このページの内容
グループVPNv2の概要
グループ VPNv2 テクノロジの概要
グループVPNv2は、一部のルータープラットフォームにおけるグループVPNテクノロジーの名前です。グループVPNv2は、SRXセキュリティゲートウェイに実装されているグループVPNテクノロジーとは異なります。このドキュメントでは、SRXテクノロジーではなく、一般的なテクノロジーを指すためにグループVPNという用語が使用される場合があります。
SRXセキュリティゲートウェイデバイス上のグループVPNの詳細については、「 グループVPNv2の概要」を参照してください。
Junos OS機能のプラットフォームおよびリリースサポートの詳細については、 機能エクスプローラーをご利用ください。
このセクションでは、グループVPNv2の技術的概念について説明します。
- グループVPNv2について
- グループVPNv2および標準IPsec VPN
- GDOIプロトコルを理解する
- GDOIプロトコルとグループVPNv2
- グループVPNv2トラフィック
- グループセキュリティ協会
- グループコントローラー/キーサーバー
- グループメンバー
- グループVPNv2トラフィックのアンチリプレイ保護
- MXシリーズメンバールーターでの部分的なフェイルオープン
グループVPNv2について
グループVPNは、ポイントツーポイントトンネルとそれに関連するオーバーレイルーティングを排除する信頼できるグループです。すべてのグループメンバーは、グループSA(GSA)と呼ばれる共通のセキュリティアソシエーション(SA)を共有します。GSAを使用すると、グループメンバーは、他のグループメンバーによって暗号化されたトラフィックを復号化できます。Junos OSリリース18.2R1以降、MXルーターで実行されているサービス冗長性プロトコル[SRD]でグループVPNの冗長性を確認します。間に冗長性があるMXルーターは、グループVPNメンバーとして機能します。サービス冗長性プロトコルの詳細については、 サービス冗長デーモンの概要を参照してください。
Junos OSリリース15.1以降、Junos OSはグループVPNv2をサポートしています。グループVPNv2は、メッシュアーキテクチャでポイントツーポイントVPNトンネルを必要としないVPNのカテゴリです。これは、ルーターで発信される、またはを流れるプライベートWANを介したユニキャストトラフィックを保護するために必要な一連の機能です。
グループVPNv2では、信頼できるグループの概念を導入し、ポイントツーポイントトンネルとそれに関連するオーバーレイルーティングを排除します。グループメンバーはすべて、グループSAとも呼ばれる共通のセキュリティアソシエーション(SA)を共有します。これにより、グループメンバーは、他のグループメンバーによって暗号化されたトラフィックを復号化できます。
グループVPNv2には、以下のようなメリットがあります。
-
データセキュリティとトランスポート認証を提供し、すべてのWANトラフィックを暗号化することで、セキュリティコンプライアンスと内部規制の順守を支援します。
-
大規模なネットワークメッシュを実現し、グループ暗号化鍵による複雑なピアツーピア鍵管理を不要にします。
-
グループメンバーの変更やポリシーの変更により行う必要のあるエンドポイントの変更数を削減します。
-
MPLSネットワークにおけるフルメッシュ接続、自然なルーティングパス、サービス品質(QoS)などのネットワークインテリジェンスを維持します。
-
一元化された鍵サーバーを使用して、認証されたメンバーシップ制御を付与します。
-
グループポリシーで定義されたすべてのグループメンバー間のトラフィックの暗号化と復号化を許可します。
-
中央ハブを介した伝送を必要とせず、サイト間のフルタイムの直接通信を可能にすることで、低遅延と低ジッターを確保します。
-
トラフィックの複製にコアネットワークを使用することで、カスタマー構内機器(CPE)とプロバイダエッジ(PE)暗号化デバイスのトラフィック負荷を軽減し、個々のピアサイトでのパケットレプリケーションを回避します。
グループVPNv2および標準IPsec VPN
グループVPNv2は、ネットワーク内でルーティングと暗号化を統合するスタンダードベースの技術に基づいて構築されています。IPsecセキュリティSAは、認証および暗号化アルゴリズム、鍵交換メカニズム、およびセキュアな通信に使用するルールを定義するVPN参加者間の一方向契約です。
従来のIPsec VPNの導入では、ポイントツーポイントトンネルを使用してオーバーレイネットワークを作成することで、ネットワーク内のゲートウェイ間のトラフィックを保護するという問題に取り組みます。これらのトンネルを介して伝送されるトラフィックは、データの整合性と機密性を確保するために、通常、暗号化および認証されます。セキュアなグループメンバーは、GDOI(Group Domain of Interpretation Protocol)を介して管理されます。GDOIソリューションは、暗号化と認証の問題をトランスポートから切り離すことで、異なるアプローチを採用しています。これにより、GDOIベースのソリューションは、支社間トンネルを設定することなく、支社間通信を暗号化する方法を提供します。
現在のVPN実装では、SAは2つのエンドポイント間のポイントツーポイントのトンネルです。グループVPNv2は、IPsecアーキテクチャを拡張して、ルーターのグループによって共有されるSAをサポートします( 図1を参照)。鍵サーバーは、登録および認証されたすべてのメンバールーターに鍵とポリシーを配布します。一元化されたポイントからポリシーを配布し、認証されたグループメンバーと同じグループセキュリティアソシエーション(グループ全体に単一のフェーズ2 SAがあります)を共有することで、鍵の配布と管理が大幅に簡略化されます。
