VPNプロファイルの作成と管理

VPN接続を確立する際にセキュリティパラメーターを定義するVPNプロファイルを設定します。同じプロファイルを再利用して、さらにVPNトンネルを作成できます。VPNプロファイルには、IPsec VPNで使用されるVPN提案、VPNモード、認証、その他のパラメーターが含まれます。VPNプロファイルが作成されると、 Juniper Security Director Cloud はVPNプロファイルを表すオブジェクトをデータベースに作成します。このオブジェクトを使用して、ルートベースまたはポリシーベースのIPsec VPNを作成できます。

注:

ジュニパーネットワークスが定義したVPNプロファイルを変更または削除することはできません。プロファイルを複製し、新しいプロファイルを作成することのみが可能です。

VPNプロファイルでは、フェーズ1およびフェーズ2と呼ばれるIKEネゴシエーションフェーズを設定することもできます。SRXシリーズファイアウォールは、IPsec VPNのIKEネゴシエーションで以下の認証方法をサポートしています。

事前共有キー
ECDSA認定書
RSA認定書
DSA認定書

事前定義されたVPNプロファイルは、RSA証明書ベースの認証に使用できます。デバイスの検出中に、デバイスからPKI証明書リストを自動的に取得します。

VPNプロファイルの作成

IPsec VPN管理> VPNプロファイル>セキュリティをクリックします。

VPNプロファイルページが開きます。
作成をクリックして新しいVPNプロファイルを作成し、以下のオプションの1つを選択します。
- ポリシーベースのサイト間サービス
- サイト間
- ハブアンドスポーク(すべてのピアを確立)
- ハブアンドスポーク(スポークによる確立)
- ハブアンドスポーク(ADVPN - 自動検出VPN)
- リモートアクセス Juniper Secure Connect

