サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

close
keyboard_arrow_left
IPsec VPNユーザーガイド
Table of Contents Expand all
list Table of Contents

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

仮想ルーターのセキュアトンネルインターフェイス

date_range 19-Jan-25

セキュア トンネル インターフェイス(st0)は、ルートベース VPN がクリアテキスト トラフィックを IPsec VPN トンネルにルーティングするために使用する内部インターフェイスです。

ルートベース VPN の仮想ルーターサポートについて

この機能には、ルートベースVPNのルーティングインスタンスのサポートが含まれます。以前のリリースでは、st0インターフェイスがデフォルト以外のルーティング インスタンスに配置されると、このインターフェイスのVPNトンネルが正しく機能しませんでした。Junos OS 10.4リリースでは、st0インターフェイスをルーティングインスタンスに配置できるようになりました。この場合、各ユニットはポイントツーポイントモードまたはマルチポイントモードで設定されます。そのため、VPNトラフィックはデフォルト以外のVRで正しく機能するようになりました。st0インターフェイスの異なるサブユニットを異なるルーティングインスタンスに設定できるようになりました。以下の関数は、デフォルト以外のルーティングインスタンスでサポートされています。

  • 手動鍵管理

  • トランジットトラフィック

  • セルフトラフィック

  • VPN 監視

  • ハブアンドスポーク方式VPN

  • カプセル化セキュリティペイロード(ESP)プロトコル

  • AH(認証ヘッダー)プロトコル

  • アグレッシブ モードまたはメイン モード

  • ループバック(lo0)インターフェイスに固定されたst0

  • SRXシリーズファイアウォールでサポートされる仮想ルーター(VR)の最大数

  • アプリケーション層ゲートウェイ(ALG)、侵入検出および防止(IDP)、コンテンツセキュリティなどのアプリケーション

  • デッドピア検出(DPD)

  • シャーシ クラスタ アクティブ/バックアップ

  • st0 上のオープン最短パス ファースト(OSPF)

  • st0を介したRIP(Routing Information Protocol)

  • VR内のポリシーベースのVPN

仮想ルーターの制限について

SRXシリーズファイアウォールでVPNを設定する場合、以下の制限のもと、仮想ルーター間でIPアドレスの重複がサポートされます。

  • IKE 外部インターフェイス アドレスを他の仮想ルーターと重複させることはできません。

  • 内部インターフェイスまたは信頼できるインターフェイスのアドレスは、他の仮想ルーター間で重複できます。

  • St0 のインターフェイス アドレスは、NHTB などのポイントツーマルチポイント トンネルのルートベースの VPN で重複させることはできません。

  • St0 のインターフェイス アドレスは、ポイントツーポイント トンネルのルートベースの VPN で重複させることができます。

例:仮想ルーターでのst0インターフェイスの設定

この例では、仮想ルーターでst0インターフェイスを設定する方法を示します。

要件

開始する前に、インターフェイスを設定し、セキュリティ ゾーンにインターフェイスを割り当てます。「セキュリティ ゾーンの概要」を参照してください。

概要

この例では、次の操作を実行します。

  • インターフェイスを設定します。

  • IKEフェーズ1プロポーザルを設定します。

  • IKEポリシーを設定し、プロポーザルを参照します。

  • IKEゲートウェイを構成し、ポリシーを参照します。

  • フェーズ 2 のプロポーザルを設定します。

  • ポリシーを設定し、プロポーザルを参照します。

  • AutoKey IKE を設定し、ポリシーとゲートウェイを参照します。

  • セキュリティポリシーを構成します。

  • ルーティングインスタンスを設定します。

  • トンネルインターフェイスへのVPNバインドを設定します。

  • ルーティング オプションを設定します。

図 1 この例で使用されているトポロジーを示しています。

図 1: 仮想ルーターのセキュアトンネルインターフェイス

次の表に、構成パラメーターを示します。

表 1: SRX1のインターフェイス、ルーティングインスタンス、静的ルート、セキュリティゾーン情報

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/0.0

10.1.1.2/30

 

ge-0/0/1.0

10.2.2.2/30

 

st0.0(トンネル インターフェイス)

10.3.3.2/30

ルーティングインスタンス(仮想ルーター)

