グループ VPNv1
グループ VPN は、デバイス上を発信する、またはデバイスを通過するプライベート WAN 上の IP マルチキャスト、グループ トラフィック、ユニキャスト トラフィックを保護するために必要な機能のセットです。
グループ VPNv1 の概要
IPsec セキュリティ アソシエーション(SA)は、仮想プライベート ネットワーク(VPN)参加者間の一方向契約であり、認証および暗号化アルゴリズム、鍵交換メカニズム、セキュアな通信に使用する規則を定義します。現在のVPN実装では、SAは2つのセキュリティデバイス間のポイントツーポイントトンネルです。グループ VPNv1 は、IPsec アーキテクチャを拡張して、セキュリティ デバイスのグループによって共有される SA をサポートします( 図 1 を参照)。
グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 デバイスでサポートされています。グループ VPNv1 では、外側ヘッダーの元の送信元 IP アドレスと宛先 IP アドレスを維持することで、any-to-any接続が実現します。セキュア マルチキャスト パケットは、コア ネットワークでクリアテキスト マルチキャスト パケットと同じ方法で複製されます。
Junos OSリリース12.3X48-D30以降、グループVPNv1メンバーはグループVPNv2サーバーと相互運用できます。
グループ VPNv1 には、RFC 6407、 GDOI(解釈のグループ ドメイン)に関して、いくつかの適切な制限があります。独自の制限なしでグループ VPN を使用するには、グループ VPNv2 にアップグレードします。グループVPNv2は、Junos OSリリース15.1X49-D30で始まるvSRX仮想ファイアウォールインスタンス、Junos OSリリース15.1X49-D40で始まるSRXシリーズファイアウォール、およびJunos OSリリース15.1r2で始まるMXシリーズデバイスでサポートされています。
- グループ VPNv1 の GDOI プロトコルについて
- グループ VPNv1 の制限について
- グループ VPNv1 サーバーとメンバーについて
- グループ VPNv1 サーバーメンバー間通信について
- グループ VPNv1 グループ キー操作について
- グループVPNv1ハートビートメッセージについて
- グループ VPNv1 サーバーとメンバーのコロケーション モードについて
グループ VPNv1 の GDOI プロトコルについて
グループ VPNv1 は、RFC 3547、 GDOI( 解釈のグループ ドメイン )に基づいています。このRFCでは、グループメンバー間でSAを確立するための、グループメンバーとグループサーバー間のプロトコルについて説明します。GDOI メッセージは、デバイス グループの SA を作成、維持、または削除します。GDOI プロトコルはポート 848 で実行されます。
インターネット セキュリティ アソシエーションと鍵管理プロトコル(ISAKMP)は、AutoKey IKE IPsec トンネルの SA を確立するための 2 つのネゴシエーション フェーズを定義します。フェーズ 1 では、2 つのデバイスが ISAKMP SA を確立できます。フェーズ 2 では、GDOI などの他のセキュリティ プロトコルの SA を確立します。
グループ VPN では、フェーズ 1 ISAKMP SA ネゴシエーションがグループ サーバーとグループ メンバーの間で実行されます。サーバーとメンバーは同じ ISAKMP ポリシーを使用する必要があります。フェーズ 2 では、サーバーとメンバー間の GDOI 交換により、他のグループ メンバーと共有される SA が確立されます。グループ メンバーは、他のグループ メンバーと IPsec をネゴシエートする必要はありません。フェーズ 2 の GDOI 交換は、ISAKMP フェーズ 1 SA によって保護される必要があります。
GDOI 交換には 2 つのタイプがあります。
groupkey-pull交換により、メンバーは、グループが共有する SA および鍵をサーバーから要求できます。groupkey-push交換は、既存のグループ SA の有効期限が切れる前に、サーバーがグループ SA とキーをメンバーに送信できるようにする単一のキー更新メッセージです。鍵更新メッセージは、サーバーからメンバーに送信される未承認メッセージです。
グループ VPNv1 の制限について
グループ VPNv1 のこのリリースでは、以下はサポートされていません。
デフォルト以外のルーティングインスタンス
シャーシ クラスタ
サーバー クラスタ
ルートベースグループ VPN
パブリック インターネット ベースの展開
SNMP
Cisco GET VPN サーバからの拒否ポリシー
設定と監視のためのJ-Webインターフェイス
Junos OSリリース12.3X48-D30以降、SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX650デバイス上のグループVPNv1メンバーは、グループVPNv2サーバーと相互運用できます。グループ VPNv2 サーバで使用するグループ VPNv1 メンバーを設定する場合は、次の制限事項に注意してください。
グループ VPNv2 は、時間ベースのアンチリプレイ メカニズム向けに、IETF ドラフト仕様の IP 配信遅延検出プロトコル をサポートしています。したがって、IP 配信遅延検出プロトコルベースのアンチリプレイは、グループ VPNv1 メンバーではサポートされず、グループ VPNv2 サーバーで
deactivate security group-vpn server group group-name anti-replay-time-windowコマンドを使用して無効にする必要があります。グループ VPNv2 サーバーは、グループ サーバーとグループ メンバー機能が同じデバイス内に存在するコロケーションをサポートしていません。
グループ VPNv2 サーバーは、ハートビート送信をサポートしていません。ハートビートは、
deactivate security group-vpn member ipsec vpn vpn-name heartbeat-thresholdコマンドを使用してグループVPNv1メンバーで無効にする必要があります。グループ VPNv2 サーバーでの再起動やその他の中断によるトラフィックへの影響を回避するために、グループ VPNv2 サーバー クラスターを使用することを推奨します。グループVPNv2サーバーから送信されるGroupkey-pushメッセージは、RFC 6407 、解釈のグループドメイン(GDOI) に基づいており、グループVPNv1メンバーではサポートされていません。そのため、グループ VPNv2 サーバで
deactivate security group-vpn server group group-name server-member-communicationコマンドを使用して、グループ キー プッシュ メッセージを無効にする必要があります。キー更新は、groupkey-pull メッセージでサポートされています。TEKハードライフタイムが期限切れになる前にグループVPNv1メンバーがグループキープル操作を完了できないスケーリングの問題がある場合は、メンバーがグループキープル操作を完了するのに十分な時間を確保するために、TEKライフタイムを長くすることを推奨します。ジュニパーのスケーリング数は、2時間のTEKライフタイムで認定されています。
グループ VPNv2 サーバがリブートまたはアップグレードされた場合、またはグループの SA がクリアされた場合、既存のメンバーの次のキー更新が発生するまで、新しいメンバーをネットワークに追加することはできません。新しいメンバーは、古いキーを持つ既存のメンバーにトラフィックを送信できません。回避策として、
clear security group-vpn member ipsec security-associationsコマンドを使用して、既存のグループ VPNv1 メンバーの SA をクリアします。マルチキャスト データ トラフィックはグループ VPNv2 メンバーではサポートされていないため、グループ VPNv1 とグループ VPNv2 メンバーが同じグループのネットワークに共存している場合、マルチキャスト データ トラフィックは使用できません。
グループ VPNv1 サーバーとメンバーについて
グループVPNの中心はグループサーバーです。グループ サーバーは、次のタスクを実行します。
グループ メンバーシップの制御
暗号化キーの生成
グループ SA と鍵を管理し、グループ メンバーに配布する
グループメンバーは、グループサーバーから提供されたグループSAとキーに基づいてトラフィックを暗号化します。
グループ サーバーは、複数のグループにサービスを提供できます。1 つのセキュリティ デバイスを複数のグループのメンバーにすることができます。
各グループは、1 から 65,535 までの数値であるグループ識別子で表されます。グループサーバーとグループメンバーは、グループ識別子によって相互にリンクされます。グループごとに 1 つのグループ識別子しか存在できず、複数のグループで同じグループ ID を使用することはできません。
次に、グループ VPN サーバーとメンバーのアクションの概要を示します。
グループ サーバーは、メンバーが登録されるのを UDP ポート 848 でリッスンします。メンバーデバイスは、グループに参加するために正しいIKEフェーズ1認証を提供する必要があります。メンバー単位での事前共有鍵認証がサポートされています。
認証と登録に成功すると、メンバーデバイスはGDOI
groupkey-pull交換を使用してサーバーからグループSAとキーを取得します。サーバーは、グループのメンバーをグループのメンバーシップに追加します。
