Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ハブアンドスポーク(確立されたすべてのピア)VPNの作成と管理

ハブアンドスポーク(確立されたすべてのピア)VPNの作成

ハブアンドスポーク(すべてのピアの確立)は、すべてのピア(ハブとスポーク)がハブを介して相互にトンネルを確立するルートベースのIPsec VPNトポロジーです。ハブはメイン制御ポイントとして機能します。すべてのスポーク間通信はハブを介してルーティングされます。

始める前に

ハブアンドスポーク(すべてのピアを確立)VPNを作成するには:

  1. IPsec VPN管理>IPsec VPN>セキュリティを選択します。

    IPsec VPNページが表示されます。

  2. Create > Route Based - Hub and Spoke (Establishment All Peers)をクリックします。

    ハブアンドスポーク(確立されたすべてのピア)VPNの作成ページが表示されます。

  3. 以下のガイドラインに従ってVPN設定を完了します。

    • 表1 - 一般設定

    • 表2 - デバイス設定

    • 表3 - VPNプロファイル設定

    VPN接続は、トポロジーの灰色から青色の線に変化し、設定が完了していることを示します。ハブアンドスポークに表示されるトポロジーは単なる表示です。最大1つのハブを設定できます。

  4. 「保存」をクリックします。

    IPsec VPNページが表示されます。

  5. VPNポリシーを選択し、展開をクリックします
    VPNの展開ページが表示されます。
  6. 以下のいずれかを選択します。

    • 後で スケジュールし、設定を後で公開します。

    • 今すぐ実行して、 設定をすぐに適用します。

  7. 更新をクリックします
    影響を受けるデバイスページには、ポリシーが公開されるデバイスが表示されます。

一般設定

表1:一般設定

フィールド

アクション

名前

スペースを含まない最大63文字の英数字からなる一意の文字列を入力します。

文字列には、コロン、ピリオド、ダッシュ、アンダースコアを含めることができます。

説明

VPNの説明を最大255文字で入力します。

ルーティングトポロジー

以下のオプションのいずれかを選択します。

  • トラフィックセレクター(自動ルート挿入)—トラフィックセレクターは、指定されたローカルアドレスとリモートアドレスのペアに一致する場合に、トンネルを通過するトラフィックを許可するためのIKEピア間の合意です。

  • 静的ルーティング—保護されたネットワークに基づいて静的ルーティングを生成します。

  • OSPF動的ルーティング—トンネルインターフェイスアドレス設定に基づいて、IPv4のOSPFv2設定またはIPv6のOSPFv3設定を生成します。

  • RIP動的ルーティング—トンネルインターフェイスアドレス設定に基づいて、IPv4のRIP設定またはIPv6のRIPng設定を生成します。

  • eBGP動的ルーティング—IPv4とIPv6の両方のeBGP設定を生成します。

VPNプロファイル

導入シナリオに基づいてVPNプロファイルを選択します。

  • インラインプロファイルは、特定のIPsec VPNにのみ適用可能です。VPNの作成ページでVPN プロファイル設定を表示 をクリックすると、詳細を表示および編集できます。

  • 共有プロファイルは、1つ以上のIPsec VPNで使用できます。共有プロファイルの詳細を表示するには、 VPNプロファイル設定を表示をクリックする必要があります。

認証方法

デバイスがIKEメッセージのソースを認証するために使用する認証方法を選択します。

  • 事前共有ベース—2つのピア間で共有された秘密キーである事前共有キーが、認証中にピアを相互に識別するために使用されることを指定します。各ピアに対して同じキーを設定する必要があります。

  • RSA-Signatures—暗号化とデジタル署名をサポートする公開キーアルゴリズムが使用されていることを指定します。

  • DSA-Signatures—デジタル署名アルゴリズム(DSA)が使用されていることを指定します。

  • ECDSA-Signatures-256—連邦情報処理標準(FIPS)デジタル署名標準(DSS)186-3に規定されている256ビット楕円曲線secp256r1を使用する楕円曲線DSA(ECDSA)が使用されていることを指定します。

