Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPSec VPNの概要

IPSec VPN は、インターネットなどのパブリック WAN を介してリモート コンピューターと安全に通信する手段を提供します。VPN 接続は、2 つの LAN(サイトツーサイト VPN)またはリモートのダイヤルアップ ユーザーと LAN をつなげることができます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。WAN を通過する VPN 通信をセキュリティで保護するには、IPsec トンネルを作成する必要があります。

Security Directorは、IPsec VPNの管理と導入を簡素化します。一般に、多数のSRXシリーズデバイスやフルメッシュVPN導入の場合、VPN設定は面倒で反復的な作業になります。Security Directorでは、VPNプロファイルを使用して共通の設定をグループ化し、複数のSRXシリーズデバイスにまたがる複数のVPNトンネル構成に適用できます。サイトツーサイト、ハブアンドスポーク、フルメッシュVPNを一括導入できます。 Security Directorは、必要な導入シナリオを決定し、すべてのSRXシリーズデバイスに必要な設定を公開します。

Security Directorは、SRXシリーズデバイスでポリシーベースおよびルートベースのIPsec VPNをサポートします。ポリシーベースのVPNは、2つのエンドポイントを設定するサイト間展開でのみサポートされます。SRXシリーズデバイスが2台以上ある場合は、ルートベースVPNの方が柔軟性と拡張性に優れています。支社と本社の間でデータを安全に転送できるようにするには、ポリシーベースまたはルートベースのIPSec VPNを設定します。エンタープライズクラスの導入では、ハブアンドスポーク方式のIPSec VPNを設定します。

ルートベーストンネルモードは、次の場合に使用します。

  • 参加ゲートウェイはジュニパーネットワークス製品です。

  • トラフィックがVPNを通過する際には、送信元NATまたは宛先NATのいずれかが発生する必要があります。

  • VPNルーティングには、動的ルーティングプロトコルを使用する必要があります。

  • セットアップには、プライマリVPNとバックアップVPNが必要です。

ポリシーベースのトンネルモードは、次の場合に使用します。

  • リモート VPN ゲートウェイは、ジュニパーネットワークス以外のデバイスです。

  • VPNへのアクセスは、特定のアプリケーショントラフィックに対して制限する必要があります。

ポリシーベースまたはルートベースのIPSec VPNを作成すると、トポロジーが表示されます。アイコンをクリックして、リモートゲートウェイを構成する必要があります。

手記:

  • Security Director は、各論理システムを他のセキュリティ デバイスと見なし、論理システムのセキュリティ設定の所有権を取得します。Security Directorでは、各論理システムは固有のセキュリティデバイスとして管理されます。

  • Security Director は、トンネル インターフェイスがデバイスの個々の論理システムに排他的に割り当てられるようにします。トンネル インターフェイスは、同一デバイスの複数の論理システムに割り当てられません。

  • Security Directorは、VPNover Point-to-Point Protocol over Ethernet(PPPoE)をサポートしていません。

IPSec VPNトポロジー

次のIPsec VPNがサポートされています。

  • サイト間VPN:企業内の2つのサイトを相互に接続し、サイト間の安全な通信を可能にします。

    Network diagram with two devices labeled Device connected to a central cloud, symbolizing data flow between devices and the cloud.

  • ハブアンドスポーク(すべてのピアを確立):企業ネットワーク内の支社と本社を接続します。このトポロジーを使用し、ハブ経由でトラフィックを送信することで、スポーク同士を接続することもできます。

    Hub-and-spoke network topology with a central hub connected to multiple spokes through a network infrastructure.

  • ハブアンドスポーク(スポークによる確立):自動VPNは、リモートサイト(スポーク)への複数のトンネルの単一の終端ポイントとして機能するIPSec VPNアグリゲータ(ハブ)をサポートします。Auto-VPN を使用すると、ネットワーク管理者は、現在および将来のスポークのハブを設定できます。スポーク デバイスが追加または削除されても、ハブの構成を変更する必要がないため、管理者は大規模なネットワーク展開を柔軟に管理できます。

    Hub-and-spoke network topology with a central hub connected to multiple spokes through a network infrastructure.

  • ハブアンドスポーク(自動検出 VPN):自動検出 VPN(ADVPN)は、中央ハブが 2 つのスポーク間のトラフィックのより良いパスをスポークに動的に通知できるようにするテクノロジーです。両方のスポークがハブからの情報を確認すると、ショートカット トンネルを確立し、ハブ経由でトラフィックを送信せずに反対側に到達できるように、ホストのルーティング トポロジーを変更します。

    Hub-and-Spoke network topology with a central Hub connected to multiple Spoke nodes via a cloud representing the internet.

  • フルメッシュ— 2 つ以上の参加ゲートウェイを接続し、グループ内の他のすべてのデバイスと個別のトンネルを設定します。

    Network diagram with six interconnected nodes, each as a brick-patterned square, showing a fully connected secure system.

  • リモートアクセスVPN(Juniper Secure Connect)—Juniper Secure Connectは、ユーザーがインターネットを使用して企業ネットワークやリソースにリモートで接続するためのセキュアなリモートアクセスを提供します。Juniper Secure Connectは、SRXサービスデバイスから設定をダウンロードし、接続確立時に最も効果的なトランスポートプロトコルを選択します。

    Remote user connects to local gateway via cloud network showing remote access or VPN connection.

  • リモートアクセスVPN(NCP専用クライアント):リモートアクセスVPNを使用すると、自宅や外出先で作業中のユーザーが本社やそのリソースに接続できます。ネットワーク制御プロトコル(NCP)専用リモートアクセスクライアントは、ジュニパーSRXシリーズゲートウェイ向けのNCP専用リモートアクセスソリューションの一部です。VPN クライアントは、NCP Exclusive Remote Access Management でのみ使用できます。NCP専用クライアントを使用して、SRXシリーズゲートウェイに接続している場合、任意の場所からセキュアなIPsecベースのデータリンクを確立します。

    Remote user connects to local gateway through cloud, illustrating remote access setup via internet or cloud service.

関連資料