Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

IPSec VPNの概要

IPSec VPN は、インターネットなどのパブリック WAN を介してリモート コンピューターと安全に通信する手段を提供します。VPN 接続は、サイトツーサイト VPN またはリモートのダイヤルアップ ユーザーと LAN を使用して 2 つの LAN をリンクできます。これら 2 つのポイント間を流れるトラフィックは、パブリック WAN を構成するルーター、スイッチ、その他のネットワーク機器などの共有リソースを介して渡されます。WAN を通過する VPN 通信を保護するには、IPsec トンネルを作成する必要があります。

Juniper Security Director Cloud は、IPsec VPNの管理と導入を簡素化します。一般に、多数のSRXシリーズファイアウォールにVPNを展開する場合、VPN構成は面倒で繰り返しが多くなります。 Juniper Security Director Cloudでは、VPNプロファイルを使用して共通の設定をグループ化し、複数のSRXシリーズファイアウォールにまたがる複数のVPNトンネル構成にプロファイルを適用できます。サイトツーサイトおよびハブアンドスポーク方式のVPNを導入できます。 Juniper Security Director Cloud は、必要な導入シナリオを決定し、すべてのSRXシリーズファイアウォールに必要な設定を公開します。

Juniper Security Director Cloud は、SRXシリーズファイアウォール上でポリシーベースおよびルートベースのIPsec VPNをサポートします。ポリシーベースのVPNは、2つのエンドポイントを設定するサイト間展開でのみサポートされます。SRXシリーズファイアウォールが2台以上ある場合は、ルートベースVPNの方が柔軟性と拡張性に優れています。支社と本社の間でデータを安全に転送できるようにするには、ポリシーベースまたはルートベースのIPSec VPNを設定します。エンタープライズクラスの導入では、ハブアンドスポーク方式のIPSec VPNを設定します。

ルートベーストンネルモードは、次の場合に使用します。

  • 参加ゲートウェイはジュニパーネットワークス製品です。

  • トラフィックがVPNを通過する際には、送信元NATまたは宛先NATのいずれかが発生する必要があります。

  • VPNルーティングには、動的ルーティングプロトコルを使用する必要があります。

  • セットアップには、プライマリVPNとバックアップVPNが必要です。

ポリシーベースのトンネルモードは、次の場合に使用します。

  • リモート VPN ゲートウェイは、ジュニパーネットワークス以外のデバイスです。

  • VPNへのアクセスは、特定のアプリケーショントラフィックに対して制限する必要があります。

ポリシーベースまたはルートベースのIPSec VPNを作成すると、リプレゼンテーションのトポロジーが表示されます。アイコンをクリックして、リモートゲートウェイを設定する必要があります。

手記:

  • Juniper Security Director Cloud は、各論理システムを他のセキュリティデバイスと同様に認識し、論理システムのセキュリティ設定の所有権を取得します。 Juniper Security Director Cloudでは、各論理システムは固有のセキュリティデバイスとして管理されます。

  • Juniper Security Director Cloud は、トンネル インターフェイスがデバイスの個々の論理システムにのみ割り当てられるようにします。トンネル インターフェイスは、同一デバイスの複数の論理システムに割り当てられません。

  • Juniper Security Director Cloud は、VPNover Point-to-Point Protocol over Ethernet(PPPoE)をサポートしていません。

IPSec VPNトポロジー

次のIPsec VPNがサポートされています。

  • サイト間VPN:企業内の2つのサイトを相互に接続し、サイト間の安全な通信を可能にします。

    図 1:サイト間 VPN Site-to-Site VPN

  • ハブアンドスポーク(すべてのピアを確立):企業ネットワーク内の支社と本社を接続します。このトポロジーを使用し、ハブ経由でトラフィックを送信することで、スポーク同士を接続することもできます。

    図 2:ハブアンドスポーク(すべてのピアを確立) Hub-and-Spoke (establishment all peers)

  • ハブアンドスポーク(スポークによる確立)—Auto-VPNは、ハブと呼ばれるIPSec VPNアグリゲータをサポートし、スポークと呼ばれるリモートサイトへの複数のトンネルの単一の終端ポイントとして機能します。Auto-VPN を使用すると、ネットワーク管理者は、現在および将来のスポークのハブを設定できます。スポーク デバイスが追加または削除されても、ハブの構成を変更する必要がないため、管理者は大規模なネットワーク展開を柔軟に管理できます。

    図 3:ハブアンドスポーク(スポークによる確立) Hub-and-Spoke (establishment by spokes)

  • ハブアンドスポーク(自動検出 VPN):自動検出 VPN(ADVPN)は、中央ハブが 2 つのスポーク間のトラフィックのより良いパスをスポークに動的に通知できるようにするテクノロジーです。両方のスポークがハブからの情報を確認すると、スポークはショートカット トンネルを確立し、ハブ経由でトラフィックを送信せずに反対側に到達するようにホストのルーティング トポロジーを変更します。

    図 4:ハブアンドスポーク(自動検出 VPN) Hub-and-Spoke (Auto Discovery VPN)

  • リモートアクセスVPN(Juniper Secure Connect)—Juniper Secure Connectは、ユーザーがインターネットを使用して企業ネットワークやリソースにリモートで接続するためのセキュアなリモートアクセスを提供します。Juniper Secure Connectは、SRXサービスデバイスから設定をダウンロードし、接続確立時に最も効果的なトランスポートプロトコルを選択します。

    図5:リモートアクセスVPN(Juniper Secure Connect) Remote Access VPN (Juniper Secure Connect)

フィールドの説明 - [IPsec VPN] ページ

表 1:IPSec VPN メイン ページのフィールド

形容

名前

IPSec VPNの名前。

形容

IPSec VPNの説明。

VPN トポロジ

サイトツーサイト、ハブアンドスポークVPN、リモートアクセスVPNなど、IPSec VPNの導入トポロジーのタイプ。

プロファイル タイプ

[インライン プロファイル(Inline Profile)] や [共有プロファイル(Shared Profile)] などの VPN プロファイルのタイプ。

プロファイル名

VPN プロファイルの名前。

このプロファイルでは、2 つのサイト間の VPN 接続を確立するために、セキュリティ パラメーターが定義されます。

トンネルモード

ルートベースやポリシーベースなどのトンネルモード。

構成状態

IPSec VPN の構成状態。

地位

vpn 設定の公開状態を表示します。

デバイスの設定を更新する前に、VPN の設定を確認できます。

  • [展開保留中(Deploy pending)]:VPN は作成されますが、展開されていません。
  • [スケジュールされた展開(Deploy scheduled)]:VPN の展開がスケジュールされます。
  • [展開中(Deploy in-progress)]:VPN の展開が進行中です。
  • [展開成功(Deploy successful)]:VPN に関連するすべてのデバイスに設定が展開されます。
  • [再展開が必要(Redeploy required)]:展開後に vpn 設定が変更されます。
  • [展開に失敗しました(Deploy failed)]:VPN の展開に失敗しました。

作成者

IPSec VPNを作成したユーザーのメールアドレス。