Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ハブアンドスポーク デバイス上での AutoVPN

AutoVPN は、リモート サイトへの複数のトンネル(スポークと呼ばれる)の単一の終端ポイントとして機能する IPsec VPN アグリゲータ(ハブと呼ばれる)をサポートしています。AutoVPNを使用すると、ネットワーク管理者は現在および将来のスポーク用にハブを設定できます。

Auto VPNについて

AutoVPN は、リモート サイトへの複数のトンネル(スポークと呼ばれる)の単一の終端ポイントとして機能する IPsec VPN アグリゲータ(ハブと呼ばれる)をサポートしています。AutoVPNを使用すると、ネットワーク管理者は現在および将来のスポーク用にハブを設定できます。スポーク デバイスを追加または削除する際にハブの構成を変更する必要がないため、管理者は大規模なネットワーク導入を柔軟に管理できます。

セキュア トンネル モード

AutoVPN はルートベースの IPsec VPN でサポートされています。ルートベースVPNでは、セキュアトンネル(st0)インターフェイスを設定し、IPsec VPNトンネルにバインドします。AutoVPN ネットワークの st0 インターフェイスは、次の 2 つのモードのいずれかで設定できます。

  • ポイントツーポイントモード—デフォルトでは、[edit interfaces st0 unit x]階層レベルで設定されたst0インターフェイスはポイントツーポイントモードです。Junos OS Release 17.4R1以降、AutoVPNではIPv6アドレスがサポートされています。

  • ポイントツーマルチポイント モード—このモードでは、 multipoint オプションは AutoVPN ハブとスポークの両方の [edit interfaces st0 unit x] 階層レベルで設定されます。 ハブおよびスポークのst0インターフェイスには番号が付けられ、スポークに設定されたIPアドレスはハブのst0インターフェイスサブネットワークに存在する必要があります。

表 1 AutoVPN ポイントツーポイントおよびポイントツーマルチポイントのセキュア トンネル インターフェイス モードを比較します。

表 1: AutoVPN ポイントツーポイントとポイントツーマルチポイントのセキュア トンネル モードの比較

ポイントツーポイントモード

ポイントツーマルチポイントモード

IKEv1 または IKEv2 をサポートします。

IKEv1 または IKEv2 をサポートします。

IPv4 および IPv6 トラフィックをサポートします。

IPv4 または IPv6 をサポートします。

トラフィックセレクター

動的ルーティング プロトコル(OSPF、OSPFv3、iBGP)

デッドピア検出

デッドピア検出

スポークデバイスをSRXシリーズまたはサードパーティー製デバイスにすることができます。

このモードは、SRXシリーズファイアウォールでのみサポートされています。

認証

AutoVPNは、証明書と事前共有鍵ベースの認証方法の両方をサポートしています。

AutoVPN ハブとスポークでの証明書ベースの認証では、X.509 公開キー基盤(PKI)証明書を使用できます。ハブで構成されたグループ IKE ユーザー タイプでは、スポーク証明書の代替サブジェクト フィールドと一致する文字列を指定できます。スポーク証明書のサブジェクト フィールドの部分一致も指定できます。AutoVPN 展開におけるスポーク認証についてを参照してください。

Junos OSリリース21.2R1以降、SPC3カードとikedプロセスを実行するvSRX仮想ファイアウォールを備えたSRX5000ラインは、シードされた事前共有キーを使用したAutoVPNをサポートしています。

注:

SPC3カードとvSRX仮想ファイアウォールを備えたSRX5000回線は、 junos-ike パッケージをインストールした場合のみ、PSKを使用したAutoVPNをサポートします。

AutoVPNは以下の2つのオプションでサポートされています。

  • AutoVPN シード PSK: 異なる事前共有キーを持つ同じゲートウェイに接続する複数のピア。
  • AutoVPN共有PSK: 同じ事前共有キーを持つ同じゲートウェイに接続する複数のピア。

シードされた PSK は、シードされていない PSK(つまり、同じ共有 PSK)とは異なります。シードされた PSK は、マスター キーを使用してピアの共有 PSK を生成します。そのため、各ピアは、同じゲートウェイに接続する異なるPSKを持つことになります。たとえば、以下のように表示されます。IKE ID user1@juniper.net を持つピア1とIKE ID user2@juniper.net を持つピア2がゲートウェイへの接続を試みるシナリオを考えてみましょう。このシナリオでは、ThisIsMySecretPreSharedkey として構成されたマスター キーを含むHUB_GWとして構成されたゲートウェイは、次のように異なる PSK を持ちます。

ピア 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a

ピア2: 3db8385746f3d1e639435a882579a9f28464e5c7

つまり、異なるユーザー ID と同じマスター鍵を持つ異なるユーザーに対しては、異なるまたは一意の事前共有鍵が生成されます。

Auto-VPN PSKには、 seeded-pre-shared-key または pre-shared-key のいずれかを使用できます。

  • 異なる事前共有キー:seeded-pre-shared-keyが設定されている場合、VPN ゲートウェイは、各リモート ピアを認証するために異なる IKE 事前共有キーを使用します。ピアの事前共有鍵は、IKE ゲートウェイに設定された master-key を使用して生成され、ピア間で共有されます。

    VPN ゲートウェイが各リモート ピアの認証に異なる IKE 事前共有キー (PSK) を使用できるようにするには、[edit security ike policy policy_name]階層レベルで新しい CLI コマンド seeded-pre-shared-key ascii-text または seeded-pre-shared-key hexadecimal を使用します。

    このコマンドは、同じ階層にある pre-shared-key コマンドと相互に排他的です。

    ポリシーを参照してください。

  • 共有/同一事前共有キー:pre-shared-key-typeが設定されていない場合、PSKは共有されていると見なされます。VPN ゲートウェイは、同じ IKE 事前共有キーを使用して、すべてのリモート ピアを認証します。

    VPN ゲートウェイがすべてのリモート ピアの認証に同じ IKE PSK を使用できるようにするには、既存の CLI コマンド pre-sharedkey ascii-text または pre-shared-key hexadecimal を使用します。

VPN ゲートウェイでは、[edit security ike gateway gateway_name dynamic] 階層レベルの general-ikeid 構成ステートメントを使用して IKE ID 検証をバイパスできます。このオプションが構成されている場合、リモートピアの認証中に、VPNゲートウェイは任意のリモートIKE ID接続を許可します。「general-ikeid」を参照してください。

SPC3カードとvSRX仮想ファイアウォールでikedプロセス( junos-ike パッケージを使用)を実行しているSRX5000回線では、次のIKEモードをサポートしています。

表 2: AutoVPN PSKサポート

IKE モード

SPC3カードとvSRX仮想ファイアウォールを使用したSRX5000回線でikedプロセスを実行

共有PSK

シードPSK

IKEv2

IKEv2 と any -remote-id

IKEv1 アグレッシブ モード

IKEv1 アグレッシブ モード( any-remote-id/general-ikeid

IKEv1 メイン モード

なし

IKEv1 メイン モードと any-remote-id/general-ikeid

なし

「例 :事前共有キーを使用した AutoVPN の設定

構成と管理

AutoVPNは、CLIを使用してSRXシリーズファイアウォール上で設定および管理されます。1台のSRXシリーズファイアウォールに複数のAutoVPNハブを設定できます。設定されたハブでサポートされるスポークの最大数は、SRXシリーズファイアウォールのモデルに固有です。

PIM を使用したマルチキャストのサポート

IPマルチキャストは、データパケットを複製することによって、複数の意図された受信者にトラフィックを配信します。マルチキャスト データは、ビデオ ストリーミングなどのアプリケーションに使用できます。ファイアウォールは、ポイントツーマルチポイント(P2MP)モードでPIM(プロトコル非依存マルチキャスト)をサポートします。P2MP モードを使用したファイアウォールのセキュア トンネル st0 インターフェイスで PIM を有効化できます。このプロトコルは、インターフェイス設定からP2MPインターフェイスを検出し、マルチキャストトラフィックをサポートします。PIM については、「 PIM の概要」を参照してください。

図 1 は、P2MPインフラストラクチャにおけるマルチキャストトポロジーを示しています。

図 1: P2MPインフラストラクチャにおけるマルチキャストトポロジー P2MPインフラストラクチャにおけるマルチキャストトポロジー

トポロジーからは、SRXシリーズファイアウォールの1つがハブとして機能し、残りの3つがスポークとして機能していることがわかります。トポロジーに 2 つのスポークを含めることもできます。通常、マルチキャスト送信者はハブの背後に存在し、マルチキャスト受信者はスポークの背後に存在します。マルチキャスト サポートについては、ハブアンドスポーク デバイス上のセキュア トンネル st0 論理インターフェイスが PIM P2MP モードで設定されていることに注意してください。これらの各デバイスで、st0 P2MP インターフェイスはネイバーごとのすべての PIM ジョイン を追跡し、マルチキャストの転送または複製がジョイン 状態のネイバーに対してのみ行われるようにします。

SRXシリーズファイアウォールは、st0 P2MPインターフェイスを介したPIMスパースモードでIPマルチキャストトラフィックをサポートします。ハブは、ファーストホップルーター(FHR)またはランデブーポイント(RP)として機能します。スポークは、P2MP ネットワークで LHR(ラストホップ ルーター)として機能できます。ネットワーク内のデバイスは、マルチキャスト グループ に参加しているネイバーにマルチキャスト データ パケットを複製します。

