Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar VPN IPsec baseada em políticas com certificados

Este exemplo mostra como configurar, verificar e solucionar problemas no PKI. Este tópico inclui as seguintes seções:

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Junos OS Release 9.4 ou mais tarde

  • Juniper Networks segurança

Antes de começar:

  • Garanta que a interface interna de LAN do dispositivo da série SRX seja ge-0/0/0 em confiança na zona e tenha uma subnet de IP privada.

  • Certifique-se de que a interface de Internet do dispositivo é ge-0/0/3 na zona desconstrável e tenha um IP público.

  • Garanta que todo o tráfego entre as LANs locais e remotas seja permitido, e que o tráfego possa ser iniciado de ambos os lados.

  • Garanta que o SSG5 tenha sido pré-configurado corretamente e carregado com um certificado local pronto para uso, CA certificado e CRL.

  • Certifique-se de que o dispositivo SSG5 está configurado para usar a FQDN de ssg5.example.net (IKE ID).

  • Garanta que os certificados PKI com chaves de 1024 bits sejam usados para IKE negociações de ambos os lados.

  • Garanta que a CA seja uma rede CA no domínio example.com para ambos os peers de VPN.

Visão geral

Figura 1 mostra a topologia de rede usada neste exemplo para configurar uma VPN IPsec baseada em políticas para permitir que os dados sejam transferidos com segurança entre um escritório corporativo e um escritório remoto.

Figura 1: Diagrama de topologia de redeDiagrama de topologia de rede

A administração PKI é a mesma para VPNs baseadas em políticas e VPNs baseadas em rotas.

Neste exemplo, o tráfego de VPN está chegando na interface ge-0/0/0.0 com o próximo salto de 10.1.1.1. Assim, o tráfego está saindo na interface ge-0/0/3.0. Qualquer política de túnel deve considerar interfaces de entrada e saída.

Opcionalmente, você pode usar um protocolo de roteamento dinâmico, como OSPF (não descrito neste documento). Ao processar o primeiro pacote de uma nova sessão, o dispositivo que executa o Junos OS realiza pela primeira vez uma análise de rota. A rota estática, que também é a rota padrão, determina a zona para o tráfego DE VPN de saída.

Muitos CAs usam nomes de host (por exemplo, FQDN) para especificar vários elementos do PKI. Como o CDP costuma ser especificado usando uma URL contendo uma FQDN, você deve configurar um resolvedor de DNS no dispositivo que executa o Junos OS.

A solicitação do certificado pode ser gerada pelos seguintes métodos:

  • Criando um CA de dados para especificar as configurações CA geração

  • Geração da solicitação de certificado PKCS10

O processo de solicitação de certificado PKCS10 envolve a geração de um par de chaves pública ou privada e, em seguida, a geração da própria solicitação de certificado, usando o par de chaves.

Observe as seguintes informações sobre o perfil CA de segurança:

  • O CA define os atributos de uma autoridade certificador.

  • Cada CA de dados está associado a um CA de dados. Caso um certificado de CA novo ou renovado precise ser carregado sem remover o certificado CA de dados mais antigo, um novo perfil deve ser criado. Esse perfil também pode ser usado para busca on-line do CRL.

  • Pode haver vários desses perfis presentes no sistema criados para diferentes usuários.

Se você especificar um CA de e-mail do administrador para enviar a solicitação do certificado, o sistema compõe um e-mail do arquivo de solicitação de certificado e o encaminha para o endereço de e-mail especificado. A notificação de status do e-mail é enviada ao administrador.

A solicitação de certificado pode ser enviada ao CA por meio de um método fora da banda.

As seguintes opções estão disponíveis para gerar a solicitação de certificado PKCS10:

  • certificate-id — Nome do certificado digital local e o par de chaves pública/privada. Isso garante que o par de chaves apropriado seja usado para a solicitação do certificado e, por fim, para o certificado local.

    A partir da versão 19.1R1 Junos OS, um check commit é adicionado para impedir que o usuário adicione , e espaço em um identificador de certificados ao mesmo tempo em que gera um certificado local ou remoto ou um par de ./% chaves.

  • subject — Formato de nome distinto que contém nome comum, departamento, nome da empresa, estado e país:

    • CN — Nome comum

    • OU — Departamento

    • O — nome da empresa

    • L — Localização

    • ST — Estado

    • C — País

    • CN — Telefone

    • DC — Componente de domínio

      Você não é obrigado a inserir todos os componentes do nome do assunto. Observe também que você pode inserir vários valores de cada tipo.

