ハブアンドスポーク(すべてのピアを確立)VPNを作成する

名前

最大 63 文字の英数字(スペースなし)の一意の文字列を入力します。

文字列には、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。

形容

VPN の説明を最大 255 文字まで入力します。

ルーティングトポロジー

次のいずれかのオプションを選択します。

• トラフィックセレクター(自動ルート挿入):トラフィックセレクターとは、指定されたローカルアドレスとリモートアドレスのペアが一致する場合に、トンネルを介したトラフィックを許可するIKEピア間の合意です。

• スタティックルーティング:デバイスごとに、保護されたネットワークまたはゾーンに基づいてスタティックルーティングを生成します。

• OSPFダイナミックルーティング—OSPF設定を生成します。

• RIP 動的ルーティング - RIP 設定を生成します。

• eBGP ダイナミック ルーティング - eBGP 設定を生成します。

VPN プロファイル

展開シナリオに基づいて、ドロップダウン リストから VPN プロファイルを選択します。

• インラインプロファイルは、特定のIPsec VPNにのみ適用されます。VPN の作成 ページの IKE/IPsec 設定の表示 をクリックすることで、詳細を表示および編集できます。

• 共有プロファイルは、1 つ以上の IPsec VPN で使用できます。共有プロファイルの詳細を表示するには、[ IKE/IPsec 設定の表示] をクリックします。

認証方法

デバイスがIKEメッセージの送信元を認証するために使用する認証方法をリストから選択します。

• 事前共有ベース:認証時に事前共有キー(2 つのピア間で共有される秘密キー)を使用してピアを相互に識別することを指定します。各ピアに同じキーを設定する必要があります。

• RSA 署名 - 暗号化とデジタル署名をサポートする公開キー アルゴリズムが使用されることを指定します。

• DSA 署名 - デジタル署名アルゴリズム(DSA)が使用されることを指定します。

• ECDSA-Signatures-256:連邦情報処理標準(FIPS)デジタル署名標準(DSS)186-3 で指定されている、256 ビット楕円曲線 secp256r1 を使用する楕円曲線 DSA(ECDSA)を使用することを指定します。

• ECDSA 署名-384 - FIPS DSS 186-3 で指定されている 384 ビット楕円曲線 secp384r1 を使用する ECDSA が使用されることを指定します。

最大送信単位

最大送信単位 (MTU) をバイト単位で選択します。

MTU は、IPsec オーバーヘッドを含む IP パケットの最大サイズを定義します。トンネル エンドポイントの MTU 値を指定できます。有効範囲は 68 から 9192 バイトで、デフォルト値は 1500 バイトです。

事前共有キー

事前共有キーを使用して VPN 接続を確立します。これは、基本的に両当事者にとって同じパスワードです。

使用する事前共有キーのタイプを選択します。

• [自動生成(Autogenerate)]:トンネルごとに一意のキーを自動的に生成する場合に選択します。選択すると、[トンネルごとに一意のキーを生成] オプションが自動的に有効になります。[トンネルごとに一意のキーを生成する]オプションを無効にすると、 Juniper Security Director Cloud はすべてのトンネルに対して単一のキーを生成します。

• [手動(Manual)]:キーを手動で入力する場合に選択します。デフォルトでは、手動キーはマスクされています。

事前共有キーは、認証方法が事前共有ベースの場合にのみ適用されます。

ネットワークIP

番号付きトンネルインターフェイスのIPアドレスを入力します。

これは、トンネル インターフェイスに IP アドレスが自動的に割り当てられるサブネット アドレスです。

トンネル インターフェイス当たりのスポーク デバイス数

[すべて(All)] を選択するか、ハブで 1 つのトンネル インターフェイスを共有するスポーク デバイスの数を指定します。

デバイス

デバイスをエンドポイントとしてVPNに追加します。

ルートベースVPNにデバイスを追加するには:

1. [追加] をクリックし、[ハブ デバイス]、[スポーク デバイス]、または [エクストラネット スポーク デバイス] のいずれかをクリックします。

   デバイスの追加 ページは開きます。

2. 表2の説明に従ってデバイスパラメータを設定します。
3. OK をクリックします。

デバイス

デバイスを選択します。

外部インターフェイス

IKE セキュリティ アソシエーション (SA) 用の発信インターフェイスを選択します。

このインターフェイスは、キャリアとして機能するゾーンに関連付けられ、ファイアウォール セキュリティを提供します。

トンネルゾーン

トンネル ゾーンを選択します。

ターンルゾーンは、NATアプリケーションが事前カプセル化およびカプセル化後のIPsecトラフィックに対して、動的IP(DIP)アドレスプールをサポートできるアドレス空間の論理領域です。また、トンネル ゾーンは、トンネル インターフェイスと VPN トンネルを柔軟に組み合わせることができます。

メトリック

ネクストホップのアクセスルートのコストを指定します。

ルーティングインスタンス

必要なルーティングインスタンスを選択します。

証書

仮想プライベート ネットワーク (VPN) のイニシエーターと受信者を認証する証明書を選択します。

これは、次のいずれかのシナリオで適用されます。

• VPN プロファイルは、RSA プロファイルまたは ADVPN プロファイルです。

• 認証方法は、RSA 署名、DSA 署名、ECDSA 署名-256、または ECDSA 署名-384 です。

信頼できる CA/グループ

リストから CA プロファイルを選択して、ローカル証明書に関連付けます。

これは、次のいずれかのシナリオで適用されます。

• VPN プロファイルは、RSA プロファイルまたは ADVPN プロファイルです。

• 認証方法は、RSA 署名、DSA 署名、ECDSA 署名-256、または ECDSA 署名-384 です。

輸出

エクスポートするルートのタイプを選択します。

• スタティック ルートをエクスポートするには、[ スタティック ルート(Static Routes )] チェックボックスを選択します。

  Juniper Security Director Cloud は、管理者がトンネルを介してリモートサイトに静的ルートをエクスポートできるようにすることで、VPNアドレス管理を簡素化し、静的ルートネットワークをVPNに参加させることができます。ただし、静的デフォルトルートをデバイス側にエクスポートできるのは、ハブ側のデバイスのみです。スポーク側のデバイスは、トンネル経由で静的デフォルト ルートをエクスポートすることはできません。

  eBGP ダイナミック ルーティングの場合、[スタティック ルート] チェックボックスはデフォルトでオンになっています。

• RIP ルートをエクスポートするには、RIP ルート チェックボックスを選択します。

  RIP ルートをエクスポートできるのは、ルーティング トポロジが OSPF ダイナミック ルーティングの場合のみです。

• OSPF ルートをエクスポートするには、 OSPF ルート チェックボックスを選択します。

  OSPF ルートをエクスポートできるのは、ルーティング トポロジーが RIP ダイナミック ルーティングの場合のみです。

OSPF または RIP エクスポートを選択した場合、VPN ネットワーク外の OSPF または RIP ルートは、OSPF または RIP 動的ルーティング プロトコルを介して VPN ネットワークにインポートされます。

OSPFエリア

このVPNのトンネルインターフェイスを設定する必要がある、0〜4,294,967,295の範囲のOSPFエリアIDを選択します。

OSPFエリアIDは、ルーティングトポロジーがOSPFダイナミックルーティングの場合に適用されます。

最大再送信時間

RIP デマンド回線が応答しないピアに更新メッセージを再送信する回数を制限するには、再送信タイマーを選択します。

設定した再送信しきい値に達すると、ネクストホップルーターからのルートが到達不能としてマークされ、ホールドダウンタイマーが開始されます。このタイマーを有効にするには、RIP デマンド回線のペアを設定する必要があります。