VR1

ge-0/0/1.0

st0.0

静的ルート

10.6.6.0/24

ネクスト ホップはst0.0です。

セキュリティ ゾーン

trust

  • ge-0/0/1インターフェイスは、このゾーンにバインドされています。

 

untrust

  • ge-0/0/0インターフェイスは、このゾーンにバインドされています。

  • st0.0インターフェイスは、このゾーンにバインドされています。

表 2: IKE設定パラメータ

機能

お名前

設定パラメータ

プロポーザル

first_ikeprop

  • 認証方法:pre-shared-keys

ポリシー

first_ikepol

  • モード:メイン

  • プロポーザル リファレンス:first_ikeprop

  • IKEポリシー認証方法:pre-shared-keys

ゲートウェイ

まずは

  • IKE ポリシーの参照:first_ikepol

  • 外部インターフェイス:ge-0/0/0.0

  • ゲートウェイ アドレス:10.4.4.2

表 3: IPsec設定パラメータ

機能

お名前

設定パラメータ

プロポーザル

first_ipsecprop

  • 議定書:esp

  • 認証アルゴリズム: hmac-md5-96

  • 暗号化アルゴリズム: 3des-cbc

ポリシー

first_ipsecpol

  • IPsecプロポーザル リファレンス: first_ipsecprop

VPN

first_vpn

  • IKEゲートウェイ リファレンス:まずは

  • IPsecポリシー リファレンス:first_ipsecpol

  • インターフェイスへのバインド:st0.0

  • establish-tunnels immediately

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

content_copy zoom_out_map
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.2/30
set interfaces ge-0/0/1 unit 0 family inet address 10.2.2.2/30
set interfaces st0 unit 0 family inet address 10.3.3.2/30
set security zones security-zone trust interfaces ge-0/0/1
set security zones security-zone untrust interfaces ge-0/0/0
set security zones security-zone untrust interfaces st0.0
set security ike proposal first_ikeprop authentication-method pre-shared-keys 
set security ike proposal first_ikeprop dh-group group2 
set security ike proposal first_ikeprop authentication-algorithm md5
set security ike proposal first_ikeprop encryption-algorithm 3des-cbc
set security ike policy first_ikepol mode main
set security ike policy first_ikepol proposals first_ikeprop
set security ike policy first_ikepol pre-shared-key ascii-text "$ABC123"
set security ike gateway first ike-policy first_ikepol
set security ike gateway first address 10.4.4.2
set security ike gateway first external-interface ge-0/0/0.0
set security ipsec proposal first_ipsecprop protocol esp
set security ipsec proposal first_ipsecprop authentication-algorithm hmac-md5-96
set security ipsec proposal first_ipsecprop encryption-algorithm 3des-cbc
set security ipsec policy first_ipsecpol perfect-forward-secrecy keys group1
set security ipsec policy first_ipsecpol proposals first_ipsecprop
set security ipsec vpn first_vpn bind-interface st0.0
set security ipsec vpn first_vpn ike gateway first
set security ipsec vpn first_vpn ike ipsec-policy first_ipsecpol
set security ipsec vpn first_vpn establish-tunnels immediately  
set security policies from-zone trust to-zone untrust policy p1 match source-address any
set security policies from-zone trust to-zone untrust policy p1 match destination-address any
set security policies from-zone trust to-zone untrust policy p1 match application any
set security policies from-zone trust to-zone untrust policy p1 then permit
set security policies from-zone untrust to-zone trust policy p2 match source-address any
set security policies from-zone untrust to-zone trust policy p2 match destination-address any
set security policies from-zone untrust to-zone trust policy p2 match application any
set security policies from-zone untrust to-zone trust policy p2 then permit
set routing-instances VR1 instance-type virtual-router
set routing-instances VR1 interface ge-0/0/1.0
set routing-instances VR1 interface st0.0  
set routing-instances VR1 routing-options static route 10.6.6.0/24 next-hop st0.0
ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、Junos OS CLI ユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

VR で st0 を設定するには:

  1. インターフェイスを設定します。

    content_copy zoom_out_map
    [edit]
    user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.2/30
    user@host# set interfaces ge-0/0/1 unit 0 family inet address 10.2.2.2/30
    user@host# set interfaces st0 unit 0 family inet address 10.3.3.2/30
    
  2. セキュリティ ゾーンを構成します。

    content_copy zoom_out_map
    [edit]
    user@host# set security zones security-zone trust interfaces ge-0/0/1
    user@host# set security zones security-zone untrust interfaces ge-0/0/0
    user@host# set security zones security-zone untrust interfaces st0.0
    
  3. IPsecトンネルのフェーズ1を設定します。

    content_copy zoom_out_map
    [edit security ike]
    user@host# set proposal first_ikeprop authentication-method pre-shared-keys
    user@host# set proposal first_ikeprop dh-group group2
    user@host# set proposal first_ikeprop authentication-algorithm md5
    user@host# set proposal first_ikeprop encryption-algorithm 3des-cbc
    
  4. IKEポリシーを設定し、プロポーザルを参照します。

    content_copy zoom_out_map
    [edit security ike]
    user@host# set policy first_ikepol mode main
    user@host# set policy first_ikepol proposals first_ikeprop
    user@host# set policy first_ikepol pre-shared-key ascii-text "$ABC123"
    
