Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:ポリシーベースVPNの設定

この例では、ポリシーベースのIPsec VPNを設定して、2つのサイト間でデータを安全に転送できるようにする方法を示しています。

要件

この例では、次のハードウェアを使用しています。

  • 任意のSRXシリーズファイアウォール

    • Junos OSリリース20.4R1でvSRX仮想ファイアウォールを使用して更新され、再検証されました。
注:

このガイドで紹介されているトピックや操作を実際に体験してみませんか?今すぐ ジュニパーネットワークス仮想ラボの IPsec ポリシーベースのデモをご覧になり、無料のサンドボックスをご予約ください。IPsec VPNポリシーベースのサンドボックスは、セキュリティカテゴリーにあります。

始める前に、IPsec の概要を読んでください。

概要

この例では、SRX1 と SRX2 上でポリシーベースの VPN を構成します。Host1とHost2は、VPNを使用して、インターネットを介して両ホスト間でトラフィックを安全に送信します。

図 1 にポリシーベースのVPNトポロジーの例を示します。

図 1: ポリシーベースのVPNトポロジーポリシーベースのVPNトポロジー

IKE IPsec トンネルのネゴシエーションには 2 つのフェーズが存在します。フェーズ1では、参加デバイスはIPsecセキュリティアソシエーション(SA)とのネゴシエーションのためのセキュアなチャンネルを確立します。フェーズ2では、参加デバイスはトンネルを通過するトラフィックを認証するためにIPsec SAとネゴシエートします。トンネル ネゴシエーションに 2 つのフェーズがあるのと同様に、トンネルの設定にも 2 つのフェーズがあります。

この例では、インターフェイス、IPv4 デフォルト ルート、およびセキュリティ ゾーンを構成します。次に、IKEフェーズ1、IPsecフェーズ2、セキュリティポリシー、TCP-MSSパラメータを設定します。「 表 1 から 表 5」を参照してください。

表 1: SRX1のインターフェイス、静的ルート、セキュリティゾーン情報

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/0.0

10.100.11.1/24
 

ge-0/0/1.0

172.16.13.1/24

セキュリティ ゾーン

trust

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。
 

untrust

  • ge-0/0/1.0 インターフェイスは、このゾーンにバインドされています。

静的ルート

0.0.0.0/0

  • ネクスト ホップは 172.16.13.2 です。
表 2: IKEフェーズ1の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

標準

  • 認証方法:pre-shared-keys

ポリシー

IKE-POL

  • モード:メイン

  • プロポーザル リファレンス:標準

  • IKEフェーズ1ポリシー認証方法:pre-shared-key ascii-text

ゲートウェイ

IKE-GW

  • IKE ポリシーの参照:IKE-POL

  • 外部インターフェイス:ge-0/0/1

  • ゲートウェイ アドレス:172.16.23.1
表 3: IPsecフェーズ2の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

標準

  • デフォルト構成の使用

ポリシー

IPSEC-POL

  • プロポーザル リファレンス:標準

VPN

VPN-to-Host2

  • IKEゲートウェイ リファレンス:IKE-GW

  • IPsecポリシー リファレンス:IPSEC-POL

  • establish-tunnels immediately
表 4: セキュリティ ポリシー設定パラメータ

目的

お名前

設定パラメータ

このセキュリティ ポリシーは、trust ゾーンから untrust ゾーンへのトラフィックを許可します。

VPN-OUT

  • 一致する条件:

    • source-address Host1-Net

    • destination-address Host2-Net

    • application any

  • 許可アクション:トンネル ipsec-vpn VPN-to-Host2

このセキュリティ ポリシーは、untrust ゾーンから trust ゾーンへのトラフィックを許可します。

VPN-IN

  • 一致する条件:

    • source-address Host2-Net

    • destination-address Host1-Net

    • application any

  • 許可アクション:トンネル ipsec-vpn VPN-to-Host2

このセキュリティ ポリシーは、trust ゾーンから untrust ゾーンへのすべてのトラフィックを許可します。

VPN-OUT ポリシーは、デフォルトの許可セキュリティ ポリシーの前に配置する必要があります。Junos OSは、リストの一番上からセキュリティポリシーの検索を実行します。default-permit ポリシーが VPN-OUT ポリシーの前に来る場合、trust ゾーンからのすべてのトラフィックはdefault-permit ポリシーに一致し、許可されます。したがって、VPN-OUTポリシーに一致するトラフィックはありません。

デフォルト許可

  • 一致する条件:

    • source-address any

    • source-destination any

    • application any

  • アクション:permit
表 5: TCP-MSS設定パラメータ

目的

設定パラメータ

TCP-MSSは、TCPスリーウェイ ハンドシェイクの一部としてネゴシエートされ、TCPセグメントの最大サイズを、ネットワーク上の最大送信単位(MTU)制限に適応するよう制限します。IPsecカプセル化のオーバーヘッドと、IPおよびフレームのオーバーヘッドにより、結果として得られるESP(カプセル化セキュリティペイロード)パケットが物理インターフェイスのMTUを超え、フラグメント化を引き起こす可能性があるため、これはVPNトラフィックにとって特に重要です。フラグメント化は、帯域幅とデバイスリソースの使用増加の原因となります。

MTUが1500以上のイーサネットベース ネットワークでは、ほとんどの場合で1350を開始値としてお勧めします。最適なパフォーマンスを実現するためには、さまざまなTCP-MSS値を試す必要があるかもしれません。たとえば、パス内にMTUが小さいデバイスが存在したり、PPPやフレーム リレーなどの追加オーバーヘッドがあったりすると、値を変更する必要がある場合もあります。

MSS値:1350

設定

基本的なネットワークおよびセキュリティ ゾーン情報の設定

CLIクイック構成

この例を SRX1 ですばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルの CLI に貼り付けて、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、 CLIユーザーガイドを参照してください。

インターフェイス、静的ルート、セキュリティ ゾーンの情報を構成するには:

  1. インターフェイスを設定します。

  2. 静的ルートを構成します。

  3. インターネットに面したインターフェイスをuntrust セキュリティゾーンに割り当てます。

  4. untrust セキュリティ ゾーンで許可されるシステム サービスを指定します。

  5. Host1 を向いたインターフェイスを trust セキュリティ ゾーンに割り当てます。

  6. trust セキュリティ ゾーンで許可されるシステム サービスを指定します。

結果

コンフィギュレーションモードから、show interfacesshow routing-options、、およびの各コマshow security zonesンドを入力し、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

IKEの設定

CLIクイック構成

この例を SRX1 ですばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルの CLI に貼り付けて、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、CLIユーザーガイドを参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEプロポーザルを作成します。

  2. IKEプロポーザルの認証方法を定義します。

  3. IKEポリシーを作成します。

  4. IKEポリシー モードを設定します。

  5. IKEプロポーザルへのリファレンスを指定します。

  6. IKEポリシーの認証方法を定義します。

  7. IKEゲートウェイを作成し、その外部インターフェイスを定義します。

  8. IKEゲートウェイ アドレスを定義します。

  9. IKE ポリシーのリファレンスを定義します。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

IPsecの設定

CLIクイック構成

この例を SRX1 ですばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルの CLI に貼り付けて、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、CLIユーザーガイドを参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsecプロポーザルを作成します。

  2. IPsecポリシーを作成します。

  3. IPsecプロポーザル リファレンスを指定します。

  4. IKEゲートウェイを指定します。

  5. IPsecポリシーを指定します。

  6. すぐに確立するようにトンネルを構成します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

セキュリティ ポリシーの設定

CLIクイック構成

この例を SRX1 ですばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルの CLI に貼り付けて、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、CLIユーザーガイドを参照してください。