グループVPNv2は、クライアント/サーバーアーキテクチャです。すべてのメンバーは、鍵サーバーを持つ一意のフェーズ 1 IKE SA を持っています。したがって、メンバーが n 場合、フェーズ1のSA IKE合計 n 存在します。ただし、グループ全体が単一のフェーズ2SAを共有します。
従来のIPsecでは、トンネルのエンドポイントアドレスが新しいパケット送信元と宛先として使用されます。その後、パケットは、暗号化エンドポイントの送信元IPアドレスと復号化エンドポイントの宛先IPアドレスを使用して、IPインフラストラクチャ上にルーティングされます。グループVPNの場合、IPsecで保護されたデータパケットは、IPアドレスを保持するために、外部IPヘッダー内のホストの元の送信元アドレスと宛先アドレスを保持します。これは、トンネルヘッダーの保持と呼ばれます。トンネルヘッダー保存の最大の利点は、基盤となるネットワークルーティングインフラストラクチャを使用して暗号化パケットをルーティングできることです。
| 機能 |
従来のポイントツーポイントIPsecトンネル |
グループVPN |
|---|---|---|
| 拡張性 |
ピアの各ペア間の IKE/IPsec トンネルは、管理と設定の複雑さを増します。 |
any-to-anyグループ全体に使用される単一のSAとキーペア。管理と設定の複雑さが軽減されます。 |
| any-to-anyの即時接続 |
管理と設定が複雑なため、拡張できません。 |
グループ内でGDOIと共有SAを使用しているため、拡張性に優れています。 |
| オーバーレイルーティング |
オーバーレイルーティングが必要です。 |
オーバーレイネイティブルーティングなし。 |
| IPヘッダーの保持 |
元のパケットに新しいIPヘッダーを追加すると、高度なサービス品質(QoS)が制限されます。NAT環境で動作します。 |
IPsecパケットに元のIPヘッダーを保持します。高度なQoS機能を維持します。NAT環境では動作しません。 |
GDOIプロトコルを理解する
RFC 6407に記載されているGDOI(解釈のグループドメイン)プロトコルは、一連の暗号鍵とポリシーをデバイスのグループに配布するために使用されます。GDOIは、インターネットセキュリティ協会の鍵管理プロトコル(ISAKMP)グループ鍵管理のためのDOI(解釈ドメイン)として定義されています。グループ管理モデルでは、GDOIプロトコルは、グループメンバーとグループコントローラーまたはキーサーバー(GC/KS)の間で動作し、一連のセキュリティ参加者のグループセキュリティアソシエーションとグループキーを管理します。ISAKMP では、ネゴシエーションの 2 つのフェーズが定義されています。GDOI は、フェーズ 1 の ISAKMP セキュリティ アソシエーションによって保護されるフェーズ 2 プロトコルです。IKEv1は、RFC 6407でフェーズ1プロトコルとして指定されています。
GDOIでは、2種類の暗号化キーが導入されています。
-
キー暗号化キー(KEK)—コントロールプレーンのセキュリティ保護に使用されます。KEKは、グループメンバーがGC/KSからのキー再生成メッセージを復号化するために使用するキーの名前です。このキーは、セキュリティ アソシエーションのキー暗号化キー(SAK)の一部です。
-
トラフィック暗号化キー(TEK)—データプレーンのセキュリティ保護に使用されます。TEK は、グループ メンバーが他のグループ メンバー間の通信を暗号化または復号化するために使用するキーの名前です。このキーは、セキュリティ アソシエーション トランスポート暗号化キー(SA TEK)の一部です。
標準のIPsecと同様に、すべての鍵にはライフタイムがあり、鍵を再生成する必要があります。GDOIを介して配布されるキーはグループキーであり、グループ全体で使用されます。
グループSAと鍵管理は、2種類のGDOI交換を通じて処理されます。
-
groupkey-pull—この交換により、メンバーはグループが共有するSAとキーをサーバーに要求できます。プル方式では、グループメンバーがキーサーバーにグループSAとポリシーをリクエストします。この要求は IKE SA 上で保護されます。
groupkey-pullは、GDOIプロトコルの最初の交換であり、GC/KSへのグループメンバー登録に使用されます。グループメンバーは登録したいグループを指定し、メンバーがグループへの参加を許可されている場合、GC/KSは必要なすべてのグループSAとキーをグループメンバーに送信します。完全な交換は、groupkey-pull交換が開始される前にIKEv1と確立されたフェーズ1SA(IKEv1 SA)によって保護されます。このgroupkey-pullは、GDOIプロトコルのフェーズ2の一部です。 -
groupkey-push—この交換は、既存のグループSAが期限切れになる前に、サーバーがグループSAとキーをメンバーに送信できるようにする単一のキー更新メッセージです。キー更新メッセージは、サーバーからメンバーに送信される未承認メッセージです。groupkey-pushは、GDOIプロトコルの2番目の交換であり、GC/KSによってグループの登録メンバー全員に対して開始されます。表2は、MXシリーズグループメンバーがgroupkey-pushメッセージで受信することを期待するペイロードを示しています。表2:groupkey-pushメッセージペイロード ペイロード
説明
グループ関連ポリシー(GAP)