以下のガイドラインに従って設定を完了します。

表1:VPNプロファイル設定
設定	ガイドライン
名前	スペースを含まない最大255文字の英数字からなる一意の文字列を入力します。文字列には、コロン、ピリオド、ダッシュ、アンダースコアを含めることができます。
説明	VPNプロファイルの説明を最大1024文字で入力します。
認証タイプ	必要な認証タイプを選択します。事前共有ベース RSA シグネチャ DSA シグネチャ ECDSA-シグネチャ-256 ECDSA-シグネチャ-384
IKEバージョン	IPsecの動的セキュリティアソシエーション(SA)のネゴシエーションに使用する、必要なIKEバージョン(V1またはV2)を選択します。デフォルトでは、IKEv1が使用されます。 Juniper Security Director Cloudでは、IKEv2メッセージのフラグメント化により、IPフラグメントがブロックされ、ピアがIPsecセキュリティアソシエーション(SA)を確立できないような環境でもIKEv2を運用できます。IKEv2フラグメント化は、大きなIKEv2メッセージを小さなメッセージのセットに分割し、IPレベルでフラグメント化が発生しないようにします。
モード	VPNモードを選択します。メイン—サイト間VPNを構築する際のVPNを確立する最も一般的で安全な方法。IKE IDは暗号化されており、盗聴者によって判断することはできません。アグレッシブ—これはメインモードIPsecネゴシエーションの代替手段です。これは、クライアントワークステーションからVPNゲートウェイへのVPNを構築する場合で最も一般的なモードであり、クライアントのIPアドレスが事前知られていないため、固定されていない場合でもあります。
暗号化アルゴリズム	適切な暗号化メカニズムを選択します。
認証アルゴリズム	アルゴリズムを選択します。デバイスはこのアルゴリズムを使用して、パケットの真正性と完全性を検証します。
Deffie Hellmanグループ	グループを選択します。 Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。
ライフタイム秒	IKEセキュリティアソシエーション(SA)のライフタイムを選択します。有効な範囲は180秒から86400秒です。
デッドピアの検出	このオプションを有効にすると、2つのゲートウェイがピアゲートウェイが稼働しているかどうかを判断し、IPsec確立中にネゴシエートされたDPD(デッドピア検出)メッセージに応答できます。
DPDモード	DPDモードを選択します。最適化:R-U-THEREメッセージは、デバイスが発信パケットをピアに送信した後、設定された間隔内にIKEまたはIPsecトラフィックが受信しない場合にトリガーされます。これはデフォルトモードです。プローブアイドルトンネル: R-U-THEREメッセージは、設定された間隔内に着信または発信IKEまたはIPsecトラフィックがない場合にトリガーされます。トラフィックアクティビティが発生するまで、R-U-THEREメッセージが定期的にピアに送信されます。常時送信:R-U-THEREメッセージは、ピア間のトラフィックアクティビティに関係なく、設定された間隔で送信されます。
DPD間隔	デッドピア検出メッセージを送信する間隔を秒単位で選択します。デフォルトの間隔は10秒で、有効範囲は2〜60秒です。
DPDしきい値	失敗DPDしきい値を選択します。ピアから応答がない場合にDPDメッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は5回で、有効な範囲は1〜5です。
詳細な設定
一般-IkeID	このオプションを有効にすると、一般的にピアIKE IDを受け入れます。このオプションはデフォルトでは無効になっています。一般 IKE ID が有効になっている場合、IKE ID オプションは自動的に無効になります。このオプションは、アグレッシブVPNモードでは使用できません。自動VPNとADVPNで一般IKE IDオプションが有効になっている状態では、VPNプロファイルを使用することはできません。
IKEv2再認証	再認証の頻度を選択します。再認証は、再認証の頻度を0に設定することで無効にできます。有効な範囲は 0 から 100 です。
IKEv2再フラグメント化のサポート	このオプションを有効にすると、大きなIKEv2メッセージが小さなメッセージに分割され、IPレベルでフラグメント化が発生しません。
IKEv2再フラグメントサイズ	メッセージをフラグメント化するパケットのサイズを選択します。 IPv4のデフォルトサイズは576バイトで、有効な範囲は570〜1320です。
IKE Id	以下のIKE識別子を設定します。ホスト名—ホスト名またはFQDNは、エンドシステムを識別する文字列です。 User@hostname—電子メールアドレスと同じ形式のシンプルな文字列。ユーザー—ユーザーの電子メールアドレスを入力します。管理を容易にするために、ユーザーの有効な電子メールアドレスを使用することをお勧めします。 IPアドレス—これは、サイト間VPN用の最も一般的なIKE IDの形式です。これは、IPv4またはIPv6アドレスのいずれかです。このオプションは、VPNモードがアグレッシブで、認証タイプが事前共有キーである場合にのみ使用できます。 DN—証明書内で固有のユーザーを識別するために証明書で使用される識別名。このオプションは、RSA、DSA、およびECDSA署名認証タイプでのみ使用できます。注: 事前共有キー認証タイプの場合: 一般 IKE ID オプションを有効にしている場合、IKE ID オプションは自動的になしに設定され、このオプションは編集できません。 IPsec VPNを変更する際、[IKE ID] オプションが有効になっている VPN プロファイルを選択している場合、[トンネルの表示/編集] ページで IKEIKE ID 列を編集することはできません。証明書ベースの認証タイプの場合: `local-identity`CLIが証明書認証に使用されるため、[General IKE ID] オプションを有効にしていても [IKE ID] オプションを編集できます。 IPsec VPNを変更する際、[View/Edit Tunnel]ページで[General IKE ID]オプションが有効になっているVPNプロファイルを選択している場合、[View/Edit Tunnel]ページで[IKE ID]列を編集できます。
