ハブアンドスポーク方式自動検出 VPNの作成

名前

英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 62 文字です。

形容

VPN の説明を入力します。最大長は 255 文字です。

ルーティング トポロジ

次のいずれかのオプションを選択します。

• OSPF-Dynamic Routing—OSPF設定を生成します。

• [RIP-Dynamic Routing]:RIP 設定を生成します。

• eBGP-Dynamic Routing—eBGP 設定を生成します。

VPN プロファイル

展開シナリオに基づいて、ドロップダウン リストから VPN プロファイルを選択します。

デフォルト プロファイルは、特定の IPSec VPN にのみ適用できます。[Create IPSec VPN] ページの [ View IKE/IPsec settings ] をクリックすると、詳細を表示および編集できます。

共有プロファイルは、1 つ以上の IPsec VPN で使用できます。共有プロファイルの詳細を表示するには、[Create IPSec VPN] ページで [View IKE/IPsec settings] をクリックする必要があります。

[VPN プロファイル] の値を [デフォルト] として選択した場合は、IPSec VPN を保存するときに、新しいプロファイルを [VPN 固有(VPN Specific)] または [共有(Shared)] として保存する必要があります。共有として保存する場合、プロファイルは [VPN プロファイル] ページに一覧表示されます。

認証方法

インターネット鍵交換(IKE)メッセージの送信元の認証にデバイスが使用する認証方法をリストから選択します。

• [RSA シグニチャ(RSA Signatures)]:暗号化とデジタル署名をサポートする公開キー アルゴリズムが使用されることを指定します。

• [DSA シグニチャ(DSA Signatures)]:デジタル署名アルゴリズム(DSA)が使用されることを指定します。

• ECDSA-Signatures-256:連邦情報処理標準(FIPS)デジタル署名標準(DSS)186-3で指定されているように、256ビット楕円曲線secp256r1を使用する楕円曲線DSA(ECDSA)が使用されることを指定します。

• ECDSA-Signatures-384:FIPS DSS 186-3 で指定されている 384 ビット楕円曲線 secp384r1 を使用する ECDSA が使用されることを指定します。

ショートカット接続制限

特定のゲートウェイを使用して、異なるショートカット パートナーで作成できるショートカット トンネルの最大数を選択します。最大数は、デフォルトでもありますが、プラットフォームによって異なります。

アイドルしきい値

ショートカットが停止するレートをパケット/秒で選択します。

範囲:毎秒 3 〜 5,000 パケット。

アイドル時間

トラフィックがアイドルしきい値を下回っている場合にショートカットを削除するまでの期間を秒単位で選択します。

範囲: 60 秒から 86,400 秒。

ネットワークIP

番号付きインターフェイスの IP アドレスを入力します。これは、トンネル インターフェイスに IP アドレスが自動的に割り当てられるサブネット アドレスです。

最大伝送単位

最大送信単位(MTU)をバイト単位で選択します。これは、IPsec オーバーヘッドを含む IP パケットの最大サイズを定義します。トンネル エンドポイントの MTU 値を指定できます。有効範囲は 68 から 9192 バイトです。デフォルト値は 1500 バイトです。

ハブ

[デバイスをハブとして] を選択します。

エンドポイント

スポークとして [デバイス(Devices)] を選択します。

利用できる

現在のドメインと子ドメインのすべてのデバイスを表示し、親の表示を有効にします。親ビューが無効になっている子ドメインのデバイスは表示されません。

ハブ アンド スポーク デバイスを選択します。

デバイスの選択には、次のフィルタ条件が適用されます。

• Junos OS リリース 12.1X46 以降の Junos-es スキーマにマッピングされた SRXシリーズ デバイスはサポートされていません。

• 論理システムおよびテナント システムはリストされていません。

• ルーティング オプションは適用されません。

外部インターフェース

IKEセキュリティアソシエーション(SA)の発信インターフェイスを選択します。このインターフェイスは、キャリアとして機能するゾーンに関連付けられており、ファイアウォールセキュリティを提供します。

トンネルゾーン

トンネルゾーンを選択します。これらは、カプセル化前およびカプセル化後の IPsec トラフィックに対する NAT アプリケーションの動的 IP(DIP)アドレス プールをサポートできるアドレス空間の論理領域です。

また、トンネル ゾーンは、トンネル インターフェイスと VPN トンネルを組み合わせる際にも大きな柔軟性を提供します。

メトリック

ネクストホップのアクセスルートのコストを指定します。

ルーティング インスタンス

必要なルーティング インスタンスを選択します。

証書

仮想プライベートネットワーク(VPN)の開始者と受信者を認証するための証明書を選択します。

これは、次のいずれかのシナリオに適用されます。

• VPN プロファイルは、RSA プロファイルまたは ADVPN プロファイルです。

• 認証方式は、RSA-Signatures、DSA-Signatures、ECDSA-Signatures-256、または ECDSA-Signatures-384 です。