マルチキャストトラフィックサポートを設定する場合は、以下の点に注意してください。

  • kmdプロセスを使用したIPsec VPNサービスの場合、Junos OSリリース19.2R1以降を実行する必要があります。SRX300、SRX320、SRX340、SRX345、SRX550、SRX1500、vSRX 2.0(2 vCPU使用)、vSRX 3.0(2 vCPU使用)の各プラットフォームを使用できます。

  • ikedプロセスを使用したIPsec VPNサービスの場合、Junos OSリリース24.2R1以降を実行する必要があります。SRX1500、SRX1600、SRX2300、SRX4100、SRX4200、 SRX4600、vSRX 3.0などのプラットフォームを使用できます。

  • P2MP インターフェイスに IPv6 マルチキャストを設定することはできません。

  • IP マルチキャスト構成を機能させるには、PMI(PowerMode IPsec)を無効にする必要があります。

  • P2MP インターフェイスとの間でマルチキャスト ping を実行することはできません。

  • PIM を有効にすると、IGMP はデフォルトで有効になりますが、P2MP インターフェイスでは動作しないことに注意してください。

P2MP インフラストラクチャでマルチキャスト サポートを構成する方法の詳細については、「 P2MP インフラストラクチャでマルチキャスト サポートを構成する」を参照してください。

AutoVPNの制限事項について

次の機能は AutoVPN ではサポートされていません。

  • ポリシーベースのVPNはサポートされていません。

  • RIP 動的ルーティング プロトコルは、AutoVPN トンネルではサポートされていません。

  • 手動鍵および事前共有鍵を使用した Autokey IKE はサポートされていません。

  • スポークのハブでの静的ネクストホップトンネルバインディング(NHTB)の設定はサポートされていません。

  • IPv6 multicastはサポートされていません。

  • グループIKE IDユーザータイプは、IKE IDとしてのIPアドレスではサポートされていません。

  • グループ IKE ID ユーザー タイプを使用する場合、IKE ID は、同じ外部インターフェイス上に構成されている他の IKE ゲートウェイと重複しないようにする必要があります。

トラフィックセレクターによるAutoVPNについて

AutoVPN ハブは、スポークへのトラフィックを保護するために、複数のトラフィック セレクターで設定できます。この機能は、以下のメリットを提供します。

  • 1つのVPN構成で、多くの異なるピアをサポートできます。

  • VPNピアは、SRXシリーズ以外のファイアウォールでも構いません。

  • 単一のピアで、同じVPNで複数のトンネルを確立できます。

  • 動的ルーティング プロトコルを使用する AutoVPN よりも多くのトンネルをサポートできます。

Junos OS Release 17.4R1以降、ポイントツーポイントモードでセキュアトンネルインターフェイスを使用するAutoVPNネットワークは、トラフィックセレクターとIKEピアにIPv6アドレスをサポートしています。

ハブツースポーク トンネルが確立されると、ハブは 自動ルート挿入(ARI)(以前のリリースでは RRI(リバース ルート挿入)と呼ばれていました)を使用して、ルーティング テーブルにスポーク プレフィックスへのルートを挿入します。その後、ARIルートをルーティングプロトコルにインポートして、コアネットワークに配信することができます。

トラフィックセレクター付きのAutoVPNは、IKEv1とIKEv2の両方でポイントツーポイントモードでセキュアトンネル(st0)インターフェイスを使用して設定できます。

トラフィックセレクターが設定されている場合、st0インターフェイスでは動的ルーティングプロトコルはサポートされません。

トラフィックセレクターを使用してAutoVPNを設定する場合は、以下の点に注意してください。

  • ダイナミック ルーティング プロトコルは、ポイントツーポイント モードの st0 インターフェイスのトラフィック セレクターではサポートされていません。

  • 自動検出 VPN および IKEv2 構成ペイロード トラフィック セレクター付きの AutoVPN では構成できません。

  • スポークはSRXシリーズ以外のファイアウォールでもかまいません。ただし、次の違いに注意してください。

    • IKEv2 では、非 SRX シリーズ スポークが、1 つの SA ネゴシエーションで複数のトラフィック セレクターを提案できます。これはSRXシリーズファイアウォールではサポートされていないため、ネゴシエーションは拒否されます。

    • SRXシリーズ以外のスポークでも、トラフィックセレクターが使用する特定のポートまたはプロトコルを識別できます。ポートとプロトコルはSRXシリーズファイアウォール上のトラフィックセレクターでサポートされておらず、ネゴシエーションは拒否されます。

関連項目

AutoVPN 導入におけるスポーク認証について

AutoVPN 展開では、ハブ アンド スポーク デバイスに有効な X.509 PKI 証明書が読み込まれている必要があります。show security pki local-certificate detail コマンドを使用して、デバイスにロードされた証明書に関する情報を表示できます。

このトピックでは、スポークが証明書を使用してハブを認証して接続できるようにするハブの構成について説明します。

ハブでのグループIKE IDの構成

グループ IKE ID 機能を使用すると、複数のスポーク デバイスがハブ上の IKE 設定を共有できます。各スポークの X.509 証明書のサブジェクトまたは代替サブジェクト フィールドにある証明書所有者の ID には、すべてのスポークに共通する部分が含まれている必要があります。証明書 ID の共通部分は、ハブの IKE 構成に対して指定されます。

例えば、IKE ID example.net をハブで設定して、ホスト名 device1.example.netdevice2.example.netdevice3.example.netでスポークを識別することができます。各スポークの証明書では、代替サブジェクト フィールドにホスト名 ID が含まれ、フィールドの右端に example.net が含まれている必要があります(例: device1.example.net)。この例では、すべてのスポークが IKE ID ペイロードでこのホスト名 ID を使用しています。IKE ネゴシエーション時に、スポークからの IKE ID を使用して、ハブで構成されたピア IKE ID の共通部分と一致させます。有効な証明書がスポークを認証します。

証明書 ID の共通部分は、次のいずれかになります。

  • 証明書の代替サブジェクト フィールドの右端のホスト名の一部( example.netなど)。

  • 証明書の代替サブジェクト フィールドの右端にある電子メール アドレスの一部 ( @example.net など)。

  • 証明書のサブジェクト フィールドと一致するコンテナー文字列、ワイルドカードのセット、またはその両方。サブジェクトフィールドには、抽象構文表記法 1 (ASN.1) 識別名 (DN) 形式でデジタル証明書所有者の詳細が含まれています。フィールドには、組織、組織単位、国、地域、または共通名を含めることができます。

    証明書のサブジェクトフィールドと一致するようにグループIKE IDを構成するには、以下のタイプのID一致を指定できます。

    • コンテナ:スポーク証明書のサブジェクトフィールドがハブで設定された値と完全に一致する場合、ハブはスポークのIKE IDを認証します。サブジェクト フィールドごとに複数のエントリを指定できます (例: ou=eng,ou=sw)。フィールド内の値の順序は一致する必要があります。

    • ワイルドカード - ハブは、スポークの証明書のサブジェクト フィールドがハブで設定された値と一致する場合、スポークの IKE ID を認証します。ワイルドカード一致では、フィールドごとに 1 つの値のみがサポートされます (たとえば、 ou=eng または ou=sw はサポートされますが、 ou=eng,ou=sw はサポートされません)。フィールドの順序は重要ではありません。

次の例では、証明書の代替サブジェクトフィールドにホスト名の一部 example.net を使用して、グループ IKE ID を構成します。

この例では、 example.net は、すべてのスポークに使用されるホスト名識別の共通部分です。スポーク上のすべての X.509 証明書には、代替サブジェクト フィールドにホスト名 ID が含まれ、右端に example.net が含まれている必要があります。すべてのスポークは、IKE IDペイロードでホスト名IDを使用する必要があります。

次の例では、証明書組織のサブジェクト フィールドにある組織単位およびexamplesales値と一致するように、ワイルドカードを使用してグループ IKE ID を構成します。

この例では、 ou=sales,o=example フィールドは、スポークから予期される証明書のサブジェクト フィールドの共通部分です。IKE ネゴシエーション中に、スポークが証明書に cn=alice,ou=sales,o=example サブジェクト フィールドを持つ証明書を提示した場合、認証は成功し、トンネルが確立されます。スポークが証明書にサブジェクト フィールド cn=thomas,ou=engineer,o=example 証明書を提示した場合、組織単位 sales必要があるため、証明書はハブによって拒否されます。

スポーク接続の除外

特定のスポークをハブへの接続から除外するには、そのスポークの証明書を取り消す必要があります。ハブは、失効した証明書のシリアル番号を含む CA から最新の証明書失効リスト (CRL) を取得する必要があります。その後、ハブは失効したスポークからの VPN 接続を拒否します。ハブで最新の CRL が使用可能になるまで、ハブは失効したスポークからトンネルを確立し続ける可能性があります。詳細については、「 オンライン証明書ステータスプロトコルと証明書失効リストについて 」および 「認証局プロファイルについて」を参照してください。