グループ メンバーは、グループ SA キーで暗号化されたパケットを交換します。
サーバーは、キー更新(GDOI groupkey-push)メッセージを含むグループメンバーにSAとキーの更新を定期的に送信します。鍵更新メッセージは、SA の有効期限が切れる前に送信されます。これにより、グループ メンバー間のトラフィックの暗号化に有効なキーを使用できるようになります。
また、サーバーは、グループ・メンバーシップに変更があった場合、またはグループ SA が変更されたときに、メンバーに新しい鍵を提供するために鍵更新メッセージを送信します。
グループ VPNv1 サーバーメンバー間通信について
グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 デバイスでサポートされています。サーバーメンバー間通信により、サーバーはメンバーに GDOI groupkey-push メッセージを送信できます。グループに対してサーバーメンバー間通信が構成されていない場合、メンバーは GDOI groupkey-pull メッセージを送信してサーバーに登録および再登録できますが、サーバーはメンバーにキー更新メッセージを送信できません。
サーバーメンバー間の通信は、[edit security group-vpn server] 階層の server-member-communication 構成ステートメントを使用してグループに対して設定されます。次のオプションを定義できます。
サーバーとメンバー間の通信に使用される暗号化アルゴリズム。3des-cbc、aes-128-cbc、aes-192-cbc、aes-256-cbc、または des-cbc を指定できます。既定のアルゴリズムはありません。
サーバーに対してメンバーを認証するために使用される認証アルゴリズム (md5 または sha1)。既定のアルゴリズムはありません。
サーバーが、ユニキャストまたはマルチキャストの鍵更新メッセージを、通信タイプに関連するグループメンバーおよびパラメーターに送信するかどうか。
サーバーがグループメンバーにハートビートメッセージを送信する間隔。これにより、メンバーはサーバーが再起動されたかどうかを判断でき、そのためにはメンバーをサーバーに再登録する必要があります。デフォルトは300秒です。
キー暗号化キー (KEK) の有効期間。デフォルトは3600秒です。
グループ・サーバーがメンバーに鍵更新メッセージを送信するには、サーバー・メンバー間通信を構成する必要がありますが、この動作が望ましくない状況もあります。たとえば、グループ メンバーが動的ピアである場合(ホーム オフィスなど)、デバイスは常に稼働しているとは限らず、デバイスの IP アドレスは電源を入れるたびに異なる可能性があります。動的ピアのグループに対してサーバー・メンバー間通信を構成すると、サーバーによる不要な伝送が発生する可能性があります。GDOI ネゴシエーションを保護するために IKE フェーズ 1 SA ネゴシエーションを常に実行する場合は、サーバーメンバー間通信を構成しないでください。
グループのサーバー・メンバー間通信が構成されていない場合、 show security group-vpn server registered-members ・コマンドによって表示されるメンバーシップ・リストには、サーバーに登録されているグループ・メンバーが表示されます。グループのサーバー・メンバー間通信が構成されると、グループ・メンバーシップ・リストは消去されます。通信タイプがユニキャストとして構成されている場合、 show security group-vpn server registered-members コマンドはアクティブ・メンバーのみを表示します。通信タイプがマルチキャストとして構成されている場合、 show security group-vpn server registered-members コマンドは、構成後にサーバーに登録したメンバーを表示します。メンバーが登録後に脱落する可能性があるため、メンバーシップ・リストは必ずしもアクティブ・メンバーを表すとは限りません。
グループ VPNv1 グループ キー操作について
このトピックには、以下のセクションが含まれています。
グループキー
グループ サーバーは、VPN グループ、グループ メンバー、およびグループ キー間の関係を追跡するデータベースを維持します。サーバーがメンバーにダウンロードするグループキーには、次の 2 種類があります。
キー暗号化キー(KEK):キー更新メッセージの暗号化に使用されます。グループごとに 1 つの KEK がサポートされます。
トラフィック暗号化キー(TEK)—グループ メンバー間の IPsec データ トラフィックを暗号化および復号化するために使用されます。
SA に関連付けられたキーは、メンバーに一致するスコープ ポリシーが構成されている場合にのみ、グループ メンバーによって受け入れられます。受け入れられた鍵はグループ VPN にインストールされますが、拒否された鍵は破棄されます。
キー更新メッセージ
グループがサーバー・メンバー間通信用に構成されている場合、サーバーは定期的に SA および鍵の更新を鍵更新 (GDOI groupkey-push) メッセージとともにグループ・メンバーに送信します。鍵更新メッセージは、SA の有効期限が切れる前に送信されます。これにより、グループ メンバー間のトラフィックの暗号化に有効なキーを使用できるようになります。
また、サーバーは、グループ メンバーシップに変更があった場合、またはグループ SA が変更された場合(グループ ポリシーが追加または削除された場合など)に、メンバーに新しいキーを提供するためにキー更新メッセージを送信します。
サーバーが鍵更新メッセージをグループ・メンバーに送信できるように、サーバー上でサーバー・メンバー間通信オプションを構成する必要があります。これらのオプションは、次のセクションで説明するように、メッセージのタイプとメッセージの送信間隔を指定します。
鍵更新メッセージには、次の 2 種類があります。
ユニキャスト鍵更新メッセージ:グループ サーバーは、鍵更新メッセージのコピーを各グループ メンバーに送信します。キー更新メッセージを受信したら、メンバーは確認応答(ACK)をサーバーに送信する必要があります。サーバーがメンバーから ACK を受信しない場合 (鍵更新メッセージの再送信を含む)、サーバーはそのメンバーを非アクティブと見なし、メンバーシップ・リストから削除します。サーバーは、メンバーへの鍵更新メッセージの送信を停止します。
サーバー・メンバー間通信の
number-of-retransmissionおよびretransmission-period構成ステートメントは、メンバーから ACK を受信しない場合の、サーバーによる鍵更新メッセージの再送を制御します。マルチキャストキー更新メッセージ—グループ サーバーは、指定された発信インターフェイスから設定されたマルチキャスト グループ アドレスに、キー更新メッセージのコピーを 1 つ送信します。メンバーは、マルチキャスト鍵更新メッセージの受信確認を送信しません。最初の登録後にメンバーが脱落する可能性があるため、登録されたメンバーシップリストは必ずしもアクティブなメンバーを表すとは限りません。グループのすべてのメンバーは、マルチキャスト メッセージをサポートするように構成する必要があります。
IP マルチキャスト プロトコルは、ネットワーク内でマルチキャスト トラフィックを配信できるように設定する必要があります。ジュニパーネットワークスのデバイスでのマルチキャストプロトコルの設定の詳細については、 マルチキャストプロトコルユーザーガイド を参照してください。
サーバーがキー更新メッセージを送信する間隔は、[edit security group-vpn server group] 階層の lifetime-seconds および activation-time-delay 構成ステートメントの値に基づいて計算されます。間隔は lifetime-seconds minus 4*(activation-time-delay) として計算されます。
KEK の lifetime-seconds は、サーバーメンバー間の通信の一部として構成されます。デフォルトは 3600 秒です。TEK の lifetime-seconds は、IPsec プロポーザル用に設定されています。デフォルトは 3600 秒です。activation-time-delayは、サーバー上のグループに対して設定されます。デフォルトは15秒です。lifetime-seconds と activation-time-delay のデフォルト値を使用すると、サーバーが鍵更新メッセージを送信する間隔は 3600 minus 4*15、つまり 3540 秒になります。
会員登録
現在のキーの有効期限が切れる前にグループ メンバーがサーバーから新しい SA キーを受信しない場合、メンバーはサーバーに再登録し、GDOI groupkey-pull 交換で更新されたキーを取得する必要があります。この場合、サーバーがキー更新メッセージを送信する間隔は次のように計算されます。lifetime-seconds マイナス3 *(activation-time-delay)。lifetime-seconds と activation-time-delay のデフォルト値を使用すると、サーバーが鍵更新メッセージを送信する間隔は、3600 から 3*15、つまり 3555 秒を引いた値になります。
メンバーの再登録は、以下の理由で発生する可能性があります。
メンバーは、サーバーから受信したハートビートがないことによるサーバーの再起動を検出します。
グループ サーバーからの鍵更新メッセージが失われたか遅延し、TEK のライフタイムが切れました。
キーのアクティブ化
メンバーは、サーバーから新しいキーを受信すると、暗号化にキーを使用する前に一定時間待機します。この期間は、 activation-time-delay 設定ステートメント と、鍵がサーバーから送信された鍵更新メッセージを介して受信されたか、メンバーがサーバーに再登録された結果として受信されたかによって決まります。
