Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ハブアンドスポーク(スポークによる確立)VPNの作成

Auto-VPN では、現在および将来のスポーク用にハブを構成できます。スポーク デバイスを追加または削除する際にハブの構成を変更する必要がないため、管理者は大規模なネットワーク展開を柔軟に管理できます。

始める前に

  1. IPsec VPN> SRX>IPsec VPNを選択します。

    IPsec VPN ページが開きます。

  2. [Create > Route ベース - ハブ アンド スポーク (スポークによる確立)] をクリックします。

    ハブアンドスポークの作成(スポークによる確立)VPN ページが開きます。

  3. 表 1 に示すガイドラインに従って、VPN 設定パラメータを入力します。
    手記:

    VPN プロファイルを表示または編集するには、 IKE/IPsec 設定の表示 をクリックします。VPN プロファイルが既定の場合は、構成を編集できます。プロファイルが共有されている場合は、構成の表示のみが可能です。

    VPN 接続がトポロジで灰色から青色の線に変わり、構成が完了したことを示します。ハブアンドスポークについて表示されるトポロジーは、単なる表現です。最大 1 つのハブを構成できます。
  4. [ 保存 ] をクリックして、IPsec VPN 設定を保存します。
表 1: ハブアンドスポーク(スポークによる確立)VPN ページ設定の作成

設定

ガイドライン

名前

最大 63 文字の英数字(スペースなし)の一意の文字列を入力します。

文字列には、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。

形容

VPN の説明を最大 255 文字まで入力します。

ルーティングトポロジー

OSPF ダイナミック ルーティングを選択して、OSPF 設定を生成します。

VPN プロファイル

展開シナリオに基づいて、ドロップダウン リストから VPN プロファイルを選択します。

  • インラインプロファイルは、特定のIPsec VPNにのみ適用されます。VPN の作成 ページの IKE/IPsec 設定の表示 をクリックすることで、詳細を表示および編集できます。

  • 共有プロファイルは、1 つ以上の IPsec VPN で使用できます。共有プロファイルの詳細を表示するには、[ IKE/IPsec 設定の表示] をクリックします。

認証方法

デバイスがIKEメッセージの送信元を認証するために使用する認証方法をリストから選択します。

  • RSA 署名 - 暗号化とデジタル署名をサポートする公開キー アルゴリズムが使用されることを指定します。

  • DSA 署名 - デジタル署名アルゴリズム(DSA)が使用されることを指定します。

  • ECDSA-Signatures-256:連邦情報処理標準(FIPS)デジタル署名標準(DSS)186-3 で指定されている、256 ビット楕円曲線 secp256r1 を使用する楕円曲線 DSA(ECDSA)を使用することを指定します。

  • ECDSA 署名-384 - FIPS DSS 186-3 で指定されている 384 ビット楕円曲線 secp384r1 を使用する ECDSA が使用されることを指定します。

最大送信単位

最大送信単位 (MTU) をバイト単位で選択します。

MTU は、IPsec オーバーヘッドを含む IP パケットの最大サイズを定義します。トンネル エンドポイントの MTU 値を指定できます。有効範囲は 68 から 9192 バイトで、デフォルト値は 1500 バイトです。

ネットワークIP

番号付きトンネルインターフェイスのIPアドレスを入力します。

これは、トンネル インターフェイスに IP アドレスが自動的に割り当てられるサブネット アドレスです。

デバイス

デバイスをエンドポイントとしてVPNに追加します。

手記:

マルチノードの高可用性 (MNHA) ペアを追加することはできません。ただし、MNHA ペアの一方または両方のデバイスを追加できます。

ルートベースVPNにデバイスを追加するには:

  1. [追加] をクリックし、[ハブ デバイス]、[スポーク デバイス]、または [エクストラネット スポーク デバイス] のいずれかをクリックします。

    デバイスの追加 ページは開きます。

  2. 表2の説明に従ってデバイスパラメータを設定します。
  3. OK をクリックします。
表 2: デバイス ページ設定の追加

設定

ガイドライン

デバイス

デバイスを選択します。

外部インターフェイス

IKE セキュリティ アソシエーション (SA) 用の発信インターフェイスを選択します。\

このインターフェイスは、キャリアとして機能するゾーンに関連付けられ、ファイアウォール セキュリティを提供します。

トンネルゾーン

トンネル ゾーンを選択します。

トンネル ゾーンは、NAT アプリケーションがカプセル化前後の IPsec トラフィックに対して動的 IP(DIP)アドレス プールをサポートできるアドレス空間の論理領域です。また、トンネル ゾーンは、トンネル インターフェイスと VPN トンネルを柔軟に組み合わせることができます。