関連項目

AutoVPN 構成の概要

次の手順では、ハブ アンド スポーク デバイスで AutoVPN を設定するための基本的なタスクについて説明します。AutoVPN ハブは、現在のスポークと新しいスポークすべてに対して 一度だけ 設定されます。

AutoVPN ハブを設定するには:

  1. CA 証明書とローカル証明書をデバイスに登録します。

    • CA 証明書がない場合は、事前共有キーベースの認証を使用できます。

  2. セキュア トンネル(st0)インターフェイスを作成し、ポイントツーマルチポイント モードで設定します。
  3. 単一のIKEポリシーを設定します。
  4. すべてのスポークに共通のグループ IKE ID を使用して IKE ゲートウェイを構成します。
  5. 単一のIPsecポリシーとVPNを構成します。
  6. 動的ルーティングプロトコルを設定します。

SRX シリーズの AutoVPN スポーク デバイスを設定するには、次の手順に従います。

  1. CA 証明書とローカル証明書をデバイスに登録します。

    • ハブで事前共有キー認証を構成する場合は、事前共有キーベースの認証方法を使用します。

  2. st0インターフェイスを作成し、ポイントツーマルチポイントモードで設定します。

  3. ハブに設定されているIKEポリシーと一致するようにIKEポリシーを設定します。

  4. ハブで構成されているグループIKE IDと一致するIDでIKEゲートウェイを構成します。

  5. ハブで構成されている IPsec ポリシーと一致するように IPsec ポリシーを構成します。

  6. 動的ルーティングプロトコルを設定します。

このトピックの例では、ハブアンドスポークの構成にJunos OSを実行するSRXシリーズファイアウォールを使用しています。スポーク デバイスで Junos OS が実行されていない場合は、ネクストホップ トンネル バインディングを設定する必要があります。詳細については、 例: ネクストホップトンネルバインディングによるマルチポイントVPN設定の設定

関連項目

例:iBGP による基本的な AutoVPN の設定

この例では、単一の終端ポイントとして機能するように AutoVPN ハブを設定し、次にリモート サイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示します。この例では、VPN トンネルを介してパケットを転送するように iBGP を設定し、証明書ベースの認証を使用します。

事前共有鍵による認証については、 ステップバイステップでの手順 ハブ で「フェーズ 1 オプションの設定」の手順を参照し、 ステップバイステップでの手順 ハブを設定するには spoke1 を設定し、spoke2ステップバイステップでの手順 spoke2 を設定します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • AutoVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール

  • AutoVPN をサポートする Junos OS リリース 12.1X44-D10 以降

開始する前に、以下を実行します。

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルについて理解している必要があります。動的ルーティング プロトコルの特定の要件の詳細については、「 ルーティング プロトコルの概要」を参照してください。

概要

この例では、AutoVPN ハブの設定とそれに続く 2 つのスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、サブジェクト フィールドに組織単位 (OU) 値 "SLT" が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。AutoVPN ハブとすべてのスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネル オプションは、同じ値である必要があります。 表 3 に、この例で使用するオプションを示します。

表 3: AutoVPN ハブおよびスポーク設定のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKEポリシー:

モード

メイン

IPsecプロポーザル:

プロトコル

ESP

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsecポリシー:

完全転送機密保持(PFS)グループ

14

すべてのデバイスで同じ認証局(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 4 は、ハブとすべてのスポークで設定されているオプションを示しています。

表 4: ハブおよびすべてのスポークの AutoVPN 設定

オプション

ハブ

すべてのスポーク

IKEゲートウェイ:

リモート IP アドレス

動的

10.1.1.1

リモート IKE ID

スポークの証明書の識別名(DN)と、組織単位(OU)フィールドに文字列 SLT

ハブの証明書の DN

ローカルIKE ID

ハブの証明書の DN

スポークの証明書のDN

外部インターフェイス

ge-0/0/1.0

スポーク1: fe-0/0/1.0

スポーク2: ge-0/0/1.0

VPN:

バインド インターフェイス

st0.0

st0.0

トンネルの確立

(未設定)

コンフィギュレーションのコミット直後に実行

表 5 は、スポークごとに異なる構成オプションを示しています。

表 5: スポーク構成の比較

オプション

スポーク 1

スポーク 2

st0.0インターフェイス

10.10.10.2/24

10.10.10.3/24

内部ネットワークへのインターフェイス

(fe-0.0/4.0)10.60.60.1/24

(fe-0.0/4.0)10.70.70.1/24

インターネットへのインターフェース

(fe-0/0/1.0)10.2.2.1/30

(ge-0/0/1.0) 10.3.3.1/30

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 2 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 2: iBGP を使用した基本的な AutoVPN 導入 iBGP を使用した基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ デバイスとスポーク デバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。PSK を使用している場合は、この手順を無視してください。

SCEP へのデバイス証明書の登録

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は SLT。ハブのIKE設定には、スポークを識別するための ou=SLT が含まれています。

ステップバイステップでの手順

スポーク 2 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は SLT。ハブのIKE設定には、スポークを識別するための ou=SLT が含まれています。

ハブの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

    認証に証明書の代わりに事前共有キーを使用する場合は、構成を次のように変更します。

    • IKEプロポーザルの[edit security ike proposal ike-proposal]階層レベルで、 authentication-method rsa-signaturesauthentication-method pre-shared-keysに置き換えます。

      オプションの詳細については、 プロポーザル(セキュリティ IKE)を参照してください。

    • IKEポリシーの[edit security ike policy policy-name]階層レベルで、 certificate local-certificate Local1pre-shared-key ascii-text keyに置き換えます。

      • 例えば、set pre-shared-key ascii-text juniper123

      オプションの詳細については、 ポリシー(セキュリティ IKE)を参照してください。

    • IKEゲートウェイの[edit security ike gateway hub-to-spoke-gw]階層レベルで、

      • dynamic distinguished-name wildcard OU=SLTdynamic hostname domain-nameに置き換えます。

        • 例えば、set dynamic hostname juniper.net

          デバイスがホスト名を解決できることを確認します。または、スポークの動的 ID に set dynamic general-ikeidset dynamic ike-user-type group-ike-id を使用することもできます。

      • local-identity distinguished-namelocal-identity hostname hub-hostnameに置き換えます。

        • 例えば、set local-identity hostname hub.juniper.net

          デバイスがホスト名を解決できることを確認します。または、set local-identity inet 192.168.1.100のようにinet ip-addressを使用することもできます。

      オプションの詳細については、 ゲートウェイ(セキュリティ IKE)を参照してください。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。PSK を使用している場合は、この手順を無視してください。

結果

設定モードから、 show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

    認証に証明書の代わりに事前共有キーを使用する場合は、構成を次のように変更します。

    • IKEプロポーザルの[edit security ike proposal ike-proposal]階層レベルで、 authentication-method rsa-signaturesauthentication-method pre-shared-keysに置き換えます。

    • IKEポリシーの[edit security ike policy policy-name]階層レベルで、 certificate local-certificate Local1pre-shared-key ascii-text keyに置き換えます。

    • IKEゲートウェイの[edit security ike gateway hub-to-spoke-gw]階層レベルで、

      • local-identity distinguished-namelocal-identity hostname spoke1-hostnameに置き換えます。

        • 例えば、set local-identity hostname spoke1.juniper.net

      • remote-identity distinguished-nameremote-identity hostname hub-hostnameに置き換えます。

        • 例えば、set remote-identity hostname hub.juniper.net

      デバイスがホスト名を解決できることを確認します。または、set local-identity inet 172.16.1.100set remote-identity inet 192.168.1.100 のように inet ip-address を使用することもできます。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。PSK を使用している場合は、この手順を無視してください。

結果

設定モードから、 show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク2の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

    認証に証明書の代わりに事前共有キーを使用する場合は、構成を次のように変更します。

    • IKEプロポーザルの[edit security ike proposal ike-proposal]階層レベルで、 authentication-method rsa-signaturesauthentication-method pre-shared-keysに置き換えます。

    • IKEポリシーの[edit security ike policy policy-name]階層レベルで、 certificate local-certificate Local1pre-shared-key ascii-text keyに置き換えます。

    • IKEゲートウェイの[edit security ike gateway hub-to-spoke-gw]階層レベルで、

      • local-identity distinguished-namelocal-identity hostname spoke2-hostnameに置き換えます。

        • 例えば、set local-identity hostname spoke2.juniper.net

      • remote-identity distinguished-nameremote-identity hostname hub-hostnameに置き換えます。

        • 例えば、set remote-identity hostname hub.juniper.net

      デバイスがホスト名を解決できることを確認します。または、set local-identity inet 10.0.1.100set remote-identity inet 192.168.1.100 のように inet ip-address を使用することもできます。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。PSK を使用している場合は、この手順を無視してください。

結果

設定モードから、 show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEフェーズ1ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

動作モードからshow security ike security-associations コマンドを入力します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメータは、ハブとスポークで一致する必要があります。

IPsecフェーズ2ステータスの確認

目的

IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからsecurity ipsec security-associations コマンドを入力します。

