ハブアンドスポーク(確立されたすべてのピア)VPNの作成と管理

名前

スペースを含まない最大63文字の英数字からなる一意の文字列を入力します。

文字列には、コロン、ピリオド、ダッシュ、アンダースコアを含めることができます。

形容

VPNの説明を最大255文字で入力します。

ルーティングトポロジー

以下のオプションのいずれかを選択します。

• トラフィックセレクター(自動ルート挿入)—トラフィックセレクターは、指定されたローカルアドレスとリモートアドレスのペアに一致する場合に、トンネルを通過するトラフィックを許可するためのIKEピア間の合意です。

• 静的ルーティング—デバイスごとに保護されたネットワークまたはゾーンに基づいて静的ルーティングを生成します。

• OSPF動的ルーティング—OSPF設定を生成します。

• RIP動的ルーティング—RIP設定を生成します。

• eBGP動的ルーティング—eBGP設定を生成します。

VPNプロファイル

導入シナリオに基づいて、ドロップダウンリストからVPNプロファイルを選択します。

• インラインプロファイルは、特定のIPsec VPNにのみ適用可能です。VPNの作成ページで IKE/IPsec設定を表示 をクリックすると、詳細を表示および編集できます。

• 共有プロファイルは、1つ以上のIPsec VPNで使用できます。共有プロファイルの詳細を表示するには、 IKE/IPsec設定を表示をクリックする必要があります。

認証方法

リストから、デバイスがIKEメッセージのソースを認証するために使用する認証方法を選択します。

• 事前共有ベース—2つのピア間で共有された秘密キーである事前共有キーが、認証中にピアを相互に識別するために使用されることを指定します。各ピアに対して同じキーを設定する必要があります。

• RSA-Signatures—暗号化とデジタル署名をサポートする公開キーアルゴリズムが使用されていることを指定します。

• DSA-Signatures—デジタル署名アルゴリズム(DSA)が使用されていることを指定します。

• ECDSA-Signatures-256—連邦情報処理標準(FIPS)デジタル署名標準(DSS)186-3に規定されている256ビット楕円曲線secp256r1を使用する楕円曲線DSA(ECDSA)が使用されていることを指定します。

• ECDSA-Signatures-384—FIPS DSS 186-3に指定されている384ビット楕円曲線secp384r1を使用するECDSAが使用されていることを指定します。

最大伝送ユニット

最大送信単位(MTU)をバイト単位で選択します。

MTUは、IPsecオーバーヘッドを含むIPパケットの最大サイズを定義します。トンネルエンドポイントのMTU値を指定できます。有効な範囲は68〜9192バイトで、デフォルト値は1500バイトです。

事前共有キー

事前共有キーを使用してVPN接続を確立します。これは本質的に両方の当事者にとって同じパスワードです。

使用する事前共有キーのタイプを選択します。

• 自動生成—トンネルごとに一意のキーを自動的に生成する場合に選択します。選択すると、トンネルごとに固有のキーを生成オプションが自動的に有効になります。トンネルごとに固有のキーを生成オプションを無効にすると、 Juniper Security Director Cloud はすべてのトンネルに対して単一のキーを生成します。

• 手動—選択すると、キーを手動で入力します。デフォルトでは、手動キーはマスクされています。

事前共有鍵は、認証方法が事前共有ベースの場合にのみ適用されます。

ネットワークIP

番号付きトンネルインターフェイスのIPアドレスを入力します。

これは、トンネルインターフェイスにIPアドレスが自動的に割り当てられるサブネットアドレスです。

トンネルインターフェイスごとのスポークデバイス数

すべてを選択するか、ハブ上の1つのトンネルインターフェイスを共有するスポークデバイスの数を指定します。

デバイス

VPNにエンドポイントとしてデバイスを追加します。

ルートベースVPNにデバイスを追加するには:

1. 追加をクリックし、ハブデバイス、スポークデバイス、エクストラネットスポークデバイスのいずれかをクリックします。

   デバイスの追加ページが開きます。

2. 表2の説明に従ってデバイスパラメーターを設定します。
3. OKをクリックします。

デバイス

デバイスを選択します。

外部インターフェース

IKEセキュリティアソシエーション(SA)の発信インターフェイスを選択します。

このインターフェイスは、キャリアとして機能するゾーンに関連付けられ、ファイアウォールセキュリティを提供します。

トンネルゾーン

トンネルゾーンを選択します。

トンネルゾーンは、カプセル化前とカプセル化後のIPsecトラフィックに対するNATアプリケーションの動的IP(DIP)アドレスプールをサポートできるアドレス空間の論理エリアです。トンネルゾーンでは、トンネルインターフェイスとVPNトンネルを柔軟に組み合わせることができます。

メトリック

ネクストホップのアクセスルートのコストを指定します。

ルーティングインスタンス

必要なルーティングインスタンスを選択します。

証書

証明書を選択して、仮想プライベートネットワーク(VPN)の開始者と受信者を認証します。

これは、以下のいずれかのシナリオに適用されます。

• VPNプロファイルは、RSAプロファイルまたはADVPNプロファイルです。

• 認証方法は、RSA-Signatures、DSA-Signatures、ECDSA-Signatures-256、またはECDSA-Signatures-384です。

信頼できるCA/グループ

リストからCAプロファイルを選択して、ローカル証明書に関連付けます。

これは、以下のいずれかのシナリオに適用されます。

• VPNプロファイルは、RSAプロファイルまたはADVPNプロファイルです。

• 認証方法は、RSA-Signatures、DSA-Signatures、ECDSA-Signatures-256、またはECDSA-Signatures-384です。

輸出

エクスポートするルートのタイプを選択します。

• 静的ルートをエクスポートするには、 静的ルート チェックボックスを選択します。

  Juniper Security Director Cloud では、管理者がトンネルを介してリモートサイトに静的ルートをエクスポートできるようにすることで、VPNアドレスの管理を簡素化し、静的ルートネットワークをVPNに参加させることができます。ただし、デバイス側に静的なデフォルトルートをエクスポートできるのはハブ側のデバイスだけです。スポーク側のデバイスは、トンネルを介して静的なデフォルトルートをエクスポートすることはできません。

  eBGP動的ルーティングでは、スタティックルートチェックボックスがデフォルトで選択されています。

• RIPルートチェックボックスを選択して、RIPルートをエクスポートします。

  RIPルートをエクスポートできるのは、ルーティングトポロジーがOSPF動的ルーティングである場合だけです。

• OSPFルートチェックボックスを選択して、OSPFルートをエクスポートします。

  ルーティングトポロジーがRIP動的ルーティングである場合にのみ、OSPFルートをエクスポートできます。

OSPFまたはRIPエクスポートを選択した場合、VPNネットワーク外のOSPFまたはRIPルートは、OSPFまたはRIPダイナミックルーティングプロトコルを介してVPNネットワークにインポートされます。

OSPFエリア

このVPNのトンネルインターフェイスを設定する必要がある0〜4,294,967,295の範囲のOSPFエリアIDを選択します。

OSPFエリアIDは、ルーティングトポロジーがOSPF動的ルーティングである場合に適用できます。

最大再送信時間

再送信タイマーを選択して、RIPデマンドサーキットが応答していないピアに更新メッセージを再送信する回数を制限します。

設定された再送信しきい値に達すると、ネクストホップルーターからのルートは到達不能としてマークされ、ホールドダウンタイマーが開始されます。このタイマーを有効にするには、RIPデマンド回線のペアを設定する必要があります。

