ハブアンドスポーク(スポークによる確立)VPNの作成と管理
ハブアンドスポーク(スポークによる確立)VPNの作成
ハブアンドスポーク(スポークによる確立)VPNは、IPsec VPNの導入モデルであり、ハブが接続を事前設定または開始するのではなく、スポークがハブへのVPNトンネルを開始および確立します。ハブは、ルーティングとポリシー適用の中心点として機能します。スポークはハブを介して相互に通信します。
始める前に
-
IPSec VPNの概要とフィールドの説明を見て、現在のデータセットを理解します。 「IPsec VPN の概要」を参照してください。
-
アドレスとアドレスセットを作成します。 アドレスまたはアドレスグループの作成と管理を参照してください。
-
VPNプロファイルを作成します。 「VPNプロファイルの作成と管理」を参照してください。
ハブアンドスポーク(スポークによる確立)VPNを作成するには:
一般設定
| フィールド |
アクション |
|---|---|
| 名前 |
スペースを含まない最大63文字の英数字からなる一意の文字列を入力します。 文字列には、コロン、ピリオド、ダッシュ、アンダースコアを含めることができます。 |
| 説明 |
VPNの説明を最大255文字で入力します。 |
| ルーティングトポロジー |
トンネル インターフェイス アドレス設定に基づいて、IPv4 の OSPFv2 設定または IPv6 の OSPFv3 設定を生成するには、OSPF 動的ルーティングを選択します。 |
| VPNプロファイル |
導入シナリオに基づいてVPNプロファイルを選択します。
|
| 認証方法 |
デバイスがIKEメッセージのソースを認証するために使用する認証方法を選択します。
|
| 最大伝送ユニット |
最大送信単位(MTU)をバイト単位で選択します。 MTUは、IPsecオーバーヘッドを含むIPパケットの最大サイズを定義します。トンネルエンドポイントのMTU値を指定できます。有効範囲は68〜9192バイトで、デフォルト値は1500バイトです。 |
| ネットワークIP |
番号付きトンネルインターフェイスのIPv4またはIPv6アドレスを入力します。 これは、トンネルインターフェイスにIPアドレスが自動的に割り当てられるサブネットアドレスです。 |
デバイス設定
VPNにエンドポイントとしてデバイスを追加します。選択したデバイスがMNHAペアの一部である場合、必要に応じて1つまたは両方を選択して、デバイスを個別に追加できます。
デバイスを追加するには:
-
追加をクリックし、ハブデバイス、スポークデバイス、エクストラネットスポークデバイスのいずれかをクリックします。
デバイスの追加ページが表示されます。
- 表2の説明に従ってデバイスパラメーターを設定します。
- OKをクリックします。
| フィールド |
アクション |
|---|---|
| デバイス |
物理デバイスを選択します。 |
| 外部インターフェース |
IKEセキュリティアソシエーション(SA)の発信インターフェイスを選択します。このインターフェイスは、キャリアとして機能するゾーンに関連付けられ、ファイアウォールセキュリティを提供します。 |
| トンネルゾーン |
トンネルゾーンを選択します。 トンネルゾーンは、カプセル化前とカプセル化後のIPsecトラフィックに対するNATアプリケーションの動的IP(DIP)アドレスプールをサポートできるアドレス空間の論理エリアです。トンネルゾーンでは、トンネルインターフェイスとVPNトンネルを柔軟に組み合わせることができます。 |
| メトリック |
ネクストホップのアクセスルートのコストを指定します。 |
| ルーティングインスタンス |
必要なルーティングインスタンスを選択します。 |
| 証明書 |
証明書を選択して、仮想プライベートネットワーク(VPN)の開始者と受信者を認証します。 これは、以下のいずれかのシナリオに適用されます。
|
| 信頼できるCA/グループ |
ローカル証明書に関連付けるCAプロファイルを選択します。 これは、以下のいずれかのシナリオに適用されます。
|
| エクスポート |
エクスポートするルートのタイプを選択します。
OSPFまたはRIPエクスポートを選択した場合、VPNネットワーク外のOSPFまたはRIPルートは、OSPFまたはRIPダイナミックルーティングプロトコルを介してVPNネットワークにインポートされます。 |
| OSPFエリア |
このVPNのトンネルインターフェイスを設定する必要がある0〜4,294,967,295の範囲内のOSPFエリアIDを選択します。 OSPFエリアIDは、ルーティングトポロジーがOSPF動的ルーティングである場合に適用できます。 |
