Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNv2 do grupo

O VPNv2 do grupo introduz o conceito de um grupo confiável para eliminar túneis ponto a ponto e o roteamento de overlay associado. Todos os membros do grupo compartilham uma associação de segurança comum (SA), também conhecida como SA do grupo.

Visão geral do grupo VPNv2

Uma associação de segurança IPsec (SA) é um acordo unidirecional entre participantes de redes privadas virtuais (VPN) que define as regras para uso para algoritmos de autenticação e criptografia, mecanismos de troca chave e comunicações seguras. Com muitas implementações de VPN, o SA é um túnel ponto a ponto entre dois dispositivos de segurança (ver Figura 1).

Figura 1: SAs ponto a pontoSAs ponto a ponto

O Grupo VPNv2 estende a arquitetura IPsec para oferecer suporte a SAs que são compartilhadas por um grupo de dispositivos de segurança (ver Figura 2). Com o Grupo VPNv2, a conectividade entre todos é alcançada preservando os endereços IP de origem e destino originais no cabeçalho externo. O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX.

Figura 2: SAs compartilhadosSAs compartilhados

O VPNv2 do grupo é uma versão aprimorada do recurso VPN do grupo introduzido em um lançamento anterior do Junos OS para dispositivos da Série SRX. O VPNv2 do grupo nos dispositivos da Juniper oferece suporte à RFC 6407, ao domínio de interpretação em grupo (GDOI) e interopera com outros dispositivos que cumprem com a RFC 6407.

Entendendo o protocolo GDOI para VPNv2 do grupo

O grupo VPNv2 é baseado na RFC 6407, O Domínio de Interpretação do Grupo (GDOI). Esta RFC descreve o protocolo entre membros do grupo e servidores de grupo para estabelecer SAs entre os membros do grupo. As mensagens de GDOI criam, mantêm ou excluem SAs para um grupo de dispositivos. O VPNv2 do grupo tem suporte em instâncias vSRX e em todos os dispositivos da Série SRX, exceto nos dispositivos SRX5400, SRX5600 e SRX5800.

O protocolo GDOI é executado na porta UDP 848. A Internet Security Association e o Key Management Protocol (ISAKMP) definem duas fases de negociação para estabelecer SAs para um túnel IPsec IKE. A fase 1 permite que dois dispositivos estabeleçam um SA ISAKMP para outros protocolos de segurança, como o GDOI.

Com o Grupo VPNv2, a negociação de SA ISAKMP fase 1 é realizada entre um servidor de grupo e um membro do grupo. O servidor e o membro devem usar a mesma política ISAKMP. As trocas de GDOI entre o servidor e o membro estabelecem os SAs compartilhados com outros membros do grupo. Um membro do grupo não precisa negociar o IPsec com outros membros do grupo. As trocas de GDOI devem ser protegidas pelos SAs de Fase 1 do ISAKMP.

Existem dois tipos de trocas de GDOI:

  • A groupkey-pull troca permite que um membro solicite SAs e chaves compartilhadas pelo grupo do servidor. Os membros do grupo devem se registrar em um servidor de grupo por meio de uma groupkey-pull troca.

  • A groupkey-push troca é uma única mensagem re-chave que permite que o servidor envie SAs e chaves de grupo para os membros antes que os SAs do grupo existente expiram. As mensagens rekey são mensagens não solicitadas enviadas do servidor aos membros.

Entender os servidores e membros do VPNv2 do grupo

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. O centro do VPNv2 do grupo é o controlador de grupo/servidor de chave (GCKS). Um cluster de servidor pode ser usado para fornecer redundância GCKS.

O GCKS ou o servidor de grupo realizam as seguintes tarefas:

  • Controla a adesão ao grupo.

  • Gera chaves de criptografia.

  • Envia novos SAs do grupo e chaves para os membros. Os membros do grupo criptografam o tráfego com base nos SAs do grupo e nas chaves fornecidas pelo servidor do grupo.

Um servidor de grupo pode atender a vários grupos. Um único dispositivo de segurança pode ser um membro de vários grupos.

Cada grupo é representado por um identificador de grupo, número entre 1 e 4.294.967.295. O servidor do grupo e os membros do grupo são vinculados pelo identificador do grupo. Só pode haver um identificador de grupo por grupo, e vários grupos não podem usar o mesmo identificador de grupo.