再送信範囲は5〜180秒で、デフォルト値は50秒です。

このオプションは、ルーティングトポロジーがRIP動的ルーティングである場合にのみ適用されます。

AS番号

自律システム(AS)に割り当てる一意の番号を選択します。

AS番号は自律システムを識別し、システムが他の隣接する自律システムと外部のルーティング情報を交換できるようにします。有効な範囲は 0 から 4294967295 です。

AS番号は、ルーティングトポロジーがe-BGP動的ルーティングである場合にのみ適用されます。

保護されたネットワーク

選択したデバイスのアドレスまたはインターフェイスタイプを設定して、ネットワークの1つの領域を他の領域から保護します。

動的ルーティングプロトコルが選択されている場合、インターフェイスオプションが表示されます。

[ 新しいアドレスを追加]をクリックしてアドレスを作成することもできます。

IKEバージョン

IPsecの動的セキュリティアソシエーション(SA)のネゴシエーションに使用する、必要なIKEバージョン(V1またはV2)を選択します。

デフォルトでは、IKE V2が使用されます。

モード

IKEポリシーモードを選択します。

• メイン—3つのピアツーピア交換で6つのメッセージを使用して、IKE SAを確立します。これらの3つのステップには、IKE SAネゴシエーション、Diffie-Hellman交換、ピアの認証が含まれます。このモードはID保護も提供します。

• アグレッシブ—メインモードのメッセージ数が半分になり、ネゴシエーション力が低下し、ID保護を提供しません。

モードは、IKEバージョンがV1の場合に適用されます。

暗号化アルゴリズム

適切な暗号化メカニズムを選択します。

認証アルゴリズム

アルゴリズムを選択します。

デバイスはこのアルゴリズムを使用して、パケットの真正性と完全性を検証します。

Deffie Hellmanグループ

グループを選択します。

Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。

ライフタイム秒

IKEセキュリティアソシエーション(SA)のライフタイムを選択します。

有効な範囲は 180 秒から 86400 秒です。

デッドピアの検出

このオプションを有効にすると、2つのゲートウェイがピアゲートウェイが稼働しているかどうかを判断し、IPsec確立中にネゴシエートされたDPD(デッドピア検出)メッセージに応答できます。

DPDモード

DPDモードを選択します。

• 最適化:R-U-THEREメッセージは、デバイスが発信パケットをピアに送信した後、設定された間隔内にIKEまたはIPsecトラフィックが受信しない場合にトリガーされます。これはデフォルトモードです。

• プローブアイドルトンネル: R-U-THEREメッセージは、設定された間隔内に着信または発信IKEまたはIPsecトラフィックがない場合にトリガーされます。トラフィックアクティビティが発生するまで、R-U-THEREメッセージが定期的にピアに送信されます。

• 常時送信:R-U-THEREメッセージは、ピア間のトラフィックアクティビティに関係なく、設定された間隔で送信されます。

DPD間隔

デッドピア検出メッセージを送信する間隔を秒単位で選択します。

デフォルトの間隔は10秒で、有効範囲は2〜60秒です。

DPDしきい値

失敗DPDしきい値を選択します。

ピアから応答がない場合にDPDメッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は5回で、有効な範囲は1〜5です。

