Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルートベースVPNにおけるトラフィックセレクター

トラフィックセレクターとは、トラフィックが指定されたローカルアドレスとリモートアドレスのペアに一致する場合に、VPNトンネルを介したトラフィックを許可するというIKEピア間の合意です。トラフィックセレクターに適合したトラフィックのみが、関連するセキュリティアソシエーション(SA)を通じて許可されます。

ルートベースVPNにおけるトラフィックセレクターについて

トラフィックセレクターとは、指定されたローカルアドレスとリモートアドレスのペアが一致する場合に、トンネルを介したトラフィックを許可するIKEピア間の合意です。この機能により、特定のルートベースのVPN内でトラフィックセレクターを定義できるため、複数のフェーズ2 IPsec セキュリティ アソシエーション(SA)を実現できます。トラフィックセレクターと一致するトラフィックだけが、アソシエイトSAを介して許可されます。

Junos OSリリース12.1X46-D10および17.3R1以降では、IKEv1サイト間のVPNでトラフィックセレクターを設定できます。Junos OSリリース15.1X49-D100以降では、IKEv2サイト間のVPNでトラフィックセレクターを設定できます。

トラフィックセレクターの設定

トラフィックセレクターを設定するには、[edit security ipsec vpn vpn-name]階層レベルでtraffic-selector設定ステートメントを使用します。トラフィックセレクターは、記述が必須のlocal-ip ip-address/netmaskおよびremote-ip ip-address/netmaskステートメントによって定義されています。CLI操作コマンドshow security ipsec security-association detailで、SAのトラフィックセレクター情報が表示されます。show security ipsec security-association traffic-selector traffic-selector-nameCLIコマンドで、指定したトラフィックセレクター情報が表示されます。

特定のトラフィックセレクターに対して、ローカルおよびリモートのアドレスとネットマスクが1つずつ指定されます。トラフィックセレクターは、IPv4またはIPv6アドレスで設定することができます。アドレスブックを使用してローカルアドレスまたはリモートアドレスを指定することはできません。

同じVPNに対して、複数のトラフィックセレクターを設定することができます。VPNごとに最大200のトラフィックセレクターを設定することができます。トラフィックセレクターは、IPv4-in-IPv4、IPv4-in-IPv6、IPv6-in-IPv6、またはIPv6-in-IPv4トンネルモードで使用できます。

トラフィックセレクターは以下の機能をサポートしていません。

  • VPN 監視

  • トラフィックセレクターのローカルおよびリモートIPアドレス用に設定された異なるアドレスファミリー

  • サイト間VPN用のリモートアドレス 0.0.0.0/0(IPv4)または0::0(IPv6)

    Junos OSリリース15.1X49-D140以降、すべてのSRXシリーズファイアウォールとvSRX仮想ファイアウォールインスタンスで、0::0(IPv6)のリモートアドレスでトラフィックセレクターを設定すると、コミットを実行した後に以下の“error: configuration check-out failed”メッセージが表示され、設定のチェックアウトに失敗します。

  • ポイントツーマルチポイントのインターフェイス

  • st0インターフェイス上に設定された動的ルーティングプロトコル

ルートベースVPNに複数のトラフィックセレクターを設定した状態で、IKEゲートウェイの外部インターフェイスが別の別の仮想ルーター(VR)に移動すると、トラフィックセレクターと一致しないクリアトラフィックがVPNトンネルに入ることがあります。ソフトウェアは、IKEゲートウェイの外部インターフェイスが、別のVRに移動したときに生成される複数の非同期インターフェイスイベントを処理しません。回避策として、先にIPsec VPNトンネルを非アクティブ化して、トンネルなしの設定をコミットします。その上でIKEゲートウェイの外部インターフェイスを別のVRに移動します。

