(グループキープルメソッド)
グループメンバーのキー更新では、メソッドを groupkey-pull 使用して、既存のTEKまたはKEKソフトライフタイムに7%から5%の間に残っている場合、グループメンバーは通常GC/KSに再登録します。既存のIKE SAが利用可能な場合は、プルメッセージで使用されます。GC/KSが新しいキーで応答した後、古いキーと新しいキーの両方を復号化に使用できます。ただし、新しい鍵は、古い鍵の存続時間が 30 秒になるまで、暗号化に使用されません。既存のIKE SAが利用できない場合、プルメッセージは、グループメンバーとGC/KS間の新しいIKEネゴシエーションをもたらします。
グループメンバーから特定のグループVPNに関するプルメッセージを受信すると、GC/KSはそのグループのすべてのTEKとKEKに応答します。
GC/KSからの応答に既存のSAが含まれていない場合、不足しているSAがグループメンバーによって削除されます。
例として、GC/KSは3600秒のライフタイムで設定され、再送信されずに1つのグループメンバーに接続されます。サーバー設定に基づいて、GC/KSはライフタイムの10%が残っている場合に新しいキーを生成します。ただし、グループメンバーは、ライフタイムの5~7%が残っている場合、GC/KSに再登録します。
グループ メンバーの認証
Junos OS は、グループ VPNv2 のグループ VPN に対する公開鍵基盤(PKI)のサポートを提供しません。その結果、事前共有鍵がグループ・メンバー認証に使用されます。
グループVPNv2トラフィックのフラグメント化
ヘッダーの保存機能と基盤となるルーティング インフラストラクチャの使用により、暗号化が発生する前にパケットをフラグメント化する必要があります(防止できない場合)。
そのため、フラグメント化前はサポートされており、すべての導入で推奨されます。
フラグメント化後を回避するには、グループ VPNv2 設定で DF ビットの 、 set、 copy および オプションを設定clearします。
このフラグ設定に基づいて、IPsecヘッダーには、 、 set、clearまたはcopy内部パケットからのセットがありますdf-bit 。
DF ビットには、デフォルトとして clear オプションが設定されています。
DF ビット設定例 |
|---|
[edit]
security {
group-vpn {
member {
ipsec {
vpn group-vpn-name {
df-bit clear;
}
}
}
}
}
|
グループVPNv2トラフィックの暗号化
グループメンバーは、GC/KSによって提供されるグループSAとキーに基づいてトラフィックを暗号化します。グループ VPNv2 暗号化パスは次のとおりです。
パケット転送エンジンによって受信されたパケットは、フローの一致と照らしてチェックされます。一致するものが見つかった場合、パケットはさらに処理され、送信されます。
一致するものが見つからない場合は、ルールのルックアップが実行されます。一致するものが見つかった場合、フローが作成され、パケットはさらに処理および送信されます。
ルールの検索に失敗した場合、パケットはドロップされます。
グループSAは、パケット処理中にトリガーされません。
グループVPNv2トラフィックの暗号化解除
登録が成功し、グループ VPN SA がインストールされると、ESP セッションが作成されます。グループ VPNv2 は、ソースと宛先の IP がゼロの ESP セッションを作成します。ESP セッションは SA のインストール時に既に作成されているため、パケットは既存の ESP セッションと一致することが予想されます。
グループ VPNv2 暗号化解除パスは次のとおりです。
パケット転送エンジンによって受信されたパケットは、フラグメント化チェックを受けています。パケットがフラグメント化されている場合、さらに処理するために組み立てられます。
パケットの組み立て後、またはパケットがフラグメント化されていない場合、5 タプル暗号化解除フロー ルックアップでソースと宛先の IP が 0 個使用されます。一致するものが見つかった場合、パケットはさらに処理され、送信されます。
復号化フロー ルックアップに失敗した場合、パケットは送信元と宛先の IP を持つ SPI フローと照らしてチェックされます。
SPI フロー ルックアップに失敗した場合、パケットはドロップされます。
SPI フローが一致する場合、以降のパケットの SPI フロー ルックアップを回避するために、復号化フローが作成されます。
グループVPNv2のルーティングインスタンスの設定
ルーティング インスタンスは、制御トラフィックとデータ トラフィックの両方でサポートされています。グループメンバーが特定のVRFルーティングインスタンスでGC/KSに到達するためのコントロールプレーントラフィックのルーティングインスタンスサポートを有効にするには、 階層レベルで ステートメントを[edit security group-vpn member ike gateway gateway-name local-address address]追加routing-instanceします。
サービスセットが適用されるメディアインターフェイスに基づいて決定されるため、データプレーンパケットのルーティングインスタンスをサポートするために追加のCLIは必要ありません。
複数のグループ、ポリシー、SA の確立
Junos OSは、グループVPNv2のサービスセットごとに1つのグループVPNをサポートしています。ただし、ルーティング インスタンス内の複数のグループをサポートするために、複数のサービス セットを作成できます。グループごとに複数の SA を設定できます。ただし、同じトラフィックキー/SPIに対する複数のポリシーはサポートされていません。サーバーが同じTEKに対して2つのポリシーを送信した場合、AとBがIPアドレスまたはサブネットであるA-BとB-Aなど、受け入れ可能なペアを設定する必要があります。特定のTEKに対して複数のペアなしポリシーを受信した場合、登録は失敗し、システムログメッセージが生成されます。