  • ECDSA-Signatures-384—FIPS DSS 186-3に指定されている384ビット楕円曲線secp384r1を使用するECDSAが使用されていることを指定します。

最大伝送ユニット

最大送信単位(MTU)をバイト単位で選択します。

MTUは、IPsecオーバーヘッドを含むIPパケットの最大サイズを定義します。トンネルエンドポイントのMTU値を指定できます。有効な範囲は68〜9192バイトです。デフォルト値は1500バイトです。

事前共有キー

事前共有キーを使用してVPN接続を確立します。これは本質的に両方の当事者にとって同じパスワードです。

事前共有鍵は、認証方法が事前共有ベースの場合にのみ適用されます。

使用する事前共有キーのタイプを選択します。

  • 自動生成—トンネルごとに一意のキーを自動的に生成する場合に選択します。選択すると、トンネルごとに固有のキーを生成オプションが自動的に有効になります。トンネルごとに固有のキーを生成オプションを無効にすると、 Juniper Security Director Cloud はすべてのトンネルに対して単一のキーを生成します。

  • 手動—選択すると、キーを手動で入力します。デフォルトでは、手動キーはマスクされています。手動キーのマスクを解除するには、マスク解除アイコンを選択します。

ネットワークIP

番号付きトンネルインターフェイスのIPv4またはIPv6アドレスを入力します。

これは、トンネルインターフェイスにIPアドレスが自動的に割り当てられるサブネットアドレスです。

トンネルインターフェイスごとのスポークデバイス数

すべてを選択するか、ハブ上の1つのトンネルインターフェイスを共有するスポークデバイスの数を指定します。

デバイス設定

VPNにエンドポイントとしてデバイスを追加します。選択したデバイスがMNHAペアの一部である場合、必要に応じて1つまたは両方を選択して、デバイスを個別に追加できます。

デバイスを追加するには:

  1. 追加をクリックしハブデバイススポークデバイスエクストラネットスポークデバイスのいずれかをクリックします。

    デバイスの追加ページが表示されます。

  2. 表2の説明に従ってデバイスパラメーターを設定します。
  3. OKをクリックします。
表2:デバイス設定を追加する

フィールド

アクション

デバイス

デバイスを選択します。

外部インターフェース

IKEセキュリティアソシエーション(SA)の発信インターフェイスを選択します。

このインターフェイスは、キャリアとして機能するゾーンに関連付けられ、ファイアウォールセキュリティを提供します。

トンネルゾーン

トンネルゾーンを選択します。

トンネルゾーンは、カプセル化前とカプセル化後のIPsecトラフィックに対するNATアプリケーションの動的IP(DIP)アドレスプールをサポートできるアドレス空間の論理エリアです。トンネルゾーンでは、トンネルインターフェイスとVPNトンネルを柔軟に組み合わせることができます。

メトリック

ネクストホップのアクセスルートのコストを指定します。

ルーティングインスタンス

必要なルーティングインスタンスを選択します。

証明書

証明書を選択して、VPNイニシエータと受信者を認証します。

これは、以下のいずれかのシナリオに適用されます。

  • VPNプロファイルは、RSAプロファイルまたはADVPNプロファイルです。

  • 認証方法は、RSA-Signatures、DSA-Signatures、ECDSA-Signatures-256、またはECDSA-Signatures-384です。

信頼できるCA/グループ

ローカル証明書に関連付けるCAプロファイルを選択します。

これは、以下のいずれかのシナリオに適用されます。

  • VPNプロファイルは、RSAプロファイルまたはADVPNプロファイルです。

  • 認証方法は、RSA-Signatures、DSA-Signatures、ECDSA-Signatures-256、またはECDSA-Signatures-384です。