Junos OSリリース21.1R1以降では、ローカルIPプレフィックスの複数のセット、リモートIPプレフィックス、送信元ポート範囲、宛先ポート範囲、トラフィック選択用のプロトコルを設定できます。つまり、複数のIPアドレス範囲、ポート範囲、およびプロトコルを、RFC 7296で定義されているのと同じトラフィックセレクターの一部にすることができます。複数のトラフィックセレクターを設定すると、それぞれのトラフィックセレクターが別のネゴシエーションへと導かれ、複数のIPsecトンネルが生じます。しかしながら、1つのトラフィックセレクターのもとに複数の項目を設定すると、複数のIPプレフィックス、ポート、およびプロトコルを持つ単一のIPsec SAネゴシエーションになります。トラフィックセレクターを参照してください。

自動ルート挿入について

自動ルート挿入(ARI)は、リモートネットワークの静的ルートと、リモートトンネルのエンドポイントによって保護されるホストを自動的に挿入します。トラフィックセレクターに設定されたリモートIPアドレスに基づいてルートが作成されます。トラフィックセレクターの場合、設定されたリモートアドレスは、VPNにバインドされたst0インターフェイスに関連付けられたルーティングインスタンスにルートとして挿入されます。

ルーティングプロトコルとトラフィックセレクターの設定は、相互に排他的な方法でトラフィックをコントロールします。ARIルートは、ルーティングプロトコルを介して生成されたルートと競合することがあります。そのため、トラフィックセレクターを設定したVPNにバインドされたst0インターフェイスには、ルーティングプロトコルを設定しないでください。

ARIは、Reverse Route Insertion(RRI)としても知られています。ARIルートは以下の通りルーティングテーブルに挿入されます。

  • establish-tunnels immediatelyオプションが[edit security ipsec vpn vpn-name]階層レベルで設定された場合、フェーズ1とフェーズ2のネゴシエートが完了した後にARIルートが追加されます。SAが確立されるまではルートは追加されないため、ネゴシエートが失敗しても、トラフィックが停止しているst0インターフェイスにルートされることはありません。代替またはバックアップのトンネルが代わりに使用されます。

  • establish-tunnels immediatelyオプションが[edit security ipsec vpn vpn-name]階層レベルで設定されていない場合、設定のコミット時にARIルートが追加されます。

  • もし、設定またはネゴシエートされたトラフィックセレクターのリモートアドレスが0.0.0.0/0または0::0の場合、ARIルートは追加されません。

静的ARIルートの優先度は5に設定します。この設定は、ルーティングプロトコル処理で追加される可能性のある類似ルートとの競合を避けるために必要です。

静的ARIルートは、rib-groups設定を使って他のルーティングインスタンスにリークさせることはできません。静的ARIルートはimport-policy設定を使ってリークします。

トラフィックセレクターと重複するIPアドレスについて

ここでは、トラフィックセレクターの設定における重複するIPアドレスについて説明します。

同一st0インターフェイスにバインドされた異なるVPN内で重複するIPアドレス

このシナリオは、トラフィックセレクターではサポートされていません。以下の例の通り、トラフィックセレクターは、同一ポイントツーマルチポイントのst0インターフェイスにバインドされている異なるVPNに設定することはできません。

同一st0インターフェイスにバインドされた同一VPN内で重複するIPアドレス

同一VPN内の複数のトラフィックセレクターに重複するIPアドレスが設定されている場合、パケットと一致する最初に設定されたトラフィックセレクターが、パケットの暗号化に使用するトンネルを決定します。

次の例では、ポイントツーポイントのst0.1インターフェイスにバインドされているVPN(vpn-1)に対して、4つのトラフィックセレクター(ts-1、ts-2、ts-3、ts-4)が設定されています。

送信元アドレス192.168.5.5と宛先アドレス10.1.5.10のパケットは、トラフィックセレクターts-1とts-2と一致します。ただし、トラフィックセレクターts-1は、最初に設定された一致であり、ts-1に関連付けられたトンネルがパケットの暗号化に使用されます。

送信元アドレス172.16.5.5と宛先アドレス10.2.5.10のパケットは、トラフィックセレクターts-3とts-4と一致します。ただし、トラフィックセレクターts-3は、最初に設定された一致であり、ts-3に関連付けられたトンネルがパケットの暗号化に使用されます。