複数の協同GC/KSsとの接続
グループ・メンバーが協同モードで GC/KS と連携するように構成が拡張され、サーバー・リスト内に最大 4 つのサーバーが含まれます。
メソッドを使用する場合、 groupkey-pull 鍵更新中に、グループメンバーはGC/KSへの接続を試みます。GC/KSへの接続に失敗すると、グループメンバーはGC/KSへの再接続を試みます。10秒の間隔で3回再試行した後、GC/KSへの接続が復元されない場合、グループメンバーはサーバーリスト上の次に利用可能なサーバーとの接続を確立しようとします。このプロセスは、グループメンバーがGC/KSに接続するまで繰り返されます。この間、グループ メンバーの期限切れとなる GDOI SA はクリーンアップされないため、グループ VPN トラフィックは影響を受けません。鍵更新とハード ライフタイムの期限切れ間の時間差により、グループ メンバーが次に使用可能なサーバーに接続するのに十分な時間が提供されます(そのような場合)。
IP 配信遅延検出プロトコルの実装(時間ベースのアンチリプレイ保護)
IP 配信遅延検出プロトコルを実装するための設定は必要ありません。MXシリーズグループメンバーは、キーサーバーからメッセージをプッシュまたはプルするGAPペイロードの一部として使用するリプレイウィンドウサイズを取得します。受信したウィンドウ サイズが 0 の場合、時間ベースのアンチリプレイ保護は無効になります。
IP配信遅延検出プロトコルが有効になっている場合、送信者は現在のタイムスタンプを追加してパケットを暗号化します。受信者はパケットを復号化し、現在の時刻とパケット内のタイムスタンプを比較します。ウィンドウ サイズの範囲外のパケットは破棄されます。そのため、すべてのグループ メンバーは、NTP(Network Time Protocol)を使用してクロックを同期させる必要があります。
IP 配信遅延検出プロトコルの時間を秒単位で測定します。詳細については 、 IP 配信遅延検出プロトコル draft-weis-delay-detection-01 を参照してください。
NTP に関連するすべての遅延問題は、IP 配信遅延検出プロトコルにも適用されます。そのため、最小ウィンドウ サイズは 1 秒が推奨されます。
グループVPNv2設定の変更
グループVPNv2の設定変更のほとんどは、既存のSAと再登録の両方を削除する結果になります。これにより、フェーズ1とSAの両方が新しいトラフィックキーでダウンロードされます。
グループVPNv2設定のバイパス
ルーティングプロトコルなどの特定のトラフィックがグループVPNv2のグループVPNをバイパスする必要がある場合は、サービスセットが適用されているインターフェイスにサービスフィルターを設定する必要があります。サービス フィルターに一致するパケットは、サービス処理のために PIC に送信されず、ルーティング エンジンに直接転送されます。
サンプル サービス セット フィルターの構成 |
|---|
[edit interfaces]
interface-name {
unit 0 {
family inet {
service {
input {
service-set service-set-name service-filter filter-name;
}
output {
service-set service-set-name service-filter filter-name;
}
}
}
}
}
|
MX シリーズ メンバー ルーターでの部分フェイルオープンの実装
デフォルトでは、グループメンバールーターが接続の損失によりGC/KSからSAを取得できない場合、パケットは破棄されます。グループメンバーとGC/KSの間で通信障害が発生した場合に、一部のトラフィックを暗号化せずに通過させたい場合は、[]階層レベルでルールをedit security group-vpn member ipsec vpn vpn-name設定fail-openする必要があります。
不合格ルールは、サーバー接続が失われた場合にのみトラフィックに適用されます。接続が復元され、GC/KSからキーを受信すると、フェイルオープンルールは無効になります。
フェイルオープン ルール設定の例 |
|---|
[edit security group-vpn member ipsec vpn vpn-name]
fail-open {
rule rule-name{
source-address source-ip-address
destination-address destination-ip-address}
}
}
|
任意のグループに対して最大 10 個の不合格オープン ルールを設定できます。
サポートされているGDOI IPsecパラメーター
すべての GDOI グループには固有の ID があります。GC/KSとグループメンバー間の共通ベースとして使用され、グループSAとグループキーについて通信します。
登録プロセス中、GC/KSはセキュリティアソシエーショントランスポート暗号化キー(SA TEK)をグループメンバーに送信します。グループセキュリティポリシー全体に関するすべてのパラメーターは、GC/KSで設定されています。SA TEKは、グループメンバーが相互に交換するトラフィックを保護するために使用されます。 表3 は、SA TEKのパラメータを示しています。
パラメーター |
サポートされている値 |
|---|---|
暗号化 |
|
整合性 |
|
有効 期間 |
サポートされている値 |