GAPペイロードにより、SAをいつアクティブ化および非アクティブ化するかに関する指示など、グループ全体のポリシーを配布できます。このペイロードには、トラフィック暗号化キー(TEK)のアクティベーション時間遅延(ATD)と非アクティベーション時間遅延(DTD)の値、およびIPsecトラフィックのIP配信遅延検出プロトコルウィンドウタイプとウィンドウサイズが含まれています。
セキュリティ アソシエーション トランスポート暗号化キー(SA TEK)
トラフィックセレクター。
セキュリティ アソシエーションの鍵暗号化キー(SAK)(オプション)
鍵暗号化キー(KEK)のセキュリティアソシエーション(SA)別名SA KEK。
注:オプションのペイロードを含まない
groupkey-pushメッセージでも、有効なメッセージです。トラフィック暗号化キー(TEK)(オプション)
グループメンバー間のデータトラフィックを暗号化するためのキー。
キー暗号化キー(KEK)(オプション)
TEKを保護するために使用されます。
groupkey-push交換は、groupkey-pull交換時に設置されるSA KEK(SAK)によって保護されます。このgroupkey-pushは、GDOIプロトコルのフェーズ2の一部です。
場合によっては、GC/KS はグループ メンバーからグループ キー プッシュ確認メッセージを受信したい場合があります。グループメンバーからのプッシュ確認メッセージは、メンバーがメッセージを受信し、ポリシーに対してアクションを実行したことを確認します。GC/KS は、確認応答を使用して、現在のグループ ポリシーを受信しているグループ メンバーと、グループに参加しなくなったグループ メンバーを判断することもできます。Junos OS 19.2R1以降、Junos OSは、RFC 8263で定義されているSA KEKペイロードの標準KEK_ACK_REQUESTED値9のグループキープッシュメッセージ、または使用されているKEK_ACK_REQUESTED値129のグループキープッシュメッセージを受信した場合、SHA-256チェックサムを含む確認メッセージを送信します。
GDOIプロトコルとグループVPNv2
グループVPNv2は、ジュニパーネットワークスのルータープラットフォームに実装されているセキュリティ技術の名前です。グループVPNv2は、他の機能に加えて、GDOIプロトコル(RFC 6407)をベースとして使用します。
を使用したグループVPNv2
グループSAとグループキーを取得するには、グループメンバーが特定のグループのGC/KSに登録する必要があります。その結果、IKEv1 SAが作成されますが、これは登録プロセスを保護するためにのみ必要となります。登録後、グループメンバーは、他のグループメンバー(SA TEK)と通信するためのすべての情報と、鍵更新メッセージ(SAK)を正常に復号化するための情報を得ることができます。GC/KS は、SA TEK または SAK のライフタイムが期限切れになる前に、鍵更新メッセージを送信します。SA TEKの更新だけでなく、SAKの更新も同じキー更新メッセージで送信することも可能です。IKEv1 SAは不要になり、ライフタイムが終了すると削除されます(IKEv1鍵更新なし)。
グループVPNv2トラフィック
グループVPNv2トラフィックには以下が含まれます。
-
Control-plane-traffic—GDOIプロトコルのみを使用したグループVPNv2導入のグループメンバーからGC/KSへのトラフィック。
-
データプレーントラフィック—IPsecから既知のESPプロトコルのみを使用したグループVPNv2導入のグループメンバー間のトラフィック。
グループセキュリティ協会
従来のIPsec暗号化ソリューションとは異なり、グループVPNはグループセキュリティアソシエーションの概念を採用しています。グループSAは、機能的にはSAと似ています。グループSAは、共通のGDOIグループのすべてのグループメンバー間で共有されます。グループVPNグループのすべてのメンバーは、共通の暗号化ポリシーと共有グループSAを使用して相互に通信できます。共通の暗号化ポリシーと共有グループSAを使用すると、グループメンバー間でIPsecをネゴシエートする必要はありません。これにより、グループメンバーのリソース負荷が軽減されます。従来のIPsecのスケーラビリティの問題(トンネルと関連するSAの数)は、グループVPNグループメンバーには適用されません。
グループコントローラー/キーサーバー
グループコントローラーまたはキーサーバー(GC/KS)は、グループVPNv2コントロールプレーンの作成と保守に使用するデバイスです。グループSAとグループキーの作成と配布を担当します。グループメンバーが他のグループメンバーと通信するために必要なすべての情報は、GC / KSによって提供されます。対象トラフィック、暗号化プロトコル、セキュリティ アソシエーション、キー更新タイマーなどのすべての暗号化ポリシーは、GC/KS で一元的に定義され、登録時にグループ メンバー全員にプッシュダウンされます。グループメンバーは、IKEフェーズ1を使用してGC/KSで認証し、グループVPNの操作に必要な暗号化ポリシーとキーをダウンロードします。GC/KS は、鍵の更新と配布も担当します。
GC/KS機能は、MXシリーズルーターではサポートされていません。グループメンバーとして設定されたMXシリーズルーターは、Cisco GC/KSとのみ接続できます。MXシリーズグループメンバーがGCとして機能するジュニパーネットワークス SRXシリーズと対話することはサポートされていません。さまざまなタイプのグループ メンバーと GC/KS の互換性については、 表 5 を参照してください。