サーバーから送信された鍵更新メッセージによって鍵を受け取った場合、メンバーは鍵を使用する前に 2*(activation-time-delay) 秒待機します。メンバーの再登録によってキーを受け取った場合、メンバーは activation-time-delay 値で指定された秒数だけ待機します。
メンバーは、メンバーにインストールされているグループ SA ごとに、サーバーから送信された最新の 2 つの鍵を保持します。両方のキーを復号化に使用でき、最新のキーが暗号化に使用されます。前のキーは、新しいキーがアクティブになってから、 activation-time-delay 値で指定された秒数だけ削除されます。
activation-time-delay 設定ステートメントのデフォルトは15秒です。この期間の設定が小さすぎると、新しいキーがインストールされる前に、リモートグループメンバーでパケットがドロップされる可能性があります。activation-time-delay 値を変更する場合は、ネットワーク トポロジとシステム トランスポートの遅延を考慮してください。ユニキャスト伝送の場合、システム トランスポート遅延はグループ メンバーの数に比例します。
グループ VPNv1 サーバーは、 groupkey-pull リクエストに応じて、グループ VPNv1 メンバーに複数のトラフィック暗号化キー(TEK)を送信できます。次に、グループ VPNv1 メンバーが、既存の TEK とサーバーから受信した TEK を処理する方法について説明します。
グループ VPNv1 メンバーが 2 つ以上の TEK を受信した場合、最新の 2 つの TEK を保持し、既存の TEK を削除します。保持されている 2 つの TEK のうち、古い TEK は直ちに有効化され、新しい TEK はグループ VPNv1 サーバに設定された
activation-time-delayが経過した後に有効化されます(デフォルトは 15 秒)。グループ VPNv1 メンバーが TEK を 1 つだけ受信する場合、またはサーバーからの
groupkey-pushメッセージを通じて TEK を受信した場合、ハード ライフタイムが終了するまで既存の TEK は削除されません。既存のTEKの寿命は短くなりません。
グループ VPNv1 メンバーは、TEK ライフタイムが activation-time-delay 値の 2 倍未満であっても、受信した TEK をインストールします。
グループVPNv1ハートビートメッセージについて
サーバメンバー間通信が設定されている場合、グループ VPNv1 サーバは、指定された間隔(デフォルトの間隔は 300 秒)でメンバーにハートビートメッセージを送信します。ハートビート メカニズムを使用すると、指定された数のハートビートが受信されない場合に、メンバーはサーバーに再登録できます。たとえば、メンバーはサーバーの再起動中にハートビート メッセージを受信しません。サーバーがリブートされると、メンバーはサーバーに再登録されます。
ハートビートは groupkey-push メッセージを介して送信されます。シーケンス番号は、ハートビート・メッセージごとに増分され、応答攻撃からメンバーを保護します。キー更新メッセージとは異なり、ハートビートメッセージは受信者によって確認されず、サーバーによって再送信されません。
ハートビート メッセージには、次の情報が含まれています。
サーバー上のキーの現在の状態と構成
相対時間(アンチリプレイが有効になっている場合)
ハートビート内の情報を比較することにより、メンバーは、サーバー情報を見逃したかどうか、またはメッセージのキー更新を行ったかどうかを検出できます。メンバーは、自身をサーバーと同期するために再登録します。
ハートビート メッセージは、ネットワークの輻輳を増加させ、不要なメンバーの再登録を引き起こす可能性があります。したがって、必要に応じて、メンバーでハートビート検出を無効にすることができます。
グループ VPNv1 サーバーとメンバーのコロケーション モードについて
グループ・サーバーとグループ・メンバーの機能は分離されており、重複しません。サーバー関数とメンバー関数は、同じ物理デバイス内に共存できます (コロケーション モードと呼ばれます)。コロケーションモードでは、サーバーまたはメンバーの機能と動作に関して変更はありませんが、パケットを適切に配信できるように、サーバーとメンバーにそれぞれ異なるIPアドレスを割り当てる必要があります。コロケーションモードでは、サーバーに割り当てることができる IP アドレスは 1 つだけで、グループ全体のメンバーに割り当てることができる IP アドレスは 1 つだけです。
関連項目
グループ VPNv1 構成の概要
このトピックでは、グループVPNv1を設定するための主なタスクについて説明します。
グループ サーバーで、次のように構成します。
- IKE フェーズ 1 ネゴシエーションIKE フェーズ 1 SA を設定するには、[
edit security group-vpn server ike] 階層を使用します。グループVPNv2のIKEフェーズ1の設定についてを参照してください。 - フェーズ 2 IPsec SAグループVPNv1のIPsec SAの設定についてを参照してください。
- VPN グループ。グループVPNv1の設定の概要を参照してください。
グループ メンバーで、次のように設定します。
IKE フェーズ 1 ネゴシエーション[
edit security group-vpn member ike] 階層を使用して、IKE フェーズ 1 SA を設定します。グループVPNv1のIKEフェーズ1の設定についてを参照してください。フェーズ 2 IPsec SAグループVPNv1のIPsec SAの設定についてを参照してください。
メンバーにインストールされているグループ ポリシーを決定するスコープ ポリシー。グループVPNv1の動的ポリシーについてを参照してください。
パケットのフラグメンテーションの問題を防ぐため、MPLS ネットワークに接続するためにグループ メンバーが使用するインターフェイスは、1400 バイト以下の最大送信単位 (MTU) サイズに設定することをお勧めします。MTU サイズを設定するには、 set interface mtu 設定ステートメントを使用します。
VPN グループは、構成 group ステートメント を使用して [edit security group-vpn server] 階層でサーバー上で構成されます。
グループ情報は、次の情報で構成されます。
グループ識別子—VPN グループを識別する 1 から 65,535 までの値。Autokey IKEのグループメンバーにも同じグループ識別子を設定する必要があります。
ike-gateway設定ステートメントで設定されたグループメンバー。この設定ステートメントのインスタンスは複数存在でき、グループの各メンバーに1つずつあります。サーバーの IP アドレス(ループバック インターフェイス アドレスを推奨)。
グループ ポリシー - メンバーにダウンロードされるポリシー。グループ ポリシーは、SA とキーが適用されるトラフィックを記述します。グループVPNv1の動的ポリシーについてを参照してください。
サーバーメンバー間通信:サーバーがメンバーにキー更新メッセージを送信できるようにするオプションの設定。グループVPNv1の概要を参照してください。
アンチリプレイ:パケットの傍受とリプレイを検出するオプションの設定。グループVPNv1のアンチリプレイを理解するを参照してください。
グループVPNv1のIKEフェーズ1の設定について
グループ サーバーとグループ メンバー間の IKE フェーズ 1 SA は、グループによって共有される IPsec SA をネゴシエートするためのセキュアなチャネルを確立します。ジュニパーネットワークスのセキュリティデバイス上の標準IPsec VPNの場合、フェーズ1 SA設定は、IKEプロポーザル、ポリシー、およびゲートウェイの指定で構成されます。グループ VPNv1 の場合、IKE フェーズ 1 SA 設定は標準 IPsec VPN の設定と似ていますが、[edit security group-vpn] 階層で実行されます。
IKEプロポーザル構成では、参加者間の安全なチャネルを開くために使用される認証方法と認証および暗号化アルゴリズムを設定します。IKE ポリシー設定では、フェーズ 1 チャネルがネゴシエートされるモード(メインまたはアグレッシブ)を設定し、使用する鍵交換のタイプを指定し、フェーズ 1 プロポーザルを参照します。IKE ゲートウェイ設定では、フェーズ 1 ポリシーを参照します。
グループ VPNv2 は強力なアルゴリズムのみをサポートしているため、 sha-256 認証アルゴリズム オプションは、SRX100、SRX110、SRX210、SRX220、SRX240、SRX550、SRX650 デバイスのグループ VPNv1 メンバーに対してサポートされています。グループ VPNv1 メンバーがグループ VPNv2 サーバーと相互運用する場合、このオプションはグループ VPNv1 メンバー上で edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 コマンドを使用して設定する必要があります。グループ VPNv2 サーバでは、IKE プロポーザル用に authentication-algorithm sha-256 を設定し、IPsec プロポーザル用に authentication-algorithm hmac-sha-256-128 を設定する必要があります。
グループVPNv1メンバーのIKEゲートウェイに複数のゲートウェイアドレスが設定されている場合、設定がコミットされると「IKEゲートウェイ設定ごとに設定できるリモートアドレスは1つだけです」というエラーメッセージが表示されます。