  • domain-name — FQDN. A FQDN fornece a identidade do proprietário do certificado para IKE negociações e fornece uma alternativa ao nome do assunto.

  • filename (path | terminal) — (Opcional) Local onde a solicitação do certificado deve ser colocada ou o terminal de login.

  • ip-address — (Opcional) endereço IP do dispositivo.

  • email — (Opcional) endereço de e-mail do CA administrador.

    Você deve usar um nome de domínio, um endereço ip ou um endereço de e-mail.

A solicitação de certificado gerada está armazenada em um local de arquivo especificado. Uma cópia local da solicitação do certificado é salva no armazenamento de certificados local. Se o administrador reeditar esse comando, a solicitação do certificado será gerada novamente.

A solicitação de certificado PKCS10 está armazenada em um arquivo e local especificado, do qual você pode baixá-lo e enviar para o CA para inscrição. Se você não tiver especificado o nome ou o local do arquivo, você pode obter detalhes da solicitação do certificado PKCS10 usando o show security pki certificate-request certificate-id <id-name> comando na CLI. Você pode copiar a saída de comando e colar-a em uma front end da Web para CA servidor ou em um e-mail.

A solicitação de certificado PKCS10 é gerada e armazenada no sistema como uma solicitação de certificado ou certificado pendente. Uma notificação de e-mail é enviada ao administrador da CA (neste exemplo, certadmin@example.com).

Uma identidade única chamada ID de certificado é usada para identificar o par de chaves gerado. Essa ID também é usada na inscrição de certificados e nos comandos de solicitação para obter o par de chaves certos. O par de chaves gerado é salvo na loja de certificados em um arquivo com o mesmo nome do ID do certificado. O tamanho do arquivo pode ser de 1024 ou 2048 bits.

Um perfil padrão (de retorno) pode ser criado caso CAs intermediários não sejam pré-instalados no dispositivo. Os valores de perfil padrão são usados na ausência de um perfil de CA configurada especificamente.

No caso de um CDP, segue-se a seguinte ordem:

  • Por CA perfil

  • CDP integrado em CA certificado

  • Perfil CA padrão

Recomendamos usar um perfil de CA específico em vez de um perfil padrão.

O administrador envia a solicitação de certificado ao CA. O CA verifica a solicitação do certificado e gera um novo certificado para o dispositivo. O administrador do Juniper Networks o recupera, junto com o CA e o CRL.

O processo de recuperação do CA, do novo certificado local do dispositivo e do CRL CA depende da configuração CA e do fornecedor de software em uso.

O Junos OS aceita os seguintes CA fornecedores:

  • Confiar

  • Verisign

  • Microsoft

Embora outros CA de software como o OpenSSL possam ser usados para gerar certificados, esses certificados não são verificados pelo Junos OS.

Configuração

Configuração básica PKI

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário do Junos OS CLI.

Para configurar o PKI:

  1. Configure uma família de endereços IP e protocolo nas interfaces Ethernet Gigabit.

  2. Configure uma rota padrão para a Internet no próximo salto.

  3. De definir a hora e a data do sistema.

    Depois que a configuração for comprometida, verifique as configurações do relógio usando o show system uptime comando.

  4. Dejuste o endereço do servidor NTP.

  5. Definir a configuração de DNS.

Configurando um perfil CA de rede

Procedimento passo a passo

  1. Crie um perfil CA confiável.

  2. Crie uma verificação de revogação para especificar um método de verificação da revogação do certificado.

    Defina o intervalo de atualização, em horas, para especificar a frequência na qual atualizar o CRL. Os valores padrão são o tempo de atualização seguinte em CRL ou 1 semana, se não for especificado um tempo de atualização seguinte.

    Na instrução de configuração, você pode usar a opção para desativar a verificação de revogação ou selecionar a opção de revocation-check configurar os atributos de disable crl CRL. Você pode selecionar a opção de permitir que as sessões correspondentes ao perfil CA, quando o download de CRL falha em um perfil CA disable on-download-failure de dados. As sessões só serão permitidas se nenhum CRL antigo estiver presente no mesmo CA perfil.

  3. Especifique o local (URL) para recuperação do CRL (HTTP ou LDAP). Por padrão, a URL está vazia e usa informações de CDP incorporadas no CA certificado.

