Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

例:支社/拠点での単一の SRX シリーズ デバイスの設定

この例では、支社/拠点にある 1 台の SRX シリーズ デバイスでシャーシ クラスタを構成する手順と、検証するコマンドの手順を順を追って説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX240サービスゲートウェイ

  • Junos OS リリース 12.1 以降

メモ:

この設定例は、記載されているソフトウェア リリースを使用してテストされており、それ以降のすべてのリリースで動作することを想定しています。

概要

リンクレベルの高可用性導入を実装するには、各支社/拠点にデータ センターごとに 2 つの WAN 接続と 2 つの IPsec 仮想プライベート ネットワーク (VPN) トンネルが必要です。トラフィックは、トンネルの各ペアで負荷分散されます。トラフィックが特定のデータセンターに転送されるたびに、そのデータセンターに向かう各IPsecトンネルでセッションのロードバランシングが行われます。また、各トンネルが異なるエグレス リンクを使用するようにトンネルが設定されるため、VPN トラフィックのアップストリーム リンクのバランスがとれます。

トポロジ

図1 は、データセンターに接続したリンクレベルの冗長構成を示しています。複数のデータ センターが使用される場合でも、支社/拠点の高可用性の観点からは、構成は同じであることに注意してください。IPsec トンネル構成とそのルート設定のみが変更されます。わかりやすくするために、データ センターの 1 つに対する IPsec 設定のみを示します。SRXシリーズデバイスで冗長IPsec VPNトンネルを設定するための設定例を示します。

図 1: リンクレベルの冗長 WAN 接続アーキテクチャ Link-Level Redundant WAN Connectivity Architecture

図 2 に、ゾーンの構成を示します。VPNトンネルは、VPNゾーンという名前の独立したゾーンの一部です。また、セキュリティポリシーを設計する場合、データセンター(または他の支社/拠点)に向かうトラフィックはこのゾーンを経由して出るため、VPNトンネルは別のゾーンの一部として形成する必要があります。

図2: SRXシリーズデバイスの Security Zones On An SRX Series Deviceセキュリティゾーン

構成

SRXシリーズデバイス上の冗長IPsec VPNトンネルの設定

手順

冗長IPsec VPNトンネルを設定するには:

  1. グローバルVPN設定を指定します。

  2. メイン モード、事前定義済み標準プロポーザル セット、および事前共有キーの IKE ポリシーを設定します。

  3. IKE ゲートウェイにピア IP アドレス、IKE ポリシー、発信インターフェイスを設定します。

  4. トンネルインターフェイスのIPsecポリシーとバインディングを設定します st0.0

    この例では、標準プロポーザル セットを使用します。ただし、一意のプロポーザルを作成し、必要に応じて IPsec ポリシーで指定できます。

  5. トンネルインターフェイスのバインディングを設定します st0.1

  6. st0.1インターフェイスマルチポイントの両方st0.0を設定します。

  7. 両方のトンネルインターフェイスの静的ルートを設定します。

  8. 管理ゾーンを設定します。

  9. trustゾーンを設定します。

  10. untrust ゾーンを設定します。

  11. インターフェイスとホストインバウンドサービスを割り当てることで、セキュリティゾーンを設定します。

結果

動作モードから、 コマンドを入力して show configuration | no-more 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

user@host>show configuration | no-more

検証

設定が正常に機能していることを確認します。

トンネル インターフェイスの検証

目的

トンネル インターフェイスの設定が正しく機能していることを確認します。

アクション

動作モードから コマンド show interfaces terse | match st を入力します。

user@host>show interfaces terse | match st

意味

show interfaces terse | match stコマンドは、トンネル インターフェイスのステータスを表示します。

IKEステータスの確認

目的

IKEステータスを検証します。

アクション

動作モードから コマンド show security ike sa を入力します。

user@host>show security ike sa

意味

コマンドは、 show security ike sa すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 1 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、各IKE SAに固有のもので、コマンドで使用する show security ike security-associations index detail と、SAに関する詳細情報を取得できます。

  • Remote Address - リモート IP アドレスが正しいかどうかを確認します。

  • 状態

    • UP - フェーズ1 SAが確立されました。

    • DOWN - フェーズ1のSAの確立に問題がありました。

  • Mode:正しいモードが使用されていることを確認してください。

IPsecセキュリティ アソシエーションの確認

目的

IPsec セキュリティ アソシエーションを検証します。

アクション

動作モードから コマンド show security ipsec sa を入力します。

user@host>show security ipsec sa

意味

出力は、次のことを示しています。

  • 使用可能な設定済みIPsec SAペアがあります。ポート番号 500 は、標準の IKE ポートが使用されていることを示します。それ以外の場合は、ネットワーク アドレス変換トラバーサル(NAT-T)、4500、またはランダム ハイ ポートです。

  • SPI(セキュリティ パラメータ インデックス)は、両方向に使用されます。SA の有効期間または使用制限は、秒またはキロバイトで表されます。出力で 2492/ unlim は、フェーズ 2 のライフタイムが 2492 秒で終了するように設定されており、ライフタイム サイズが指定されていないことを示します。

  • ID番号は、各IPsec SAの一意のインデックス値を示しています。

ルート エントリの検証

目的

ルーティングテーブルのルートエントリーを検証します。

アクション

動作モードから コマンド show route を入力します。

user@host>show route

意味

出力は、19 のルートがあり、すべてのルートがアクティブであることを示しています。

関連ドキュメント