Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IKEv2 によるルートベースVPN

インターネット鍵交換バージョン 2(IKEv2)は、IPsec ベースのトンネリング プロトコルで、ピア VPN デバイス間のセキュアな VPN 通信チャネルを提供し、IPsec セキュリティ アソシエーション(SA)のネゴシエーションと認証を保護された方法で定義します。

表 1 は、IPsec RadiusのxAuthまたはCP値を示しています。

表 1: IPsec Radius、xAuth、または CP 値
半径属性 属性 ID 属性名 ベンダー ID (ディクショナリ) ベンダー属性 ID 属性値 タイプ
Standard 8 フレーム IP アドレス 該当なし 該当なし IPアドレス IPv4アドレス
Standard 9 フレーム IP ネットマスク 該当なし 該当なし IPアドレス IPv4アドレス
Standard 88 フレーム付きプール 該当なし 該当なし お名前 テキスト
Standard 100 フレーム IPv6 プール 該当なし 該当なし お名前 テキスト
売り手 26 プライマリ DNS 4874(ジュニパーERX) 4 IPアドレス IPv4アドレス
売り手 26 セカンダリ DNS 4874(ジュニパーERX) 5 IPアドレス IPv4アドレス
売り手 26 プライマリ WINS(NBNS) 4874(ジュニパーERX) 6 IPアドレス IPv4アドレス
売り手 26 セカンダリ WINS(NBNS) 4874(ジュニパーERX) 7 IPアドレス IPv4アドレス
売り手 26 IPv6 プライマリ DNS 4874(ジュニパーERX) 47 IPアドレス 16 進文字列またはオクテット
売り手 26 IPv6 セカンダリ DNS 4874(ジュニパーERX) 48 IPアドレス 16 進文字列またはオクテット

例:IKEv2 のルートベース VPN の設定

この例では、支店と本社のオフィス間で安全にデータを転送できるように、ルートベースのIPsec VPNを設定する方法を示しています。

要件

この例では、次のハードウェアを使用しています。

  • SRX240デバイス

  • SSG140デバイス

始める前に、IPsec の概要を読んでください。

概要

この例では、トンネルリソースを節約しながらも、VPNトラフィックに詳細な制限を設定したいために、イリノイ州シカゴの支店にルートベースVPNを設定しています。シカゴ支店のユーザーは、このVPNを使用してカリフォルニア州サニーベールの本社に接続します。

この例では、インターフェイス、IPv4 のデフォルト ルート、セキュリティ ゾーン、アドレス ブックを設定します。次に、IKEフェーズ1、IPsecフェーズ2、セキュリティポリシー、およびTCP-MSSパラメータを設定します。この例で使用されている特定の設定パラメータについては、表 2から表 6を参照してください。

表 2: インターフェイス、静的ルート、セキュリティ ゾーン、アドレス ブックの情報

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/0.0

192.168.10.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0(トンネル インターフェイス)

10.11.11.10/24

静的ルート

0.0.0.0/0(デフォルトルート)

ネクストホップは 10.1.1.1です。

192.168.168.0/24

ネクスト ホップはst0.0です。

セキュリティ ゾーン

trust

  • すべてのシステム サービスが許可されます。

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

untrust

  • IKEは唯一許可されているシステム サービスです。

  • ge-0/0/3.0インターフェイスは、このゾーンにバインドされています。

VPN-シカゴ

st0.0インターフェイスは、このゾーンにバインドされています。

アドレス帳エントリー

サニーベール

  • このアドレスはtrustゾーンのアドレス帳のものです。

  • このアドレス帳エントリーのアドレスは192.168.10.0/24です。

シカゴ

  • このアドレスは、untrust ゾーンのアドレス帳のものです。

  • このアドレス帳エントリーのアドレスは192.168.168.0/24です。

表 3: IKEフェーズ1の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ike-phase1-proposal