エクスポート

エクスポートするルートのタイプを選択します。

  • 静的ルートをエクスポートするには、 静的ルート チェックボックスを選択します。

    Juniper Security Director Cloud では、管理者がトンネルを介してリモートサイトに静的ルートをエクスポートできるようにすることで、VPNアドレスの管理を簡素化し、静的ルートネットワークをVPNに参加させることができます。ただし、デバイス側に静的なデフォルトルートをエクスポートできるのはハブ側のデバイスだけです。スポーク側のデバイスは、トンネルを介して静的なデフォルトルートをエクスポートすることはできません。

    eBGP動的ルーティングでは、スタティックルートチェックボックスがデフォルトで選択されています。

  • RIPルートチェックボックスを選択して、IPv4のRIPルートまたはIPv6のRIPngルートをエクスポートします。

    RIPルートをエクスポートできるのは、ルーティングトポロジーがOSPF動的ルーティングである場合だけです。

  • OSPFルートチェックボックスを選択して、IPv4のOSPFv2ルートまたはIPv6のOSPFv3ルートをエクスポートします。

    ルーティングトポロジーがRIP動的ルーティングである場合にのみ、OSPFルートをエクスポートできます。

OSPFまたはRIPエクスポートを選択した場合、VPNネットワーク外のOSPFまたはRIPルートは、OSPFまたはRIPダイナミックルーティングプロトコルを介してVPNネットワークにインポートされます。

OSPFエリア

このVPNのトンネルインターフェイスを設定する必要がある0〜4,294,967,295の範囲内のOSPFエリアIDを選択します。

OSPFエリアIDは、ルーティングトポロジーがOSPF動的ルーティングである場合に適用できます。

最大再送信時間

再送信タイマーを選択して、RIPデマンドサーキットが応答していないピアに更新メッセージを再送信する回数を制限します。

設定された再送信しきい値に達すると、ネクストホップルーターからのルートは到達不能としてマークされ、ホールドダウンタイマーが開始されます。このタイマーを有効にするには、RIPデマンド回線のペアを設定する必要があります。

再送信範囲は5〜180秒です。デフォルト値は50秒です。

このオプションは、ルーティングトポロジーがRIP動的ルーティングである場合にのみ適用されます。

AS番号

自律システム(AS)に割り当てる一意の番号を選択します。

AS番号は自律システムを識別し、システムが他の隣接する自律システムと外部のルーティング情報を交換できるようにします。有効な範囲は0〜4294967295です。

AS番号は、ルーティングトポロジーがe-BGP動的ルーティングである場合にのみ適用されます。

保護されたネットワーク

選択したデバイスのアドレスまたはインターフェイスタイプを設定して、ネットワークの1つの領域を他の領域から保護します。

動的ルーティングプロトコルが選択されている場合、インターフェイスオプションが表示されます。

[ 新しいアドレスを追加]をクリックしてアドレスを作成することもできます。

VPNプロファイル設定

VPNプロファイルを表示または編集するには、 VPNプロファイル設定を表示 をクリックします。VPNプロファイルがデフォルトである場合、設定を編集できます。プロファイルが共有されている場合、設定のみを表示できます。

表3:VPNプロファイル設定

フィールド

アクション
IKE設定

IKEバージョン

IPsecの動的セキュリティアソシエーション(SA)のネゴシエーションに使用する、必要なIKEバージョン(V1またはV2)を選択します。

デフォルトでは、IKE V2が使用されます。

モード

モードは、IKEバージョンがV1の場合に適用されます。

IKEポリシーモードを選択します。

  • メイン—3つのピアツーピア交換で6つのメッセージを使用して、IKE SAを確立します。これらの3つのステップには、IKE SAネゴシエーション、Diffie-Hellman交換、ピアの認証が含まれます。このモードはID保護も提供します。

