VPN トンネル インタフェース

仮想トンネル インタフェース(VTI)はルートベースの VPN トンネルを確立するのに使用される仮想インタフェースです。各ピア セキュリティ ゲートウェイには、VPN トンネルに接続する VTI が 1 つあります。

VPNトンネルとそのプロパティは、2台のゲートウェイが含まれるVPNコミュニティで定義します。

VTIを作成するには、VPNコミュニティとそのメンバとなるセキュリティ ゲートウェイを事前に定義しておく必要があります。

ルートベースVPNの詳細については、以下を参照してください。R81.20 Site to Site VPN Administration Guide> 章ルートベースVPN

- Gaiaの VPN トンネルインタフェースの名前は "vpnt<VPN Tunnel ID>"です。たとえば、VPN トンネル ID が 5 の VPN トンネル インタフェースの名前は "vpnt5"です。

手順:

  1. Security Gateway を作成し、設定します。

  2. 該当するセキュリティゲートウェイのオブジェクトでIPsec VPN Software Bladeを有効にする。

  3. SmartConsoleで、2つのピアセキュリティゲートウェイを含むVPNコミュニティを設定します。

    VPN トンネル インタフェースを設定する前に、VPN コミュニティを設定し、メンバのセキュリティ ゲートウェイを追加する必要があります。このセクションでは、サイト間 VPN コミュニティを定義するための基本的な手順について説明します。VPNコミュニティとその定義手順の詳細については、以下を参照してください。R81.20 Site to Site VPN Administration Guide

    ステップ

    手順

    1

    SmartConsoleで管理サーバに接続します。

    2

    左側のナビゲーションパネルでSecurity Policiesをクリックします。

    3

    Access Toolsセクションで、VPN Communitiesをクリックします。

    4

    上部のツールバーからNew () をクリック >Star Community またはMeshed Community を選択 .

    5

    VPN コミュニティを設定します。

    1. VPN コミュニティ名を入力します。

    2. 左側のツリーから、Gateways をクリックします。

      該当するセキュリティゲートウェイを選択します。

    3. 左側のツリーから、Encrypted Traffic をクリックします。

      Accept all encrypted trafficを選択します。

      これにより、VPNコミュニティ内のセキュリティゲートウェイ間のすべてのトラフィックを暗号化するルールが自動的に追加されます。

    4. 必要に応じて、その他の設定を行います。

    6

    SmartConsoleセッションを公開する。

  4. ルートベースのVPNをデフォルトオプションにします。

    この手順は、それぞれに 1 回ずつ実行します。

    ドメインベースのVPNとルートベースのVPNがセキュリティゲートウェイ用に設定されている場合、ドメインベースのVPNはデフォルトでアクティブになります。ルート ベース VPN が常にアクティブであることを確認するために 2 つの短いプロシージャを実行する必要があります。

    最初の手順では、VPN ピア セキュリティ ゲートウェイの空の暗号化ドメイン グループを設定します。この手順を各 Security Management サーバに対して 1 回行います。2 番目のステップは、ルート ベース VPN をすべてのセキュリティ ゲートウェイのデフォルト オプションにすることです。

    ステップ

    手順

    1

    SmartConsoleで、Objectsメニュー > More object types > Network Object > Group > New Network Groupをクリックします。