    No momento, você pode configurar apenas uma URL. O suporte à configuração de URL de backup não está disponível.

  4. Especifique um endereço de e-mail para enviar a solicitação de certificado diretamente para um CA administrador.

  5. Comprometer a configuração:

Geração de um par de chaves público-privada

Procedimento passo a passo

Quando o CA de dados está configurado, o próximo passo é gerar um par de chaves no Juniper Networks dispositivo. Para gerar o par de chaves pública e privada:

  1. Crie um par de chaves de certificado.

Resultados

Depois que o par de chaves público-privada é gerado, o Juniper Networks exibe o seguinte:

Inscrever um certificado local

Procedimento passo a passo

  1. Gere uma solicitação de certificado digital local no formato PKCS-10. Consulte solicitação de segurança pki gerar-certificado-request.

    Na amostra do certificado PKCS10, a solicitação começa com e inclui a linha BEGIN CERTIFICATE REQUEST e termina com e inclui a linha DE SOLICITAÇÃO DE CERTIFICADO FINAL. Essa porção pode ser copiada e copiada em sua CA para inscrição. Opcionalmente, você também pode descarregar o arquivo ms-cert-req e enviar para seu CA.

  2. Envie a solicitação de certificado ao CA e resgate o certificado.

Carregar CA e certificados locais

Procedimento passo a passo

  1. Carregue o certificado local, CA e CRL.

    Você pode verificar se todos os arquivos foram carregados usando o comando file list .

  2. Carregue o certificado no armazenamento local a partir do arquivo externo especificado.

    Você também deve especificar a ID do certificado para manter o enlace apropriado com o par de chaves privadas ou públicas. Esta etapa transporta o certificado para o armazenamento em cache de RAM do módulo PKI, verifica a chave privada associada e verifica a operação de assinatura.

  3. Carregue o CA de dados do arquivo externo especificado.

    Você deve especificar o perfil CA para associar o CA ao perfil configurado.

  4. Carregue o CRL no armazenamento local.

    O tamanho máximo do CRL é de 5 MB. Você deve especificar o perfil CA associado no comando.

Resultados

Verificar se todos os certificados locais estão carregados.

Você pode exibir os detalhes do certificado individual especificando a ID do certificado na linha de comando.

Verificar todos os CA ou os CA de um perfil CA individuais (especificado).

Verificar todos os CRLs carregados ou as CRLs do perfil CA individual especificado.

Verificar o caminho do certificado para o certificado local e o CA de certificação.

Configurando a VPN IPsec com os certificados

Procedimento passo a passo

Para configurar a VPN IPsec com o certificado, consulte o diagrama de rede mostrado em Figura 1

  1. Configure zonas de segurança e atribua interfaces às zonas.

    Neste exemplo, os pacotes estão chegando, e a zona de entrada ge-0/0/0 é a zona de confiança.

  2. Configure serviços de entrada de host para cada zona.

    Os serviços de entrada de host são para tráfego destinado ao Juniper Networks de segurança. Essas configurações incluem, mas não se limitam ao FTP, HTTP, HTTPS, IKE, ping, rlogin, RSH, SNMP, SSH, Telnet, TFTP e traceroute.

  3. Configure as entradas do livro de endereços para cada zona.

  4. Configure a IKE de uso da criptografia RSA (Fase 1).

  5. Configure uma IKE de segurança.

    A troca da fase 1 pode ocorrer no modo principal ou no modo agressivo.

  6. Configure um IKE gateway.

    Neste exemplo, o peer é identificado por uma FQDN (nome de host). Portanto, a ID IKE gateway deve ser o nome de domínio de peer remoto. Você deve especificar a interface externa ou a ID de peer correta para identificar IKE gateway durante a configuração da Fase 1.

  7. Configure a política IPsec.

    Este exemplo usa o conjunto de propostas padrão, que inclui esp-group2-3des-sha1 e esp-group2- aes128-sha1 propostas. No entanto, uma proposta única pode ser criada e especificada na política IPsec, se necessário.

  8. Configure a VPN IPsec com um gateway IKE e política IPsec.

    Neste exemplo, o nome ike-vpn VPN deve ser referenciado na política de túnel para criar uma associação de segurança. Além disso, se necessário, um tempo inativo e uma ID de proxy podem ser especificados se eles são diferentes dos endereços de política do túnel.