| 保護されたネットワーク |
選択したデバイスのアドレスまたはインターフェイスタイプを設定して、ネットワークの1つの領域を他の領域から保護します。 動的ルーティングプロトコルが選択されている場合、インターフェイスオプションが表示されます。 [ 新しいアドレスを追加]をクリックしてアドレスを作成することもできます。 |
VPNプロファイル設定
VPNプロファイルを表示または編集するには、 VPNプロファイル設定を表示 をクリックします。VPNプロファイルがデフォルトである場合、設定を編集できます。プロファイルが共有されている場合、設定のみを表示できます。
| フィールド |
アクション |
|---|---|
| IKE設定 | |
| IKEバージョン |
IPsecの動的セキュリティアソシエーション(SA)のネゴシエーションに使用する、必要なIKEバージョン(V1またはV2)を選択します。 デフォルトでは、IKE V2が使用されます。 |
| モード |
IKEポリシーモードを選択します。
モードは、IKEバージョンがV1の場合に適用されます。 |
| 暗号化アルゴリズム |
適切な暗号化メカニズムを選択します。 |
| 認証アルゴリズム |
デバイスがパケットの真正性と整合性を検証するために使用するアルゴリズムを選択します。 |
| Deffie Hellmanグループ |
Diffie-Hellman(DH)グループを選択して、鍵交換プロセスで使用される鍵の強度を判断します。 |
| ライフタイム秒 |
IKEセキュリティアソシエーション(SA)の有効期間を選択します。 有効な範囲は180〜86400秒です。 |
| デッドピアの検出 |
このオプションを有効にすると、2つのゲートウェイがピアゲートウェイが稼働しているかどうかを判断し、IPsec確立中にネゴシエートされたDPD(デッドピア検出)メッセージに応答できます。 |
| DPDモード |
DPDモードを選択します。
|
| DPD間隔 |
デッドピア検出メッセージを送信する間隔を秒単位で選択します。 デフォルトの間隔は10秒で、有効範囲は2〜60秒です。 |
| DPDしきい値 |
失敗DPDしきい値を選択します。 ピアから応答がない場合にDPDメッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は5回で、有効範囲は1〜5です。 |
| 詳細な設定 | |
| 一般的な IKE ID |
ピアIKE IDを受け入れるには、このオプションを有効にします。 このオプションはデフォルトでは無効になっています。一般 IKE ID が有効になっている場合、IKE ID オプションは自動的に無効になります。 |
| IKEv2再認証 |
再認証の頻度を選択します。再認証は、再認証の頻度を0に設定することで無効にできます。 有効な範囲は 0 から 100 です。 |
| IKEv2再フラグメント化のサポート |
このオプションを有効にすると、大きなIKEv2メッセージが小さなメッセージに分割され、IPレベルでフラグメント化が発生しません。 |
| IKEv2再フラグメントサイズ |
メッセージをフラグメント化するパケットのサイズを選択します。 IPv4のデフォルトサイズは576バイトで、有効範囲は570〜1320です。 |
| IKE ID |
以下のオプションのいずれかを選択します。
IKE ID は、一般 IKE ID が無効になっている場合にのみ適用されます。 |
| NAT-T |
動的エンドポイントがNATデバイスの背後にある場合、NAT-T(ネットワークアドレス変換トラバーサル)を有効にします。 |
| キープアライブ |
接続を継続させる期間を秒単位で選択します。 NATキープアライブは、VPNピア間の接続中にNAT変換を維持するために必要です。 有効な範囲は1〜300秒です。 |
| IPsec設定 | |
| プロトコル |
VPNを確立するために必要なプロトコルを選択します。
|
| 暗号化アルゴリズム |
暗号化方法を選択します。 これは、プロトコルがESPの場合に適用されます。 |
| 認証アルゴリズム |
パケットの真正性と整合性を検証するためにデバイスが使用する必要があるアルゴリズムを選択します。 |
| 完全転送機密保持 |
デバイスが暗号化キーを生成するために使用する方法として、Perfect Forward Secrecy(PFS)を選択します。 PFSは、以前の鍵とは独立して新しい暗号化キーを生成します。グループ番号が高いほどセキュリティも高くなりますが、処理時間が長くなります。 |
| トンネルを確立 |