一般的な IKE ID

ピアIKE IDを受け入れるには、このオプションを有効にします。

このオプションはデフォルトでは無効になっています。一般 IKE ID が有効になっている場合、IKE ID オプションは自動的に無効になります。

IKEv2再認証

再認証の頻度を選択します。再認証は、再認証の頻度を0に設定することで無効にできます。

有効な範囲は 0 から 100 です。

IKEv2再フラグメント化のサポート

このオプションを有効にすると、大きなIKEv2メッセージが小さなメッセージに分割され、IPレベルでフラグメント化が発生しません。

IKEv2再フラグメントサイズ

メッセージをフラグメント化するパケットのサイズを選択します。

デフォルトでは、IPv4のサイズは576バイトで、有効な範囲は570〜1320です。

IKE ID

以下のオプションのいずれかを選択します。

• 何一つ

• 識別名

• ホスト名

• IPv4アドレス

• メルアド

IKE ID は、一般 IKE ID が無効になっている場合にのみ適用されます。

NAT-T

動的エンドポイントがNATデバイスの背後にある場合、NAT-T(ネットワークアドレス変換トラバーサル)を有効にします。

キープアライブ

接続を継続させる期間を秒単位で選択します。

NATキープアライブは、VPNピア間の接続中にNAT変換を維持するために必要です。

有効な範囲は1秒から300秒です。

議定書

VPNを確立するために必要なプロトコルを選択します。

• ESP—カプセル化セキュリティペイロード(ESP)プロトコルは、暗号化と認証の両方を提供します。

• AH—認証ヘッダー(AH)プロトコルは、データの完全性とデータ認証を提供します。

暗号化アルゴリズム

暗号化方法を選択します。

このオプションは、プロトコルがESPの場合に適用されます。

認証アルゴリズム

アルゴリズムを選択します。

デバイスはこれらのアルゴリズムを使用して、パケットの真正性と完全性を検証します。

完全転送機密保持

デバイスが暗号化キーを生成するために使用する方法として、Perfect Forward Secrecy(PFS)を選択します。

PFSは、以前の鍵とは独立して新しい暗号化キーを生成します。グループ番号が高いほどセキュリティも高くなりますが、処理時間が長くなります。

トンネルを確立

IKEがアクティブになるタイミングを指定するオプションを選択します。

• 即時—VPN設定の変更がコミットされた直後にIKEがアクティブ化されます。

• オントラフィック—IKEは、データトラフィックが流れている場合にのみアクティブ化され、ピアゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。

VPN監視

このオプションを有効にすると、Internet Control Message Protocol(ICMP)を送信して、VPNが稼働しているかどうかを確認できます。

最適化

このオプションを有効にすると、VPN監視を最適化し、設定済みのピアから発信トラフィックがあり、VPNトンネルを介して受信トラフィックがない場合にのみ、ICMPエコー要求(pingとも呼ばれます)を送信するようにSRXシリーズファイアウォールを構成します。

VPNトンネルを介して受信トラフィックがある場合、SRXシリーズファイアウォールはそのトンネルをアクティブであると見なし、ピアにpingを送信しません。

リプレイ防止

IPsecメカニズムに対してこのオプションを有効にすると、IPsecパケットに組み込まれている一連の番号を使用するVPN攻撃から保護します。

IPsecは、同じシーケンス番号をすでに確認しているパケットは受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを実施します。

IPsecメカニズムにエラーがあり、順序外れのパケットが発生し、適切な機能が妨げられる場合は、このオプションを無効にします。

デフォルトでは、アンチリプレイ検出は有効になっています。

インストール間隔

キー更新されたアウトバウンドセキュリティアソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。

アイドル時間

適切なアイドル時間間隔を選択します。

セッションとそれに対応する変換は、トラフィックを受信しない場合、通常一定期間後にタイムアウトします。

DFビット

IPメッセージ内のDon't Fragment(DF)ビットを処理するオプションを選択します。

• クリア—IPメッセージからDFビットを無効にします。これはデフォルトのオプションです。

• コピー—DFビットをIPメッセージにコピーします。

• 設定—IPメッセージでDFビットを有効にします。

外部DSCPをコピー

このオプションを有効にすると、外部IPヘッダー暗号化パケットから内部IPヘッダープレーンテキストメッセージにDSCP(差別化されたサービスコードポイント)フィールドをコピーできます。

この機能を有効にするメリットは、IPsec暗号化解除後、クリアテキストパケットが内部のサービスクラス(CoS)ルールに従うことができることです。

ライフタイム秒

IKEセキュリティアソシエーション(SA)のライフタイムを選択します。

有効な範囲は 180 秒から 86400 秒です。

ライフタイムキロバイト数

IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。

有効な範囲は64〜4294967294キロバイトです。