  9. Configure políticas de túnel bidirecional para tráfego de VPN.

    Neste exemplo, o tráfego da LAN host para a LAN de escritórios remotos requer uma política de confiança da zona à zona não confiável. No entanto, se uma sessão precisar se originar da LAN remota para a LAN host, uma política de túnel na direção oposta da confiança não confiável da zona à zona também é necessária. Quando você especifica a política na direção oposta à política de par, a VPN se torna bidirecional. Observe que, além da ação de permissão, você também precisa especificar o perfil IPsec a ser usado. Observe que, para políticas de túnel, a ação sempre é permit. Na verdade, se você estiver configurando uma política com a ação deny, você não verá uma opção para especificar o túnel.

  10. Configure uma regra NAT código fonte e uma política de segurança para o tráfego da Internet.

    O dispositivo usa a interface source-nat especificada e traduz o endereço IP de origem e a porta para tráfego de saída, usando o endereço IP da interface de saída como o endereço IP de origem e uma porta mais alta aleatoriamente para a porta de origem. Se necessário, políticas mais granulares podem ser criadas para permitir ou negar determinado tráfego.

  11. Mova a política de túnel acima da política de permissão para qualquer autorização.

    A política de segurança deve estar abaixo da política de túnel na hierarquia, porque a lista de políticas é lida de cima para baixo. Se essa política estivesse acima da política do túnel, o tráfego sempre combinaria com essa política e não continuaria à próxima política. Assim, nenhum tráfego de usuário seria criptografado.

  12. Configure a configuração tcp-mss para tráfego TCP no túnel.

    O TCP-MSS é negociado como parte do aperto de mão de três vias do TCP. Limita o tamanho máximo de um segmento TCP para acomodar MTU limites em uma rede. Isso é muito importante para o tráfego de VPN, porque a sobrecarga de encapsulamento IPsec, juntamente com a sobrecarga de IP e do quadro, pode fazer com que o pacote ESP resultante exceda a MTU da interface física, causando fragmentação. Como a fragmentação aumenta a largura de banda e o uso dos recursos do dispositivo, em geral ela deve ser evitada.

    O valor recomendado para usar para tcp-mss é de 1350 para a maioria das redes baseadas em Ethernet com uma taxa MTU de 1.500 ou mais. Esse valor pode precisar ser alterado se algum dispositivo no caminho tiver um valor inferior de MTU ou se houver sobrecarga adicionada, como PPP, Frame Relay e assim por diante. Como regra geral, você pode precisar experimentar diferentes valores de tcp-mss para obter o desempenho ideal.

Verificação

Confirmar se a configuração está funcionando corretamente.

Confirmando o status IKE fase 1

Propósito

Confirmar o status da VPN verificando IKE status de associações de segurança da Fase 1.

O PKI relacionado aos túneis IPsec é formado durante a configuração da Fase 1. A conclusão da Fase 1 indica que a PKI foi bem-sucedida.

Ação

Do modo operacional, insira o show security ike security-associations comando.

Significado

A saída indica que:

  • O peer remoto é 10.2.2.2 e o status é UP, o que significa a associação bem-sucedida do estabelecimento da Fase 1.

  • A ID IKE remota, IKE e as interfaces externas estão todas corretas.

  • O Índice 20 é um valor exclusivo para cada IKE de segurança. Você pode usar esses detalhes de saída para obter mais detalhes sobre cada associação de segurança. Veja Receber detalhes sobre associações de segurança individuais .

A saída incorreta indicaria que:

  • O status do peer remoto está em baixo.

  • Não existem IKE de segurança.

  • Existem IKE de política, como o tipo de modo errado (Aggr ou Principal), problemas de PKI ou propostas de Fase 1 (todos devem corresponder a ambos os peers). Para obter mais informações, consulte Problemas de IKE, PKI e IPsec .

  • A interface externa não é válida para o recebimento IKE pacotes. Marque as configurações para problemas relacionados a PKI, marque o log de daemon de gerenciamento principal (kmd) em busca de outros erros ou execute opções de rastreamento para encontrar a incompatibilidade. Para obter mais informações, consulte Problemas de IKE, PKI e IPsec .

Receber detalhes sobre associações de segurança individuais

Propósito

Obter detalhes sobre a IKE.

Ação

Do modo operacional, insira o show security ike security-associations index 20 detail comando.

