ハブアンドスポーク(スポークによる確立)VPNの作成
Auto-VPN では、現在および将来のスポーク用にハブを構成できます。スポーク デバイスを追加または削除する際にハブの構成を変更する必要がないため、管理者は大規模なネットワーク展開を柔軟に管理できます。
始める前に
IPsec VPNの概要のトピックをお読みください。
IPsec VPNのメインページを見て、現在のデータセットを確認してください。フィールドの説明については、 IPsec VPNメインページのフィールド を参照してください。
アドレスとアドレス セットを作成します。 アドレスまたはアドレス グループの作成を参照してください。
VPN プロファイルを作成します。 VPN プロファイルの作成を参照してください。
設定 |
ガイドライン |
---|---|
名前 |
最大 63 文字の英数字(スペースなし)の一意の文字列を入力します。 文字列には、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。 |
形容 |
VPN の説明を最大 255 文字まで入力します。 |
ルーティングトポロジー |
OSPF ダイナミック ルーティングを選択して、OSPF 設定を生成します。 |
VPN プロファイル |
展開シナリオに基づいて、ドロップダウン リストから VPN プロファイルを選択します。
|
認証方法 |
デバイスがIKEメッセージの送信元を認証するために使用する認証方法をリストから選択します。
|
最大送信単位 |
最大送信単位 (MTU) をバイト単位で選択します。 MTU は、IPsec オーバーヘッドを含む IP パケットの最大サイズを定義します。トンネル エンドポイントの MTU 値を指定できます。有効範囲は 68 から 9192 バイトで、デフォルト値は 1500 バイトです。 |
ネットワークIP |
番号付きトンネルインターフェイスのIPアドレスを入力します。 これは、トンネル インターフェイスに IP アドレスが自動的に割り当てられるサブネット アドレスです。 |
デバイス |
デバイスをエンドポイントとしてVPNに追加します。
手記:
マルチノードの高可用性 (MNHA) ペアを追加することはできません。ただし、MNHA ペアの一方または両方のデバイスを追加できます。 ルートベースVPNにデバイスを追加するには:
|
設定 |
ガイドライン |
---|---|
デバイス |
デバイスを選択します。 |
外部インターフェイス |
IKE セキュリティ アソシエーション (SA) 用の発信インターフェイスを選択します。\ このインターフェイスは、キャリアとして機能するゾーンに関連付けられ、ファイアウォール セキュリティを提供します。 |
トンネルゾーン |
トンネル ゾーンを選択します。 トンネル ゾーンは、NAT アプリケーションがカプセル化前後の IPsec トラフィックに対して動的 IP(DIP)アドレス プールをサポートできるアドレス空間の論理領域です。また、トンネル ゾーンは、トンネル インターフェイスと VPN トンネルを柔軟に組み合わせることができます。 |
メトリック |
ネクストホップのアクセスルートのコストを指定します。 |
ルーティングインスタンス |
必要なルーティングインスタンスを選択します。 |
証書 |
仮想プライベート ネットワーク (VPN) のイニシエーターと受信者を認証する証明書を選択します。 これは、次のいずれかのシナリオで適用されます。
|
信頼できる CA/グループ |
リストから CA プロファイルを選択して、ローカル証明書に関連付けます。 これは、次のいずれかのシナリオで適用されます。
|
輸出 |
エクスポートするルートのタイプを選択します。
OSPF または RIP エクスポートを選択した場合、VPN ネットワーク外の OSPF または RIP ルートは、OSPF または RIP 動的ルーティング プロトコルを介して VPN ネットワークにインポートされます。 |
OSPFエリア |
このVPNのトンネルインターフェイスを設定する必要がある、0〜4,294,967,295の範囲のOSPFエリアIDを選択します。 OSPFエリアIDは、ルーティングトポロジーがOSPFダイナミックルーティングの場合に適用されます。 |
保護されたネットワーク |
選択したデバイスのアドレスまたはインターフェイス タイプを設定して、ネットワークのあるエリアを他のエリアから保護します。 ダイナミック ルーティング プロトコルを選択すると、インターフェイス オプションが表示されます。 [ 新しいアドレスの追加] をクリックしてアドレスを作成することもできます。 |
設定 |
ガイドライン |
---|---|
IKE 設定 | |
IKE バージョン |
IPsec の動的セキュリティ アソシエーション(SA)のネゴシエートに使用する必要な IKE バージョン(V1 または V2)を選択します。 デフォルトでは、IKE V2が使用されます。 |
モード |
IKEポリシー モードを選択します。
モードは、IKEバージョンがV1の場合に適用されます。 |
暗号化アルゴリズム |
適切な暗号化メカニズムを選択します。 |
認証アルゴリズム |
アルゴリズムを選択します。 デバイスはこのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。 |
デフィー・ヘルマン・グループ |
グループを選択します。 Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。 |
ライフタイム秒 |
IKE セキュリティ アソシエーション(SA)の有効期間を選択します。 有効範囲は 180 から 86400 秒です。 |