  • 認証方法:pre-shared-keys

  • Diffie-Hellmanグループ:group2

  • 認証アルゴリズム:sha1

  • 暗号化アルゴリズムaes-128-cbc

ポリシー

ike-phase1-policy

  • モード:メイン

  • プロポーザル リファレンス:ike-phase1-proposal

  • IKEフェーズ1ポリシー認証方法:pre-shared-key ascii-text

ゲートウェイ

GW-シカゴ

  • IKE ポリシーの参照:ike-phase1-policy

  • 外部インターフェイス:ge-0/0/3.0

  • ゲートウェイ アドレス:10.2.2.2

表 4: IPsecフェーズ2の設定パラメーター

機能

お名前

設定パラメータ

プロポーザル

ipsec-phase2-proposal

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha1-96

  • 暗号化アルゴリズムaes-128-cbc

ポリシー

ipsec-phase2-policy

  • プロポーザル リファレンス:ipsec-phase2-proposal

  • PFS:Diffie-Hellmanグループ2

VPN

ipsec-vpn-chicago

  • IKEゲートウェイ リファレンス:GW-シカゴ

  • IPsecポリシー リファレンス:ipsec-phase2-policy

  • インターフェイスへのバインド:st0.0

表 5: セキュリティ ポリシー設定パラメータ

目的

お名前

設定パラメータ

セキュリティ ポリシーは、trustゾーンからvpn-chicagoゾーンへのトラフィックを許可します。

VPN-tr-chi

  • 一致する条件:

    • source-address sunnyvale

    • destination-address chicago

    • application any

  • アクション:permit

セキュリティ ポリシーは、vpn-chicago ゾーンから trust ゾーンへのトラフィックを許可します。

vpn-chi-tr

  • 一致する条件:

    • source-address chicago

    • destination-address sunnyvale

    • application any

  • アクション:permit

表 6: TCP-MSS設定パラメータ

目的

設定パラメータ

TCP-MSSは、TCPスリーウェイ ハンドシェイクの一部としてネゴシエートされ、TCPセグメントの最大サイズをネットワークのMTU制限に適応するよう制限します。VPNトラフィックの場合、IPsecカプセル化のオーバーヘッドと、IPおよびフレームのオーバーヘッドにより、物理インターフェイスのMTUを超えるESPパケットが発生する可能性があります。これは、フラグメント化を引き起こします。フラグメント化により、帯域幅とデバイス リソースが増加します。

MTUが1500以上のイーサネットベース ネットワークでは、ほとんどの場合で1350を開始値としてお勧めします。最適なパフォーマンスを実現するためには、さまざまなTCP-MSS値を試す必要があるかもしれません。たとえば、パス内にMTUが小さいデバイスが存在したり、PPPやフレーム リレーなどの追加オーバーヘッドがあったりすると、値を変更する必要がある場合もあります。

MSS値:1350

設定

インターフェイス、静的ルート、セキュリティ ゾーン、アドレス ブックの情報の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

インターフェイス、静的ルート、セキュリティゾーン、アドレス ブックの情報を設定するには、次の手順に従います。

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルートの情報を設定します。

  3. untrustセキュリティ ゾーンを設定します。

  4. セキュリティ ゾーンにインターフェイスを割り当てます。

  5. セキュリティ ゾーンで許可されたシステム サービスを指定します。

  6. trustセキュリティ ゾーンを設定します。

  7. trustセキュリティ ゾーンにインターフェイスを割り当てます。

  8. trustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  9. trustセキュリティ ゾーンのアドレス帳エントリーを設定します。

  10. vpn-chicagoセキュリティ ゾーンを設定します。

  11. セキュリティ ゾーンにインターフェイスを割り当てます。

  12. vpn-chicagoゾーンのアドレス帳エントリを設定します。

結果

コンフィギュレーションモードから、show interfacesshow routing-options、、およびの各コマshow security zonesンドを入力し、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

IKEの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEフェーズ1のプロポーザルを作成します。

  2. IKEプロポーザルの認証方法を定義します。

  3. IKEプロポーザルのDiffie-hellmanグループを定義します。

  4. IKEプロポーザルの認証アルゴリズムを定義します。

  5. IKEプロポーザルの暗号化アルゴリズムを定義します。

  6. IKEポリシー1のポリシーを作成します。

  7. IKEプロポーザルへのリファレンスを指定します。

  8. IKEフェーズ1ポリシー認認証方法を定義します。

  9. IKE フェーズ 1 ゲートウェイを作成し、その外部インターフェイスを定義します。

  10. IKEフェーズ1のポリシーリファレンスを定義します。

  11. IKEフェーズ1のゲートウェイアドレスを定義します。

  12. IKEフェーズ1のゲートウェイバージョンを定義します。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

IPsecの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsecフェーズ2のプロポーザルを作成します。