意味

show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ネクストホップ トンネルの検証

目的

IPsec ネクストホップ トンネルを検証します。

アクション

動作モードからshow security ipsec next-hop-tunnels コマンドを入力します。

意味

ネクストホップ ゲートウェイは、スポークの st0 インターフェイスの IP アドレスです。Next hopは、適切なIPsec VPN名に関連付けられているはずです。

BGPの検証

目的

BGP がスポークの st0 インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードからshow bgp summaryコマンドを入力します。

学習したルートの確認

目的

スポークへのルートが学習済みであることを確認します。

アクション

動作モードからshow route 10.60.60.0 コマンドを入力します。

動作モードからshow route 10.70.70.0 コマンドを入力します。

関連項目

例:IPv6トラフィック用のiBGPを使用した基本的なAutoVPNの設定

この例では、単一の終端ポイントとして機能するように AutoVPN ハブを設定し、次にリモート サイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示します。この例では、iBGP を使用して AutoVPN for IPv6 環境を設定し、VPN トンネル経由でパケットを転送します 証明書ベースの認証を使用。 事前共有鍵による認証の場合は、 例: に示すような構成を行います。iBGP を使用した基本的な AutoVPN の設定

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • AutoVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール。

  • Junos OS リリース 18.1R1 以降のリリース。

開始する前に、以下を実行します。

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルについて理解している必要があります。動的ルーティング プロトコルの特定の要件の詳細については、「 ルーティング プロトコルの概要」を参照してください。

概要

この例では、AutoVPN ハブの設定とそれに続く 2 つのスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、サブジェクト フィールドに組織単位 (OU) 値 "SLT" が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。AutoVPN ハブとすべてのスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネル オプションは、同じ値である必要があります。 表 6 に、この例で使用するオプションを示します。

表 6: AutoVPN ハブおよびスポーク設定のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

19

認証アルゴリズム

SHA-384

暗号化アルゴリズム

AES 256 CBC

IKEポリシー:

モード

メイン

IPsecプロポーザル:

プロトコル

ESP

ライフタイム秒

3000

暗号化アルゴリズム

AES 256 GCM

IPsecポリシー:

完全転送機密保持(PFS)グループ

19

すべてのデバイスで同じ認証局(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 7 は、ハブとすべてのスポークで設定されているオプションを示しています。

表 7: ハブおよびすべてのスポークの AutoVPN 設定

オプション

ハブ

すべてのスポーク

IKEゲートウェイ:

リモート IP アドレス

動的

2001:db8:2000::1

リモート IKE ID

スポークの証明書の識別名(DN)と、組織単位(OU)フィールドに文字列 SLT

ハブの証明書の DN

ローカルIKE ID

ハブの証明書の DN

スポークの証明書のDN

外部インターフェイス

ge-0/0/0

スポーク1: ge-0/0/0.0

スポーク2: ge-0/0/0.0

VPN:

バインド インターフェイス

st0.1

st0.1

トンネルの確立

(未設定)

トラフィック上のトンネルの確立

表 8 は、スポークごとに異なる構成オプションを示しています。

表 8: スポーク構成の比較

オプション

スポーク 1

スポーク 2

st0.0インターフェイス

2001:db8:7000::2/64

2001:db8:7000::3/64

内部ネットワークへのインターフェイス

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

インターネットへのインターフェース

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 3 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 3: iBGP を使用した基本的な AutoVPN 導入iBGP を使用した基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ デバイスとスポーク デバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は SLT。ハブのIKE設定には、スポークを識別するための ou=SLT が含まれています。

ステップバイステップでの手順

スポーク 2 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は SLT。ハブのIKE設定には、スポークを識別するための ou=SLT が含まれています。

ハブの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク2の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEステータスの確認

目的

IKEステータスを検証します。

アクション

動作モードからshow security ike saコマンドを入力します。

意味

show security ike saコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメータは、ハブとスポークで一致する必要があります。

IPsecステータスの検証

目的

IPsecステータスを検証します。

アクション

動作モードからshow security ipsec saコマンドを入力します。

意味

show security ipsec sa コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ネクストホップ トンネルの検証

目的

IPsec ネクストホップ トンネルを検証します。

アクション

動作モードからshow security ipsec next-hop-tunnelsコマンドを入力します。

意味

ネクストホップ ゲートウェイは、スポークの st0 インターフェイスの IP アドレスです。Next hopは、適切なIPsec VPN名に関連付けられているはずです。

BGPの検証

目的

BGP がスポークの st0 インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードからshow bgp summaryコマンドを入力します。

関連項目

例:iBGP と ECMP を使用した AutoVPN の設定

この例では、AutoVPN ハブとスポークの間に 2 つの IPsec VPN トンネルを設定する方法を示します。この例では、証明書ベースの認証を使用してVPNトンネルを介してパケットを転送するように、等価コストマルチパス(ECMP)を使用してiBGPを設定します。事前共有鍵による認証の場合は、 例: iBGP を使用した基本的な AutoVPN の設定

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 2つのSRXシリーズファイアウォールをAutoVPNハブ&スポークとしてサポート

  • AutoVPN をサポートする Junos OS リリース 12.1X44-D10 以降

開始する前に、以下を実行します。

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルについて理解している必要があります。

概要

この例では、AutoVPN ハブと 2 つの IPsec VPN トンネルを持つスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。証明書は、各 IPsec VPN トンネルのハブとスポークに登録されます。スポークの証明書の 1 つには、識別名 (DN) に組織単位 (OU) 値「SLT」が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。スポークのもう一方の証明書には、DN に OU 値「SBU」が含まれています。ハブは、OU フィールドの値「SBU」と一致するグループ IKE ID を使用して構成されています。

スポークはハブへの IPsec VPN 接続を確立し、ハブ上のリソースにアクセスできるようにします。AutoVPN ハブとスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネル オプションは、同じ値である必要があります表 9 に、この例で使用するオプションを示します。

表 9: AutoVPN ハブ アンド スポーク iBGP ECMP 設定のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKEポリシー:

モード

メイン

IPsecプロポーザル:

プロトコル

ESP

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsecポリシー:

完全転送機密保持(PFS)グループ

14

すべてのデバイスで同じ認証局(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 10 は、ハブとスポークで設定されたオプションを示しています。

表 10: ハブ アンド スポーク 1 の AutoVPN iBGP ECMP 設定

オプション

ハブ

スポーク 1

IKEゲートウェイ:

リモート IP アドレス

ハブツースポークGW-1: 動的

ハブツースポークGW-2: 動的

スポーク ツー ハブ GW-1: 10.1.1.1

スポーク ツー ハブ GW-2: 10.1.2.1

リモート IKE ID

ハブツースポークGW-1: OU フィールドに文字列 SLT があるスポークの証明書の DN

ハブツースポークGW-2: OU フィールドに文字列 SBU があるスポークの証明書の DN

スポーク ツー ハブ GW-1: ハブの証明書の DN

スポーク ツー ハブ GW-2: ハブの証明書の DN

ローカルIKE ID

ハブの証明書の DN

スポークの証明書のDN

外部インターフェイス

ハブツースポークGW-1: ge-0/0/1.0

ハブツースポークGW-2: ge-0/0/2.0

スポーク ツー ハブ GW-1: fe-0/0/1.0

スポーク ツー ハブ GW-2: fe-0/0/2.0

VPN:

バインド インターフェイス

ハブツースポークVPN-1: st0.0

ハブツースポークVPN-2: st0.1

スポークツーハブ-1: st0.0

スポークツーハブ-2: st0.1

トンネルの確立

(未設定)

コンフィギュレーションのコミット直後に実行

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 4 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 4: iBGP と ECMP を使用した AutoVPN 導入 iBGP と ECMP を使用した AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ デバイスとスポーク デバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. 証明書ごとにキーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. 証明書ごとにキーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は、ローカル 1 の場合は SLT 、ローカル 2 の場合は SBU です。ハブのIKE設定には、スポークを識別するための OU=SLTOU=SBU が含まれています。

ハブの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEフェーズ1ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

動作モードからshow security ike security-associations コマンドを入力します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsecフェーズ2ステータスの確認

目的

IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからsecurity ipsec security-associations コマンドを入力します。

意味

show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ネクストホップ トンネルの検証

目的

IPsec ネクストホップ トンネルを検証します。

アクション

動作モードからshow security ipsec next-hop-tunnels コマンドを入力します。

意味

ネクストホップ ゲートウェイは、スポークの st0 インターフェイスの IP アドレスです。Next hopは、適切なIPsec VPN名に関連付けられているはずです。

BGPの検証

目的

BGP がスポークの st0 インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードからshow bgp summaryコマンドを入力します。

学習したルートの確認

目的

スポークへのルートが学習済みであることを確認します。

アクション

動作モードからshow route 10.60.60.0 detailコマンドを入力します。

転送テーブルでのルートインストールの確認

目的

スポークへのルートが転送テーブルにインストールされていることを確認します。

アクション

動作モードからshow route forwarding-table matching 10.60.60.0コマンドを入力します。

関連項目

例:iBGP とアクティブバックアップ トンネルを使用した AutoVPN の設定

この例では、AutoVPN ハブとスポーク間にアクティブおよびバックアップ IPsec VPN トンネルを設定する方法を示します。この例では、証明書ベースの認証を使用してVPNトンネルを介してトラフィックを転送するようにiBGPを設定します。事前共有鍵による認証の場合は、 例: iBGP を使用した基本的な AutoVPN の設定