グループメンバー
グループメンバーは、トラフィック暗号化プロセスに使用されるIPsecエンドポイントデバイスであり、データトラフィックの実際の暗号化と復号化を担当します。グループメンバーは、IKEフェーズ1パラメータとGC/KS情報で設定されます。暗号化ポリシーはGC/KSで一元的に定義され、登録が成功するとグループメンバーにダウンロードされます。次に、各グループメンバーは、グループメンバーシップに基づいて、着信および送信トラフィックを復号化するか(SAを使用して)暗号化するかを決定します。
機能的な観点から見ると、グループメンバーはIPsecゲートウェイに似ています。ただし、通常のIPsecのSAは、2つのIPsecゲートウェイ間に存在します。GDOIでは、グループメンバーはグループVPNに参加するためにGC/KSに登録します。登録時に、グループメンバーはグループIDをGC/KSに提供し、このグループに必要なそれぞれのポリシー、SA、およびキーを取得します。鍵更新は、グループメンバーが groupkey-pull 方式(再登録)を行うか、GC/KSが groupkey-push 方式で行います。
グループVPNv2トラフィックのアンチリプレイ保護
グループVPN通信は、基本的に同じ共有セキュリティアソシエーションを介したany-to-any通信であるため、アンチリプレイ保護にシーケンス番号を使用しては機能しません。このため、Junos OS は、時間ベースのアンチリプレイ メカニズムに関する IETF ドラフト仕様 draft-weis-delay-detection-01 をサポートしています。 http://tools.ietf.org/html/draft-weis-delay-detection-01 で入手できます。
この機能を実装するために、MXシリーズメンバールーターは、パケット内で新しいIP配信遅延検出プロトコルのタイムスタンプヘッダーを利用します。詳細については、 IP配信遅延検出プロトコル(時間ベースのアンチリプレイ保護)の実装 を参照してください。
MXシリーズメンバールーターでの部分的なフェイルオープン
グループVPN内のグループメンバーは、GC/KSに依存して、共有SAの鍵材料を生成します。そのため、グループメンバーとGC/KS間の接続は、最初にトラフィックを保護し、キー再生成イベントを介してトラフィックを継続的に保護するために必要です。グループメンバーとGC/KSの間で通信障害が発生した場合、グループメンバーのデフォルトの動作はトラフィックの転送を停止することです。これはフェイルクローズと呼ばれます。
メンバーがGC/KSに接続してアクティブなSAを取得できるようになるまで、特別に定義されたトラフィックを暗号化せずにグループメンバーを通過することを許可するために、非デフォルトの設定オプションが利用可能です。これは部分的なフェイルオープンと呼ばれます。
部分フェイルオープン機能には、送信元アドレスと宛先アドレスで定義された特定のグループVPNv2の該当するMXシリーズグループメンバーにルールを作成するポリシー設定オプションが必要です。このフェイルオープンルールは、鍵サーバーとの接続障害によりグループSAが使用不可状態になっている場合にのみアクティブです。通常であればグループVPNを通過するが、フェイルオープンルールに一致しないトラフィックは破棄されます。グループVPNオブジェクトには、複数のフェイルオープンルールを定義できます。フェイルオープンルールが設定されていない場合、フェイルオープン機能は無効になります。
グループVPNv2実装の概要
このセクションでは、グループVPNv2を実装するためのジュニパーネットワークスソリューションについて説明します。
- グループVPNv2の有効化
- グループメンバーの登録
- グループメンバーの鍵更新(groupkey-push方式)
- グループメンバーの鍵更新(groupkey-pull方式)
- グループメンバーの認証
- グループVPNv2トラフィックのフラグメント化
- グループVPNv2トラフィックの暗号化
- グループVPNv2トラフィックの復号化
- グループVPNv2のルーティングインスタンスの設定
- 複数のグループ、ポリシー、SA の確立
- 複数の協力型GC/KSとの接続
- IP配信遅延検出プロトコル(時間ベースのアンチリプレイ保護)の実装
- グループVPNv2設定の変更
- グループVPNv2設定のバイパス
- MXシリーズメンバールーターでの部分的なフェイルオープンの実装
- サポートされているGDOI IPsecパラメータ
- サポートされているGDOI IKEv1パラメータ
- 動的ポリシーの適用
- TOSとDSCPのサポート
- グループメンバーの相互運用性
- グループ VPNv2 の制限事項
グループVPNv2の有効化
サービスセットは、該当するMXシリーズルーター上の特定のインターフェイスでグループVPNv2を有効にするために使用されます。
サービスセットの設定
グループVPNv2は、[edit services service-set service-set-name]階層レベルのipsec-group-vpnステートメントを使用してサービスセット内で構成されます。
| サンプルサービスセット設定 |
|---|
[edit services]
service-set service-set-name {
interface-service {
service-interface service-interface-name;
}
}
ipsec-group-vpn vpn-name;
|
-
サービス セットごとに設定できるグループ メンバーは 1 つだけです。
-