異なるst0インターフェイスにバインドされた異なるVPN内で重複するIPアドレス

重複するIPアドレスが複数のトラフィックセレクターに設定された異なるVPNと、異なるポイントツーポイントのst0インターフェイスがバインドされた場合、特定のパケットと一致する最長のプレフィックスにより、st0インターフェイスが最初に選択されます。選択したst0インターフェイスにバインドされているVPN内では、パケットに対して設定された最初の一致に基づいてトラフィックセレクターが選択されます。

次の例では、2つのVPNそれぞれにトラフィックセレクターを設定しています。トラフィックセレクターは、同じローカルサブネットワークで設定されますが、リモートサブネットワークが異なります。

トラフィックセレクターごとに異なるリモートサブネットワークが設定されるため、ルーティングテーブルには2つの異なるルートが追加されます。ルートルックアップは、適切なVPNとバインドしたst0インターフェイスを使用します。

次の例では、2つのVPNそれぞれにトラフィックセレクターを設定しています。トラフィックセレクターは異なるリモートサブネットワークで設定されています。トラフィックセレクターごとに同一ローカルサブネットワークが設定されていますが、異なるネットマスク値が指定されています。

トラフィックセレクターごとに異なるリモートサブネットワークが設定されているため、ルーティングテーブルには2つの異なるルートが追加されます。ルートルックアップは、適切なVPNとバインドしたst0インターフェイスを使用します。

次の例では、トラフィックセレクターが2つのVPNそれぞれに設定されています。トラフィックセレクターは、異なるローカルサブネットワークとリモートサブネットワークで設定されます。

この場合、トラフィックセレクターは重複しません。トラフィックセレクターに設定されているリモートサブネットワークが異なるため、ルーティングテーブルには2つの異なるルートが追加されます。ルートルックアップは、適切なVPNとバインドしたst0インターフェイスを使用します。

次の例では、2つのVPNそれぞれにトラフィックセレクターを設定しています。トラフィックセレクターは、同じローカルサブネットワークで設定されています。トラフィックセレクターごとに同じリモートサブネットワークが設定されていますが、異なるネットマスク値が指定されています。

なお、ts-1にはremote-ip10.1.1.0/24が、ts-2にはremote-ip10.1.0.0/16が設定されていることに注意してください。パケットの宛先が10.1.1.1であれば、ルートルックアップでは、長いプレフィックスが一致するst0.1インターフェイスが選択されます。パケットは、st0.1に対応するトンネルに基づいて暗号化されます。

場合によっては、トラフィックセレクターのトラフィックの適用により有効なパケットが破棄されることがあります。次の例では、トラフィックセレクターが2つのVPNそれぞれに設定されています。トラフィックセレクターは、異なるローカルサブネットワークで設定されています。トラフィックセレクターごとに同じリモートサブネットワークが設定されていますが、異なるネットマスク値が指定されています。

10.1.1.0へのルートとして、st0.1インターフェイス経由の10.1.1.0/24およびst0.2インターフェイス経由の10.1.0.0/16の2つがルーティングテーブルに追加されています。送信元172.16.1.1から宛先10.1.1.1に送信されたパケットは、st0.1インターフェイス経由の10.1.1.0/24のルーティングテーブルのエントリーと一致します。ただし、このパケットはトラフィックセレクターts-1で指定されたトラフィックとは一致しないため、破棄されます。

複数のトラフィックセレクターが同じリモートサブネットワークとネットマスクで設定されている場合は、等コストのルートがルーティングテーブルに追加されます。このケースは、選択したルートが予測できないため、トラフィックセレクターはサポートしていません。