  • アグレッシブ—メインモードのメッセージ数が半分になり、ネゴシエーション力が低下し、ID保護を提供しません。

暗号化アルゴリズム

適切な暗号化メカニズムを選択します。

認証アルゴリズム

パケットの真正性と整合性を検証するためにデバイスが使用する必要があるアルゴリズムを選択します。

Deffie Hellmanグループ

Diffie-Hellman(DH)グループを選択して、鍵交換プロセスで使用される鍵の強度を判断します。

ライフタイム秒

IKEセキュリティアソシエーション(SA)の有効期間を選択します。

有効な範囲は180〜86400秒です。

デッドピアの検出

このオプションを有効にすると、2つのゲートウェイがピアゲートウェイが稼働しているかどうかを判断し、IPsec確立中にネゴシエートされたDPD(デッドピア検出)メッセージに応答できます。

DPDモード

DPDモードを選択します。

  • 最適化:R-U-THEREメッセージは、デバイスが発信パケットをピアに送信した後、設定された間隔内にIKEまたはIPsecトラフィックが受信しない場合にトリガーされます。これはデフォルトモードです。

  • プローブアイドルトンネル: R-U-THEREメッセージは、設定された間隔内に着信または発信IKEまたはIPsecトラフィックがない場合にトリガーされます。トラフィックアクティビティが発生するまで、R-U-THEREメッセージが定期的にピアに送信されます。

  • 常時送信:R-U-THEREメッセージは、ピア間のトラフィックアクティビティに関係なく、設定された間隔で送信されます。

DPD間隔

デッドピア検出メッセージを送信する時間帯を秒単位で選択します。

デフォルトの間隔は10秒で、有効範囲は2〜60秒です。

DPDしきい値

失敗DPDしきい値を選択します。

ピアから応答がない場合にDPDメッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は5回で、有効範囲は1〜5です。
詳細な設定

一般的な IKE ID

ピアIKE IDを受け入れるには、このオプションを有効にします。

このオプションはデフォルトでは無効になっています。一般 IKE ID が有効になっている場合、IKE ID オプションは自動的に無効になります。

IKEv2再認証

再認証の頻度を選択します。再認証は、再認証の頻度を0に設定することで無効にできます。

有効な範囲は 0 から 100 です。

IKEv2再フラグメント化のサポート

このオプションを有効にすると、大きなIKEv2メッセージが小さなメッセージに分割され、IPレベルでフラグメント化が発生しません。

IKEv2再フラグメントサイズ

メッセージをフラグメント化するパケットのサイズを選択します。

IPv4のデフォルトサイズは576バイトで、有効な範囲は570〜1320です。

IKE ID

以下のオプションのいずれかを選択します。

  • なし

  • 識別名

  • ホスト名

  • IPv4アドレス

  • メールアドレス

IKE ID は、一般 IKE ID が無効になっている場合にのみ適用されます。

NAT-T

動的エンドポイントがNATデバイスの背後にある場合、NAT-T(ネットワークアドレス変換トラバーサル)を有効にします。

キープアライブ

接続を継続させる期間を秒単位で選択します。

NATキープアライブは、VPNピア間の接続中にNAT変換を維持するために必要です。

有効な範囲は1〜300秒です。
IPsec設定

プロトコル

VPNを確立するために必要なプロトコルを選択します。

  • ESP—カプセル化セキュリティペイロード(ESP)プロトコルは、暗号化と認証の両方を提供します。

  • AH—認証ヘッダー(AH)プロトコルは、データの完全性とデータ認証を提供します。

暗号化アルゴリズム

暗号化方法を選択します。

このオプションは、プロトコルがESPの場合に適用されます。

認証アルゴリズム

パケットの真正性と整合性を検証するためにデバイスが使用する必要があるアルゴリズムを選択します。

完全転送機密保持

デバイスが暗号化キーを生成するために使用する方法として、Perfect Forward Secrecy(PFS)を選択します。

PFSは、以前の鍵とは独立して新しい暗号化キーを生成します。グループ番号が高いほどセキュリティも高くなりますが、処理時間が長くなります。

トンネルを確立

IKEをアクティブにするタイミングを指定します。

  • 即時—VPN設定の変更がコミットされた直後にIKEがアクティブ化されます。

  • オントラフィック—IKEは、データトラフィックが流れている場合にのみアクティブ化され、ピアゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。
詳細な設定