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 2つのSRXシリーズファイアウォールをAutoVPNハブ&スポークとしてサポート

  • AutoVPN をサポートする Junos OS リリース 12.1X44-D10 以降

開始する前に、以下を実行します。

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルについて理解している必要があります。

概要

この例では、AutoVPN ハブと 2 つの IPsec VPN トンネルを持つスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。証明書は、各 IPsec VPN トンネルのハブとスポークに登録されます。スポークの証明書の 1 つには、識別名 (DN) に組織単位 (OU) 値「SLT」が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。スポークのもう一方の証明書には、DN に OU 値「SBU」が含まれています。ハブは、OU フィールドの値「SBU」と一致するグループ IKE ID を使用して構成されています。

スポークはハブへの IPsec VPN 接続を確立し、ハブ上のリソースにアクセスできるようにします。AutoVPN ハブとスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネル オプションは、同じ値である必要があります。 表 11 に、この例で使用するオプションを示します。

表 11: AutoVPN ハブ アンド スポーク iBGP アクティブ/バックアップ トンネル設定のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKEポリシー:

モード

メイン

IPsecプロポーザル:

プロトコル

ESP

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsecポリシー:

完全転送機密保持(PFS)グループ

14

すべてのデバイスで同じ認証局(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 12 は、ハブとスポークで設定されたオプションを示しています。

表 12: ハブ アンド スポーク 1 の AutoVPN IBGP アクティブバックアップ トンネル設定

オプション

ハブ

スポーク 1

IKEゲートウェイ:

リモート IP アドレス

ハブツースポークGW-1: 動的

ハブツースポークGW-2: 動的

スポーク ツー ハブ GW-1: 10.1.1.1

スポーク ツー ハブ GW-2: 10.1.2.1

リモート IKE ID

ハブツースポークGW-1: OU フィールドに文字列 SLT があるスポークの証明書の DN

ハブツースポークGW-2: OU フィールドに文字列 SBU があるスポークの証明書の DN

スポーク ツー ハブ GW-1: ハブの証明書の DN

スポーク ツー ハブ GW-2: ハブの証明書の DN

ローカルIKE ID

ハブの証明書の DN

スポークの証明書のDN

外部インターフェイス

ハブツースポークGW-1: ge-0/0/1.0

ハブツースポークGW-2: ge-0/0/2.0

スポーク ツー ハブ GW-1: fe-0/0/1.0

スポーク ツー ハブ GW-2: fe-0/0/2.0

VPN:

バインド インターフェイス

ハブツースポークVPN-1: st0.0

ハブツースポークVPN-2: st0.1

スポークツーハブ-1: st0.0

スポークツーハブ-2: st0.1

VPNモニター

ハブツースポークVPN-1: ge-0/0/1.0(送信元インターフェイス)

ハブツースポークVPN-2: ge-0/0/2.0(送信元インターフェイス)

スポークツーハブ-1: 10.1.1.1 (宛先 IP)

スポークツーハブ-2: 10.1.2.1 (宛先 IP)

トンネルの確立

(未設定)

コンフィギュレーションのコミット直後に実行

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 5 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 5: iBGPとアクティブバックアップトンネルを使用したAutoVPNの導入 iBGPとアクティブバックアップトンネルを使用したAutoVPNの導入

この例では、ハブとスポーク1の間に2つのIPsec VPNトンネルが確立されています。ルーティング情報は、各トンネルの iBGP セッションを介して交換されます。10.60.60.0/24 へのルートの最長プレフィックス一致は、ハブの st0.0 インターフェイス経由です。したがって、ルートのプライマリ トンネルは、ハブおよびスポーク 1 の st0.0 インターフェイスを経由します。デフォルト ルートは、ハブおよびスポーク 1 の st0.1 インターフェイス上のバックアップ トンネルを経由します。

VPN監視は、トンネルのステータスをチェックします。プライマリ トンネルに問題がある場合(リモート トンネル ゲートウェイに到達できない場合など)、トンネル ステータスは down に変わり、10.60.60.0/24 を宛先とするデータはバックアップ トンネルを介して再ルーティングされます。

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ デバイスとスポーク デバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. 証明書ごとにキーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. 証明書ごとにキーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は、ローカル 1 の場合は SLT 、ローカル 2 の場合は SBU です。ハブのIKE設定には、スポークを識別するための OU=SLTOU=SBU が含まれています。

ハブの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEフェーズ1ステータスの確認(両方のトンネルが稼働中)

目的

両方の IPSec VPN トンネルがアップしているときに、IKE フェーズ 1 のステータスを確認します。

アクション

動作モードからshow security ike security-associations コマンドを入力します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsecフェーズ2ステータスの確認(両方のトンネルが稼働中)

目的

両方の IPsec VPN トンネルがアップしているときに、IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからsecurity ipsec security-associations コマンドを入力します。

意味

show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsecネクストホップトンネルの確認(両方のトンネルが稼働中)

目的

IPsec ネクストホップ トンネルを検証します。

アクション

動作モードからshow security ipsec next-hop-tunnels コマンドを入力します。

意味

ネクストホップ ゲートウェイは、スポークの st0 インターフェイスの IP アドレスです。Next hopは、適切なIPsec VPN名に関連付けられているはずです。

BGPの検証(両方のトンネルが稼働しています)

目的

両方の IPsec VPN トンネルがアップしているときに、BGP がスポークの st0 インターフェイスの IP アドレスを参照することを確認します。

アクション

動作モードからshow bgp summaryコマンドを入力します。

学習したルートの確認(両方のトンネルが稼働中)

目的

両方のトンネルがアップしているときに、スポークへのルートが学習済みであることを確認します。10.60.60.0/24へのルートはst0.0インターフェイスを経由し、デフォルトルートはst0.1インターフェイスを経由します。

アクション

動作モードからshow route 10.60.60.0 コマンドを入力します。

動作モードからshow route 0.0.0.0コマンドを入力します。

IKEフェーズ1ステータスの確認(プライマリトンネルがダウンしています)

目的

プライマリ トンネルがダウンしたときの IKE フェーズ 1 ステータスを確認します。

アクション

動作モードからshow security ike security-associations コマンドを入力します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsecフェーズ2ステータスの確認(プライマリトンネルがダウンしています)

目的

プライマリ トンネルがダウンしたときの IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからsecurity ipsec security-associations コマンドを入力します。

意味

show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsecネクストホップトンネルの確認(プライマリトンネルがダウンしています)

目的

IPsec ネクストホップ トンネルを検証します。

アクション

動作モードからshow security ipsec next-hop-tunnels コマンドを入力します。

意味

ネクストホップ ゲートウェイは、スポークの st0 インターフェイスの IP アドレスです。Next hopは、正しいIPsec VPN名(この場合はバックアップVPNトンネル)に関連付けられている必要があります。

BGP(プライマリトンネルがダウンしている)の確認

目的

プライマリ トンネルがダウンしたときに、BGP がスポークの st0 インターフェイスの IP アドレスを参照することを確認します。

アクション

動作モードからshow bgp summaryコマンドを入力します。

学習したルートの確認(プライマリトンネルがダウン)

目的

プライマリ トンネルがダウンしたときに、スポークへのルートが学習済みであることを確認します。10.60.60.0/24へのルートとデフォルトルートはどちらもst0.1インターフェイスを経由します。

アクション

動作モードからshow route 10.60.60.0 コマンドを入力します。

動作モードからshow route 0.0.0.0コマンドを入力します。

関連項目

例:OSPF を使用した基本的な AutoVPN の設定

この例では、単一の終端ポイントとして機能するように AutoVPN ハブを設定し、次にリモート サイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示します。この例では、証明書ベースの認証を使用してVPNトンネルを介してパケットを転送するようにOSPFを設定します。事前共有鍵による認証の場合は、 例: iBGP を使用した基本的な AutoVPN の設定

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • AutoVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール

  • AutoVPN をサポートする Junos OS リリース 12.1X44-D10 以降

開始する前に、以下を実行します。

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルについて理解している必要があります。

概要

この例では、AutoVPN ハブの設定とそれに続く 2 つのスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、サブジェクト フィールドに組織単位 (OU) 値 "SLT" が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。AutoVPN ハブとすべてのスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネル オプションは、同じ値である必要があります。 表 13 に、この例で使用するオプションを示します。

表 13: AutoVPN ハブ アンド スポークの基本的な OSPF 設定のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

2

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 128 CBC

IKEポリシー:

モード

メイン

IPsecプロポーザル:

プロトコル

ESP

認証アルゴリズム

HMAC MD5 96

暗号化アルゴリズム

DES CBC

IPsecポリシー:

完全転送機密保持(PFS)グループ

14

すべてのデバイスで同じ認証局(CA)が設定されています。

Junos OS は、単一レベルの証明書階層のみをサポートします。

表 14 は、ハブとすべてのスポークで設定されているオプションを示しています。

表 14: ハブおよびすべてのスポークに対する AutoVPN 基本 OSPF 設定

オプション

ハブ

すべてのスポーク

IKEゲートウェイ:

リモート IP アドレス

動的

10.1.1.1

リモート IKE ID

スポークの証明書の識別名(DN)と、組織単位(OU)フィールドに文字列 SLT

ハブの証明書の DN

ローカルIKE ID

ハブの証明書の DN

スポークの証明書のDN

外部インターフェイス

ge-0/0/1.0

スポーク1: fe-0/0/1.0

スポーク2: ge-0/0/1.0

VPN:

バインド インターフェイス

st0.0

st0.0

トンネルの確立

(未設定)

コンフィギュレーションのコミット直後に実行

表 15 は、スポークごとに異なる構成オプションを示しています。

表 15: 基本的なOSPFスポーク構成の比較

オプション

スポーク 1

スポーク 2

st0.0インターフェイス

10.10.10.2/24

10.10.10.3/24

内部ネットワークへのインターフェイス

fe-0.0/4.0: 100.60.60.1/24

fe-0.0/4.0: 10.70.70.1/24

インターネットへのインターフェース

fe-0/0/1.0: 10.2.2.1/30

ge-0/0/1.0: 10.3.3.1/30

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 6 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 6: OSPF を使用した基本的な AutoVPN 導入 OSPF を使用した基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ デバイスとスポーク デバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は SLT。ハブのIKE設定には、スポークを識別するための ou=SLT が含まれています。

ステップバイステップでの手順

スポーク 2 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は SLT。ハブのIKE設定には、スポークを識別するための ou=SLT が含まれています。

ハブの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク2の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEフェーズ1ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

動作モードからshow security ike security-associations コマンドを入力します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメータは、ハブとスポークで一致する必要があります。

IPsecフェーズ2ステータスの確認

目的

IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからsecurity ipsec security-associations コマンドを入力します。

意味

show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ネクストホップ トンネルの検証

目的

IPsec ネクストホップ トンネルを検証します。

アクション

動作モードからshow security ipsec next-hop-tunnels コマンドを入力します。

意味

ネクストホップ ゲートウェイは、スポークの st0 インターフェイスの IP アドレスです。Next hopは、適切なIPsec VPN名に関連付けられているはずです。

OSPF の検証

目的

OSPF がスポークの st0 インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードからshow ospf neighbor コマンドを入力します。

学習したルートの確認

目的

スポークへのルートが学習済みであることを確認します。

アクション

動作モードからshow route 60.60.60.0 コマンドを入力します。

動作モードからshow route 10.70.70.0 コマンドを入力します。

関連項目

例:IPv6 トラフィック用の OSPFv3 を使用した AutoVPN の設定

この例では、単一の終端ポイントとして機能するように AutoVPN ハブを設定し、次にリモート サイトへのトンネルとして機能するように 2 つのスポークを設定する方法を示します。この例では、OSPFv3 を使用して AutoVPN for IPv6 環境を設定し、VPN トンネル経由でパケットを転送します 証明書ベースの認証を使用)。事前共有鍵による認証の場合は、 例: iBGP を使用した基本的な AutoVPN の設定

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • AutoVPNハブおよびスポークとしてサポートされる3つのSRXシリーズファイアウォール。

  • Junos OS リリース 18.1R1 以降のリリース。

開始する前に、以下を実行します。

  • ローカル証明書の要求を送信するときに、認証局 (CA) のアドレスと必要な情報 (チャレンジ・パスワードなど) を取得します。

VPN トンネルを介してパケットを転送するために使用される動的ルーティング プロトコルについて理解している必要があります。

概要

この例では、ハブでの OSPFv3 ルーティング プロトコルを使用した AutoVPN の設定と、その後の 2 つのスポークの設定を示します。

この例では、最初の手順として、簡易証明書登録プロトコル (SCEP) を使用して各デバイスにデジタル証明書を登録します。スポークの証明書には、サブジェクト フィールドに組織単位 (OU) 値 "SLT" が含まれています。ハブは、OU フィールドの値「SLT」と一致するグループ IKE ID で構成されています。

スポークはハブへのIPsec VPN接続を確立することで、相互の通信やハブ上のリソースへのアクセスを可能にします。AutoVPN ハブとすべてのスポークで設定されたフェーズ 1 とフェーズ 2 の IKE トンネル オプションは、同じ値である必要があります。 表 16 に、この例で使用するオプションを示します。

表 16: AutoVPN ハブ アンド スポークの基本的な OSPFv3 設定のフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

19

認証アルゴリズム

SHA-384

暗号化アルゴリズム

AES 256 CBC

IKEポリシー:

モード

メイン

IPsecプロポーザル:

プロトコル

ESP

ライフタイム秒

3000

暗号化アルゴリズム

AES 256 GCM

IPsecポリシー:

完全転送機密保持(PFS)グループ

19

すべてのデバイスで同じ認証局(CA)が設定されています。

表 17 は、ハブとすべてのスポークで設定されているオプションを示しています。

表 17: ハブおよびすべてのスポークに対する AutoVPN OSPFv3 の設定

オプション

ハブ

すべてのスポーク

IKEゲートウェイ:

リモート IP アドレス

動的

2001:db8:2000::1

リモート IKE ID

スポークの証明書の識別名(DN)と、組織単位(OU)フィールドに文字列 SLT

ハブの証明書の DN

ローカルIKE ID

ハブの証明書の DN

スポークの証明書のDN

外部インターフェイス

ge-0/0/0

スポーク1: ge-0/0/0.0

スポーク2: ge-0/0/0.0

VPN:

バインド インターフェイス

st0.1

st0.1

トンネルの確立

(未設定)

コンフィギュレーションのコミット直後に実行

表 18 は、スポークごとに異なる構成オプションを示しています。

表 18: OSPFv3 スポーク構成の比較

オプション

スポーク 1

スポーク 2

st0.1インターフェイス

2001:db8:7000::2/64

2001:db8:7000::3/64

内部ネットワークへのインターフェイス

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

インターネットへのインターフェース

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

すべてのデバイスのルーティング情報は、VPN トンネルを介して交換されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

トポロジー

図 7 この例では、AutoVPN用に設定するSRXシリーズファイアウォールを示しています。

図 7: OSPFv3 を使用した基本的な AutoVPN 導入OSPFv3 を使用した基本的な AutoVPN 導入

設定

AutoVPN を設定するには、次のタスクを実行します。

最初のセクションでは、ハブ デバイスとスポーク デバイスで簡易証明書登録プロトコル (SCEP) を使用して CA 証明書とローカル証明書をオンラインで取得する方法について説明します。

SCEP へのデバイス証明書の登録

ステップバイステップでの手順

ハブで SCEP にデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

ステップバイステップでの手順

スポーク 1 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は SLT。ハブのIKE設定には、スポークを識別するための ou=SLT が含まれています。

ステップバイステップでの手順

スポーク 2 で SCEP を使用してデジタル証明書を登録するには:

  1. CA を設定します。

  2. CA 証明書を登録します。

    プロンプトで「 yes 」と入力して、CA 証明書を読み込みます。

  3. キーペアを生成します。

  4. ローカル証明書を登録します。

  5. ローカル証明書を確認します。

    件名フィールドに表示される組織単位 (OU) は SLT。ハブのIKE設定には、スポークを識別するための ou=SLT が含まれています。

ハブの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

ハブを設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク1の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 1 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポーク2の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

スポーク 2 を設定するには:

  1. インターフェイスを設定します。

  2. ルーティング プロトコルを設定します。

  3. フェーズ1のオプションを設定します。

  4. フェーズ2のオプションを設定します。

  5. ゾーンを設定します。

  6. デフォルトのセキュリティポリシーを設定します。

  7. CA プロファイルを設定します。

結果

設定モードから、 show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies、および show security pki コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEステータスの確認

目的

IKEステータスを検証します。

アクション

動作モードからshow security ike saコマンドを入力します。

意味

show security ike saコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメータは、ハブとスポークで一致する必要があります。

IPsecステータスの検証

目的

IPsecステータスを検証します。

アクション

動作モードからshow security ipsec sa コマンドを入力します。

意味

show security ipsec sa コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IPsec ネクストホップ トンネルの検証

目的

IPsec ネクストホップ トンネルを検証します。

アクション

動作モードからshow security ipsec next-hop-tunnelsコマンドを入力します。

意味

ネクストホップ ゲートウェイは、スポークの st0 インターフェイスの IP アドレスです。Next hopは、適切なIPsec VPN名に関連付けられているはずです。

OSPFv3 の検証

目的

OSPFv3 がスポークの st0 インターフェイスの IP アドレスを参照していることを確認します。

アクション

動作モードからshow ospf3 neighbor detailコマンドを入力します。

ハブ:

スポーク1:

スポーク2:

関連項目

例:トラフィックセレクターを使用したAutoVPNトンネルを介したトラフィックの転送

この例では、AutoVPN 導入で VPN トンネルを介してパケットを転送するために、動的ルーティング プロトコルではなく、トラフィック セレクターを設定する方法を示します。トラフィックセレクターが設定されている場合、セキュアトンネル(st0)インターフェイスはポイントツーポイントモードである必要があります。トラフィック セレクターは、ハブ デバイスとスポーク デバイスの両方で設定されます。この例では、証明書ベースの認証を使用しています。事前共有鍵による認証の場合は、 例: iBGP を使用した基本的な AutoVPN の設定