グループ サーバー上の IKE フェーズ 1 の設定は、グループ メンバー上の IKE フェーズ 1 の設定と一致する必要があります。
グループ VPNv1 の IPsec SA の設定について
サーバーとメンバーは、フェーズ 1 のネゴシエーションでセキュアで認証済みのチャネルを確立した後、フェーズ 2 に進みます。フェーズ 2 ネゴシエーションは、メンバー間で送信されるデータを保護するために、グループ メンバーによって共有される IPsec SA を確立します。グループ VPN の IPsec SA 設定は標準 VPN の設定と似ていますが、グループ メンバーが他のグループ メンバーと SA をネゴシエートする必要はありません。
グループ VPNv1 のフェーズ 2 IPsec 設定は、次の情報で構成されます。
SA に使用するセキュリティ プロトコル、認証、および暗号化アルゴリズムの提案。IPsec SAプロポーザルは、[
edit security group-vpn server ipsec]階層にproposal設定ステートメントを使用してグループサーバー上で設定されます。プロポーザルを参照するグループ ポリシー。グループ ポリシーは、SA とキーが適用されるトラフィック(プロトコル、送信元アドレス、送信元ポート、宛先アドレス、および宛先ポート)を指定します。グループポリシーは、サーバー上で [
edit security group-vpn server group] 階層のipsec-sa設定ステートメントを使用して設定されます。グループ識別子、グループ サーバー(
ike-gateway構成ステートメントで設定)、メンバーがグループに接続するために使用するインターフェイスを参照する Autokey IKE。Autokey IKE は、[edit security group-vpn member] 階層のipsec vpn設定ステートメントを持つメンバーで設定されます。
グループ VPNv1 の動的ポリシーについて
グループ サーバーは、グループ SA とキーを指定されたグループのメンバーに配布します。同じグループに属するすべてのメンバーは、同じ IPsec SA のセットを共有できます。ただし、グループに設定されているすべての SA がすべてのグループ メンバーにインストールされているわけではありません。特定のメンバーにインストールされる SA は、グループ SA に関連付けられたポリシーと、そのメンバーに設定されたセキュリティーポリシーによって決まります。
VPN グループでは、サーバーがメンバーにプッシュする各グループ SA とキーは、グループ ポリシーに関連付けられます。グループ ポリシーは、プロトコル、送信元アドレス、送信元ポート、宛先アドレス、宛先ポートなど、キーを使用するトラフィックを記述します。
同一の(同じ送信元アドレス、宛先アドレス、送信元ポート、宛先ポート、およびプロトコル値で設定された)グループ ポリシーは、1 つのグループに対して存在できません。グループに対して同一のグループポリシーを含む設定をコミットしようとすると、エラーが返されます。この場合は、同一のグループ ポリシーのいずれかを削除する必要があります。
グループ メンバーでは、サーバーからダウンロードしたグループ ポリシーのスコープを定義するスコープ ポリシーを構成する必要があります。サーバーから配布されたグループ ポリシーは、メンバーに構成されているスコープ ポリシーと比較されます。メンバーにグループ ポリシーをインストールするには、次の条件を満たす必要があります。
グループ ポリシーで指定されたアドレスは、スコープ ポリシーで指定されたアドレスの範囲内である必要があります。
グループ ポリシーで指定された送信元ポート、宛先ポート、およびプロトコルは、スコープ ポリシーで設定されたものと一致する必要があります。
メンバーにインストールされるグループ ポリシーは、動的ポリシーと呼ばれます。
スコープ ポリシーは、特定の開始ゾーンおよび終了ゾーンのコンテキストのセキュリティ ポリシーの順序付きリストに含めることができます。Junos OSは、順序付きリストの一番上から順に、着信パケットに対してセキュリティポリシーの検索を実行します。
セキュリティ ポリシーの順序付きリスト内のスコープ ポリシーの位置に応じて、動的ポリシー参照にはいくつかの可能性があります。
スコープ ポリシーが考慮される前に着信パケットがセキュリティ ポリシーに一致する場合、動的なポリシー検索は行われません。
受信ポリシーがスコープ ポリシーと一致する場合、一致する動的ポリシーの検索プロセスが続行されます。一致する動的ポリシーがある場合は、そのポリシー アクション(許可)が実行されます。一致する動的ポリシーがない場合、検索プロセスはスコープ ポリシーの下にあるポリシーの検索を続行します。
このリリースでは、スコープ ポリシーに対して
tunnelアクションのみが許可されます。その他のアクションはサポートされていません。
グループメンバーにスコープポリシーを設定するには、[edit security] 階層で policies 設定ステートメントを使用します。許可トンネルルールの ipsec-group-vpn 設定ステートメントを使用して、グループ VPN を参照します。これにより、グループ メンバーが 1 つの SA を共有できるようになります。
関連項目
グループ VPNv1 のアンチリプレイについて
アンチリプレイは、パケットが攻撃者によって傍受され、再生されたときに検出できる IPsec 機能です。アンチリプレイは、グループVPNに対してはデフォルトで有効になっていますが、 no-anti-replay 設定ステートメントを使用してグループに対して無効にすることができます。
アンチリプレイが有効になっている場合、グループ サーバーはグループ メンバー間の時刻を同期します。各 IPsec パケットにはタイムスタンプが含まれています。グループメンバーは、パケットのタイムスタンプが設定された anti-replay-time-window 値(デフォルトは100秒)内にあるかどうかを確認します。タイムスタンプが 値を超えると、パケットが破棄されます。
関連項目
例:グループ VPNv1 サーバーとメンバーの設定
この例では、グループ VPNv1 を設定して、IPsec アーキテクチャを拡張し、セキュリティ デバイスのグループによって共有される SA をサポートする方法を示します。グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 デバイスでサポートされています。
要件
開始する前に、以下を実行します。
ネットワーク通信用にジュニパーネットワークスのセキュリティデバイスを設定します。
サーバーおよびメンバーデバイス上のネットワークインターフェイスを設定します。セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
概要
図 2 では、グループ VPN は 2 つのメンバー デバイス(member1 と member2)とグループ サーバー(サーバー上のループバック インターフェイスの IP アドレスは 20.0.0.1)で構成されています。グループ識別子は1です。
フェーズ 2 グループ VPN SA は、フェーズ 1 SA で保護する必要があります。したがって、グループ VPN 構成には、グループ サーバーとグループ メンバーの両方で IKE フェーズ 1 ネゴシエーションを構成する必要があります。さらに、グループサーバーとグループメンバーの両方に同じグループ識別子を設定する必要があります。
グループ ポリシーは、グループ サーバーで構成されます。グループに設定されているすべてのグループ ポリシーがグループ メンバーにダウンロードされます。グループメンバーに設定されたスコープポリシーによって、メンバーに実際にインストールされるグループポリシーが決まります。この例では、すべてのグループ メンバーにダウンロードするために、次のグループ ポリシーがグループ サーバー上に設定されています。
p1:10.1.0.0/16 から 10.2.0.0./16 へのすべてのトラフィックを許可します
p2—10.2.0.0./16 から 10.1.0.0/16 へのすべてのトラフィックを許可します
p3—10.1.1.1/32 からのマルチキャスト トラフィックを許可します
member1 デバイスには、10.0.0.0/8 サブネットワークとの間のすべてのユニキャスト トラフィックを許可するスコープ ポリシーが設定されます。member1 には、マルチキャスト・トラフィックを許可するスコープ・ポリシーが構成されていません。したがって、SA ポリシー p3 は member1 にはインストールされません。
member2 デバイスには、10.1.0.0/16 から trust ゾーンへのトラフィックと、untrust ゾーンから trust ゾーンへの 10.1.0.0/16 へのトラフィックをドロップするスコープ ポリシーが構成されます。したがって、SA ポリシー p2 は member2 にインストールされません。
設定
グループサーバーの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$ABC123" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。
グループサーバーを設定するには:
デバイスにループバックアドレスを設定します。
[edit] user@host# edit interfaces user@host# set lo0 unit 0 family inet address 20.0.0.1/32
IKE フェーズ 1 SA を設定します(この設定は、グループ メンバーに設定されたフェーズ 1 SA と一致する必要があります)。
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