セキュリティ ポリシーを設定するには、次の手順に従います。

  1. セキュリティ ポリシーで使用するネットワークのアドレス帳エントリを作成します。

  2. trustゾーンのHost1からuntrustゾーンのHost2へのトラフィックでマッチングするセキュリティポリシーを作成します。

  3. trustゾーンからuntrustゾーンへのインターネットへの他のすべてのトラフィックを許可するセキュリティポリシーを作成します。

  4. untrust ゾーンの Host2 から trust ゾーンの Host1 へのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

TCP-MSSの設定

CLIクイック構成

この例を SRX1 ですばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルの CLI に貼り付けて、設定モードから commit を入力します。

ステップバイステップでの手順

TCP-MSS情報を設定するには、次の手順に従います。

  1. TCP-MSS 情報を構成します。

結果

設定モードから、show security flowコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX2 を構成する

CLIクイック構成

参考までに、SRX2 の構成を示します。

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

IKEステータスの検証

目的

IKEステータスを検証します。

アクション

動作モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。

意味

show security ike security-associations コマンドは、すべてのアクティブな IKE フェーズ 1 セキュリティー アソシエーション(SA)を一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、各IKE SAに固有のもので、show security ike security-associations index detail コマンドで使用すると、SAの詳細な情報を得ることができます。

  • Remote Address - リモート IP アドレスが正しいかどうかを確認します。

  • State

    • UP - フェーズ1のSAが確立されました。

    • DOWN - フェーズ1のSAの確立に問題がありました。

  • Mode:正しいモードが使用されていることを確認してください。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)

show security ike security-associations index 1859361 detailコマンドは、インデックス番号1859361のセキュリティ アソシエーションに関する追加情報を表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • 開始側と応答側のロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

IPsecフェーズ2のステータスの確認

目的

IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • ID番号は2です。この値を show security ipsec security-associations index コマンドと併用して、この特定の SA に関する詳細情報を取得します。

  • ポート500を使用する1つのIPsec SAペアがあり、NATトラバーサルが未実装であることを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな数字の大きいポートを使用します。)

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。921/unlim値は、フェーズ2のライフタイムの期限が921秒であり、ライフサイズが指定されていないことを示しており、無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効になっている場合、U(アップ)またはD(ダウン)が表示されます。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

show security ipsec security-associations index 2 detailコマンドからの出力には、次の情報が表示されます。

  • ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。

    プロキシIDの不一致は、フェーズ2の失敗で最もよくある理由の1つです。ポリシーベース VPN の場合、プロキシー ID はセキュリティ ポリシーから取得されます。ローカルアドレスとリモートアドレスはアドレス帳エントリーから派生し、サービスはポリシー用に設定されたアプリケーションから派生します。プロキシIDが一致しないためにフェーズ2が失敗した場合は、ポリシーを使用して、設定されているアドレス帳エントリを確認できます。アドレスが送信する情報と一致することを確認します。サービスをチェックして、ポートが送信される情報と一致していることを確認します。

VPN全体におけるトラフィックフローのテスト

目的

VPN全体で、トラフィックフローを検証します。

アクション

ping コマンドを使用して、Host1 デバイスから Host2 へのトラフィックフローをテストします。

意味

Host1 からの ping コマンドが失敗する場合、ルーティング、セキュリティ ポリシー、エンド ホスト、ESP パケットの暗号化と復号化のいずれかに問題がある可能性があります。

IPsecセキュリティ アソシエーションの統計情報とエラーの確認

目的

IPsecセキュリティ アソシエーションにおける、ESPおよび認証ヘッダーのカウンターとエラーを確認します。

アクション

動作モードから、統計情報を表示するVPNのインデックス番号を使用してshow security ipsec statistics index index_numberコマンドを入力します。

show security ipsec statisticsコマンドを使用して、すべてのSAの統計情報とエラーを確認することもできます。

すべてのIPsec統計情報を消去するには、clear security ipsec statisticsコマンドを使用します。

意味

VPN全体でパケット損失の問題が発生した場合、 show security ipsec statistics コマンドを数回実行して、暗号化および復号化されたパケットカウンターが増加していることを確認できます。また、他のエラー カウンターが増加しているかどうかも確認する必要があります。

関連項目