  2. IPsecフェーズ2のプロポーザルプロトコルを指定します。

  3. IPsecフェーズ2のプロポーザル認証アルゴリズムを指定します。

  4. IPsecフェーズ2のプロポーザルの暗号化アルゴリズムを指定します。

  5. IPsecフェーズ2のポリシーを作成します。

  6. IPsecフェーズ2のプロポーザルリファレンスを指定します。

  7. IPsecフェーズ2のPFSがDiffie-Hellman group 2を使用するよう指定します。

  8. IKEゲートウェイを指定します。

  9. IPsecフェーズ2ポリシーを指定します。

  10. バインドするインターフェイスを指定します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

セキュリティ ポリシーの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

セキュリティ ポリシーを設定するには、次の手順に従います。

  1. trustゾーンからvpn-chicagoゾーンへのトラフィックを許可するセキュリティポリシーを作成します。

  2. vpn-chicago ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

TCP-MSSの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

TCP-MSS情報を設定するには、次の手順に従います。

  1. TCP-MSS情報を設定します。

結果

設定モードから、show security flowコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SSGシリーズ デバイスの設定

CLIクイック構成

参照用に、SSGシリーズ デバイスの設定が提供されています。SSGシリConcepts & Examples ScreenOS Reference Guideーズデバイスの構成については、https://www.juniper.net/documentationにあるをご参照ください。

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IKEフェーズ1のステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

検証プロセスを開始する前に、192.168.10/24ネットワーク内のホストから192.168.168/24ネットワーク内のホストにトラフィックを送信する必要があります。ルートベースVPNでは、SRXシリーズデバイスからトンネルを通してトラフィックを開始できます。IPsecトンネルをテストする場合は、VPNの片側にあるデバイスからVPNの別の側にある第2デバイスにテスト トラフィックを送信することをお勧めします。例えば、192.168.10.10から192.168.168.10へとpingを開始します。

動作モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。

意味

show security ike security-associationsコマンドは、すべてのアクティブなIKEフェーズ1のSAを一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、各IKE SAに固有のもので、show security ike security-associations index detail コマンドで使用すると、SAの詳細な情報を得ることができます。

  • Remote Address - リモート IP アドレスが正しいかどうかを確認します。

  • State

    • UP - フェーズ1のSAが確立されました。

    • DOWN - フェーズ1のSAの確立に問題がありました。

  • Mode:正しいモードが使用されていることを確認してください。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスである必要があります)。

  • IKE ポリシー パラメータ

  • 事前共有鍵情報

  • フェーズ1のプロポーザルパラメーター(両ピアで一致する必要があります)。

show security ike security-associations index 1 detail コマンドは、インデックス番号 1 の SA に関する追加情報を一覧表示します。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

IPsecフェーズ2のステータスの確認

目的

IPsec フェーズ 2 のステータスを確認します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • ID番号は16384です。この値をshow security ipsec security-associations indexコマンドと併用して、この特定のSAに関する詳細情報を取得します。

  • ポート500を使用する1つのIPsec SAペアがあります。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3363/unlim値は、フェーズ2のライフタイムが3363秒で終了すること、ライフサイズが指定されていないことを示しており、無制限であることを示しています。フェーズ2のライフタイムは フェーズ1のライフタイムと異なる場合があります。これはVPNが起動した後にフェーズ2はフェーズ1に依存しなくなるからです。

  • vsysはルート システムであり、常に0として表示されます。

  • IKEv2 はバージョン 2 ピアからの接続を許可し、バージョン 2 のネゴシエーションを開始します。

show security ipsec security-associations index 16384 detailコマンドからの出力には、次の情報が表示されます。

  • ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。

    プロキシIDの不一致は、フェーズ2の失敗で最もよくある原因の1つです。IPsec SAがリストにない場合、プロキシID設定を含むフェーズ2のプロポーザルが両方のピアで正しいことを確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。

  • フェーズ2の失敗でよくある理由のもう1つに、STインターフェイスのバインディングが指定されていないことがあります。IPsecを完了できない場合は、kmdログを確認するか、トレース オプションを設定します。