デッドピア検出 |
このオプションを有効にすると、ピア ゲートウェイが稼働していて、IPsec 確立中にネゴシエートされたデッドピア検出(DPD)メッセージに応答しているかどうかを 2 つのゲートウェイで判断できます。 |
DPDモード |
DPD モードを選択します。
|
DPD間隔 |
デッドピア検出メッセージを送信する間隔を秒単位で選択します。 デフォルトの間隔は 10 秒で、有効範囲は 2 から 60 秒です。 |
DPDスレッショルド |
障害DPDしきい値を選択します。 これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は 5 回で、有効範囲は 1 から 5 です。 |
詳細設定 | |
一般的な IKE ID |
ピアIKE IDを受け入れるには、このオプションを有効にします このオプションはデフォルトで無効になっています。General IKE ID が有効な場合、IKE ID オプションは自動的に無効になります。 |
IKEv2 再認証 |
再認証の頻度を選択します。再認証の頻度を 0 に設定することで、再認証を無効にすることができます。 有効範囲は 0 から 100 です。 |
IKEv2 Re フラグメント化のサポート |
このオプションを有効にすると、大きな IKEv2 メッセージが小さなメッセージに分割され、IP レベルで断片化が発生しません。 |
IKEv2 再フラグメント サイズ |
メッセージをフラグメント化するパケットのサイズを選択します。 デフォルトでは、IPv4 のサイズは 576 バイトで、有効範囲は 570 から 1320 です。 |
IKE ID |
次のいずれかのオプションを選択します。
IKE IDは、General IKE IDが無効になっている場合にのみ適用されます。 |
NAT-T |
動的エンドポイントがNATデバイスの背後にある場合は、ネットワークアドレス変換トラバーサル(NAT-T)を有効にします。 |
キープアライブ |
接続を維持する期間を秒単位で選択します。 VPNピア間の接続中は、NAT変換を維持するためにNATキープアライブが必要です。 有効範囲は 1 から 300 秒です。 |
IPsec設定 | |
議定書 |
VPNを確立するために必要なプロトコルを選択します。
|
暗号化アルゴリズム |
暗号化方法を選択します。 これは、プロトコルがESPの場合に適用されます。 |
認証アルゴリズム |
アルゴリズムを選択します。 デバイスはこれらのアルゴリズムを使用して、パケットの信頼性と完全性を検証します。 |
完全転送機密保持 |
デバイスが暗号化キーを生成するために使用する方法として、完全転送機密保持(PFS)を選択します。 PFSは、以前の鍵とは独立して、新しい暗号鍵を生成します。グループ番号が大きいほどセキュリティは強化されますが、処理時間が長くなります。 |
トンネルの確立 |
IKE をいつアクティブにするかを指定するオプションを選択します。
|
詳細設定 | |
VPN モニター |
インターネット制御メッセージ プロトコル(ICMP)を送信してVPNが稼働しているかどうかを判断するには、このオプションを有効にします。 |
最適化 |
このオプションを有効にすると、VPN監視を最適化し、設定されたピアからVPNトンネルを経由する発信トラフィックと着信トラフィックがない場合にのみ、ICMPエコーリクエスト(pingsとも呼ばれます)を送信するようにSRXシリーズファイアウォールを設定します。 VPNトンネルを経由する着信トラフィックがある場合、SRXシリーズファイアウォールはトンネルがアクティブであるとみなし、ピアにpingを送信しません。 |
アンチリプレイ |
IPsec メカニズムでこのオプションを有効にして、IPsec パケットに組み込まれた一連の数字を使用する VPN 攻撃から保護します。 IPsec は、すでに同じシーケンス番号を認識しているパケットを受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを強制します。 IPsec メカニズムにエラーがあり、パケットの順序が狂い、適切な機能が妨げられる場合は、このオプションを無効にします。 既定では、アンチリプレイ検出は有効になっています。 |
インストール間隔 |
キーが変更されたアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。 |
アイドル時間 |
適切なアイドル時間間隔を選択します。 セッションとそれに対応する変換は、通常、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。 |
DF ビット |
IP メッセージのフラグメント化禁止(DF)ビットを処理するオプションを選択します。
|
外部 DSCP のコピー |
このオプションを有効にすると、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに DSCP(差別化されたサービス コード ポイント)フィールドをコピーできます。 この機能を有効にする利点は、IPsec 復号化後、クリア テキスト パケットが内部サービス クラス(CoS)ルールに従うことができることです。 |
ライフタイム秒 |
IKE セキュリティ アソシエーション(SA)の有効期間を選択します。 有効範囲は 180 から 86400 秒です。 |
ライフタイムキロバイト |
IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。 有効範囲は 64 から 4294967294 キロバイトです。 |