Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPSec VPN グローバル設定

You are here: ネットワーク > VPN > IPSec VPN.

このページを使用して、VPN グローバル設定の詳細を表示または追加します。[IPSec VPN] ページの [グローバル設定 ] をクリックします。

フィールドの説明

表 1 は、[グローバル設定(Global Settings)] ページのフィールドを示しています。

表 1: [グローバル設定(Global Settings)] ページのフィールド

形容
全般

IKE - bad-spiへの応答

デバイスが無効な IPsec SPI(セキュリティ パラメーター インデックス)値の IPsec パケットに応答するようにするには、このオプションを有効にします。

最大応答数

1 から 30 までの値を入力して、ゲートウェイごとの無効な SPI 値に応答します。デフォルトは 5 です。このオプションは、[Response Bad SPI] が選択されている場合に使用できます。

IKE SNMPトラップ

SNMP トラップの送信を制御するには、このオプションを有効にします。

トンネルダウン

このオプションを有効にすると、関連するピアIKE SAが稼働しているときにのみ、IPsec トンネルがダウンするためのトラップが生成されます。

手記:

このオプションは、IKE SNMPトラップが選択されている場合に使用できます。

ピアダウン

このオプションを有効にすると、ピアがダウンしたときにトラップが生成されます。

手記:

このオプションは、IKE SNMPトラップが選択されている場合に使用できます。

IPSec VPN 監視オプション

デバイスで VPN のライブ性を監視する場合は、このオプションを有効にします。

間隔 (秒)

インターネット制御メッセージプロトコル(ICMP)要求がピアに送信されるまでの 2 秒から 3600 秒までの値を入力します。

1 から 65,536 までの値を入力して、ピアが到達不能と宣言されるまでに連続して失敗した ping の回数を指定します。
リモートアクセスVPN

デフォルト プロファイル名

リストからデフォルトのプロファイル名を選択します。

手記:

  • このオプションは、少なくとも1つのJuniper Secure Connect VPNが作成されている場合に利用できます。

  • Junos OS 23.1R1 リリース以降、デフォルト プロファイルは J-Web で非推奨になりました。

SSL VPN トンネル追跡

カプセル化されたセキュリティ ペイロード(ESP)トンネルを追跡するには、このオプションを有効にします。

SSL VPN プロファイル

SSL VPN プロファイルを一覧表示します。

手記:

このオプションは、少なくとも1つのJuniper Secure Connect VPNが作成された場合、関連するIPsec VPNを表示します。

新しい SSL VPN プロファイルを追加するには、次の手順に従います。

  1. [+] をクリックします。

    [Add SSL VPN プロファイル] ページが表示されます。

  2. 次の詳細を入力します。

    • [名前(Name)]:SSL VPN プロファイルの名前を入力します。

    • [ロギング(Logging)]:SSL VPN のログを記録するには、このオプションを有効にします。

    • [SSL 終端プロファイル(SSL Termination Profile)]:リストから SSL 終端プロファイルを選択します。

      新しい SSL ターミネーション・プロファイルを追加するには、次のようにします。

      1. [ 追加] をクリックします。

        [Create SSL Termination Profile] ページが表示されます。

      2. 次の詳細を入力します。

        • [名前(Name)]:SSL 終端プロファイルの名前を入力します。

        • [サーバー証明(Server Certificate)]:リストからサーバー証明書を選択します。

          証明書を追加するには、[ 追加] をクリックします。デバイス証明書の詳細については、「 [証明書] ページについて」を参照してください。

        • [ OK] をクリックします。

      3. [ OK] をクリックします。

  3. [ OK] をクリックします。

SSL ターミネーション プロファイルを編集するには、編集するプロファイルを選択し、鉛筆アイコンをクリックします。

SSL ターミネーション プロファイルを削除するには、削除するプロファイルを選択し、削除アイコンをクリックします。
内部 SA 暗号化

アルゴリズム

リストから暗号化アルゴリズムを選択します。つまり、3DES-CBC または AES-128-CBC です。

暗号化キーを入力します。手動暗号化キーは ASCII テキストで、16 文字(AES-128-CBC アルゴリズムの場合)または 24(3DES-CBC アルゴリズムの場合)であることを確認する必要があります。そうしないと、設定がコミット失敗します。

手記:

キーフィールドは、アルゴリズムを選択した場合にのみ有効になります。

IKE HAリンク

このトグルを使用して、HA デバイスの HA リンク暗号化 IKE 内部メッセージを有効または無効にします。デフォルトでは、IKE HAリンクは無効になっています。
IKE パッケージ
手記:

  • デバイスがシャーシ クラスタ モードの場合、プライマリ ノードとセカンダリ ノードの両方に junos-ike パッケージをインストールする必要があります。J-Webサーバーはプライマリノードでのみ実行されるため、junos-ikeパッケージはプライマリノードにのみインストールできます。CLIを使用して、セカンダリノードにjunos-ikeパッケージをインストールします。

  • Junos-ikeパッケージは、SRX300シリーズファイアウォールではサポートされていません。

  • SRX1600、SRX2300、SRX4120ファイアウォールの場合、junos-ikeパッケージはすでにインストールされています。

IKEパッケージのインストール

これを使用して、デバイスにjunos-ikeパッケージをインストールします。

手記:

設定不一致エラーを回避するために、junos-ikeパッケージをデバイスにインストールした後は、デバイスを再起動する必要があります。

IKEパッケージのアンインストール

これを使用して、デバイスからjunos-ikeパッケージをアンインストールします。

手記:

設定不一致エラーを回避するために、デバイスからjunos-ikeパッケージをアンインストールしたら、デバイスを再起動する必要があります。

デバイスの再起動

デバイスを再起動するには、次の手順を実行します。

  1. [デバイスの再起動]ボタンをクリックします。[Reboot Device](デバイスの再起動)ウィンドウが表示されます。

  2. 再起動時間を選択して設定します。それです:

    • [Now]:デバイスは直ちに再起動します

    • [In]: リブート時間(分)を設定します。

    • [At]: [Reboot at] を設定して、パートティキュラット時に再起動をスケジュールします。

    手記:

    J-webが正常に動作するように、デバイスを再起動してください。

  3. [ OK] をクリックします。

関連資料