IPsec VPNの概要
IPsec VPN は、インターネットなどのパブリック WAN を介してリモート コンピューターと安全に通信する手段を提供します。VPN 接続では、サイトツーサイト VPN またはリモートのダイヤルアップ ユーザーと LAN を使用して 2 つの LAN をリンクできます。これら 2 つのポイント間を流れるトラフィックは、ルーター、スイッチ、およびパブリック WAN を構成するその他のネットワーク機器などの共有リソースを通過します。WAN を通過する VPN 通信を保護するには、IPsec トンネルを作成する必要があります。
Juniper Security Director Cloudは、IPsec VPNの管理と導入を簡素化します。一般に、多数のSRXシリーズファイアウォールを展開する場合、VPNの設定は面倒で反復的な作業になります。Juniper Security Director Cloudでは、VPNプロファイルを使用して共通の設定をグループ化し、複数のSRXシリーズファイアウォールにまたがる複数のVPNトンネル構成にプロファイルを適用できます。サイトツーサイトVPNおよびハブアンドスポークVPNを導入できます。Juniper Security Director Cloudが必要な導入シナリオを決定し、すべてのSRXシリーズファイアウォールに必要な設定を公開します。
Juniper Security Director Cloudは、SRXシリーズファイアウォール上のポリシーベースおよびルートベースのIPsec VPNをサポートします。ポリシーベースの VPN は、2 つのエンドポイントを構成するサイト間展開でのみサポートされます。SRXシリーズのファイアウォールが2台以上ある場合、ルートベースのVPNの方が柔軟性と拡張性が向上します。支社と本社のオフィス間でデータを安全に転送できるようにするには、ポリシーベースまたはルートベースのIPsec VPNを設定します。エンタープライズクラスの導入では、ハブアンドスポーク方式IPsec VPNを設定します。
ルートベーストンネルモードは、次の場合に使用します。
参加ゲートウェイはジュニパーネットワークス製品です。
トラフィックがVPNを通過する際には、送信元NATまたは宛先NATのいずれかが発生する必要があります。
VPN ルーティングには、動的ルーティング プロトコルを使用する必要があります。
セットアップでは、プライマリVPNとバックアップVPNが必要です。
ポリシーベースのトンネル モードは、次の場合に使用します。
-
リモート VPN ゲートウェイがジュニパーネットワークス以外のデバイスである。
-
VPNへのアクセスは、特定のアプリケーショントラフィックに対して制限する必要があります。
ポリシーベースまたはルートベースのIPsec VPNを作成すると、代表的なトポロジーが表示されます。アイコンをクリックして、リモートゲートウェイを設定する必要があります。
Juniper Security Director Cloudは、各論理システムを他のセキュリティデバイスと見なし、論理システムのセキュリティ設定の所有権を取得します。Juniper Security Director Cloudでは、各論理システムは固有のセキュリティデバイスとして管理されます。
Juniper Security Director Cloudでは、トンネルインターフェイスがデバイスの個々の論理システムに排他的に割り当てられます。同じデバイスの複数の論理システムにトンネル インターフェイスが割り当てられていません。
Juniper Security Director Cloudは、PPPoE(Point-to-Point Protocol over Ethernet)上のVPNをサポートしていません。
IPsec VPNトポロジー
以下のIPsec VPNがサポートされています。
サイト間VPN:企業内の2つのサイトを相互に接続し、サイト間の安全な通信を可能にします。
ハブアンドスポーク(すべてのピアを確立)- 企業ネットワーク内の支社/拠点と本社を接続します。このトポロジーを使用し、ハブ経由でトラフィックを送信することで、スポーク同士を接続することもできます。
ハブアンドスポーク(スポークによる確立)— Auto-VPN は、スポークと呼ばれるリモート サイトへの複数のトンネルの単一の終端ポイントとして機能するハブと呼ばれる IPsec VPN アグリゲータをサポートします。Auto-VPN により、ネットワーク管理者は、現在および将来のスポーク用にハブを構成できます。スポーク デバイスを追加または削除する際にハブの構成を変更する必要がないため、管理者は大規模なネットワーク展開を柔軟に管理できます。
ハブアンドスポーク(自動発見VPN):自動発見VPN(ADVPN)は、中央ハブが2つのスポーク間のトラフィックのより良いパスをスポークに動的に通知できるようにする技術です。両方のスポークがハブからの情報を確認すると、スポークはショートカット トンネルを確立し、ハブを介してトラフィックを送信せずにホストが反対側に到達するようにルーティング トポロジを変更します。
-
リモートアクセスVPN(Juniper Secure Connect):Juniper Secure Connectは、ユーザーがインターネットを使用して企業ネットワークやリソースにリモートで接続するためのセキュアなリモートアクセスを提供します。Juniper Secure Connectは、SRXサービスデバイスから設定をダウンロードし、接続確立時に最も効果的なトランスポートプロトコルを選択します。