IPsecセキュリティ アソシエーションの統計情報とエラーの確認

目的

IPsec SAのESPおよび認証ヘッダーのカウンターとエラーを確認します。

アクション

動作モードから、統計情報を表示するVPNのインデックス番号を使用してshow security ipsec statistics index index_numberコマンドを入力します。

show security ipsec statisticsコマンドを使用して、すべてのSAの統計情報とエラーを確認することもできます。

すべてのIPsec統計情報を消去するには、clear security ipsec statisticsコマンドを使用します。

意味

VPN全体でパケット損失の問題が発生した場合、show security ipsec statisticsまたはshow security ipsec statistics detailのコマンドを数回実行して、暗号化および復号化されたパケット カウンターが増加していることを確認できます。また、他のエラー カウンターが増加していることも確認する必要があります。

VPN全体におけるトラフィック フローのテスト

目的

VPN全体で、トラフィックフローを検証します。

アクション

SRXシリーズファイアウォールからpingコマンドを使用して、リモートホストPCへのトラフィックフローをテストできます。ルート ルックアップが正しく実行され、ポリシー ルックアップで適切なセキュリティ ゾーンが参照されるように、ソース インターフェイスを指定してください。

動作モードからpingコマンドを入力します。

SSGシリーズ デバイスから、pingコマンドを使用することもできます。

意味

SRXシリーズまたはSSGシリーズ デバイスからのpingコマンドが失敗した場合は、ルーティング、セキュリティ ポリシー、エンド ホスト、ESPパケットの暗号化または復号化に問題がある可能性があります。

例:IKEv2 設定ペイロードを使用した Pico セル プロビジョニングのための SRX シリーズの設定

多数のデバイスが展開されるネットワークでは、ネットワークの管理をシンプルにする必要があります。IKEv2 構成ペイロード機能は、デバイス構成または SRX シリーズ構成に触れることなく、これらのデバイスのプロビジョニングをサポートします。この例では、IKEv2 設定ペイロード機能を使用して、ピコ セル プロビジョニングをサポートするよう SRX シリーズを設定する方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • シャーシクラスター内に設定されている2台のSRXシリーズファイアウォール

  • 中間ルーターとして設定された1台のSRXシリーズファイアウォール

  • 2つのピコセルクライアント

  • ピコ セル クライアント プロビジョニング情報が設定された RADIUS サーバー 1 台

  • Junos OSリリース12.1X46-D10またはそれ以降(IKEv2 構成ペイロードのサポート用)

概要

この例では、SRXシリーズはIKEv2構成ペイロード機能を使用して、プロビジョニング情報を一連のピコセルに伝送します。ピコセルはSRXシリーズに接続できる標準構成で出荷されますが、ピコセルのプロビジョニング情報は外部のRADIUSサーバーに保存されます。pico セルは、保護されたネットワーク内のプロビジョニング サーバーとのセキュアな接続を確立した後、完全なプロビジョニング情報を受信します。 IKEv2 構成ペイロードは、IPv4 と IPV6 の両方でサポートされます。この例では、IPv4 の IKEv2 設定ペイロードについて説明しますが、IPv6 アドレスを使用して設定することもできます。

Junos OS リリース 20.3R1 以降、iked プロセスを実行している SRX5000 回線に IPv6 アドレスを割り当てるための IKEv2 IPv6 構成ペイロードがサポートされています 。Junos OSリリース21.1R1以降のikedプロセスを実行する vSRX仮想ファイアウォール にも同じサポートが含まれています。

図 1 は、SRXシリーズがIKEv2設定ペイロード機能を使用してピコセルプロビジョニングをサポートするトポロジーを示しています。

図 1: IKEv2 設定ペイロードを使用した Pico セル プロビジョニングに対する SRX シリーズのサポートIKEv2 設定ペイロードを使用した Pico セル プロビジョニングに対する SRX シリーズのサポート

このトポロジーの各ピコセルは、2つのIPsec VPNを開始します。1つは管理用、もう1つはデータ用です。この例では、管理トラフィックは OAM トンネルというラベルの付いたトンネルを使用し、データ トラフィックは 3GPP トンネルというラベルの付いたトンネルを通過します。各トンネルは、個別の設定可能なネットワーク上のOAMおよび3GPPプロビジョニングサーバーとの接続をサポートし、個別のルーティングインスタンスとVPNを必要とします。この例では、OAMおよび3GPP VPNを確立するためのIKEフェーズ1およびフェーズ2オプションを提供しています。

この例では、SRXシリーズはIKEv2構成ペイロードサーバーとして機能し、RADIUSサーバーからプロビジョニング情報を取得して、その情報をピコセルクライアントに提供します。SRX シリーズは、トンネルネゴシエーション中に、IKEv2 構成ペイロード内の各許可済みクライアントのプロビジョニング情報を返します。SRXシリーズをクライアントデバイスとして使用することはできません。