  5. IKEゲートウェイを設定し、ポリシーを参照します。

    content_copy zoom_out_map
    [edit security ike]
    user@host# set gateway first ike-policy first_ikepol
    user@host# set gateway first address 10.4.4.2
    user@host# set gateway first external-interface ge-0/0/0.0
    
  6. IPsecトンネルのフェーズ2を設定します。

    content_copy zoom_out_map
    [edit security ipsec]
    user@host# set proposal first_ipsecprop protocol esp
    user@host# set proposal first_ipsecprop authentication-algorithm hmac-md5-96
    user@host# set proposal first_ipsecprop encryption-algorithm 3des-cbc
    
  7. ポリシーを設定し、プロポーザルを参照します。

    content_copy zoom_out_map
    [edit security ipsec]
    user@host# set policy first_ipsecpol perfect-forward-secrecy keys group1
    user@host# set policy first_ipsecpol proposals first_ipsecprop
    
  8. AutoKey IKE を設定し、ポリシーとゲートウェイを参照します。

    content_copy zoom_out_map
    [edit security ipsec]
    user@host# set vpn first_vpn ike gateway first
    user@host# set vpn first_vpn ike ipsec-policy first_ipsecpol
    user@host# set vpn first_vpn establish-tunnels immediately
    
  9. トンネルインターフェイスへのVPNバインドを設定します。

    content_copy zoom_out_map
    [edit security ipsec]
    user@host# set vpn first_vpn bind-interface st0.0
    
  10. セキュリティポリシーを構成します。

    content_copy zoom_out_map
    [edit security policies]
    user@host# set from-zone trust to-zone untrust policy p1 match source-address any
    user@host# set from-zone trust to-zone untrust policy p1 match destination-address any
    user@host# set from-zone trust to-zone untrust policy p1 match application any
    user@host# set from-zone trust to-zone untrust policy p1 then permit
    user@host# set from-zone untrust to-zone trust policy p2 match source-address any
    user@host# set from-zone untrust to-zone trust policy p2 match destination-address any
    user@host# set from-zone untrust to-zone trust policy p2 match application any
    user@host# set from-zone untrust to-zone trust policy p2 then permit
    
  11. ルーティングインスタンスでst0を設定します。

    content_copy zoom_out_map
    [edit routing-instances]
    user@host# set VR1 instance-type virtual-router
    user@host# set VR1 interface ge-0/0/1.0
    user@host# set VR1 interface st0.0 
    
  12. ルーティング オプションを設定します。

    content_copy zoom_out_map
    [edit routing-instances VR1 routing-options]
    user@host# set static route 10.6.6.0/24 next-hop st0.0
    
結果

設定モードから、show security および show routing-instances コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

content_copy zoom_out_map
user@host# show security
    ike {
    proposal first_ikeprop {
        authentication-method pre-shared-keys;
        dh-group group2;
        authentication-algorithm md5;
        encryption-algorithm 3des-cbc;
    }
    policy first_ikepol {
        mode main;
        proposals first_ikeprop;
        pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
    }
    gateway first {
        ike-policy first_ikepol;
        address 10.4.4.2;
        external-interface ge-0/0/0.0;
    }
}
    ipsec {
        proposal first_ipsecprop {
            protocol esp;
            authentication-algorithm hmac-md5-96;
            encryption-algorithm 3des-cbc;
        }
        policy first_ipsecpol {
            perfect-forward-secrecy {
                keys group1;
            }
            proposals first_ipsecprop;
        }
        vpn first_vpn {
            bind-interface st0.0;
            ike {
                gateway first;
                ipsec-policy first_ipsecpol;
            }
            establish-tunnels immediately;
        }
    }
policies {
    from-zone trust to-zone untrust {
        policy p1 {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    }
        from-zone untrust to-zone trust {
            policy p2 {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
zones {
    security-zone trust {
        interfaces {
            ge-0/0/1.0;
        }
    }
    security-zone untrust {
        interfaces {
            ge-0/0/0.0;
            st0.0;
        }
    }
}
    
user@host# show routing-instances
        VR1 {
            instance-type virtual-router;
            interface ge-0/0/1.0;
            interface st0.0; 
            routing-options {
            static {
            route 10.6.6.0/24 next-hop st0.0;
        }
    }
}

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、このタスクを実行します。

仮想ルータでのst0インターフェイスの検証

目的

仮想ルーターの st0 インターフェイスを確認します。

アクション

動作モードからshow interfaces st0.0 detail コマンドを入力します。ルーティングテーブルにリストされている番号は、 show route all コマンドのルーティングテーブルの順序に対応しています。

external-footer-nav