例:ルートベースVPNにおけるトラフィックセレクターの設定

この例では、ルートベースの VPN 向けにトラフィックセレクターを設定する方法を示しています。

要件

始める前に、

概要

この例では、トラフィックセレクターを設定して、SRX_A のサブネットワークと SRX_B のサブネットワークの間にトラフィックが流れるようにします。

表 1 は、この例のトラフィックセレクターを示しています。トラフィックセレクターの設定は、フェーズ2のオプションでおこないます。

表 1: トラフィックセレクターの設定

SRX_A

SRX_B

トラフィックセレクター名

ローカルIP

リモート IP

トラフィックセレクター名

ローカルIP

リモート IP

TS1-ipv6

2001:db8:10::0/64

2001:db8:20::0/64

TS1-ipv6

2001:db8:20::0/64

2001:db8:10::0/64

TS2-ipv4

192.168.10.0/24

192.168.0.0/16

TS2-ipv4

192.168.0.0/16

192.168.10.0/24

IPv6 トラフィックのフローベース処理は、 [edit security forwarding-options family inet6] 階層レベルの mode flow-based設定オプションで有効にする必要があります。

トポロジー

図 1では、IPv6 VPN トンネルは、SRX_A および SRX_B デバイスの間で IPv4 および IPv6 の両方のトラフィックを伝送します。つまり、このトンネルは、IPv4-in-IPv6 および IPv6-in-IPv6 の両方のトンネルモードで動作します。

図 1: トラフィックセレクターの設定の例トラフィックセレクターの設定の例

設定

SRX_Aの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

トラフィックセレクターを設定するには:

  1. 外部インターフェイスを設定します。

  2. セキュアトンネルインターフェイスを設定します。

  3. 内部インターフェイスを設定します。

  4. フェーズ1のオプションを設定します。

  5. フェーズ2のオプションを設定します。

  6. IPv6のフローベース転送を有効にします。

  7. セキュリティゾーンおよびセキュリティポリシーを設定します。

結果

設定モードから、 show interfacesshow security ike、 、 show security ipsec、 、 show security forwarding-optionsshow security zones、および コマshow security policiesンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SRX_Bの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

トラフィックセレクターを設定するには:

  1. 外部インターフェイスを設定します。

  2. セキュアトンネルインターフェイスを設定します。

  3. 内部インターフェイスを設定します。

  4. フェーズ1のオプションを設定します。

  5. フェーズ2のオプションを設定します。

  6. IPv6のフローベース転送を有効にします。

  7. セキュリティゾーンおよびセキュリティポリシーを設定します。

結果

設定モードから、 show interfacesshow security ike、 、 show security ipsec、 、 show security forwarding-optionsshow security zones、および コマshow security policiesンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

ここに示されている出力例ではSRX-Aです。

IPsecフェーズ2ステータスの確認

目的

IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。

動作モードからshow security ipsec security-associations detailコマンドを入力します。

意味

show security ipsec security-associations コマンドは、すべてのアクティブなIKEフェーズ2のSAを一覧表示します。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。フェーズ 2 のプロポーザルパラメータは、ピアデバイスで一致する必要があります。

トラフィックセレクターの確認

目的

セキュアトンネルインターフェイスでネゴシエートされたトラフィックセレクターを確認します。

アクション

動作モードからshow security ipsec traffic-selector st0.1コマンドを入力します。

ルートの検証

目的

アクティブルートの確認

アクション

動作モードからshow routeコマンドを入力します。

意味

show route コマンドは、ルーティングテーブル内のアクティブなエントリーを一覧表示します。トラフィックセレクターごとに設定したリモート IP アドレスへのルートは、正しい st0 インターフェイスで存在する必要があります。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
15.1X49-D140
Junos OSリリース15.1X49-D140以降、すべてのSRXシリーズファイアウォールとvSRX仮想ファイアウォールインスタンスで、0::0(IPv6)のリモートアドレスでトラフィックセレクターを設定すると、コミットを実行した後に以下の“error: configuration check-out failed”メッセージが表示され、設定のチェックアウトに失敗します。
15.1X49-D100
Junos OSリリース15.1X49-D100以降では、IKEv2サイト間のVPNでトラフィックセレクターを設定できます。
12.1X46-D10
Junos OSリリース12.1X46-D10および17.3R1以降では、IKEv1サイト間のVPNでトラフィックセレクターを設定できます。