さらに、SRX シリーズは、IKEv2 構成ペイロード情報を使用して、トンネルのネゴシエーション中にクライアントと交換されるトラフィック セレクター イニシエータ(TSi)およびトラフィック セレクター レスポンダ(TSr)値を更新します。構成ペイロードは、[edit security ipsec vpn vpn-name ike] 階層レベルの proxy-identity ステートメントを使用して SRX シリーズで構成された TSi および TSr 値を使用します。TSi 値と TSr 値は、各 VPN のネットワーク トラフィックを定義します。

中間ルーターは、ピコセルのトラフィックをSRXシリーズの適切なインターフェイスにルーティングします。

次のプロセスでは、接続シーケンスについて説明します。

  1. ピコセルは、工場出荷時の設定を使用してSRXシリーズとのIPsecトンネルを開始します。

  2. SRXシリーズは、クライアント証明書情報と、SRXシリーズに登録されているCAのルート証明書を使用して、クライアントを認証します。認証後、SRXシリーズは認証要求でクライアント証明書からRADIUSサーバーにIKE ID情報を渡します。

  3. クライアントを認証すると、RADIUSサーバーはクライアントのプロビジョニング情報でSRXシリーズに応答します。

    • IPアドレス(TSi値)

    • IP サブネット マスク (オプション、デフォルトは 32 ビット)

    • DNS アドレス (オプション)

  4. SRX シリーズは、クライアント接続ごとに IKEv2 構成ペイロード内のプロビジョニング情報を返し、最終的な TSi および TSr 値をピコ セルと交換します。この例では、SRX シリーズは各 VPN について以下の TSi および TSr 情報を提供します。

    VPN 接続

    SRXによって提供されるTSi/TSr値

    ピコ 1 OAM

    TSi: 10.12.1.201/32、TSr: 192.168.2.0/24

    ピコ1 3GPP

    TSi: 10.13.1.201/32、TSr: 192.168.3.0/24、TSr: 10.13.0.0/16

    ピコ 2 OAM

    TSi: 10.12.1.205/32、TSr: 192.168.2.0/24

    ピコ 2 3GPP

    TSi: 10.13.1.205/32、TSr: 192.168.3.0/24, TSr: 10.13.0.0/16

    RADIUSサーバーから提供されるプロビジョニング情報にサブネットマスクが含まれている場合、SRXシリーズはIPサブネットを含むクライアント接続の2番目のTSr値を返します。これにより、そのサブネット上のデバイスのピア内通信が可能になります。この例では、3GPP VPN(13.13.0.0/16)に関連付けられたサブネットに対してピア内通信が有効になっています。

    IKEv2 設定ペイロード機能は、 ポイントツーマルチポイント セキュア トンネル(st0)インターフェイスとポイントツーポイント インターフェイスの両方でサポートされます。ポイントツーマルチポイントインターフェイスの場合、インターフェイスには番号が付けられ、設定ペイロードで提供されるアドレスは、関連するポイントツーマルチポイントインターフェイスのサブネットワーク範囲内である必要があります。

    Junos OSリリース20.1R1以降、IKEDを実行しているSRX5000回線上のポイントツーポイントインターフェイス および vSRX仮想ファイアウォール を使用したIKEv2設定ペイロード機能がサポートされています。

表 7 は、SRXシリーズで設定されているフェーズ1とフェーズ2のオプションを示しており、OAMと3GPPの両方のトンネルを確立するための情報も含まれています。

表 7: SRXシリーズのフェーズ1およびフェーズ2オプション

オプション

IKEプロポーザル:

プロポーザル名

IKE_PROP

認証方法

RSA デジタル証明書

Diffie-Hellman(DH)グループ

group5

認証アルゴリズム

SHA-1

暗号化アルゴリズム

AES 256 CBC

IKEポリシー:

IKE ポリシー名

IKE_POL

ローカル証明書

Example_SRX

IKEゲートウェイ(OAM):

IKEポリシー

IKE_POL

リモート IP アドレス

動的

IKE ユーザー タイプ

グループIKEID

ローカルIKE ID

ホスト名 srx_series.example.net

リモート IKE ID

ホスト名 .pico_cell.net

外部インターフェイス

reth0.0

アクセスプロファイル

radius_pico

IKE バージョン

v2 のみ

IKEゲートウェイ(3GPP):