暗号アルゴリズムに加えて、グループメンバーによって暗号化されるべきトラフィックは、SA TEKポリシー(トラフィックセレクター)の一部です。
Juniper Networks グループ メンバーでは、以下のステートメントを使用できます。そのため、IKE 階層レベルでアドレスを指定する必要があります。列挙も優先順位付けされます。したがって、以下の設定例では、KS2の前にKS1にコンタクトする。
GDOI IPsec パラメーターの設定例 |
|---|
[edit security]
group-vpn {
member {
ike {
gateway gateway-name {
ike-policy policy-name;
server-address <IP_KS1> <IP_KS2> <IP_KS3> <IP_KS4>;
local-address <IP_GM> routing-instance routing-instance-name;
}
}
ipsec {
vpn vpn-group-name {
ike-gateway gateway-name;
fail-open {
rule rule-name {
source-address 198.51.100.1/24
destination-address 192.0.2.1/24
}
}
group group-ID;
match-direction output;
}
}
}
}
|
サポートされている GDOI IKEv1 パラメーター
| パラメーター |
サポートされている値 |
|---|---|
| 暗号化 |
|
| 認証 |
事前共有鍵(20 以上の標識) |
| 整合性 |
|
| Diffie-Hellman グループ |
|
| 有効 期間 |
サポートされている値 |
上記の IKEv1 標準は次のように設定されています。
動的ポリシーの適用
ステートメントの 下の ipsec-group-vpn と output のオプションはinput、サービス セットが適用されるインターフェイスが受信インターフェイスまたは発信インターフェイスである場合に、サーバーから受信した動的ポリシーが使用されるかどうかを指定します。これにより、受信方向と送信方向に異なるルールを柔軟に指定できます。
TOS および DSCP のサポート
サービスタイプ(TOS)とDiffServコードポイント(DSCP)ビットは、内部パケットからESPパケットにコピーされます。
グループ メンバーの相互運用性
CiscoのGDOIの実装は、GET(グループ暗号化トランスポート)VPNと呼ばれています。Junos OSのグループVPNv2とCiscoのGET VPNはどちらもRFC 6407、 解釈のグループドメインに基づいていますが、ジュニパーネットワークスのセキュリティおよびルーティングデバイスとCiscoルーターの両方を含むネットワーク環境にGDOIを導入する際に注意が必要な実装上の違いがいくつかあります。詳細については、現在の Junos OS リリース ノートを参照してください。
グループVPNv2の相互運用性は次のとおりです。
Junos OSは、Cisco IOS GC/KSサポートとの相互運用性のサポートを提供します。
Junos OS は、SRX シリーズ グループ VPN サーバーとのグループ VPNv2 相互運用性をサポートしていません。
表 5:グループ VPNv2 の相互運用性 グループ メンバー
SRX グループ メンバー
MXグループVPNv2メンバー
シスコ グループ メンバー
SRX GC
SRX KS
Cisco GC/KS
MXグループVPNv2メンバー
いいえ
はい
はい
いいえ
はい
はい
SRX グループ メンバー
はい
いいえ
いいえ
はい
はい
はい
Junos OSは、グループポリシーに例外を追加するためにCisco GC/SKサーバーで使用される拒否ポリシーをサポートしていません。回避策として、これはMXシリーズグループメンバーにファイアウォールルールを設定することで行うことができます。また、Junos OSグループメンバーは、ネゴシエーションを失敗させず、コンテンツを無視するだけで拒否ポリシーで作業できます。これにより、システム管理者は、CiscoグループメンバーとJunos OSグループメンバーの両方が共存するネットワークを簡単に管理できます。
グループ VPNv2 の制限事項
Junos OS グループ VPNv2 は、以下のサポートを提供しません。
マルチキャスト プッシュ メッセージ
マルチキャスト トラフィック
GDOI SNMP MIB
サーバーによって送信されたポリシーのプロトコルとポート。グループ メンバーは、ポリシーで指定された IP アドレス/サブネットのみを優先します。
同じトラフィックキー/SPIに対する複数のペアなしポリシー
IKE ゲートウェイ構成のルーティング インスタンス間でローカルとリモートの両方の IP の重複
SAの不一致につながるグループVPNv2ポリシーの重複
制御およびデータ トラフィック用の IPv6
同じサービス セット上での IPsec とグループ VPN の共存
同じサービス セット上に NAT や ALG などのサービスが共存している。NAT とグループ VPN は、異なるサービス セット上に共存できます。ただし、同じサービス セット上に共存することはできません。
サイトツーサイト(S2S)VPN と動的エンドポイント(DEP)VPN は、異なるサービス セットのグループ VPN と共存できます。ただし、同じサービス セット上に共存することはできません。
同じサービス セット上の複数のグループ
SRXシリーズGC/KSによるグループメンバーサポート
SRX シリーズ グループ メンバーによるグループ メンバー サポート
論理キー階層(LKH)
グレースフル リスタート
高可用性
統合型 ISSU
認証に関する PKI サポート