IKEをアクティブにするタイミングを指定します。
|
| 詳細な設定 | |
| VPN監視 |
このオプションを有効にすると、Internet Control Message Protocol(ICMP)を送信して、VPNが稼働しているかどうかを確認できます。 |
| 最適化済み |
このオプションを有効にすると、VPN監視を最適化し、設定済みのピアから発信トラフィックがあり、VPNトンネルを介して受信トラフィックがない場合にのみ、ICMPエコー要求(pingとも呼ばれます)を送信するようにSRXシリーズファイアウォールを構成します。 VPNトンネルを介して受信トラフィックがある場合、SRXシリーズファイアウォールはそのトンネルをアクティブであると見なし、ピアにpingを送信しません。 |
| リプレイ防止 |
IPsecメカニズムに対してこのオプションを有効にすると、IPsecパケットに組み込まれている一連の番号を使用するVPN攻撃から保護します。 IPsecは、同じシーケンス番号をすでに確認しているパケットは受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを実施します。 IPsecメカニズムにエラーがあり、順序外れのパケットが発生し、適切な機能が妨げられる場合は、このオプションを無効にします。 デフォルトでは、アンチリプレイ検出は有効になっています。 |
| インストール間隔 |
キー更新されたアウトバウンドセキュリティアソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。 |
| アイドル時間 |
適切なアイドル時間間隔を選択します。 セッションとそれに対応する変換は、トラフィックを受信しない場合、通常一定期間後にタイムアウトします。 |
| DFビット |
IPメッセージのDon't Fragment(DF)ビットを処理する方法を選択します。
|
| 外部DSCPをコピー |
このオプションを有効にすると、復号化中に外側のIPヘッダーで暗号化されたパケットから内側のIPヘッダーのプレーンテキストメッセージにDifferentiated Services Code Point(DSCP)フィールドがコピーされます。 この機能を有効にするメリットは、IPsec暗号化解除後、クリアテキストパケットが内部のサービスクラス(CoS)ルールに従うことです。 |
| ライフタイム秒 |
IKEセキュリティアソシエーション(SA)の有効期間を秒単位で選択します。 有効な範囲は180〜86400秒です。 |
| ライフタイムキロバイト数 |
IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。 有効な範囲は64〜4294967294キロバイトです。 |
ハブアンドスポーク(スポークによる確立)VPNの管理
-
編集—IPsec VPNを選択し、鉛筆アイコン(
)をクリックします。IPsec VPNを編集した後、展開してデバイス上に設定を適用する必要があります。 削除のマークが付けられているIPsec VPNは編集できません。
-
削除—IPsec VPNを選択し、ゴミ箱アイコン(
)をクリックします。画面の指示に従います。現時点では、IPsec VPNは関連するデバイスから削除されていません。デバイスから削除するには、IPsec VPNを再展開する必要があります。削除がマークされたIPsec VPNを元に戻すには、ステータス列のフラグにカーソルを合わせ、 削除の取り消しを選択します。IPsec VPNのステータスは以前のステータスに戻ります。
-
特定のデバイスからハブアンドスポークIPsec VPNを削除—IPsec VPNを選択し、鉛筆アイコン(
)をクリックします。デバイスセクションで削除するスポークを選択し、ゴミ箱アイコン()をクリックします。画面の指示に従います。VPNを展開して、スポークからVPNを削除します。IPSec VPNを編集し、デバイスを再度追加することで、変更を元に戻すことができます。複数のスポークとエクストラネットデバイスを備えたハブアンドスポークIPsec VPNでは、スポークを削除してVPNを再導入することで、特定のスポークからVPNを削除できます。ただし、エクストラネットデバイスであるスポークを削除した場合、 Juniper Security Director Cloud はデバイスを管理しないため、デバイス設定はVPNハブからのみ削除されます。
ハブアンドスポークIPsec VPNに少なくとも1つのスポークを保持する必要があります。これがなければ、編集したVPNを保存することはできません。