信頼されたca/グループ

リストから認証局(CA)プロファイルを選択して、ローカル証明書に関連付けます。

これは、次のいずれかのシナリオに適用されます。

• VPN プロファイルは、RSA プロファイルまたは ADVPN プロファイルです。

• 認証方式は、RSA-Signatures、DSA-Signatures、ECDSA-Signatures-256、または ECDSA-Signatures-384 です。

コンテナ

ハブは、スポークの証明書のサブジェクトフィールドがハブで構成された値と完全に一致する場合、スポークのIKE IDを認証します。各サブジェクトフィールドに複数のエントリを指定できます。フィールドの値の順序は一致している必要があります。

ワイルドカード

ハブは、スポークの証明書のサブジェクトフィールドがハブで構成された値と一致する場合、スポークのIKE IDを認証します。ワイルドカード一致では、フィールドごとに 1 つの値のみがサポートされます。フィールドの順序は重要ではありません

輸出

• [ Static Routes ] チェックボックスをオンにして、スタティックルートをエクスポートします。

  Security Directorは、管理者がトンネルを介してリモートサイトにスタティックルートをエクスポートできるようにして、静的ルートネットワークをVPNに参加できるようにすることで、VPNアドレス管理を簡素化します。ただし、デバイス側に静的デフォルトルートをエクスポートできるのは、ハブ側のデバイスだけです。スポーク側のデバイスは、トンネルを介して静的デフォルトルートをエクスポートできません。

  手記：

  eBGP 動的ルーティングの場合、デフォルトでは [スタティック ルート(Static Routes)] チェックボックスがオンになっています。

• [ RIP ルート] チェック ボックスをオンにして、リップルートをエクスポートします。

  手記：

  リップルートをエクスポートできるのは、[ルーティング トポロジー(Routing Topology)] が [OSPF 動的ルーティング(OSPF Dynamic Routing)] の場合のみです。

• OSPF ルートをエクスポートするには、「 OSPF ルート 」チェック・ボックスを選択します。

  手記：

  OSPFルートをエクスポートできるのは、ルーティングトポロジーがRIP動的ルーティングの場合のみです。

  OSPF または RIP エクスポートを選択すると、VPN ネットワーク外の OSPF または RIP リップルートは、OSPF または RIP ダイナミック ルーティング プロトコルを介して VPN ネットワークにインポートされます。

OSPFエリア

このVPNのトンネルインターフェイスを設定する必要がある0〜4,294,967,295の範囲でOSPFエリアIDを選択します。

これは、ルーティングトポロジーがOSPF-Dynamic Routingである場合に適用されます。

最大再送信時間

再送信タイマーを選択して、RIP デマンド回線が応答しないピアに更新メッセージを再送する回数を制限します。設定した再送信の閾値に達すると、ネクストホップルーターからのルートは到達不能とマークされ、ホールドダウンタイマーが開始します。このタイマーを有効にするには、一対の RIP デマンド回線を設定する必要があります。

再送信の範囲は 5 秒から 180 秒で、デフォルト値は 50 秒です。

AS番号

自律システム(AS)に割り当てる一意の番号を選択します。AS番号は自律システムを識別し、システムが外部ルーティング情報を隣接する他の自律システムと交換できるようにします。有効な範囲は 0 から 4294967295 です。

保護されたネットワーク

選択したデバイスのアドレスまたはインターフェイス タイプを設定して、ネットワークの 1 つのエリアを他のエリアから保護します。

動的ルーティングプロトコルを選択すると、インターフェイスオプションが表示されます。

IKE バージョン

IPsecの動的セキュリティアソシエーション(SA)のネゴシエーションに使用するIKEバージョン(V1またはV2)を選択します。デフォルトでは、IKE V2が使用されます。

モード

IKE ポリシー モードを選択します。

• Main—3 つのピアツーピア交換で 6 つのメッセージを使用して、IKE SA を確立します。この3つのステップには、IKE SAネゴシエーション、Diffie-Hellman交換、およびピアの認証が含まれます。ID 保護も提供します。

• アグレッシブ:メイン モードの半分のメッセージ数を取り、ネゴシエーション能力が弱く、ID 保護は提供されません。

暗号化アルゴリズム

適切な暗号化メカニズムを選択します。

認証アルゴリズム

アルゴリズムを選択します。デバイスはこのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。

デフィー・ヘルマン・グループ

グループを選択します。Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。

ライフタイム-秒

有効期間を選択します.有効な範囲は 180(SA)の有効期間を選択します。有効範囲は 180 秒から 86,400 秒です。

デッド ピアの検出

を有効にすると、2 つのゲートウェイが、ピア ゲートウェイが起動していて、IPsec 確立中にネゴシエートされたデッド ピア検出(DPD)メッセージに応答しているかどうかを判断できます。

DPD モード

DPDモードを選択します。

• [最適化(Optimized)]:デバイスがピアに発信パケットを送信した後、設定された間隔内に IKE または IPsec トラフィックがない場合、R-U-THERE メッセージがトリガーされます。これはデフォルトのモードです。

• プローブアイドルトンネル:設定された間隔内に着信または発信IKEまたはIPsec トラフィックがない場合、R-U-THEREメッセージがトリガーされます。R-U-THERE メッセージは、トラフィック アクティビティがあるまで、ピアに定期的に送信されます。