ネクストホップスタイルのサービスセットは、グループVPNv2ではサポートされていません。
サービスセットの適用
サービスセットは、インターフェイスレベルで適用されます。
| サービスセット設定の適用例 |
|---|
[edit interfaces]
interface-name {
unit 0 {
family inet {
service {
input {
service-set service-set-name;
}
output {
service-set service-set-name;
}
}
address 10.0.30.2/30;
}
}
}
|
パケットステアリング
インターフェイススタイルのサービスセット設定は、パケット転送エンジンからPICへのトラフィックを誘導するために使用されます。グループVPNv2オブジェクトを指すサービスセットを持つインターフェイスで受信したパケットは、対応するサービスインターフェイスに注入されてPICに転送されます。
グループメンバーの登録
サーバーへのグループメンバーの登録は、サービスセットに対して ipsec-group-vpn ステートメントが設定され、サービスインターフェイスがアップすると開始されます。サービスインターフェイスがダウンすると、このインターフェイスに関連付けられているすべてのグループSAがクリアされ、インターフェイスが立ち上がるまで、これらのグループVPNの登録はトリガーされません。
グループメンバー登録には、GC/KSを使用してIKE SAを確立し、その後に groupkey-pull 交換を行い、指定されたグループ識別子のSAとトラフィックキーをダウンロードします。
Junos OSは、グループVPNv2内のグループVPNのトラフィックベースのSAネゴシエーショントリガーをサポートしていません。
グループメンバーの鍵更新(groupkey-push方式)
GC/KSは、登録されたグループメンバーにユニキャスト groupkey-push メッセージを送信します。
-
新しい鍵暗号化キー(KEK)またはトラフィック暗号化キー(TEK)を送信します。
プッシュメッセージには、 表2に示すペイロード要素のすべてまたは一部のみを含めることができます。GAPペイロードに古いSAと新しい交換SAの両方が含まれている場合、グループメンバールーターは通常のキー更新としてATDとDTDの値をプッシュによって適用します。アップデートにATD値がない場合、メンバールーターは直ちに新しいSAをインストールします。DTD値がない場合、古いSAは有効期限が切れるまでそのまま残ります。
-
既存のSAのグループ関連ポリシー(GAP)を更新します。
GC/KSは、いつでもグループメンバーに設定を更新するためのユニキャストプッシュメッセージを送信できます。GAPペイロードには、IP配信遅延検出プロトコル、暗号化アルゴリズム、ライフタイムなどの設定変更が含まれます。更新された設定は、即時に適用するか、遅延して適用されます。ATD値とDTD値は、それぞれ新しいTEKの活性化と既存のTEKの削除のタイミングを達成するために使用されます。既存のTEKライフタイムを短縮する必要がある場合は、プッシュメッセージでそれに応じてDTD値が設定されます。プッシュメッセージ内の新しいTEKは、ペイロードのATD値に基づいてアクティブになります。
-
TEK または KEK の削除キー通知を送信します。
GC/KSは、オプションの削除通知ペイロードをプッシュメッセージで送信して、メンバーのキーとSAを削除できます。プッシュメッセージには、削除通知がTEKとKEKのどちら向けかを示すプロトコルIDが含まれています。グループメンバールーターは、ペイロードに含まれるグループIDとSPI値に基づいてキーを削除します。特定のTEKまたはKEKの削除は、DTD属性で指定された遅延値で行うことができます。遅延値が0で、ペイロードに特定のSPIが含まれている場合、一致するTEKまたはKEKは直ちに削除されます。グループ内のすべてのTEKまたはKEK(またはその両方)を削除する必要がある場合、ペイロード内の対応するプロトコルIDのSPI値が0に設定されます。
-
グループVPNv2のグループVPNからメンバールーターを削除します。
プッシュメッセージは、GC/KSがグループVPNからメンバーを削除できるようにするために使用されます。あるケースでは、GC/KS が、古い SA とそれより小さい DTD 値のみを含むキー更新メッセージを送信します。グループメンバールーターは、新しい小さいDTD値をインストールします。新しいSAキーを受け取らなかったため、メンバールーターは
groupkey-pullメソッドを使用して再登録を試みます。この再登録の試みはGC/KSによって拒否されるため、グループVPNからメンバーが削除されます。2つ目のケースでは、GC/KSが古いSAのSPIに対して削除ペイロードを送信します。グループメンバールーターは、すぐにSAを削除し、groupkey-pull方式で再登録を試みます。この再登録の試みはGC/KSによって拒否されるため、グループVPNからメンバーが削除されます。
登録済みのMXシリーズグループメンバーは、元のプッシュメッセージの受信を確認するために、ユニキャストPUSH ACKメッセージをGC/KSに送り返します。
グループメンバーの鍵更新(groupkey-pull方式)
グループメンバーの鍵更新では、 groupkey-pull 方法を使用して、グループメンバーは通常、既存のTEKまたはKEKソフトライフタイムに7%から5%が残っているときにGC/KSに再登録します。既存の IKE SA が利用可能な場合、プルメッセージで使用されます。GC/KS が新しい鍵で応答した後、古い鍵と新しい鍵の両方を復号化に使用できます。ただし、古いキーの有効期間が 30 秒になるまで、新しいキーは暗号化に使用されません。既存の IKE SA が使用できない場合、プルメッセージによってグループメンバーと GC/KS の間で新しい IKE ネゴシエーションが発生します。