Significado

A saída exibe os detalhes das SAs individuais IKE, como função (iniciador ou responsável), status, tipo de troca, método de autenticação, algoritmos de criptografia, estatísticas de tráfego, status de negociação da Fase 2 e assim por diante.

Você pode usar os dados de saída para:

  • Conheça o papel da IKE SA. A solução de problemas é mais fácil quando o peer tem a função de responder.

  • Receba as estatísticas de tráfego para verificar o fluxo de tráfego em ambas as direções.

  • Receba o número de associações de segurança IPsec criadas ou em andamento.

  • Receba o status de todas as negociações completas da Fase 2.

Confirmando o status da fase 2 do IPsec

Propósito

Veja as associações de segurança do IPsec (Fase 2).

Quando IKE a Fase 1 for confirmada, consulte as associações de segurança do IPsec (Fase 2).

Ação

Do modo operacional, insira o show security ipsec security-associations comando.

Significado

A saída indica que:

  • Existe um par IPsec SA configurado disponível. A porta número 500 indica que uma porta IKE padrão é usada. Caso contrário, ele Network Address Translation-Traversal (NAT-T), 4500 ou porta alta aleatoriamente.

  • O índice de parâmetros de segurança (SPI) é usado em ambas as direções. Os limites de vida ou de uso da SA são expressos em segundos ou em quilobytes. Na saída, 1676/unlim indica que a vida útil da Fase 2 está definida para expirar em 1676 segundos e não há tamanho de vida útil especificado.

  • O número de ID mostra o valor de índice exclusivo de cada IPsec SA.

  • Um hífen () na coluna Mon indica que o - monitoramento de VPN não está habilitado para esta SA.

  • O sistema virtual (vsys) é zero, que é o valor padrão.

A vida útil da fase 2 pode ser diferente da vida útil da Fase 1, porque a Fase 2 não depende da Fase 1 após o uso da VPN.

Exibindo detalhes da associação de segurança do IPsec

Propósito

Exibir os detalhes individuais do IPsec SA identificados pelo número do índice.

Ação

Do modo operacional, insira o show security ipsec security-associations index 2 detail comando.

Significado

A saída exibe a identidade local e a identidade remota.

Observe que uma incompatibilidade de ID de proxy pode causar falha na conclusão da Fase 2. A ID de proxy é derivada da política de túnel (para VPNs baseadas em políticas). O endereço local e o endereço remoto são obtidos das entradas do livro de endereços, e o serviço é derivado do aplicativo configurado para a política.

Se a Fase 2 falhar devido a uma incompatibilidade de ID de proxy, verificar quais entradas de livro de endereços estão configuradas na política e garantir que os endereços corretos sejam enviados. Também garanta que as portas sejam compatíveis. Verifique duas vezes o serviço para garantir que as portas se igualem aos servidores remotos e locais.

Se vários objetos estão configurados em uma política de túnel para endereço de origem, endereço de destino ou aplicativo, a ID de proxy resultante desse parâmetro é alterada para zeros.

Por exemplo, assuma o cenário a seguir para uma política de túnel:

  • Endereços locais de 192.168.10.0/24 e 10.10.20.0/24

  • Endereço remoto de 192.168.168.0/24

  • Aplicativo como junos-http

A ID de proxy resultante é local 0.0.0.0/0, remota 192.168.168.0/24, serviço 80.

As IDs de proxy resultantes podem afetar a interoperabilidade se o peer remoto não estiver configurado para a segunda sub-rede. Além disso, se você está empregando um aplicativo de um fornecedor de terceiros, talvez seja necessário inserir manualmente a ID de proxy para combinar.

Se o IPsec não conseguir concluir, marque o log kmd ou use o set traceoptions comando. Para obter mais informações, consulte Problemas de IKE, PKI e IPsec .

Verificação de estatísticas do IPsec SA

Propósito

Verificar estatísticas e erros de uma SA IPsec.

Para fins de solução de problemas, consulte os contadores ESP/AH (Encapsulando Security Payload/Authentication Header) para verificar se há erros em uma SA IPsec específica.

Ação

Do modo operacional, insira o show security ipsec statistics index 2 comando.

Significado

Um valor de erro de zero na saída indica uma condição normal.

Recomendamos executar esse comando várias vezes para observar qualquer problema de perda de pacote em uma VPN. A saída deste comando também exibe as estatísticas de contadores de pacotes criptografados e descriptografados, contadores de erro e assim por diante.