• Always-send:R-U-THERE メッセージは、ピア間のトラフィック アクティビティに関係なく、設定された間隔で送信されます。

DPD 間隔

検出メッセージを送信する間隔を秒単位で選択しを送信する間隔を秒単位で選択します。デフォルトの間隔は 10 秒で、許容範囲は 2 秒から 60 秒です。

DPD しきい値

失敗 DPD しきい値を選択します。これは、ピアからの応答がない場合に DPD メッセージを送信しなければならない最大回数を指定します。デフォルトの送信回数は 5 回で、許容範囲は 1 から 5 です。

一般的な IKE ID

このオプションを有効にすると、ピアIKE IDが受け入れられます。このオプションはデフォルトで無効になっています。[General IKE ID] が有効になっている場合、[IKE ID] オプションは自動的に無効になります。

IKEv2再認証

再認証の頻度を選択します。再認証の頻度を 0 に設定することで、再認証を無効にできます。

範囲は 0 から 100 です。

IKEv2 Re フラグメント化のサポート

IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。

IKEv2 再フラグメント サイズ

メッセージがフラグメント化されるパケットのサイズを選択します。デフォルトでは、IPv4 のサイズは 576 バイトです。

範囲は 570 から 1320 です。

IKE ID

次のいずれかを選択します。

• 何一つ

• 識別名

• ホスト名

• IPv4アドレス

• メルアド

IKE ID は、[General IKE ID] が無効になっている場合にのみ適用されます。

NAT-T

動的エンドポイントがNATデバイスの背後にある場合は、ネットワークアドレス変換トラバーサル(NAT-T)を有効にします。

キープアライブ

値を選択します。NATキープアライブは、VPNピア間の接続中にNAT変換を維持するために必要です。範囲は 1 から 300 秒からです。

議定書

VPNを確立するために必要なプロトコルを選択します。

• ESP—ESP(セキュリティ ペイロードのカプセル化)プロトコルが、暗号化と認証の両方を提供します。

• AH—AH(認証ヘッダー)プロトコルは、データの整合性とデータ認証を提供します。

暗号化アルゴリズム

必要な暗号化方式を選択します。

これは、プロトコルが ESP の場合に適用されます。

認証アルゴリズム

アルゴリズムを選択します。デバイスは、これらのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。

完全転送機密保持

デバイスが暗号化キーの生成に使用する方法として、Perfect Forward Secrecy(PFS)を選択します。PFSは、新しい暗号化キーを以前のキーとは独立して生成します。番号が大きいほどセキュリティは高くなりますが、処理時間が長くなります。

トンネルの確立

IKE をいつアクティブにするかを指定するオプションを選択します。

• [即時(Immediately)]:vpn 設定の変更がコミットされた直後に IKE がアクティブになります。

• オントラフィック—IKEは、データトラフィックフロー時にのみアクティブになり、ピア ゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。

VPN モニター

このオプションを有効にすると、Internet Control Message Protocol(ICMP)を送信してVPNが稼働しているかどうかを判別できます。

最適化

VPN監視の最適化が有効になっている場合、SRXシリーズデバイスは、VPNトンネルを介して、設定されたピアからの発信トラフィックがあり、受信トラフィックがない場合にのみ、ICMPエコー要求(ping)を送信します。VPNトンネルを通過する受信トラフィックがある場合、SRXシリーズデバイスはトンネルがアクティブであると見なし、ピアにpingを送信しません。

アンチリプレイ

デフォルトでは、アンチリプレイ検出は有効になっています。IPsec は、IPsec パケットに組み込まれた一連の番号を使用することで VPN 攻撃から保護します。システムは、同じシーケンス番号をすでに確認しているパケットを受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを強制します。IPsec メカニズムでエラーが発生し、パケットの順序が乱れ、適切な機能が妨げられる場合は、無効にします。

インストール間隔

キーを再設定したアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。

アイドル時間

適切なアイドル時間間隔を選択します。通常、セッションとそれに対応する変換は、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。

DF ビット

IP メッセージの DF(Don't Fragment)ビットを処理するオプションを選択します。

• [クリア(Clear)]:IP メッセージからの DF ビットを無効にします。これがデフォルトです。

• コピー—IP メッセージに DF ビットをコピーします。

• [設定(Set)]:IP メッセージの DF ビットを有効にします。

外部 DSCP をコピー

外部 IP ヘッダー暗号化パケットから復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージへの差別化されたサービス コード ポイント(DSCP)フィールドのコピーを有効にします。この機能を有効にするメリットは、IPsec 復号化後、クリア テキスト パケットが内部 CoS(サービス クラス)ルールに従うことができることです。

存続期間の秒数

有効期間を選択します.有効な範囲は 180(SA)の有効期間を選択します。有効範囲は 180 秒から 86,400 秒です。

ライフタイム キロバイト

IPsec セキュリティ アソシエーション(SA)の有効期間(キロバイト単位)を選択します。範囲は 64 から 4294967294 キロバイトからです。