グループメンバーから特定のグループVPNに関するプルメッセージを受信すると、GC/KSはそのグループのすべてのTEKとKEKで応答します。
既存のSAがGC/KSからの応答に含まれていない場合、不足しているSAはグループメンバーによって削除されます。
例として、GC/KSは3600秒のライフタイムで設定されており、再送信なしで1つのグループメンバーに接続されます。サーバー構成に基づいて、GC/KS はライフタイムの 10% が残っているときに新しいキーを生成します。ただし、グループメンバーは、存続時間の5%から7%が残ったときにGC/KSに再登録します。
グループメンバーの認証
Junos OS は、グループ VPNv2 のグループ VPN の PKI(公開鍵インフラストラクチャ)をサポートしていません。その結果、グループメンバーの認証には事前共有キーが使用されます。
グループVPNv2トラフィックのフラグメント化
ヘッダー保存機能と基盤となるルーティングインフラストラクチャの使用により、暗号化が発生する前にパケットをフラグメント化する必要があります(防止できない場合)。
そのため、事前フラグメント化がサポートされており、すべての導入に推奨されます。
ポストフラグメント化を回避するには、グループVPNv2設定でDFビットの clear、 set、および copy オプションを設定します。
このフラグ設定に基づいて、IPsecヘッダーの df-bit は、内部パケットから clear、 set、または copy に設定されます。
DFビットには、デフォルトとして clear オプションが設定されています。
| DFビット設定例 |
|---|
[edit]
security {
group-vpn {
member {
ipsec {
vpn group-vpn-name {
df-bit clear;
}
}
}
}
}
|
グループVPNv2トラフィックの暗号化
グループメンバーは、GC/KSから提供されたグループSAとキーに基づいてトラフィックを暗号化します。グループVPNv2の暗号化パスは以下の通りです。
-
パケット転送エンジンが受信したパケットは、フローの一致と照合されます。一致するものが見つかった場合、パケットはさらに処理され、送信されます。
-
一致するものが見つからない場合は、ルール検索が実行されます。一致するものが見つかると、フローが作成され、パケットがさらに処理されて送信されます。
-
ルール検索に失敗した場合、パケットはドロップされます。
グループSAは、パケット処理中にトリガーされません。
グループVPNv2トラフィックの復号化
登録が成功し、グループVPN SAがインストールされると、ESPセッションが作成されます。グループVPNv2は、送信元と宛先IPがゼロのESPセッションを作成します。ESP セッションは SA のインストール時にすでに作成されているため、パケットは既存の ESP セッションと一致することが想定されます。
グループVPNv2の復号パスは次のとおりです。
-
パケット転送エンジンが受信したパケットは、フラグメント化チェックを受けます。パケットがフラグメント化されている場合は、さらに処理するためにアセンブルされます。
-
パケットの組み立て後、またはパケットがフラグメント化されていない場合、5タプルの復号化フロールックアップでは送信元と宛先のIPがゼロに使用されます。一致するものが見つかった場合、パケットはさらに処理され、送信されます。
-
復号化フロールックアップに失敗した場合、パケットは送信元と宛先IPが0のSPIフローと照合されます。
-
SPIフロールックアップに失敗した場合、パケットはドロップされます。
-
SPIフローに一致するものが見つかった場合、後続パケットのSPIフロー検索を回避するために復号化フローが作成されます。
グループVPNv2のルーティングインスタンスの設定
ルーティングインスタンスは、制御トラフィックとデータトラフィックの両方でサポートされます。グループメンバーが特定のVRFルーティングインスタンスのGC/KSに到達できるように、コントロールプレーントラフィックのルーティングインスタンスサポートを有効にするには、[edit security group-vpn member ike gateway gateway-name local-address address]階層レベルでrouting-instanceステートメントを追加します。
データプレーンパケットのルーティングインスタンスは、サービスセットが適用されるメディアインターフェイスに基づいて決定されるため、サポートするために追加のCLIは必要ありません。
複数のグループ、ポリシー、SA の確立
Junos OS は、グループ VPNv2 のサービス セットごとに 1 つのグループ VPN をサポートします。ただし、ルーティングインスタンスで複数のグループをサポートするために、複数のサービスセットを作成できます。グループごとに複数のSAを設定できます。ただし、同じトラフィックキー/SPIに対する複数のポリシーはサポートされていません。サーバーが同じTEKに対して2つのポリシーを送信する場合、A-BとB-Aなど、A-BとB-A(AとBはIPアドレスまたはサブネット)をペアにして受け入れる必要があります。特定のTEKに対して複数のペアになっていないポリシーを受信した場合、登録に失敗し、システムログメッセージが作成されます。
複数の協力型GC/KSとの接続