Você deve habilitar opções de rastreamento de fluxo de segurança para investigar quais pacotes ESP estão enfrentando erros e por quê. Para obter mais informações, consulte Problemas de IKE, PKI e IPsec .

Teste do fluxo de tráfego na VPN

Propósito

Teste o fluxo de tráfego na VPN após a Fase 1 e a Fase 2 concluírem com sucesso. Você pode testar o fluxo de tráfego usando o ping comando. Você pode rastrear desde o host local até o host remoto. Você também pode iniciar os pings a partir do Juniper Networks dispositivo de segurança.

Este exemplo mostra como iniciar uma solicitação de ping do Juniper Networks para o host remoto. Observe que, quando os pings são iniciados a partir do dispositivo Juniper Networks, a interface de origem deve ser especificada para garantir que a consulta correta da rota e as zonas apropriadas sejam referenciadas na consulta de política.

Neste exemplo, a interface ge-0/0/0.0 reside na mesma zona de segurança do host local e deve ser especificada na solicitação de ping para que a consulta de política possa ser da confiança da zona à inverdade da zona.

Ação

Do modo operacional, insira o ping 192.168.168.10 interface ge-0/0/0 count 5 comando.

Confirmando a conectividade

Propósito

Confirmar a conectividade entre um host remoto e um host local.

Ação

Do modo operacional, insira o ping 192.168.10.10 from ethernet0/6 comando.

Significado

Você pode confirmar a conectividade de ponta a ponta usando o ping comando do host remoto até o host local. Neste exemplo, o comando é iniciado a partir do dispositivo SSG5.

A conectividade ponta a ponta falha pode indicar um problema com roteamento, política, host final ou criptografia/descriptografia dos pacotes ESP. Para verificar as causas exatas da falha:

  • Consulte as estatísticas do IPsec para obter detalhes sobre erros descritos em Verificação de estatísticas do IPsec SA .

  • Confirmar a conectividade do host final usando o ping comando de um host na mesma subnet do host final. Se o host final for alcançável por outros hosts, você pode assumir que o problema não é com o host final.

  • Ative opções de rastreamento de fluxo de segurança para solucionar problemas relacionados a roteamento e políticas.

Problemas de IKE, PKI e IPsec

Solução de IKE, problemas de PKI e IPsec.

Etapas básicas de solução de problemas

Problema

As etapas básicas de solução de problemas são as seguintes:

  1. Identificar e isolar o problema.

  2. Depurar o problema.

A abordagem comum de iniciar a solução de problemas é com a camada mais baixa das camadas de OSI e subir a pilha de OSI para confirmar a camada na qual ocorre a falha.

Solução

As etapas básicas para IKE, PKI e IPsec são as seguintes:

  • Confirmar a conectividade física do enlace de Internet nos níveis físico e de enlace de dados.

  • Confirmar se o Juniper Networks tem conectividade com a Internet no próximo salto e conectividade com o peer IKE remoto.

  • Confirmar IKE conclusão da Fase 1.

  • Confirmar IKE conclusão da Fase 2 se IKE a conclusão da Fase 1 for bem-sucedida.

  • Confirmar o fluxo de tráfego pela VPN (se a VPN estiver ativa).

O Junos OS inclui o recurso de opções de rastreamento. Usando esse recurso, você pode habilitar um sinal de opção de rastreamento para escrever os dados da opção de rastreamento até um arquivo de log, que pode ser pré-determinado ou configurado manualmente e armazenado na memória de flash. Esses logs de rastreamento podem ser retidos mesmo após a reinicialização do sistema. Consulte o armazenamento em flash disponível antes de implementar opções de rastreamento.

Você pode habilitar o recurso de opções de rastreamento no modo de configuração e comprometer a configuração para usar o recurso de opções de rastreamento. Da mesma forma que desativar opções de rastreamento, você deve desativar as opções de rastreamento no modo de configuração e comprometer a configuração.

Verificação do espaço de disco gratuito em seu dispositivo

Problema

Consulte as estatísticas do espaço de disco gratuito em seus sistemas de arquivo de dispositivo.

Solução

Do modo operacional, insira o show system storage comando.

Ela /dev/ad0s1a representa a memória flash de integração e atualmente está em 35% da capacidade.