メトリック

ネクストホップのアクセスルートのコストを指定します。

ルーティングインスタンス

必要なルーティングインスタンスを選択します。

証書

仮想プライベート ネットワーク (VPN) のイニシエーターと受信者を認証する証明書を選択します。

これは、次のいずれかのシナリオで適用されます。

  • VPN プロファイルは、RSA プロファイルまたは ADVPN プロファイルです。

  • 認証方法は、RSA 署名、DSA 署名、ECDSA 署名-256、または ECDSA 署名-384 です。

信頼できる CA/グループ

リストから CA プロファイルを選択して、ローカル証明書に関連付けます。

これは、次のいずれかのシナリオで適用されます。

  • VPN プロファイルは、RSA プロファイルまたは ADVPN プロファイルです。

  • 認証方法は、RSA 署名、DSA 署名、ECDSA 署名-256、または ECDSA 署名-384 です。

輸出

エクスポートするルートのタイプを選択します。

  • スタティック ルートをエクスポートするには、[ スタティック ルート(Static Routes )] チェックボックスを選択します。

    Juniper Security Director Cloud は、管理者がトンネルを介してリモートサイトに静的ルートをエクスポートできるようにすることで、VPNアドレス管理を簡素化し、静的ルートネットワークをVPNに参加させることができます。ただし、静的デフォルトルートをデバイス側にエクスポートできるのは、ハブ側のデバイスのみです。スポーク側のデバイスは、トンネル経由で静的デフォルト ルートをエクスポートすることはできません。

    eBGP ダイナミック ルーティングの場合、[スタティック ルート] チェックボックスはデフォルトでオンになっています。

  • RIP ルートをエクスポートするには、RIP ルート チェックボックスを選択します。

    RIP ルートをエクスポートできるのは、ルーティング トポロジが OSPF ダイナミック ルーティングの場合のみです。

  • OSPF ルートをエクスポートするには、 OSPF ルート チェックボックスを選択します。

    OSPF ルートをエクスポートできるのは、ルーティング トポロジーが RIP ダイナミック ルーティングの場合のみです。

OSPF または RIP エクスポートを選択した場合、VPN ネットワーク外の OSPF または RIP ルートは、OSPF または RIP 動的ルーティング プロトコルを介して VPN ネットワークにインポートされます。

OSPFエリア

このVPNのトンネルインターフェイスを設定する必要がある、0〜4,294,967,295の範囲のOSPFエリアIDを選択します。

OSPFエリアIDは、ルーティングトポロジーがOSPFダイナミックルーティングの場合に適用されます。

保護されたネットワーク

選択したデバイスのアドレスまたはインターフェイス タイプを設定して、ネットワークのあるエリアを他のエリアから保護します。

ダイナミック ルーティング プロトコルを選択すると、インターフェイス オプションが表示されます。

[ 新しいアドレスの追加] をクリックしてアドレスを作成することもできます。
表 3: IKE/IPsec 設定の表示

設定

ガイドライン
IKE 設定

IKE バージョン

IPsec の動的セキュリティ アソシエーション(SA)のネゴシエートに使用する必要な IKE バージョン(V1 または V2)を選択します。

デフォルトでは、IKE V2が使用されます。

モード

IKEポリシー モードを選択します。

  • メイン - 3つのピアツーピア交換で6つのメッセージを使用してIKE SAを確立します。これらの 3 つのステップには、IKE SA ネゴシエーション、Diffie-Hellman 交換、ピアの認証が含まれます。このモードでは、ID 保護も提供されます。

  • アグレッシブ - メイン モードの半分のメッセージ数を受け取り、ネゴシエーション能力が低く、ID 保護を提供しません。

モードは、IKEバージョンがV1の場合に適用されます。

暗号化アルゴリズム

適切な暗号化メカニズムを選択します。

認証アルゴリズム

アルゴリズムを選択します。

デバイスはこのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。

デフィー・ヘルマン・グループ

グループを選択します。

Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。

ライフタイム秒

IKE セキュリティ アソシエーション(SA)の有効期間を選択します。

有効範囲は 180 から 86400 秒です。

デッドピア検出

このオプションを有効にすると、ピア ゲートウェイが稼働していて、IPsec 確立中にネゴシエートされたデッドピア検出(DPD)メッセージに応答しているかどうかを 2 つのゲートウェイで判断できます。

DPDモード

DPD モードを選択します。

  • 最適化:デバイスがピアに発信パケットを送信した後、設定された間隔内に着信IKEまたはIPsecトラフィックがない場合、R-U-THEREメッセージがトリガーされます。これはデフォルトのモードです。

  • プローブ アイドル トンネル: R-U-THEREメッセージは、設定された間隔内に着信または発信IKEまたはIPsecトラフィックがない場合にトリガーされます。R-U-THEREメッセージは、トラフィックアクティビティが発生するまで定期的にピアに送信されます。