    2

    グループ名を入力します。

    3

    このグループにメンバを追加しないでください。

    4

    クリックOK

    これらのステップは、セキュリティゲートウェイごとに実行します。

    ステップ

    手順

    1

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    2

    該当するSecurity Gatewayオブジェクトを開きます。

    3

    左側のツリーから、Network Management > VPN Domain をクリックします。

    4

    Manually defineを選択して前に作成したGroupオブジェクトを選択します。

    5

    アクセスコントロールポリシーをインストールします。

  5. VTI を設定します。

    VPN トンネル インタフェース(VTI)は Gaia Portal または Gaia Clish で設定できます。

    重要 -Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。

    ステップ

    手順

    1

    Gaia Portalで、Network Management > Network Interfacesを選択します。

    2

    Add >VPN Tunnel をクリックします。

    既存の VTI インタフェースを設定するには、VTI インタフェースを選択して をクリックします Edit

    3

    Add/Editこのウィンドウで、次のパラメータを設定します。

    • VPN Tunnel ID- 一意のトンネル名(1~99の整数)。

      Gaia はトンネル ID に接頭辞 "vpnt"を自動的に追加します (例: vnpt10)。

    • Remote Peer Name- VPNコミュニティでリモートピア名に設定されている英数字文字列。

      VTI を設定する前に、VPN コミュニティ内の 2 つのピアを設定する必要があります。

    • VPN Tunnel Type- 該当するタイプを選択します:

      • Numbered- ローカルおよびリモートの接続に、指定された静的IPv4アドレスを使用する。

      • Unnumbered- インタフェースとリモートピア名を使用してIPv4アドレスを取得する。

    • Local Address- ローカルピアのIPv4アドレスを設定します。番号付き VTI にのみ適用されます。

    • Remote Address- リモートピアの IPv4 アドレスを設定します。番号付き VTI にのみ適用されます。

    • Physical Device- ローカル・ピア・インタフェース名。番号なし VTI にのみ適用されます。

    重要 -Scalable Platforms (MaestroおよびChassis)では、該当するセキュリティグループの Gaia gCLish で該当するコマンドを実行する必要があります。

    • VPNトンネル インタフェース(VTI)を追加するには:

      add vpn tunnel <Tunnel ID>
            type
                  numbered local <Local IP address> remote <Remote IP address> peer <Peer Name>
                  unnumbered peer <Peer Name> dev <Name of Local Interface>

    • 特定のVPN トンネル インタフェース(VTI)の設定を見るために:

      show vpn tunnel <Tunnel ID>

    • すべての設定される VPN トンネル インタフェース(VTI)を表示するために:

      show vpn tunnels

    • VPN トンネルインタフェース(VTI)を削除するには:

      delete vpn tunnel <Tunnel ID>

    重要 -機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

    パラメータ

    説明

    <Tunnel ID>

    一意のトンネル ID (1 ~ 99の整数) を設定します。

    Gaiaは自動的にトンネルIDに接頭辞「vpnt'」を追加します。

    例:vnpt10

    type numbered

    ローカル接続とリモート接続に静的 IPv4 アドレスを使用する番号付き VTI を設定します。

    type unnumbered

    インタフェースとリモートピア名を使用して IPv4 アドレスを取得する番号なしVTI を構成します。

    local <Local IP address>

    VPN トンネル IPv4 アドレスを、このセキュリティゲートウェイまたはクラスタメンバで小数点付き 10 進数形式で設定します。

    番号付き VTI にのみ適用されます。

    remote <Remote IP address>

    VPN ピアの VPN トンネル IPv4 アドレスをドット付き 10 進数形式で設定します。

    番号付き VTI にのみ適用されます。

    peer <Peer Name

    SmartConsole の VPN コミュニティで設定されているリモートピアオブジェクトの名前を指定します。

    dev <Name of Local Interface>

    このセキュリティゲートウェイまたはクラスタメンバ上のローカルインタフェースの名前を指定します。

    新しい VTI はこのローカルインタフェースにバウンドされます。

    番号なし VTI にのみ適用されます。

    gaia> add vpn tunnel 20 type numbered local 10.10.10.1 remote 20.20.20.1 peer MyPeer1

    gaia>

    gaia> add vpn tunnel 10 type unnumbered peer MyPeer2 dev eth1

    gaia>

    gaia> show vpn tunnels

      Interface: vpnt20

            Local IP: 10.10.10.1

            Peer Name: MyPeer1

            Remote IP: 20.20.20.1

            Interface type: numbered

      Interface: vpnt10

            Physical device: eth1

            Peer Name: MyPeer2

            Interface type: unnumbered

    gaia>

    gaia> show vpn tunnel 20

    Interface: vpnt20

    Local IP: 10.10.10.1

    Peer Name: MyPeer1

    Remote IP: 20.20.20.1

    Interface type: numbered

    gaia>

    gaia> delete vpn tunnel 20

  6. ルートベースの VPN ルールを設定します。

    セキュリティ ルールがルート ベースの VPN トラフィックで正しく機能するようにするには、方向マッチング条件を追加し、OSPF トラフィックを許可する必要があります。