IKEポリシーを定義し、リモートゲートウェイを設定します。
[edit security group-vpn server ike] user@host# set policy srv-pol mode main proposals srv-prop pre-shared-key ascii-text "$ABC123" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
フェーズ2のSA交換を設定します。
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1–96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
グループ識別子とIKEゲートウェイを設定します。
[edit security group-vpn server group grp1] user@host# set group-id 1 user@host# set ike-gateway gw1 user@host# set ike-gateway gw2 user@host# set anti-replay-time-window 120 server-address 20.0.0.1
サーバーからメンバーへの通信を構成します。
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
グループ メンバーにダウンロードするグループ ポリシーを構成します。
[edit security group-vpn server group grp1 ipsec-sa group-sa] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
結果
設定モードから、show security group-vpn serverコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security group-vpn server
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
メンバー 1 の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。
member1を設定するには、次の手順に従います。
フェーズ 1 SA を設定します(この設定は、グループ サーバで設定されたフェーズ 1 SA と一致する必要があります)。
[edit security group-vpn member ike proposal prop1] user@member1# set authentication-method pre-shared-keys user@member1# set dh-group group2 user@member1# set authentication-algorithm sha1 user@member1# set encryption-algorithm 3des-cbc
IKEポリシーを定義し、リモートゲートウェイを設定します。
[edit security group-vpn member ike] user@member1# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$ABC123" user@member1# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
member1 のグループ識別子、IKE ゲートウェイ、およびインターフェイスを構成します。
[edit security group-vpn member ipsec] user@member1# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
パケットのフラグメンテーションの問題を防ぐため、グループ メンバーが MPLS ネットワークに接続するために使用するインターフェイスは、1400 バイト以下の MTU サイズに設定することを推奨します。MTU サイズを設定するには、
set interface mtu設定ステートメントを使用します。アドレス帳を作成し、そのアドレス帳にゾーンをアタッチします。
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
trustゾーンからuntrustゾーンへのスコープポリシーを構成して、10.0.0.0/8サブネットワークとの間のユニキャストトラフィックを許可します。
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
untrust ゾーンから trust ゾーンへのスコープ ポリシーを構成して、10.0.0.0/8 サブネットワークとの間のユニキャスト トラフィックを許可します。
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
結果
設定モードから、show security group-vpn member および show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@member1# show security group-vpn member
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member1# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
メンバー 2 の設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 dh-group group2 set security group-vpn member ike proposal prop2 authentication-algorithm sha1 set security group-vpn member ike proposal prop2 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol2 mode main set security group-vpn member ike policy pol2 proposals prop2 set security group-vpn member ike policy pol2 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g2 ike-policy pol2 set security group-vpn member ike gateway g2 address 20.0.0.1 set security group-vpn member ike gateway g2 local-address 10.2.0.1 set security group-vpn member ipsec vpn v2 ike-gateway g2 set security group-vpn member ipsec vpn v2 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v2 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 address 10_1_0_0_16 10.1.0.0/16 set security address-book book1 address multicast_net 239.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 address 10_1_0_0_16 10.1.0.0/16 set security address-book book2 address multicast_net 239.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy deny2 match source-address 10_1_0_0_16 set security policies from-zone trust to-zone untrust policy deny2 match destination-address any set security policies from-zone trust to-zone untrust policy deny2 match application any set security policies from-zone trust to-zone untrust policy deny2 then reject set security policies from-zone trust to-zone untrust policy scope2 match source -address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match application any set security policies from-zone trust to-zone untrust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone trust to-zone untrust policy multicast-scope2 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy multicast-scope2 match destination-address multicast-net set security policies from-zone trust to-zone untrust policy multicast-scope2 match application