再送信範囲は 5 から 180 秒で、デフォルト値は 50 秒です。

このオプションは、ルーティングトポロジーがRIP動的ルーティングの場合にのみ適用されます。

AS番号

自律システム(AS)に割り当てる一意の番号を選択します。

AS番号は自律システムを識別し、システムが他の隣接する自律システムと外部ルーティング情報を交換できるようにします。有効範囲は 0 から 4294967295 です。

AS番号は、ルーティングトポロジーがe-BGPダイナミックルーティングの場合にのみ適用されます。

保護されたネットワーク

選択したデバイスのアドレスまたはインターフェイス タイプを設定して、ネットワークのあるエリアを他のエリアから保護します。

ダイナミック ルーティング プロトコルを選択すると、インターフェイス オプションが表示されます。

[ 新しいアドレスの追加] をクリックしてアドレスを作成することもできます。

IKE バージョン

IPsec の動的セキュリティ アソシエーション(SA)のネゴシエートに使用する必要な IKE バージョン(V1 または V2)を選択します。

デフォルトでは、IKE V2が使用されます。

モード

IKEポリシー モードを選択します。

• メイン - 3つのピアツーピア交換で6つのメッセージを使用してIKE SAを確立します。これらの 3 つのステップには、IKE SA ネゴシエーション、Diffie-Hellman 交換、ピアの認証が含まれます。このモードでは、ID 保護も提供されます。

• アグレッシブ - メイン モードの半分のメッセージ数を受け取り、ネゴシエーション能力が低く、ID 保護を提供しません。

モードは、IKEバージョンがV1の場合に適用されます。

暗号化アルゴリズム

適切な暗号化メカニズムを選択します。

認証アルゴリズム

アルゴリズムを選択します。

デバイスはこのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。

デフィー・ヘルマン・グループ

グループを選択します。

Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。

ライフタイム秒

IKE セキュリティ アソシエーション(SA)の有効期間を選択します。

有効範囲は 180 から 86400 秒です。

デッドピア検出

このオプションを有効にすると、ピア ゲートウェイが稼働していて、IPsec 確立中にネゴシエートされたデッドピア検出(DPD)メッセージに応答しているかどうかを 2 つのゲートウェイで判断できます。

DPDモード

DPD モードを選択します。

• 最適化:デバイスがピアに発信パケットを送信した後、設定された間隔内に着信IKEまたはIPsecトラフィックがない場合、R-U-THEREメッセージがトリガーされます。これはデフォルトのモードです。

• プローブ アイドル トンネル: R-U-THEREメッセージは、設定された間隔内に着信または発信IKEまたはIPsecトラフィックがない場合にトリガーされます。R-U-THEREメッセージは、トラフィックアクティビティが発生するまで定期的にピアに送信されます。