    このセクションでは、方向性マッチングルールを定義する手順について説明します。

    ルート ベースVPN では、VPN コミュニティがルールの VPN 列に含まれている場合、方向性マッチングが必要です。

    これは、双方向マッチングがない場合、ルールはコミュニティと暗号化ドメイン間の接続にのみ適用されるためです (ドメインベースのルーティング)。

    名前

    発信元

    宛先

    VPN

    サービス

    アクション

    VPN トンネル

    Any

    Any

    MyIntranet

    Any

    Accept

    方向性ルールには、次の方向性マッチング条件が含まれている必要があります。

    • Community > Community

    • Community > Internal_Clear

    • Internal_Clear > Community

    名前

    発信元

    宛先

    VPN

    サービス

    アクション

    VPN トンネル

    Any

    Any

    MyIntranet > MyIntranet

    MyIntranet > Internal_Clear

    Internal_Clear > MyIntranet

    Any

    Accept

    注:

    • MyIntranetはVPNコミュニティの名前です。

    • Internal_Clearは、指定されたVPNコミュニティを発着するIPアドレスからのすべてのトラフィックを指します。

    • VPN 列に値 Anyが含まれている場合、双方向マッチングルールを設定する必要はありません。

    ステップ

    手順

    1

    SmartConsoleで、Menu > Global properties > VPNを展開してAdvancedをクリックします。

    2

    Enable VPN Directional Match in VPN Columnオプションを選択し、OKをクリックします。

    3

    左側のナビゲーションパネルでGateways & Serversをクリックします。

    4

    VPN メンバ ゲートウェイごとに、次の操作を行います。

    1. Security Gatewayオブジェクトを右クリックします。

    2. 左側のツリーから、Network Management をクリックします。

    3. Get Interfaces >Get Interfaces with Topology をクリックします。

      これにより、新しく設定された VTI が含まれるようにトポロジが更新されます。

    4. クリックAccept

    5. クリックOK

    ステップ

    手順

    1

    左側のナビゲーションパネルでSecurity Policiesをクリックします。

    2

    Access Control >Policy をクリックします。

    3

    該当するルールのVPNセルを右クリックし、Directional Match Conditionを選択します。

    4

    New Directional Match Conditionウィンドウで、発信元 (Traffic reaching from) と宛先 (Traffic leaving to) を選択します。

    5

    クリックOK

    6

    一致する条件のセットごとに手順 3-5 を繰り返します。

    7

    SmartConsoleセッションを公開する。

    ルートベースVPNの利点の1つは、動的ルーティングプロトコルを使用してセキュリティゲートウェイ間でルーティング情報を配布できることです。

    OSPF (Open Shortest Path First) プロトコルは、VTI で一般的に使用されます。

    OSPFの設定についてはR81.20 Gaia Advanced Routing Administration Guide

    ステップ

    手順

    1

    Gaia PortalまたはGaia Clishで、OSPF 設定ページに該当する VPN トンネルインタフェースを追加します。

    2

    SmartConsole で、OSPF サービスを使用する VPN コミュニティ (またはすべてのコミュニティ) へのトラフィックを許可するアクセスコントロールルールを追加します。

    名前

    発信元

    宛先

    VPN

    サービス

    アクション

    VPN コミュニティに OSPF を許可する

    Any

    Any

    MyIntranet

    ospf

    Accept

  7. ポリシーをインストールしてテストします。

    VPN が完全に機能する前に、設定をデータベースに保存し、セキュリティゲートウェイにポリシーをインストールする必要があります。

    ステップ

    手順

    1

    SmartConsoleセッションを公開する。

    2

    このSecurity Gatewayオブジェクトにアクセスコントロールポリシーをインストールします。

    3

    トラフィックが VTI トンネルを正しく通過することを確認します。