any set security policies from-zone trust to-zone untrust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy deny2 match source-address any set security policies from-zone untrust to-zone trust policy multicast-scope2 ma tch application any set security policies from-zone untr set security policies from-zone untrust to-zone trust policy deny2 match destination-address 10_1_0_0_16 set security policies from-zone untrust to-zone trust policy deny2 match application any set security policies from-zone untrust to-zone trust policy deny2 then reject set security policies from-zone untrust to-zone trust policy scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match application any set security policies from-zone untrust to-zone trust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy multicast-scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy multicast-scope2 match destination-address multicast-net set security policies from-zone untrust to-zone trust policy multicast-scope2 match application any set security policies from-zone untrust to-zone trust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。
member2 を設定するには、次の手順に従います。
フェーズ 1 SA を設定します(この設定は、グループ サーバで設定されたフェーズ 1 SA と一致する必要があります)。
[edit security group-vpn member ike proposal prop2] user@member2# set authentication-method pre-shared-keys user@member2# set dh-group group2 user@member2# set authentication-algorithm sha1 user@member2# set encryption-algorithm 3des-cbc
IKEポリシーを定義し、リモートゲートウェイを設定します。
[edit security group-vpn member ike] user@member2# set policy pol2 mode main proposals prop2 pre-shared-key ascii-text "$ABC123" user@member2# set gateway g2 ike-policy pol2 address 20.0.0.1 local-address 10.2.0.1
member2 のグループ識別子、IKE ゲートウェイ、およびインターフェイスを構成します。
[edit security group-vpn member ipsec] user@member2# set vpn v2 group 1 ike-gateway g2 group-vpn-external-interface ge-0/1/0
パケットのフラグメンテーションの問題を防ぐため、グループ メンバーが MPLS ネットワークに接続するために使用するインターフェイスは、1400 バイト以下の MTU サイズに設定することを推奨します。MTU サイズを設定するには、
set interface mtu設定ステートメントを使用します。アドレス帳を作成し、trustゾーンに添付します。
[edit security address-book book1] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone trust
アドレス帳をもう1つ作成し、untrust ゾーンにアタッチします。
[edit security address-book book2] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone untrust
trustゾーンからuntrustゾーンに、10.1.0.0/16からのトラフィックをブロックするスコープポリシーを設定します。
[edit security policies from-zone trust to-zone untrust] user@member2# set policy deny2 match source-address 10_1_0_0_16 destination-address any application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
untrust ゾーンから、10.1.0.0/16 へのトラフィックをブロックする trust ゾーンへのスコープ ポリシーを構成します。
[edit security policies from-zone untrust to-zone trust] user@member2# set policy deny2 match source-address any destination-address 10_1_0_0_16 application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
結果
設定モードから、show security group-vpn member および show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@member2# show security group-vpn member
ike {
proposal prop2 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol2 {
mode main;
proposals prop2;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g2 {
ike-policy pol2;
address 20.0.0.1;
local-address 10.2.0.1;
}
}
ipsec {
vpn v2 {
ike-gateway g2;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member2# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy deny2 {
match {
source-address 10_1_0_0_16;
destination-address any;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny2 {
match {
source-address any;
destination-address 10_1_0_0_16;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、このタスクを実行します。
メンバー 1 の動的ポリシーの検証
目的
member1にインストールされている動的ポリシーを表示します。
アクション
グループ・サーバーが鍵を member1 にダウンロードした後、操作モードから show security dynamic-policies コマンドを入力します。
user@member1> show security dynamic-policies
Policy: scope1-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope1–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
意味
マルチキャスト・トラフィックを許可するスコープ・ポリシーが member1 に構成されていないため、サーバーのマルチキャスト・ポリシー p3 は member1 にインストールされません。
メンバー2の動的ポリシーの検証
目的
メンバー 2 にインストールされている動的ポリシーを表示します。
アクション
グループ・サーバーが鍵を member2 にダウンロードした後、操作モードから show security dynamic-policies コマンドを入力します。
user@member2> show security dynamic-policies
Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.1.1/32
Destination addresses: 239.1.1.1/32
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.2.0.0/16/0