IKEポリシー

IKE_POL

リモート IP アドレス

動的

IKE ユーザー タイプ

グループIKEID

ローカルIKE ID

識別名ワイルドカード OU=srx_series

リモート IKE ID

識別名ワイルドカード OU=pico_cell

外部インターフェイス

レス1

アクセスプロファイル

radius_pico

IKE バージョン

v2 のみ

IPsecプロポーザル:

プロポーザル名

IPSEC_PROP

プロトコル

ESP

認証アルゴリズム

HMAC SHA-1 96

暗号化アルゴリズム

AES 256 CBC

IPsecポリシー:

ポリシー名

IPSEC_POL

完全転送機密保持(PFS)キー

グループ5

IPsecプロポーザル

IPSEC_PROP

IPsec VPN(OAM):

バインド インターフェイス

st0.0

IKE ゲートウェイ

OAM_GW

ローカル プロキシ ID

192.168.2.0/24

リモート プロキシ ID

0.0.0.0/0

IPsecポリシー

IPSEC_POL

IPsec VPN(3GPP):

バインド インターフェイス

st0.1

IKE ゲートウェイ

3GPP_GW

ローカル プロキシ ID

192.168.3.0/24

リモート プロキシ ID

0.0.0.0/0

IPsecポリシー

IPSEC_POL

証明書はピコセルとSRXシリーズに保存されます。

この例では、すべてのトラフィックを許可するデフォルトのセキュリティポリシーがすべてのデバイスで使用されています。実稼働環境では、より制限の厳しいセキュリティポリシーを設定する必要があります。「セキュリティポリシーの概要」を参照してください。

設定

SRX シリーズの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

SRX シリーズを設定するには、次の手順に従います。

  1. シャーシ クラスタを設定します。

  2. インターフェイスを設定します。

  3. ルーティングオプションを設定します。

  4. セキュリティ ゾーンを指定します。

  5. RADIUS プロファイルを作成します。

  6. フェーズ1のオプションを設定します。

  7. フェーズ2のオプションを指定します。

  8. ルーティングインスタンスを指定します。

  9. サイト間のトラフィックを許可するセキュリティ ポリシーを指定します。

結果

設定モードから、 show chassis clustershow interfacesshow security zonesshow access profile radius_picoshow security ikeshow security ipsecshow routing-instances、および show security policies コマンドを入力して、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

中間ルーターの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、設定モードでのCLIエディターの使用を参照してください。

中間ルーターを設定するには、次の手順に従います。

  1. インターフェイスを設定します。

  2. ルーティングオプションを設定します。

  3. セキュリティ ゾーンを指定します。

  4. セキュリティ ポリシーを指定します。

結果

設定モードから、show interfacesshow routing-optionsshow security zones、およびshow security policies のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

Picoセルの設定(設定例)

ステップバイステップでの手順

この例のピコセル情報は、参照用に提供されています。詳細なピコ セル設定情報は、このドキュメントの範囲外です。ピコセルの工場出荷時の設定には、次の情報が含まれている必要があります。

  • ローカル証明書(X.509v3)および IKE ID 情報

  • トラフィックセレクター(TSi、TSr)値をany/any(0.0.0.0/0)に設定

  • SRXシリーズIKE ID情報とパブリックIPアドレス

  • SRXシリーズの構成に一致するフェーズ1およびフェーズ2のプロポーザル

この例のピコセルは、IPsecベースのVPN接続にstrongSwanオープンソースソフトウェアを使用しています。この情報は、SRXシリーズがIKEv2設定ペイロード機能を使用したピコセルのプロビジョニングに使用します。多数のデバイスが展開されているネットワークでは、証明書(leftcert)とID(leftid)情報を除いて、ピコセル構成を同一にすることができます。次の構成例は、工場出荷時の設定を示しています。

  1. Pico 1の設定を確認します。

    ピコ1: サンプル設定

  2. Pico 2 の設定を確認します。

    Pico 2 サンプル設定

RADIUSサーバーの設定(FreeRADIUSを使用した設定例)

ステップバイステップでの手順

この例の RADIUS サーバー情報は、参照用に提供されています。完全な RADIUS サーバ設定情報は、このドキュメントの範囲外です。RADIUS サーバーから次の情報が SRX シリーズに返されます。

  • フレーム IP アドレス

  • フレーム IP ネットマスク (オプション)