VPN監視

このオプションを有効にすると、Internet Control Message Protocol(ICMP)を送信して、VPNが稼働しているかどうかを確認できます。

最適化済み

このオプションを有効にすると、VPN監視を最適化し、設定済みのピアから発信トラフィックがあり、VPNトンネルを介して受信トラフィックがない場合にのみ、ICMPエコー要求(pingとも呼ばれます)を送信するようにSRXシリーズファイアウォールを構成します。

VPNトンネルを介して受信トラフィックがある場合、SRXシリーズファイアウォールはそのトンネルをアクティブであると見なし、ピアにpingを送信しません。

リプレイ防止

IPsecメカニズムに対してこのオプションを有効にすると、IPsecパケットに組み込まれている一連の番号を使用するVPN攻撃から保護します。

IPsecは、同じシーケンス番号をすでに確認しているパケットは受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを実施します。

IPsecメカニズムにエラーがあり、順序外れのパケットが発生し、適切な機能が妨げられる場合は、このオプションを無効にします。

デフォルトでは、アンチリプレイ検出は有効になっています。

インストール間隔

キー更新されたアウトバウンドセキュリティアソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。

アイドル時間

適切なアイドル時間間隔を選択し、この時間間隔を過ぎると、トラフィックを受信しない場合、セッションとそれに対応する変換がタイムアウトします。

DFビット

IPメッセージのDon't Fragment(DF)ビットを処理する方法を選択します。

  • クリア—IPメッセージからDFビットを無効にします。これはデフォルトのオプションです。

  • コピー—DFビットをIPメッセージにコピーします。

  • 設定—IPメッセージでDFビットを有効にします。

外部DSCPをコピー

このオプションを有効にすると、復号化中に、DSCP(差別化されたサービスコードポイント)フィールドが外部IPヘッダー暗号化パケットから内部IPヘッダープレーンテキストメッセージにコピーされます。

この機能を有効にするメリットは、IPsec暗号化解除後、クリアテキスト パケットが内部のサービス クラス(CoS)ルールに従うことです。

ライフタイム秒

IKEセキュリティアソシエーション(SA)の有効期間を秒単位で選択します。

有効な範囲は180〜86400秒です。

ライフタイムキロバイト数

IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。

有効範囲は64〜4294967294キロバイトです。

ハブアンドスポーク(確立されたすべてのピア)VPNの管理

  • 編集—IPsec VPNを選択し、鉛筆アイコン()をクリックします。IPsec VPNを編集した後、展開してデバイス上に設定を適用する必要があります。

    削除のマークが付けられているIPsec VPNは編集できません。

  • 削除—IPsec VPNを選択し、ゴミ箱アイコン()をクリックします。画面の指示に従います。現時点では、IPsec VPNは関連するデバイスから削除されていません。デバイスから削除するには、IPsec VPNを再展開する必要があります。

    削除がマークされたIPsec VPNを元に戻すには、ステータス列のフラグにカーソルを合わせ、 削除の取り消しを選択します。IPsec VPNのステータスは以前のステータスに戻ります。

  • 特定のデバイスからハブアンドスポークIPsec VPNを削除—IPsec VPNを選択し、鉛筆アイコン()をクリックします。デバイスセクションで削除するスポークを選択し、ゴミ箱アイコン()をクリックします。画面の指示に従います。VPNを展開して、スポークからVPNを削除します。IPSec VPNを編集し、デバイスを再度追加することで、変更を元に戻すことができます。

    複数のスポークとエクストラネットデバイスを備えたハブアンドスポークIPsec VPNでは、スポークを削除してVPNを再導入することで、特定のスポークからVPNを削除できます。ただし、エクストラネットデバイスであるスポークを削除した場合、 Juniper Security Director Cloud はデバイスを管理しないため、デバイス設定はVPNハブからのみ削除されます。

    ハブアンドスポークIPsec VPNに少なくとも1つのスポークを保持する必要があります。これがなければ、編集したVPNを保存することはできません。