NAT-T	動的エンドポイントがNATデバイスの背後にある場合、NAT-T(ネットワークアドレス変換トラバーサル)を有効にします。
キープアライブ	接続を継続させる期間を秒単位で選択します。 NATキープアライブは、VPNピア間の接続中にNAT変換を維持するために必要です。有効な範囲は1秒から300秒です。
IPsec設定
プロトコル	VPNを確立するために必要なプロトコルを選択します。 ESP—カプセル化セキュリティペイロード(ESP)プロトコルは、暗号化と認証の両方を提供します。 AH—認証ヘッダー(AH)プロトコルは、データの完全性とデータ認証を提供します。
暗号化アルゴリズム	必要な暗号化方法を選択します。これは、プロトコルがESPの場合に適用されます。
認証アルゴリズム	アルゴリズムを選択します。デバイスはこれらのアルゴリズムを使用して、パケットの真正性と完全性を検証します。
完全転送機密保持	デバイスが暗号化キーを生成するために使用する方法として、Perfect Forward Secrecy(PFS)を選択します。 PFSは、以前の鍵とは独立して新しい暗号化キーを生成します。グループ番号が高いほどセキュリティも高くなりますが、処理時間が長くなります。
トンネルを確立	IKEがアクティブになるタイミングを指定するオプションを選択します。即時—VPN設定の変更がコミットされた直後にIKEがアクティブ化されます。オントラフィック—IKEは、データトラフィックが流れている場合にのみアクティブ化され、ピアゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。
詳細な設定
VPN監視	このオプションを有効にすると、Internet Control Message Protocol(ICMP)を送信して、VPNが稼働しているかどうかを確認できます。
最適化済み	このオプションを有効にすると、VPN監視を最適化し、設定済みのピアから発信トラフィックがあり、VPNトンネルを介して受信トラフィックがない場合にのみ、ICMPエコー要求(pingとも呼ばれます)を送信するようにSRXシリーズファイアウォールを構成します。 VPNトンネルを介して受信トラフィックがある場合、SRXシリーズファイアウォールはそのトンネルをアクティブであると見なし、ピアにpingを送信しません。
リプレイ防止	IPsecメカニズムに対してこのオプションを有効にすると、IPsecパケットに組み込まれている一連の番号を使用するVPN攻撃から保護します。 IPsecは、同じシーケンス番号をすでに確認しているパケットは受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを実施します。 IPsecメカニズムにエラーがあり、順序外れのパケットが発生し、適切な機能が妨げられる場合は、このオプションを無効にします。デフォルトでは、アンチリプレイ検出は有効になっています。
インストール間隔	キー更新されたアウトバウンドセキュリティアソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。
アイドル時間	適切なアイドル時間間隔を選択します。セッションとそれに対応する変換は、トラフィックを受信しない場合、通常一定期間後にタイムアウトします。
DFビット	IPメッセージ内のDon't Fragment(DF)ビットを処理するオプションを選択します。クリア—IPメッセージからDFビットを無効にします。これはデフォルトのオプションです。コピー—DFビットをIPメッセージにコピーします。設定—IPメッセージでDFビットを有効にします。
外部DSCPをコピー	このオプションを有効にすると、外部IPヘッダー暗号化パケットから内部IPヘッダープレーンテキストメッセージにDSCP(差別化されたサービスコードポイント)フィールドをコピーできます。この機能を有効にするメリットは、IPsec暗号化解除後、クリアテキストパケットが内部のサービスクラス(CoS)ルールに従うことができることです。
ライフタイム秒	IKEセキュリティアソシエーション(SA)のライフタイムを選択します。有効な範囲は180秒から86400秒です。
ライフタイムキロバイト数	IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。有効な範囲は64〜4294967294キロバイトです。

事前定義されたVPN設定を持つ新しいVPNプロファイルが作成されます。このオブジェクトを使用して、IPsec VPNを作成できます。

VPNプロファイルの管理

カスタムIPsec VPNプロファイルを編集または複製できます。以前のリリースから移行したVPNプロファイルを編集または複製する場合は、そのVPNプロファイルのVPNトポロジーを選択する必要があります。ジュニパーネットワークス事前定義されたVPNプロファイルを変更または削除することはできません。プロファイルを複製し、新しいプロファイルを作成することのみが可能です。

編集—プロファイルを選択し、鉛筆アイコン()をクリックします。IPsec VPNを作成しながらVPNトポロジーを選択します。以前のリリースから移行したVPNプロファイルを編集する場合、VPNプロファイルのVPNトポロジーを選択する必要があります。
複製—プロファイルを選択し、さらに表示> 複製をクリックします。