• Always-send:R-U-THEREメッセージは、ピア間のトラフィックアクティビティに関係なく、設定された間隔で送信されます。

DPD間隔

デッドピア検出メッセージを送信する間隔を秒単位で選択します。

デフォルトの間隔は 10 秒で、有効範囲は 2 から 60 秒です。

DPDスレッショルド

障害DPDしきい値を選択します。

これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は 5 回で、有効範囲は 1 から 5 です。

一般的な IKE ID

ピアIKE IDを受け入れるには、このオプションを有効にします。

このオプションはデフォルトで無効になっています。General IKE ID が有効な場合、IKE ID オプションは自動的に無効になります。

IKEv2 再認証

再認証の頻度を選択します。再認証の頻度を 0 に設定することで、再認証を無効にすることができます。

有効範囲は 0 から 100 です。

IKEv2 Re フラグメント化のサポート

このオプションを有効にすると、大きな IKEv2 メッセージが小さなメッセージに分割され、IP レベルで断片化が発生しません。

IKEv2 再フラグメント サイズ

メッセージをフラグメント化するパケットのサイズを選択します。

デフォルトでは、IPv4 のサイズは 576 バイトで、有効範囲は 570 から 1320 です。

IKE ID

次のいずれかのオプションを選択します。

• 何一つ

• 識別名

• ホスト名

• IPv4アドレス

• メルアド

IKE IDは、General IKE IDが無効になっている場合にのみ適用されます。

NAT-T

動的エンドポイントがNATデバイスの背後にある場合は、ネットワークアドレス変換トラバーサル(NAT-T)を有効にします。

キープアライブ

接続を維持する期間を秒単位で選択します。

VPNピア間の接続中は、NAT変換を維持するためにNATキープアライブが必要です。

有効範囲は 1 から 300 秒です。

議定書

VPNを確立するために必要なプロトコルを選択します。

• ESP:カプセル化セキュリティペイロード(ESP)プロトコルは、暗号化と認証の両方を提供します。

• AH—認証ヘッダー(AH)プロトコルは、データの整合性とデータ認証を提供します。

暗号化アルゴリズム

暗号化方法を選択します。

このオプションは、プロトコルが ESP の場合に適用されます。

認証アルゴリズム

アルゴリズムを選択します。

デバイスはこれらのアルゴリズムを使用して、パケットの信頼性と完全性を検証します。

完全転送機密保持

デバイスが暗号化キーを生成するために使用する方法として、完全転送機密保持(PFS)を選択します。

PFSは、以前の鍵とは独立して、新しい暗号鍵を生成します。グループ番号が大きいほどセキュリティは強化されますが、処理時間が長くなります。

トンネルの確立

IKE をいつアクティブにするかを指定するオプションを選択します。

• 即時:VPN 設定の変更がコミットされた直後に IKE がアクティブになります。

• オントラフィック—IKEは、データトラフィックが流れる場合にのみアクティブになり、ピアゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。

VPN モニター

インターネット制御メッセージ プロトコル(ICMP)を送信してVPNが稼働しているかどうかを判断するには、このオプションを有効にします。

最適化

このオプションを有効にすると、VPN監視を最適化し、設定されたピアからVPNトンネルを経由する発信トラフィックと着信トラフィックがない場合にのみ、ICMPエコーリクエスト(pingsとも呼ばれます)を送信するようにSRXシリーズファイアウォールを設定します。

VPNトンネルを経由する着信トラフィックがある場合、SRXシリーズファイアウォールはトンネルがアクティブであるとみなし、ピアにpingを送信しません。

アンチリプレイ

IPsec メカニズムでこのオプションを有効にして、IPsec パケットに組み込まれた一連の数字を使用する VPN 攻撃から保護します。

IPsec は、すでに同じシーケンス番号を認識しているパケットを受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを強制します。

IPsec メカニズムにエラーがあり、パケットの順序が狂い、適切な機能が妨げられる場合は、このオプションを無効にします。

既定では、アンチリプレイ検出は有効になっています。

インストール間隔

キーが変更されたアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。

アイドル時間

適切なアイドル時間間隔を選択します。

セッションとそれに対応する変換は、通常、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。

DF ビット

IP メッセージのフラグメント化禁止(DF)ビットを処理するオプションを選択します。

• クリア—IP メッセージの DF ビットを無効にします。これはデフォルトのオプションです。

• コピー—DFビットをIPメッセージにコピーします。

• Set - IP メッセージの DF ビットを有効にします。

外部 DSCP のコピー

このオプションを有効にすると、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに DSCP(差別化されたサービス コード ポイント)フィールドをコピーできます。

この機能を有効にする利点は、IPsec 復号化後、クリア テキスト パケットが内部サービス クラス(CoS)ルールに従うことができることです。

ライフタイム秒

IKE セキュリティ アソシエーション(SA)の有効期間を選択します。

有効範囲は 180 から 86400 秒です。

ライフタイムキロバイト

IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。

有効範囲は 64 から 4294967294 キロバイトです。