|
◆ SRX - IPsec-VPNの接続形態
SRXにおけるIPsec-VPN接続は、「LAN間接続とリモートユーザ接続」の大きく2パターンがあります。
リモートユーザ接続では、SRXの場合は「Dynamic VPN Client」という機能を使用します。これにより
クライアントPCには事前にVPNソフトウェアをインストールすることなく、IPsec-VPN接続を行えます。
LAN間接続には以下の2種類のモードがあります。Juniper SSGと同じ考え方です。
| IKE Phase1 - 2つのモード |
説明 |
| メインモード |
両方のトンネルピアに静的IPアドレスがある場合に使用するモード。一般的なモード。 |
| アグレッシブモード |
トンネルピアの片側に動的に割り当てられたIPアドレスがある場合に使用するモード。
|
LAN間接続には以下の2種類の設定方法があります。Juniper SSGと同じ考え方です。
| 2つの設定方法 |
説明 |
| ルートベースVPN |
ルーティングにマッチした全てのトラフィックをVPNトンネリングする設定方法 |
| ポリシーベースVPN |
ポリシーにマッチしたトラフィックのみをVPNトンネリングする設定方法
|
◆ IPsec-VPNの基礎
IPsecのIKEはフェーズ1とフェーズ2の2段階で形成します。IKEフェーズ1で双方向の1本のISAKMP SAが
生成されます。次のIKEフェーズ2では片方向ずつ1本(計2本)のIPsec SAが生成されます。解説図は以下。
IKEのネゴシエーションの開始側はInitiatorと呼び、応答側はResponderと呼びます。
◆ SRX - IPsec-VPNの設定手順
LAN間接続のIPsecVPNは以下のステップで設定を行います。
1. IKEフェーズ1の設定
⇒ プロポーザルの設定、ポリシーの設定、ゲートウェイの設定
2. IKEフェーズの設定
⇒ プロポーザルの設定、ポリシーの設定、VPNの設定
次に、ルートベースVPNの設定またはポリシーベースVPNの設定を行います。
|
3. ルートベースVPNの設定
⇒ トンネルインターフェースの作成
⇒ ゾーンの割り当て
⇒ ルーティングの設定
⇒ VPNへのバインディング
4. ポリシーベースVPNの設定
⇒ トンネリングポリシーの作成を行います。
IKEのエンドポイントは、net.0 ルーティングに属します。
|
|
ちなみに現在の最新バージョンではNAT-TraversalやxAuth initiator機能はSRXでサポートされています。
|