Transcript Netscreen（VPN編）

ファイアウォール 基礎教育
（3日目）
1
Agenda（3日目）
• VPNの概要
• VPNの設定（LAN間接続）
• 設定練習
2
VPNの種類
• LAN間接続
インターネット
• リモートユーザー接続
インターネット
NetScreen Remote Clientや
MicrosoftのネイティブなIPsec Client
の設定が別途必要
3
例）
192.168.1.0/24⇔192.168.2.0/24間を
VPNトンネルを張った場合
192.168.1.0/24
1.0.0.0/24
192.168.3.0/24宛て
の通信はそのまま
2.0.0.0/24
192.168.2.0/24
192.168.2.0/24宛て
の通信は暗号化
192.168.3.0/24
4
VPNの設定の種類
• ルートベース
設定したルーティングにマッチする全トラ
フィックをトンネリング
• ポリシーベース
設定したポリシーにマッチするトラフィックを
トンネリング
5
VPNの設定（ネットワーク構成図）
192.168.1.0/24
1.0.0.0/24
192.168.2.0/24
192.168.1.10
192.168.1.1
192.168.2.10
1.0.0.1
1.0.0.2
192.168.2.1
192.168.1.0/24から192.168.2.0/24への通信をUntrust
間で確立したVPNトンネルを経由して流すように設定します。
6
VPNの設定（ルートベース）
Wizards>Route-based VPN を選択
7
VPNの設定（ルートベース）
① Trustを選択
② Untrustを選択
③ 「Next＞＞」ボタンをクリック
8
VPNの設定（ルートベース）
① トンネルインターフェース作成を選択
② 「untrust(trust-vr)」を選択
③ 「Next＞＞」ボタンをクリック
9
VPNの設定（ルートベース）
① LAN-to-LAN を選択
② 「Next＞＞」ボタンをクリック
10
VPNの設定（ルートベース）
① スタティックIPを選択
② 「Next＞＞」ボタンをクリック
11
VPNの設定（ルートベース）
① 対抗機器のUntrust側のIPアドレスを入力
② 「Next＞＞」ボタンをクリック
12
VPNの設定（ルートベース）
① Standard を選択
② 対抗機器と同じ文字列を入力
（事前共有鍵の設定）
③ 「Next＞＞」ボタンをクリック
13
VPNの設定（ルートベース）
① ローカルのセグメントを入力
② 対抗のセグメントを入力
③ 「Next＞＞」ボタンをクリック
14
VPNの設定（ルートベース）
① VPNを利用したいサービスを選択
全てのサービスの場合は「ANY」を選択
② ポリシーの方向を選択
両方向の場合は「Both direction」を選択
③ 「Next＞＞」ボタンをクリック
15
VPNの設定（ルートベース）
① ログを収集したい時に選択
② トラフィックカウンターを選択した時に選択
③ 「Next＞＞」ボタンをクリック
16
VPNの設定（ルートベース）
「Next＞＞」ボタンをクリック
17
VPNの設定（ルートベース）
「Next＞＞」ボタンをクリック
18
VPNの設定（ルートベース）
「Finish」ボタンをクリック
19
VPNの確認方法（ルートベース）
② 通信が発生するとトンネルが張られ、SA
Status が「Inactive」から「Active」へ変化
① VPNs>Monitor Status を選択
20
VPNの切断方法（ルートベース）
① コマンドラインから「get sa」 を入力
② SA ID を確認
③ clear sa “SA ID” を入力
④ StatusがActiveから
Inactiveへ変化
21
設定練習
Netscreen間でVPNのトンネルを生成せよ！
192.168.2.0/24
1.0.0.0/24
2.0.0.0/24
192.168.2.1
192.168.2.100
192.168.3.0/24
192.168.3.1
2.0.0.1
1.0.0.1
192.168.3.100
2.0.0.2
1.0.0.2
192.168.1.1
192.168.1.0/24
192.168.1.100
22