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • シャーシクラスターで接続され、設定された2台のSRXシリーズファイアウォール。シャーシ クラスタは AutoVPN ハブです。

  • AutoVPNスポークとして設定されたSRXシリーズファイアウォール。

  • Junos OS リリース 12.3X48-D10 以降。

  • ハブに登録されているデジタル証明書と、デバイスが相互に認証できるようにするスポーク デバイス。

開始する前に、以下を実行します。

概要

この例では、トラフィックセレクターはAutoVPNハブで設定され、スポークします。設定されたトラフィックセレクターに適合したトラフィックのみが、トンネルを介して転送されます。ハブでは、トラフィックセレクターはローカルIPアドレス192.0.0.0/8とリモートIPアドレス172.0.0.0/8で設定されます。スポークでは、トラフィックセレクターはローカルIPアドレス172.0.0.0/8とリモートIPアドレス192.0.0.0/8で設定されています。

スポークに設定したトラフィックセレクターIPアドレスは、ハブに設定したトラフィックセレクターIPアドレスのサブセットにすることができます。これは、 トラフィックセレクターフレキシブルマッチと呼ばれます。

AutoVPN ハブとスポークで設定された特定のフェーズ 1 およびフェーズ 2 IKE トンネル オプションは、同じ値を持つ必要があります。 表 19 に、この例で使用されている値を示します。

表 19: トラフィック セレクターを備えた AutoVPN ハブとスポークのフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

rsa-signatures

Diffie-Hellman(DH)グループ

group5

認証アルゴリズム

SHA-1

暗号化アルゴリズム

aes-256-cbc

IKEポリシー:

モード

メイン

証書

ローカル証明書

IKEゲートウェイ:

動的

識別名ワイルドカード DC=Common_component

IKE ユーザー タイプ

グループ IKE ID

ローカルID

識別名

バージョン

v1 のみ

IPsecプロポーザル:

プロトコル

esp

認証アルゴリズム

hmac-sha1-96

暗号化アルゴリズム

AES-192-CBC

一生

3600秒

150,000キロバイト

IPsecポリシー:

完全転送機密保持(PFS)グループ

グループ5

トポロジー

図 8 は、この例用に設定するSRXシリーズファイアウォールを示しています。

図 8: トラフィック セレクターを使用した AutoVPN トラフィック セレクターを使用した AutoVPN

設定

ハブの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

Junos OS リリース 15.1X49-D120 以降では、[edit security ike gateway gateway-name dynamic] 階層レベルで CLI オプション reject-duplicate-connectionを設定して、既存のトンネル セッションを保持し、同じ IKE ID を持つ新しいトンネルのネゴシエーション要求を拒否できるようになりました。デフォルトでは、同じIKE IDを持つ新しいトンネルが確立されると、既存のトンネルは破棄されます。reject-duplicate-connection オプションは、IKE ゲートウェイに ike-user-type group-ike-id または ike-user-type shared-ike-id が設定されている場合にのみサポートされます。このオプションでは、aaa access-profile profile-name 設定はサポートされません。

CLI オプションは reject-duplicate-connection 同じ IKE ID を持つ新しいトンネルの再確立を拒否する必要があることが確実な場合にのみ使用してください。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ハブを設定するには:

  1. インターフェイスを設定します。

  2. フェーズ1のオプションを設定します。

  3. フェーズ2のオプションを設定します。

  4. 証明書情報を構成します。

  5. セキュリティ ゾーンを構成します。

結果

設定モードから、 show interfacesshow security ike、 、 show security ipsec、 、 show security pkishow security zones、および コマshow security policiesンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

スポークの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ハブを設定するには:

  1. インターフェイスを設定します。

  2. フェーズ1のオプションを設定します。

  3. フェーズ2のオプションを設定します。

  4. 証明書情報を構成します。

  5. セキュリティ ゾーンを構成します。

結果

設定モードから、 show interfacesshow security ike、 、 show security ipsec、 、 show security pkishow security zones、および コマshow security policiesンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

トンネルの検証

目的

AutoVPN ハブとスポークの間にトンネルが確立されていることを確認します。

アクション

動作モードから、ハブで show security ike security-associations コマンドと show security ipsec security-associations コマンドを入力します。

動作モードから、スポークの show security ike security-associations コマンドと show security ipsec security-associations コマンドを入力します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。ハブはスポークに対して 1 つのアクティブなトンネルを示し、スポークはハブに対して 1 つのアクティブなトンネルを示しています。

IKE フェーズ 1 の SA がリストされていない場合は、フェーズ 1 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

IKE フェーズ 2 に SA がリストされていない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメーターは、ハブとスポークで一致する必要があります。

トラフィックセレクターの確認

目的

トラフィックセレクターを確認します。

アクション

動作モードから、ハブで show security ipsec traffic-selector interface-name st0.1 コマンドを入力します。

動作モードから、スポークの show security ipsec traffic-selector interface-name st0.1 コマンドを入力します。

意味

トラフィックセレクターとは、指定されたローカルアドレスとリモートアドレスのペアが一致する場合に、トンネルを介したトラフィックを許可するIKEピア間の合意です。トラフィック セレクターに適合したトラフィックのみが SA を介して許可されます。トラフィックセレクターは、イニシエータとレスポンダ(SRXシリーズハブ)の間でネゴシエートされます。

関連項目

例:AutoVPNとトラフィックセレクターによるVPNトンネルの可用性の確保

ジオリダンダンシーとは、停電や自然災害などサイトに影響を与える壊滅的な事象が発生した場合でも、トラフィックがプロバイダネットワーク上を流れ続けるように、地理的に離れた複数のサイトを展開することです。モバイルプロバイダーネットワークでは、SRXシリーズファイアウォール上のgeoredundant IPsec VPNゲートウェイを介して、複数のEvolved Node B(eNodeB)デバイスをコアネットワークに接続できます。eNodeB デバイスへの代替ルートは、動的ルーティング プロトコルを使用してコア ネットワークに分散されます。

この例では、SRXシリーズファイアウォール上で複数のトラフィックセレクターを使用してAutoVPNハブを構成し、eNodeBデバイスへのgeoredundantIPsec VPNゲートウェイを確保するものです。自動ルート挿入 (ARI) は、ハブ上のルーティング テーブル内の eNodeB デバイスに向けたルートを自動的に挿入するために使用されます。ARIのルートは、BGPを通じてプロバイダのコアネットワークに配信されます。この例では、証明書ベースの認証を使用しています。事前共有鍵による認証の場合は、 例: iBGP を使用した基本的な AutoVPN の設定

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • シャーシクラスターで接続され、設定された2台のSRXシリーズファイアウォール。シャーシ クラスタは AutoVPN ハブ A です。

  • AutoVPNハブBとして設定されたSRXシリーズファイアウォール。

  • Junos OS リリース 12.3X48-D10 以降。

  • AutoVPN ハブとの IPsec VPN トンネルを確立できる eNodeB デバイス。eNodeBデバイスは、AutoVPNハブとのVPNトンネルを開始するサードパーティのネットワーク機器プロバイダーです。

  • ハブに登録されているデジタル証明書と、デバイスが相互に認証できるようにする eNodeB デバイス。

開始する前に、以下を実行します。

この例では、BGP 動的ルーティングプロトコルを使用して、eNodeB デバイスに向けてコアネットワークにルートをアドバタイズします。

概要

この例では、2つのAutoVPNハブがSRXシリーズファイアウォール上で複数のトラフィックセレクターを使用して設定され、eNodeBデバイスに地理的冗長なIPsec VPNゲートウェイを提供します。ARIは、ハブのルーティングテーブルにeNodeBデバイスへのルートを自動的に挿入します。ARIのルートは、BGPを通じてプロバイダのコアネットワークに配信されます。

AutoVPN ハブと eNodeB デバイスで設定された特定のフェーズ 1 およびフェーズ 2 IKE トンネル オプションは、同じ値を持つ必要があります。 表 20 に、この例で使用されている値を示します。

表 20: georedundant AutoVPN ハブのフェーズ 1 およびフェーズ 2 オプション

オプション

IKEプロポーザル:

認証方法

rsa-signatures

Diffie-Hellman(DH)グループ

group5

認証アルゴリズム

SHA-1

暗号化アルゴリズム

aes-256-cbc

IKEポリシー:

証書

ローカル証明書

IKEゲートウェイ:

動的

識別名ワイルドカード DC=Common_component

IKE ユーザー タイプ

グループ IKE ID

デッドピア検出

probe-idle-tunnel

ローカルID

識別名

バージョン

v2 のみ

IPsecプロポーザル:

プロトコル

esp

認証アルゴリズム

hmac-sha1-96

暗号化アルゴリズム

aes-256-cbc

IPsecポリシー:

完全転送機密保持(PFS)グループ

グループ5

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。わかりやすくするために、SRXシリーズファイアウォールの設定では、あらゆる種類のインバウンドトラフィックを許可します。この構成は、運用環境のデプロイには推奨されません。