  • プライマリ DNS とセカンダリ DNS(オプション)

この例では、RADIUS サーバーには、OAM 接続と 3GPP 接続に関する個別のプロビジョニング情報があります。ユーザー名は、SRXシリーズの認証リクエストで提供されるクライアント証明書情報から取得されます。

RADIUSサーバーがDHCPサーバーからクライアントプロビジョニング情報を取得する場合、RADIUSサーバーによってDHCPサーバーに中継されるクライアントID情報は、SRXシリーズファイアウォールによってRADIUSサーバーに中継されるクライアントIKE ID情報と一致している必要があります。これにより、さまざまなプロトコル間でクライアント ID の継続性が保証されます。

SRXシリーズファイアウォールとRADIUSサーバー間の通信チャネルは、RADIUS共有シークレットによって保護されています。

  1. Pico 1 OAM VPNのRADIUS設定を確認します。RADIUS サーバーには、次の情報があります。

    15.1X49-D160、17.3R3、17.4R2、18.1R3、18.2R2、18.3R1、および18.1R3-S2より前のJunos OSリリース12.3X48およびJunos OSリリースでのRADIUS設定例:

    FreeRADIUSの設定例:

    Junos OSリリース15.X49-D161、15.1X49-D170、17.3R3、17.4R2、18.1R3、18.2R2、18.3R1、18.1R3-S2以降のRADIUS設定例:

    FreeRADIUSの設定例:

    この場合、RADIUS サーバーは、ピア内トラフィックをブロックする既定のサブネット マスク (255.255.255.255) を提供します。

  2. Pico 1 3GPP VPNのRADIUS設定を確認します。RADIUS サーバーには、次の情報があります。

    15.1X49-D160、17.3R3、17.4R2、18.1R3、18.2R2、18.3R1、および18.1R3-S2より前のJunos OSリリース12.3X48およびJunos OSリリースでのRADIUS設定例:

    FreeRADIUSの設定例:

    Junos OSリリース15.X49-D161、15.1X49-D170、17.3R3、17.4R2、18.1R3、18.2R2、18.3R1、18.1R3-S2以降のRADIUS設定例:

    FreeRADIUSの設定例:

    この場合、RADIUS サーバーはサブネット マスク値(255.255.0.0)を提供し、ピア内トラフィックを有効にします。

    Junos OS リリース 20.1R1 以降、IKE ゲートウェイ設定の IKEv2 設定ペイロード要求に共通のパスワードを設定できます。1 から 128 文字の範囲の共通パスワードを使用すると、管理者は共通パスワードを定義できます。このパスワードは、SRXシリーズファイアウォールがIKEv2設定ペイロードを使用してリモートIPsecピアに代わってIPアドレスを要求するときに、SRXシリーズファイアウォールとRADIUSサーバーの間で使用されます。RADIUSサーバーは、設定ペイロード要求用のIP情報をSRXシリーズファイアウォールに提供する前に、認証情報を検証します。階層レベルで config-payload-password configured-password 設定ステートメントを使用して共通パスワードを設定できます [edit security ike gateway gateway-name aaa access-profile access-profile-name] 。さらに、この例では、ユーザー名(IKE ID)情報の証明書の異なる部分を使用して、同じクライアント証明書から 2 つのトンネルを作成します。

検証

設定が正常に機能していることを確認します。

SRXシリーズのIKEフェーズ1ステータスの確認

目的

IKEフェーズ1ステータスを確認します。

アクション

ノード0の運用モードからshow security ike security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations detail コマンドを使用します。

意味

show security ike security-associations コマンドは、ピコ セル デバイスを持つすべてのアクティブな IKE フェーズ 1 SA を一覧表示します。SAが表示されない場合は、フェーズ1の確立に問題があったことを示しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。この例では、OAM VPN の IKE フェーズ 1 SA のみを示しています。ただし、3GPP VPNのIKEフェーズ1パラメータを示す別のIKEフェーズ1 SAが表示されます。

SAが表示される場合は、次の情報を確認します。

  • インデックス—この値は、IKE SAごとに一意です。show security ike security-associations index detail コマンドを使用して、SA に関する詳細情報を取得できます。

  • リモートアドレス:ローカルIPアドレスが正しいことと、ポート500がピアツーピア通信に使用されていることを確認します。

  • ロールレスポンダーの状態:

    • UP:フェーズ1 SAが確立されました。

    • Down - フェーズ 1 SA の確立に問題がありました。

  • ピア(リモート)IKE ID - 証明書情報が正しいことを確認します。

  • ローカルIDおよびリモートID:これらのアドレスが正しいことを確認してください。

  • Mode:正しいモードが使用されていることを確認してください。

設定で次の項目が正しいことを確認します。

  • 外部インターフェイス(IKEパケットを送信するインターフェイスである必要があります)

  • IKEポリシー パラメータ

  • フェーズ 1 のプロポーザル パラメーター(ピア間で一致する必要があります)

show security ike security-associations コマンドは、セキュリティー・アソシエーションに関する以下の追加情報をリストします。

  • 使用している認証および暗号化アルゴリズム

  • フェーズ1のライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のフェーズ2ネゴシエーションの数

SRXシリーズのIPsecセキュリティアソシエーションの確認

目的

IPsecステータスを検証します。

アクション

ノード0の運用モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations detailコマンドを使用します。

意味

この例は、Pico 1のアクティブなIKEフェーズ2 SAを示しています。SA が何も表示されない場合は、フェーズ 2 の確立に問題があったことになります。設定でIPsecポリシー パラメータを確認してください。フェーズ 2 SA(OAM および 3GPP)ごとに、インバウンド方向とアウトボード方向の両方で情報が提供されます。show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • リモートゲートウェイのIPアドレスは10.1.1.1です。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3529/ という値は、フェーズ 2 のライフタイムの期限が 3529 秒であり、ライフサイズが指定されていないことを示しており、無制限であることを示しています。フェーズ2のライフタイムは、VPNが起動した後はフェーズ1に依存しないため、フェーズ1のライフタイムと異なる場合があります。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

上記の show security ipsec security-associations index index_id detail コマンドの出力には、次の情報が表示されます。

  • ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。

    プロキシIDの不一致は、フェーズ2の失敗で最もよくある原因の1つです。IPsec SAがリストにない場合、プロキシID設定を含むフェーズ2のプロポーザルが両方のピアで正しいことを確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。

  • 使用される認証および暗号化アルゴリズム。

  • フェーズ 2 のプロポーザル パラメーター(ピア間で一致する必要があります)。

  • OAMおよび3GPPゲートウェイへのトンネル(st0.0およびst0.1)バインディングを保護します。

信頼できる CA を使用した IKE ポリシー

この例では、信頼できる CA サーバをピアの IKE ポリシーにバインドする方法を示します。

開始する前に、ピアの IKE ポリシーに関連付けたいすべての信頼できる CA のリストを用意しておく必要があります。

IKEポリシーは、単一の信頼できるCAプロファイルまたは信頼できるCAグループに関連付けることができます。セキュアな接続を確立するために、IKE ゲートウェイは IKE ポリシーを使用して、証明書の検証中に自身を構成された CA グループ(CA プロファイル)に制限します。信頼できる CA または信頼できる CA グループ以外のソースによって発行された証明書は検証されません。IKE ポリシーからの証明書検証要求がある場合、IKE ポリシーの関連付けられた CA プロファイルが証明書を検証します。IKE ポリシーがどの CA にも関連付けられていない場合、デフォルトでは、証明書は構成された CA プロファイルのいずれかによって検証されます。

この例では、 root-ca という名前の CA プロファイルが作成され、 root-ca-identity がプロファイルに関連付けられます。

信頼できる CA グループに追加する CA プロファイルは最大 20 個まで設定できます。信頼できる CA グループに 20 を超える CA プロファイルを設定した場合、設定をコミットすることはできません。

  1. CA プロファイルを作成し、CA 識別子をプロファイルに関連付けます。
  2. IKEプロポーザルとIKEプロポーザルの認証方法を定義します。
  3. IKEプロポーザルのDiffie-Hellmanグループ、認証アルゴリズム、暗号化アルゴリズムを定義します。
  4. IKEポリシーを設定し、そのポリシーをIKEプロポーザルに関連付けます。
  5. IKEポリシーのローカル証明書識別子を設定します。
  6. IKEポリシーに使用するCAを定義します。

デバイスで構成されている CA プロファイルと信頼された CA グループを表示するには、 show security pki コマンドを実行します。

show security ike コマンドは、ike_policy という名前の IKE ポリシーの下に CA プロファイル グループと、IKE ポリシーに関連付けられた証明書を表示します。