Verificação dos arquivos de log para verificar diferentes cenários e carregar arquivos de log para um FTP

Problema

Veja os arquivos de log para verificar IKE de depuração de segurança, depurações de fluxo de segurança e o estado do login no syslog.

Solução

Do modo operacional, insira show log kmd os comandos , e show log pkidshow log security-trace . show log messages

Você pode exibir uma lista de todos os logs do diretório /var/log usando o show log comando.

Os arquivos de log também podem ser carregados para um servidor FTP usando o file copy comando.

Permitindo IKE de rastreamento para exibir mensagens no IKE

Problema

Para exibir mensagens de sucesso ou falha para IKE ou IPsec, você pode ver o log kmd usando o show log kmd comando. Como o log kmd exibe algumas mensagens gerais, pode ser útil obter detalhes adicionais, permitindo IKE e opções de rastreamento PKI.

Em geral, a melhor prática é solucionar problemas com o peer que tem a função de responder. Você deve obter a saída de rastreamento do iniciador e do responsável para entender a causa de uma falha.

Configure IKE de rastreamento.

Solução

Se você não especificar nomes de arquivo para o <filename>campo, todas as IKE de rastreamento serão escritas no log kmd.

Você deve especificar pelo menos uma opção de sinalização para registrar dados de rastreamento no log. Por exemplo:

  • file size — Tamanho máximo de cada arquivo de rastreamento, em bytes. Por exemplo, 1 milhão (1.000.000 ) podem gerar um tamanho de arquivo máximo de 1 MB.

  • files — Número máximo de arquivos de rastreamento a serem gerados e armazenados em um dispositivo de memória flash.

Você deve comprometer sua configuração para iniciar o rastreamento.

Permitindo opções de rastreamento de PKI para exibir mensagens no IPsec

Problema

Habilitar opções de rastreamento de PKI para identificar se uma falha IKE está relacionada ao certificado ou a um problema não PKI.

Solução

Configuração de IKE de rastreamento de PKI para solucionar IKE problemas de configuração com certificados

Problema

Configure as configurações recomendadas para IKE e opções de rastreamento PKI.

As IKE e as opções de rastreamento PKI usam os mesmos parâmetros, mas o nome de arquivo padrão para todos os traços relacionados a PKI é encontrado no log pkid.

Solução

Análise da mensagem de sucesso da fase 1

Problema

Entender a saída do comando quando as condições IKE Fase 1 e show log kmd 2 são bem-sucedidas.

Solução

A saída da amostra indica:

  • 10.1.1.2— Endereço local.

  • ssg5.example.net — peer remoto (nome de host com FQDN).

  • udp: 500— NAT-T não foi negociado.

  • Phase 1 [responder] done—status da fase 1, junto com a função (iniciador ou responsável).

  • Phase 2 [responder] done— status da fase 1, junto com as informações de ID de proxy.

    Você também pode confirmar o status IPsec SA usando os comandos de verificação mencionados em Confirmando o status IKE fase 1 .

Análise da mensagem de falha da fase 1 (incompatibilidade de propostas)

Problema

Entender a saída do comando, na qual a condição IKE fase 1 é uma falha, ajuda a determinar o motivo da VPN não show log kmd estabelecer a Fase 1.

Solução

A saída da amostra indica:

  • 10.1.1.2— Endereço local.

  • ssg5.example.net — peer remoto (nome de host com FQDN).

  • udp: 500— NAT-T não foi negociado.

  • Phase-1 [responder] failed with error (No proposal chosen)— Falha na fase 1 por causa da incompatibilidade de propostas.

Para resolver esse problema, garanta que os parâmetros para o gateway IKE propostas da Fase 1 do gateway, tanto no respondente como na combinação do iniciador. Confirme também se existe uma política de túnel para a VPN.

Análise da mensagem de falha da fase 1 (Falha de autenticação)

Problema

Entender a saída do comando quando a show log kmd situação IKE Fase 1 for uma falha. Isso ajuda a determinar o motivo da VPN não estabelecer a Fase 1.

Solução

A saída da amostra indica:

  • 10.1.1.2— Endereço local.

  • 10.2.2.2— peer remoto

  • Phase 1 [responder] failed with error (Authentication failed)— falha na fase 1 devido ao socorrista não reconhecer a solicitação de entrada originada de um peer de gateway válido. No caso de IKE com certificados PKI, essa falha normalmente indica que um tipo IKE ID incorreto foi especificado ou inserido.