  • Always-send:R-U-THEREメッセージは、ピア間のトラフィックアクティビティに関係なく、設定された間隔で送信されます。

DPD間隔

デッドピア検出メッセージを送信する間隔を秒単位で選択します。

デフォルトの間隔は 10 秒で、有効範囲は 2 から 60 秒です。

DPDスレッショルド

障害DPDしきい値を選択します。

これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は 5 回で、有効範囲は 1 から 5 です。
詳細設定

一般的な IKE ID

ピアIKE IDを受け入れるには、このオプションを有効にします

このオプションはデフォルトで無効になっています。General IKE ID が有効な場合、IKE ID オプションは自動的に無効になります。

IKEv2 再認証

再認証の頻度を選択します。再認証の頻度を 0 に設定することで、再認証を無効にすることができます。

有効範囲は 0 から 100 です。

IKEv2 Re フラグメント化のサポート

このオプションを有効にすると、大きな IKEv2 メッセージが小さなメッセージに分割され、IP レベルで断片化が発生しません。

IKEv2 再フラグメント サイズ

メッセージをフラグメント化するパケットのサイズを選択します。

デフォルトでは、IPv4 のサイズは 576 バイトで、有効範囲は 570 から 1320 です。

IKE ID

次のいずれかのオプションを選択します。

  • 何一つ

  • 識別名

  • ホスト名

  • IPv4アドレス

  • メルアド

IKE IDは、General IKE IDが無効になっている場合にのみ適用されます。

NAT-T

動的エンドポイントがNATデバイスの背後にある場合は、ネットワークアドレス変換トラバーサル(NAT-T)を有効にします。

キープアライブ

接続を維持する期間を秒単位で選択します。

VPNピア間の接続中は、NAT変換を維持するためにNATキープアライブが必要です。

有効範囲は 1 から 300 秒です。
IPsec設定

議定書

VPNを確立するために必要なプロトコルを選択します。

  • ESP:カプセル化セキュリティペイロード(ESP)プロトコルは、暗号化と認証の両方を提供します。

  • AH—認証ヘッダー(AH)プロトコルは、データの整合性とデータ認証を提供します。

暗号化アルゴリズム

暗号化方法を選択します。

これは、プロトコルがESPの場合に適用されます。

認証アルゴリズム

アルゴリズムを選択します。

デバイスはこれらのアルゴリズムを使用して、パケットの信頼性と完全性を検証します。

完全転送機密保持

デバイスが暗号化キーを生成するために使用する方法として、完全転送機密保持(PFS)を選択します。

PFSは、以前の鍵とは独立して、新しい暗号鍵を生成します。グループ番号が大きいほどセキュリティは強化されますが、処理時間が長くなります。

トンネルの確立

IKE をいつアクティブにするかを指定するオプションを選択します。

  • 即時:VPN 設定の変更がコミットされた直後に IKE がアクティブになります。

  • オントラフィック—IKEは、データトラフィックが流れる場合にのみアクティブになり、ピアゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。
詳細設定

VPN モニター

インターネット制御メッセージ プロトコル(ICMP)を送信してVPNが稼働しているかどうかを判断するには、このオプションを有効にします。

最適化

このオプションを有効にすると、VPN監視を最適化し、設定されたピアからVPNトンネルを経由する発信トラフィックと着信トラフィックがない場合にのみ、ICMPエコーリクエスト(pingsとも呼ばれます)を送信するようにSRXシリーズファイアウォールを設定します。

VPNトンネルを経由する着信トラフィックがある場合、SRXシリーズファイアウォールはトンネルがアクティブであるとみなし、ピアにpingを送信しません。

アンチリプレイ

IPsec メカニズムでこのオプションを有効にして、IPsec パケットに組み込まれた一連の数字を使用する VPN 攻撃から保護します。

IPsec は、すでに同じシーケンス番号を認識しているパケットを受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを強制します。

IPsec メカニズムにエラーがあり、パケットの順序が狂い、適切な機能が妨げられる場合は、このオプションを無効にします。

既定では、アンチリプレイ検出は有効になっています。

インストール間隔

キーが変更されたアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。

アイドル時間

適切なアイドル時間間隔を選択します。

セッションとそれに対応する変換は、通常、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。

DF ビット

IP メッセージのフラグメント化禁止(DF)ビットを処理するオプションを選択します。

  • クリア—IP メッセージの DF ビットを無効にします。これはデフォルトのオプションです。

  • コピー—DFビットをIPメッセージにコピーします。

  • Set - IP メッセージの DF ビットを有効にします。

外部 DSCP のコピー

このオプションを有効にすると、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに DSCP(差別化されたサービス コード ポイント)フィールドをコピーできます。

この機能を有効にする利点は、IPsec 復号化後、クリア テキスト パケットが内部サービス クラス(CoS)ルールに従うことができることです。

ライフタイム秒

IKE セキュリティ アソシエーション(SA)の有効期間を選択します。

有効範囲は 180 から 86400 秒です。

ライフタイムキロバイト

IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。

有効範囲は 64 から 4294967294 キロバイトです。