Destination addresses: 10.1.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.1.1.1/32
Destination addresses: 239.1.1.1/32
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
意味
サーバーからのポリシー p2(10.1.0.0/16 から 10.2.0.0/16 へのトラフィック用)は、member2 で構成された deny2 セキュリティ ポリシーと一致するため、member2 にはインストールされません。
例:ユニキャスト鍵更新メッセージのためのグループ VPNv1 サーバーメンバー間通信の設定
この例では、サーバーがユニキャスト鍵更新メッセージをグループメンバーに送信できるようにして、グループメンバー間のトラフィックの暗号化に有効な鍵を使用できるようにする方法を示しています。グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 デバイスでサポートされています。
要件
開始する前に、以下を実行します。
IKE フェーズ 1 ネゴシエーション用にグループ サーバーとメンバーを構成します。
フェーズ 2 IPsec SA のグループ サーバーとメンバーを設定します。
グループサーバーでグループ
g1を設定します。
概要
この例では、グループ・ g1に対して以下のサーバー・メンバー間通信パラメーターを指定します。
サーバーは、ユニキャスト鍵更新メッセージをグループ メンバーに送信します。
3DES-CBC は、サーバーとメンバー間のトラフィックを暗号化するために使用されます。
sha1 はメンバー認証に使用されます。
既定値は、サーバーのハートビート、KEK の有効期間、および再送信に使用されます。
設定
手順
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。
サーバー・メンバー間の通信を構成するには、以下のようにします。
通信タイプを設定します。
[edit security group-vpn server group g1 server-member-communication] user@host# set communications-type unicast
暗号化アルゴリズムを設定します。
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
メンバー認証を設定します。
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
検証
設定が正常に機能していることを確認するには、 show security group-vpn server group g1 server-member-communication コマンドを入力します。
例:マルチキャスト鍵更新メッセージのためのグループ VPNv1 サーバーメンバー間通信の設定
この例では、サーバーがマルチキャスト鍵更新メッセージをグループメンバーに送信できるようにして、グループメンバー間のトラフィックの暗号化に有効な鍵を使用できるようにする方法を示しています。グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 デバイスでサポートされています。
要件
開始する前に、以下を実行します。
IKEフェーズ1ネゴシエーションとフェーズ2IPsec SAのグループサーバーとメンバーを設定します。「例 :グループ VPNv1 サーバーとメンバーの設定 または 例: サーバーメンバーコロケーションを使用したグループVPNv1の設定
サーバーがマルチキャスト メッセージの送信に使用するインターフェイスである ge-0/0/1.0 を構成します。Junos OSルーティングプロトコルライブラリを参照してください。
マルチキャストグループアドレス226.1.1.1を設定します。 Junos OSルーティングプロトコルライブラリを参照してください。
IP マルチキャスト プロトコルは、ネットワーク内でマルチキャスト トラフィックを配信できるように設定する必要があります。この例では、マルチキャストの設定は示されていません。
概要
この例では、グループ・ g1に対して以下のサーバー・メンバー間通信を指定します。
サーバーは、マルチキャストアドレス226.1.1.1およびインターフェイスge-0/0/1.0を使用して、マルチキャストキー更新メッセージをグループメンバーに送信します。
3DES-CBC は、サーバーとメンバー間のトラフィックを暗号化するために使用されます。
sha1 はメンバー認証に使用されます。
既定値は、サーバーのハートビート、KEK の有効期間、および再送信に使用されます。
設定
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security group-vpn server group g1 server-member-communication communication-type multicast set security group-vpn server group g1 server-member-communication multicast-group 226.1.1.1 set security group-vpn server group g1 server-member-communication multicast-outgoing-interface ge-0/0/1.0 set security group-vpn server group g1 server-member-communication encryption-algorithm 3des-cbc set security group-vpn server group g1 server-member-communication sig-hash-algorithm sha1
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。
マルチキャスト鍵更新メッセージ用のサーバーメンバー間通信を構成するには:
通信タイプを設定します。
[edit security group-vpn server group g1 server-member-communication] user@host# set communication-type multicast
マルチキャストグループを設定します。
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-group 226.1.1.1
マルチキャスト メッセージを送信するインターフェイスを設定します。
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-outgoing-interface ge-0/0/1.0
暗号化アルゴリズムを設定します。
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
メンバー認証を設定します。
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
結果
設定モードから、show security group-vpn server group g1 server-member-communicationコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security group-vpn server group g1 server-member-communication communication-type multicast; multicast-group 226.1.1.1; multicast-outgoing-interface ge-0/0/1.0; encryption-algorithm 3des-cbc; sig-hash-algorithm sha1;
デバイスの設定が完了したら、設定モードから commit を入力します。
例:サーバーメンバー間コロケーションを使用したグループ VPNv1 の設定
この例では、サーバーをコロケーション モードに構成して、サーバーとメンバーの機能を同じ物理デバイスに共存させる方法を示します。グループ VPNv1 は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX650 デバイスでサポートされています。
要件
開始する前に、以下を実行します。
ネットワーク通信用にジュニパーネットワークスのセキュリティデバイスを設定します。
サーバーおよびメンバーデバイス上のネットワークインターフェイスを設定します。セキュリティデバイス向けインターフェイスユーザーガイドを参照してください。
概要
コロケーションモードが設定されている場合、グループサーバーとグループメンバーの機能を同じデバイスに共存させることができます。コロケーションモードでは、パケットが正しく配信されるように、サーバーとメンバーは異なるIPアドレスを持っている必要があります。
図 3 では、グループ VPN(グループ識別子は 1)は、2 つのメンバー(member1 と member2)とグループ サーバー(ループバック インターフェイスの IP アドレスは 20.0.0.1)で構成されています。member1 は、グループ サーバーと同じデバイスに共存していることに注意してください。この例では、member1 が MPLS ネットワーク(ge-0/1/0)への接続に使用するインターフェイスに、IP アドレス 10.1.0.1/32 が割り当てられています。
このトピックの設定手順では、グループ server-member1 デバイスをコロケーション モード用に設定する方法について説明します。member2を設定するには、 例を参照してください。グループ VPNv1 サーバーとメンバーの設定 .