Para resolver esse problema, confirme se o tipo de ID IKE peer correto está especificado no peer local com base no seguinte:

  • Como o certificado de peer remoto foi gerado

  • Nome alternativo de assunto ou informações de DN no certificado de peer remoto recebido

Análise da mensagem de falha da fase 1 (erro de tempo de saída)

Problema

Entender a saída do comando quando a show log kmd situação IKE Fase 1 for uma falha.

Solução

A saída da amostra indica:

  • 10.1.1.2— Endereço llocal.

  • 10.2.2.2— peer remoto.

  • Phase 1 [responder] failed with error(Timeout)— Falha na fase 1.

    Esse erro indica que o pacote de IKE é perdido para o peer remoto ou há um atraso ou nenhuma resposta do peer remoto.

Como esse erro de tempo de espera é resultado da espera de uma resposta do daemon PKI, você deve analisar a saída de opções de rastreamento PKI para ver se há um problema com o PKI.

Análise da mensagem de falha da fase 2

Problema

Entender a saída do comando quando a show log kmd IKE fase 2 for uma falha.

Solução

A saída da amostra indica:

  • 10.1.1.2— Endereço local.

  • ssg5.example.net — peer remoto (IKE host do tipo ID com FQDN).

  • Phase 1 [responder] done— Sucesso na fase 1.

  • Failed to match the peer proxy ids— São recebidos os IDs de proxy incorretos. Na amostra anterior, os dois IDs de proxy recebidos são 192.168.168.0/24 (remoto) e 10.10.20.0/24 (local) (para serviço=qualquer). Com base na configuração dada neste exemplo, o endereço local esperado é 192.168.10.0/24. Isso mostra que há uma incompatibilidade de configurações no peer local, o que resulta na falha da combinação de ID de proxy.

    Para resolver esse problema, corrija a entrada do livro de endereços ou configure a ID de proxy em ambos os peers para que ela se ajuste ao outro peer.

    A saída também indica o motivo da No proposal chosen falha. Entretanto, neste caso, você também verá a Failed to match the peer proxy ids mensagem.

Análise da mensagem de falha da fase 2

Problema

Entender a saída do comando quando a show log kmd IKE fase 2 for uma falha.

Solução

A saída da amostra indica:

  • 10.1.1.2 — Endereço local.

  • fqdn(udp:500,[0..15]=ssg5.example.net— peer remoto.

  • Phase 1 [responder] done— Sucesso na fase 1.

  • Error = No proposal chosen— Nenhuma proposta foi escolhida durante a Fase 2. Esse problema deve-se à incompatibilidade de propostas entre os dois pontos.

    Para resolver esse problema, confirme se as propostas da Fase 2 são correspondentes a ambos os pontos.

Solução de problemas comuns relacionados a IKE e PKI

Problema

Solução de problemas comuns relacionados a IKE e PKI.

Ativar o recurso de opções de rastreamento ajuda você a coletar mais informações sobre os problemas de depuração do que as entradas de log normais. Você pode usar o log de opções de rastreamento para entender os motivos das IKE ou falhas do PKI.

Solução

Métodos para solução de problemas IKE problemas relacionados a IKE e/PKI:

  • Certifique-se de que as configurações de relógio, data, fuso horário e economia de luz do dia estão corretas. Use NTP para manter o relógio preciso.

  • Garanta que você use um código de país de duas letras no campo "C=" (país) da DN.

    Por exemplo: use "US" e não "EUA" ou "Estados Unidos". Alguns CAs exigem que o campo de país da DN seja preenchido, permitindo que você insira o valor do código de país apenas com um valor de duas letras.

  • Certifique-se de que, se um certificado de peer estiver usando vários campos OU=ou CN=, você está usando o nome distinto com o método de contêiner (a sequência deve ser mantida e sensível ao caso).

  • Caso o certificado ainda não seja válido, marque o relógio do sistema e, se necessário, ajuste o fuso horário do sistema ou adicione um dia no relógio para um teste rápido.

  • Garanta que um tipo IKE ID e valor correspondentes sejam configurados.

  • O PKI pode falhar devido a uma falha na verificação de revocação. Para confirmar, desative temporariamente a verificação de revocação e veja se IKE fase 1 é capaz de concluir.

    Para desativar a verificação de revogação, use o seguinte comando no modo de configuração:

    set security pki ca-profile <ca-profile> revocation-check disable