グループメンバーが協力モードでGC/KSを操作できるように、サーバーリストに最大4台のサーバーを許可するように設定が拡張されます。
groupkey-pull方式を使用する場合の鍵更新中に、グループメンバーはGC/KSへの接続を試みます。GC/KS への接続に失敗すると、グループ メンバーは GC/KS への再接続を試みます。10秒間隔で3回再試行した後、GC/KSへの接続が回復しない場合、グループメンバーはサーバーリストにある次の使用可能なサーバーとの接続の確立を試みます。このプロセスは、グループメンバーがGC/KSに接続するまで繰り返されます。この間、グループメンバーの有効期限切れのGDOI SAはクリーンアップされないため、グループVPNトラフィックは影響を受けません。鍵更新とハードライフタイム有効期限の間の時間のギャップにより、このような場合、グループメンバーが次に使用可能なサーバーに接続するのに十分な時間が確保されます。
IP配信遅延検出プロトコル(時間ベースのアンチリプレイ保護)の実装
IP配信遅延検出プロトコルを実装するための設定は必要ありません。MXシリーズグループメンバーは、キーサーバーからのプッシュメッセージまたはプルメッセージのGAPペイロードの一部として使用する再生ウィンドウサイズを取得します。受信したウィンドウ サイズが 0 の場合、時間ベースのアンチリプレイ保護は無効になります。
IP配信遅延検出プロトコルが有効になっている場合、送信側は現在のタイムスタンプを追加し、パケットを暗号化します。受信者はパケットを復号化し、現在の時刻とパケット内のタイムスタンプを比較します。ウィンドウサイズ外のパケットは破棄されます。このため、グループすべてのメンバーは、ネットワークタイムプロトコル(NTP)を使用して時計を同期する必要があります。
IP配信遅延検出プロトコルの時間は秒単位で測定されます。詳細については、「 IP Delivery Delay Detection Protocol-draft-weis-delay-detection-01 」を参照してください。
NTPに関連するすべての遅延の問題は、IP配信遅延検出プロトコル内にも適用されます。したがって、最小ウィンドウ サイズは 1 秒にすることをお勧めします。
グループVPNv2設定の変更
グループ VPNv2 の設定変更のほとんどは、既存の SA の削除と再登録の両方につながります。これにより、フェーズ1と新しいトラフィックキーによるSAダウンロードの両方がトリガーされます。
グループVPNv2設定のバイパス
ルーティングプロトコルなどの特定のトラフィックがグループVPNv2のグループVPNをバイパスする必要がある場合、サービスセットが適用されるインターフェイスにサービスフィルターを設定する必要があります。サービスフィルターに一致するパケットは、サービス処理のためにPICに来ず、ルーティングエンジンに直接転送されます。
| サンプル サービス セット フィルター設定 |
|---|
[edit interfaces]
interface-name {
unit 0 {
family inet {
service {
input {
service-set service-set-name service-filter filter-name;
}
output {
service-set service-set-name service-filter filter-name;
}
}
}
}
}
|
MXシリーズメンバールーターでの部分的なフェイルオープンの実装
デフォルトでは、接続が切断されたためにグループメンバーのルーターがGC/KSからSAを取得できない場合、パケットは破棄されます。グループメンバーとGC/KS間の通信障害が発生した場合に一部のトラフィックを暗号化せずに通過させる場合は、[edit security group-vpn member ipsec vpn vpn-name ]階層レベルでfail-openルールを設定する必要があります。
フェイルオープンルールは、サーバー接続が失われた場合にのみトラフィックに適用されます。接続が回復し、GC/KS からキーを受信すると、フェールオープンルールは無効になります。
| フェールオープンルール設定例 |
|---|
[edit security group-vpn member ipsec vpn vpn-name]
fail-open {
rule rule-name{
source-address source-ip-address
destination-address destination-ip-address}
}
}
|
1つのグループに最大10個のフェイルオープンルールを設定することができます。
サポートされているGDOI IPsecパラメータ
すべてのGDOIグループには一意のIDがあります。これは、GC/KSとグループメンバーの間で、グループSAとグループキーについて通信するための共通ベースとして使用されます。
登録プロセス中に、GC/KSはセキュリティアソシエーショントランスポート暗号化キー(SA TEK)をグループメンバーに送信します。グループ全体のセキュリティポリシーに関するすべてのパラメーターは、GC/KSで設定されます。SA TEKは、グループメンバーが相互に交換されるトラフィックを保護するために使用します。 表3は SA TEKのパラメータを示しています。
| パラメータ |
サポートされている値 |
|---|---|
| 暗号化 |
|
| 誠実さ |
|
| ライフタイム |
サポートされている任意の値 |
暗号アルゴリズムに加えて、グループ メンバーが暗号化する必要があるトラフィックは、SA TEK ポリシー(トラフィック セレクター)の一部です。