トポロジー

図 9 は、この例用に設定するSRXシリーズファイアウォールを示しています。

図 9: eNodeBデバイスへのジオリダンダントIPsec VPNゲートウェイeNodeBデバイスへのジオリダンダントIPsec VPNゲートウェイ

設定

ハブ A の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ハブ A を設定するには:

  1. インターフェイスを設定します。

  2. フェーズ1のオプションを設定します。

  3. フェーズ2のオプションを設定します。

  4. BGP ルーティング プロトコルを設定します。

  5. ルーティングオプションを設定します。

  6. 証明書情報を構成します。

  7. セキュリティ ゾーンを構成します。

結果

設定モードから、 show interfaces show security ikeshow security ipsecshow protocols bgpshow policy-optionsshow security pkishow security zones、および show security policies コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

ハブ B の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

ハブ B を設定するには:

  1. インターフェイスを設定します。

  2. フェーズ1のオプションを設定します。

  3. フェーズ2のオプションを設定します。

  4. BGP ルーティング プロトコルを設定します。

  5. ルーティングオプションを設定します。

  6. 証明書情報を構成します。

  7. セキュリティ ゾーンを構成します。

結果

設定モードから、 show interfaces show security ikeshow security ipsecshow protocols bgpshow security pkishow security zones、および show security policies コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

eNodeBの設定(サンプル設定)

ステップバイステップでの手順

  1. この例の eNodeB 設定は、参照用に提供されています。詳細な eNodeB 設定情報は、このドキュメントの範囲外です。eNodeB の設定には、次の情報を含める必要があります。

    • ローカル証明書(X.509v3)および IKE ID 情報

    • SRXシリーズIKE ID情報とパブリックIPアドレス

    • SRXシリーズハブの構成と一致するフェーズ1およびフェーズ2のプロポーザル

結果

この例のeNodeBデバイスは、IPsecベースのVPN接続にstrongSwanオープンソースソフトウェアを使用しています。

検証

設定が正常に機能していることを確認します。

AutoVPN ハブでのトンネルの検証

目的

AutoVPN ハブと eNodeB デバイスの間にトンネルが確立されていることを確認します。

アクション

動作モードから、ハブで show security ike security-associations コマンドと show security ipsec security-associations コマンドを入力します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。ハブには、各 eNodeB デバイスに 1 つずつ、合計 2 つのアクティブなトンネルが表示されています。

IKE フェーズ 1 の SA がリストされていない場合は、フェーズ 1 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 1 のプロポーザル パラメータは、ハブ デバイスと eNodeB デバイスで一致する必要があります。

IKE フェーズ 2 に SA がリストされていない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザル パラメータは、ハブ デバイスと eNodeB デバイスで一致する必要があります。

トラフィックセレクターの確認

目的

トラフィックセレクターを確認します。

アクション

動作モードからshow security ipsec traffic-selector interface-name st0.1コマンドを入力します。

意味

トラフィックセレクターとは、指定されたローカルアドレスとリモートアドレスのペアが一致する場合に、トンネルを介したトラフィックを許可するIKEピア間の合意です。トラフィック セレクターに適合したトラフィックのみが SA を介して許可されます。トラフィックセレクターは、イニシエータとレスポンダ(SRXシリーズハブ)の間でネゴシエートされます。

ARIルートの検証

目的

ARIルートがルーティングテーブルに追加されていることを確認します。

アクション

動作モードからshow routeコマンドを入力します。

意味

自動ルート挿入(ARI)は、リモートネットワークの静的ルートと、リモートトンネルのエンドポイントによって保護されるホストを自動的に挿入します。トラフィックセレクターに設定されたリモートIPアドレスに基づいてルートが作成されます。トラフィックセレクターの場合、設定されたリモートアドレスは、VPNにバインドされたst0インターフェイスに関連付けられたルーティングインスタンスにルートとして挿入されます。

eNodeBの宛先へのスタティックルート 10.30.1.0/24 および 10.50.1.0/24がSRXシリーズハブのルーティングテーブルに追加されます。これらのルートは、st0.1インターフェイスを介して到達可能です。

関連項目

例:事前共有キーを使用した AutoVPN の設定

この例では、VPN ゲートウェイがリモート ピアを認証するために使用する別の IKE 事前共有キーを設定する方法を示します。同様に、VPN ゲートウェイがリモート ピアを認証するために使用するのと同じ IKE 事前共有キーを設定します。

AutoVPNのエンドツーエンドの設定については、このトピックの他の例を参照してください。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • AutoVPNをサポートするMX240、MX480、MX960、MX-SPC3およびJunos OSリリース21.1R1
  • またはAutoVPNをサポートするSPC3およびJunos OSリリース21.2R1のSRX5000ライン
  • または、AutoVPNをサポートするiked プロセス( junos-ike パッケージを使用) およびJunos OSリリース21.2R1を実行するvSRX仮想ファイアウォール

異なるIKE事前共有キーを設定する

VPN ゲートウェイがリモート ピアの認証に使用する別の IKE 事前共有キーを構成するには、次のタスクを実行します。

  1. AutoVPNハブのあるデバイスでIKEポリシーのシード済み事前共有を設定します。

    または

    たとえば、以下のように表示されます。

    または

  2. ゲートウェイ名とユーザー ID を使用してリモートピアの pre-shared key を表示します。

    たとえば、以下のように表示されます。

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. リモートピアデバイスのIKEポリシーで、生成されたPSK( ステップ2の「79e4ea39f5c06834a3c4c031e37c6de24d46798a」)を設定します。

    たとえば、以下のように表示されます。

  4. (オプション)IKE ID検証をバイパスし、すべてのIKE IDタイプを許可するには、ゲートウェイ general-ikeid [edit security ike gateway gateway_name dynamic]階層レベルで構成ステートメントを構成します。

結果

設定モードから、show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

同じIKE事前共有キーを設定します

VPN ゲートウェイがリモート ピアの認証に使用するのと同じ IKE 事前共有キーを構成するには、次のタスクを実行します。

  1. AutoVPNハブのあるデバイスで共通の pre-shared-key のIKEポリシーを設定します。

    たとえば、以下のように表示されます。

  2. リモートピアデバイスのIKEポリシーに共通 pre-shared-key を設定します。

    たとえば、以下のように表示されます。

  3. (オプション)IKE ID検証をバイパスし、すべてのIKE IDタイプを許可するには、ゲートウェイ general-ikeid [edit security ike gateway gateway_name dynamic]階層レベルで構成ステートメントを構成します。

結果

設定モードから、show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

P2MP インフラストラクチャでのマルチキャスト サポートの設定

このトピックでは、P2MP インフラストラクチャでマルチキャスト サポートを有効にする方法について説明します。

マルチキャスト サポートを有効にする前に、 PIM を使用したマルチキャスト サポートに記載されている考慮事項を満たしていることを確認してください。

マルチキャスト サポートを構成および確認するには、次のセクションを参照してください。

構成 マルチキャスト インターフェイス

  • st0.0 インターフェイスで PIM を有効にするには、次の set protocols pim interface interface-name commandを使用します。

    ここで、 st0.0 はセキュアトンネルインターフェイスです。

  • P2MPモードでst0.0インターフェイスでマルチポイントを有効にするには set interfaces interface-name unit unit-number multipoint 次のコマンドを使用します。

  • st0.0インターフェイスのIPv4アドレスを設定するには、 set interfaces interface-name unit unit-number family inet address IPv4 address コマンドを使用します。

    ここで、192.168.1.3/24はインターフェイスのIPアドレスです。

  • st0.0 インターフェイスで PIM を無効にするには、オプション disableを使用します。

マルチキャスト設定を確認するためのCLIコマンド

マルチキャストの設定は、次のコマンドを使用して確認できます。

  • PIM インターフェイスを一覧表示するには、 show pim interfaces コマンドを使用します。

  • マルチキャスト グループに参加したネイバーを一覧表示するには、show pim join extensive コマンドを使用します。

  • IPマルチキャスト転送テーブルのエントリーを表示するには、 show multicast route コマンドを使用します。

  • マルチキャストネクストホップの詳細を表示するには、 show multicast next-hops detail コマンドを使用します。

  • IP マルチキャストの統計情報を表示するには、 show multicast statistics コマンドを使用します。

  • 転送テーブルのエントリを表示するには、 show route forwarding-table extensive コマンドを使用します。

関連項目

関連項目

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
24.2R1
ikedプロセスを実行するファイアウォールのマルチキャストトラフィック(IPv4アドレス)に対するサポートがJunos OSリリース24.2R1で追加されました。
17.4R1
Junos OS Release 17.4R1以降、AutoVPNではIPv6アドレスがサポートされています。
17.4R1
Junos OS Release 17.4R1以降、ポイントツーポイントモードでセキュアトンネルインターフェイスを使用するAutoVPNネットワークは、トラフィックセレクターとIKEピアにIPv6アドレスをサポートしています。
15.1X49-D120
Junos OS リリース 15.1X49-D120 以降では、[edit security ike gateway gateway-name dynamic] 階層レベルで CLI オプション reject-duplicate-connectionを設定して、既存のトンネル セッションを保持し、同じ IKE ID を持つ新しいトンネルのネゴシエーション要求を拒否できるようになりました。