パケットのフラグメンテーションの問題を防ぐため、MPLS ネットワークに接続するためにグループ メンバーが使用するインターフェイスは、1400 バイト以下の MTU サイズに設定することをお勧めします。MTU サイズを設定するには、 set interface mtu 設定ステートメントを使用します。
設定
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set interfaces ge-0/1/0 unit 0 family inet address 10.1.0.1/32 set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$9$c1gr K8-VYZUHX7UHqmF3Sre" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$9$c 1grK8-VYZUHX7UHqmF3Sre" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 server-member-communication communication-type unicast set security group-vpn server group grp1 server-member-communication encryption-algorithm aes-128-cbc set security group-vpn server group grp1 server-member-communication sig-hash-algorithm md5 set security group-vpn server group grp1 server-member-communication certificate srv-cert set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0 set security group-vpn co-location set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。
サーバーメンバー間のコロケーションでグループ VPN を構成するには:
デバイスにループバックアドレスを設定します。
[edit interfaces] user@host# set lo0 unit 0 family inet address 20.0.0.1/32
member1 が MPLS ネットワークへの接続に使用するインタフェースを設定します。
[edit interfaces] user@host# set ge-0/1/0 unit 0 family inet address 10.1.0.1/32
デバイスにグループ VPN コロケーションを設定します。
[edit security group-vpn] user@host# set co-location
サーバのIKEフェーズ1 SAを設定します(この構成は、グループメンバーに設定されたフェーズ1 SAと一致する必要があります)。
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
IKEポリシーを定義し、リモートゲートウェイを設定します。
[edit security group-vpn server ike] user@host# set policy srv-pol proposals srv-prop mode main pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
サーバーのフェーズ 2 SA 交換を構成します。
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
サーバーのグループ識別子、IKE ゲートウェイ、アンチリプレイ時間、およびサーバー アドレスを構成します。
[edit security group-vpn server group grp1] user@host# set group-id 1 anti-replay-time-window 120 server-address 20.0.0.1 user@host#set ike-gateway gw1 user@host#set ike-gateway gw2
サーバーからメンバーへの通信を構成します。
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
グループ メンバーにダウンロードするグループ ポリシーを構成します。
[edit security group-vpn server group grp1 ipsec-sa group-sa ] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
member1 にフェーズ 1 SA を設定します(この設定は、グループ サーバーに設定されたフェーズ 1 SA と一致する必要があります)。
[edit security group-vpn member ike proposal prop1] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
ポリシーを定義し、member1 にリモートゲートウェイを設定します。
[edit security group-vpn member ike] user@host# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
member1 のグループ識別子、IKE ゲートウェイ、およびインターフェイスを構成します。
[edit security group-vpn member ipsec] user@host# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
アドレス帳を作成し、ゾーンにアタッチします。
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
trustゾーンからuntrustゾーンへのスコープポリシーを構成して、10.0.0.0/8サブネットワークとの間のユニキャストトラフィックを許可します。
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
untrust ゾーンから trust ゾーンへのスコープ ポリシーを構成して、10.0.0.0/8 サブネットワークとの間のユニキャスト トラフィックを許可します。
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
結果
設定モードから、 show security group-vpn and show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
構成済みのセキュリティ ポリシーの一覧で、既定のポリシーの前にスコープ ポリシーが表示されていることを確認します。
[edit]
user@host# show security group-vpn
member {
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
}
server {
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
server-member-communication {
communication-type unicast;
encryption-algorithm aes-128-cbc;
sig-hash-algorithm md5;
certificate srv-cert;
}
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
}
co-location;
[edit]
user@host# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- グループ VPN メンバー登録の確認
- IKEのグループVPNサーバーセキュリティアソシエーションの確認
- IPsecのグループVPNサーバーセキュリティアソシエーションの確認
- IKEのグループVPNメンバーセキュリティアソシエーションの確認
- IPsecのグループVPNメンバーセキュリティアソシエーションの確認
グループ VPN メンバー登録の確認
目的
グループ VPN メンバーが正しく登録されていることを確認します。
アクション
動作モードからshow security group-vpn registered-membersコマンドを入力します。
IKEのグループVPNサーバーセキュリティアソシエーションの確認
目的
IKEのグループVPNサーバーのSAを確認します。
アクション
動作モードからshow security group-vpn server ike security-associationsコマンドを入力します。
IPsecのグループVPNサーバーセキュリティアソシエーションの確認
目的
IPsec 用のグループ VPN サーバーの SA を確認します。
アクション
動作モードからshow security group-vpn server ipsec security-associationsコマンドを入力します。
IKEのグループVPNメンバーセキュリティアソシエーションの確認
目的
IKEのグループVPNメンバーのSAを確認します。
アクション
動作モードからshow security group-vpn member ike security-associationsコマンドを入力します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。