以下のステートメントは、ジュニパーネットワークスグループメンバーに使用できます。そのため、アドレスは IKE 階層レベルで指定する必要があります。列挙にも優先順位が付けられます。したがって、次の設定例では、KS1 が KS2 の前に接続されます。
| GDOI IPsecパラメータ設定の例 |
|---|
[edit security]
group-vpn {
member {
ike {
gateway gateway-name {
ike-policy policy-name;
server-address <IP_KS1> <IP_KS2> <IP_KS3> <IP_KS4>;
local-address <IP_GM> routing-instance routing-instance-name;
}
}
ipsec {
vpn vpn-group-name {
ike-gateway gateway-name;
fail-open {
rule rule-name {
source-address 198.51.100.1/24
destination-address 192.0.2.1/24
}
}
group group-ID;
match-direction output;
}
}
}
}
|
サポートされているGDOI IKEv1パラメータ
| パラメータ |
サポートされている値 |
|---|---|
| 暗号化 |
|
| 認証 |
事前共有キー(最小20個の記号) |
| 誠実さ |
|
| Diffie-Hellmanグループ |
|
| ライフタイム |
サポートされている任意の値 |
上記のIKEv1標準は、次のように設定されています。
動的ポリシーの適用
ipsec-group-vpnステートメントの下のinputおよびoutputオプションは、サービスセットが適用されるインターフェイスが受信インターフェイスまたは発信インターフェイスである場合に、サーバーから受信した動的ポリシーを使用するかどうかを指定します。これにより、受信方向と発信方向に異なるルールを柔軟に指定できます。
TOSとDSCPのサポート
サービスタイプ(TOS)ビットとDiffServコードポイント(DSCP)ビットは、内部パケットからESPパケットにコピーされます。
グループメンバーの相互運用性
シスコのGDOIの実装は、グループ暗号化トランスポート(GET)VPNと呼ばれます。Junos OSのグループVPNv2とCiscoのGET VPNはどちらもRFC 6407( 解釈のグループドメイン)に基づいていますが、ジュニパーネットワークスのセキュリティおよびルーティングデバイスとCiscoルーターの両方を含むネットワーク環境にGDOIを展開する場合、いくつかの実装上の違いに注意する必要があります。詳細については、最新のJunos OSリリースノートを参照してください。
グループVPNv2の相互運用性は以下のとおりです。
-
Junos OSは、Cisco IOS GC/KSサポートとの相互運用性サポートを提供します。
-
Junos OSは、SRXシリーズグループVPNサーバーとのグループVPNv2相互運用性をサポートしていません。
表5:グループVPNv2の相互運用性 グループメンバー
SRXグループメンバー
MXグループVPNv2メンバー
シスコグループメンバー
SRX GC
SRX KS
Cisco GC/KS
MXグループVPNv2メンバー
いいえ
はい
はい
いいえ
はい
はい
SRXグループメンバー
はい
いいえ
いいえ
はい
はい
はい
Junos OSは、Cisco GC/SKサーバーでグループポリシーに例外を追加するために使用する拒否ポリシーをサポートしていません。これを回避するには、MXシリーズグループメンバーにファイアウォールルールを設定することで実行できます。また、Junos OS グループ メンバーは、ネゴシエーションに失敗せず、単に内容を無視することで、拒否ポリシーを操作できます。これにより、システム管理者は、CiscoグループメンバーとJunos OSグループメンバーの両方が共存するネットワークを簡単に管理できます。
グループ VPNv2 の制限事項
Junos OS グループ VPNv2 は、以下をサポートしていません。
-
マルチキャストプッシュメッセージ
-
マルチキャストトラフィック
-
GDOI SNMP MIB
-
サーバーから送信されたポリシーのプロトコルとポート。グループメンバーは、ポリシーで指定されたIPアドレス/サブネットのみを尊重します。
-
同じトラフィックキー/SPIに対する複数のペアになっていないポリシー
-
IKEゲートウェイ構成におけるルーティングインスタンス全体におけるローカルIPとリモートIPの両方の重複
-
グループVPNv2ポリシーが重複しているため、SAが不一致になる可能性がある
-
制御およびデータトラフィック用のIPv6
-
同じサービスセット上にIPsecとグループVPNが共存していること
-
同じサービスセット上にNATやALGなどのサービスが共存すること。NATとグループVPNは、異なるサービスセットに共存できます。ただし、同じサービスセット上に共存させることはできません。
-
サイト間(S2S)VPNと動的エンドポイント(DEP)VPNは、異なるサービスセットでグループVPNと共存できます。ただし、同じサービスセット上に共存させることはできません。
-
同じサービスセット上の複数のグループ
-
SRXシリーズGC/KSによるグループメンバーのサポート
-
SRXシリーズグループメンバーによるグループメンバーサポート
-
論理キー階層(LKH)
-
グレースフル リスタート
-
高可用性
-
統合型ISSU
-
認証のPKIサポート