A seguir, uma visão de alto nível das ações de servidor e membros do Grupo VPNv2:

  1. O servidor do grupo escuta a porta UDP 848 para que os membros se inscrevam.

  2. Para se registrar no servidor do grupo, o membro primeiro estabelece um IKE SA com o servidor. Um dispositivo membro deve fornecer a autenticação correta da Fase 1 do IKE para participar do grupo. A autenticação de chave pré-compartilhada por membro é suportada.

  3. Após autenticação e registro bem-sucedidos, o dispositivo membro recupera SAs e chaves do grupo para o identificador de grupo especificado do servidor com uma troca de GDOI groupkey-pull .

  4. O servidor adiciona o membro à adesão ao grupo.

  5. Os membros do grupo trocam pacotes criptografados com chaves SA do grupo.

O servidor envia sa e atualizações chave para membros do grupo com mensagens rekey (GDOI groupkey-push). O servidor envia mensagens rekey antes que os SAs expiram para garantir que as chaves válidas estejam disponíveis para criptografar o tráfego entre membros do grupo.

Uma mensagem re-chave enviada pelo servidor requer uma mensagem de reconhecimento (ack) de cada membro do grupo. Se o servidor não receber uma mensagem ack do membro, a mensagem re-chave será retransmitida no configurado retransmission-period (o padrão é de 10 segundos). Se não houver resposta do membro após a configuração number-of-retransmission (o padrão é 2 vezes), o membro é removido dos membros registrados do servidor. O IKE SA entre o servidor e o membro também é removido.

O servidor também envia mensagens rekey para fornecer novas chaves aos membros quando a SA do grupo tiver mudado.

Entender as limitações do VPNv2 do grupo

Os servidores VPNv2 do grupo operam apenas com membros do Grupo VPNv2 que oferecem suporte a RFC 6407, O Domínio de Interpretação do Grupo (GDOI).

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. Os seguintes não são suportados nesta versão para o Grupo VPNv2:

  • SNMP.

  • Negue a política do servidor VPN Cisco GET.

  • Suporte para PKI para autenticação de IKE fase 1.

  • Colocação de servidor de grupo e membro, onde as funções de servidor e membro coexistem no mesmo dispositivo físico.

  • Membros do grupo configurados como clusters de chassi.

  • Interface J-Web para configuração e monitoramento.

  • Tráfego de dados multicast.

O VPNv2 do grupo não é suportado em implantações onde os endereços IP não podem ser preservados — por exemplo, em toda a Internet onde o NAT é usado.

Entender a comunicação de membros do servidor VPNv2 do grupo

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. A comunicação entre membros do servidor permite que o servidor envie mensagens de GDOI groupkey-push (rekey) aos membros. Se a comunicação entre membros do servidor não estiver configurada para o grupo, os membros podem enviar mensagens de GDOI groupkey-pull para registrar e recadastrar com o servidor, mas o servidor não é capaz de enviar groupkey-push mensagens aos membros.

A comunicação entre membros do servidor é configurada para o grupo usando a server-member-communication declaração de configuração na [edit security group-vpn server] hierarquia. As seguintes opções podem ser definidas:

  • Algoritmo de autenticação (sha-256 ou sha-384) usado para autenticar o membro no servidor. Não há algoritmo padrão.

  • Algoritmo de criptografia usado para comunicações entre o servidor e o membro. Você pode especificar aes-128-cbc, aes-192-cbc ou aes-256-cbc. Não há algoritmo padrão.

  • Tipo de comunicação Unicast para reexame de mensagens enviadas aos membros do grupo.

  • Vida útil para a chave de criptografia chave (KEK). O padrão é de 3600 segundos.

  • Número de vezes que o servidor do grupo retransmite groupkey-push mensagens a um membro do grupo sem resposta (o padrão é 2 vezes) e o período entre retransmissões (o padrão é de 10 segundos).

Se a comunicação entre servidor e membro de um grupo não estiver configurada, a lista de membros exibida pelo comando mostra membros do show security group-vpn server registered-members grupo que se registraram no servidor; os membros podem estar ativos ou não. Quando a comunicação entre membros do servidor para um grupo é configurada, a lista de membros do grupo é liberada. Para o tipo de comunicação unicast, o show security group-vpn server registered-members comando mostra apenas membros ativos.

Entender as principais operações do Grupo VPNv2

Este tópico contém as seguintes seções:

Chaves de grupo

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. O servidor do grupo mantém um banco de dados para acompanhar a relação entre grupos VPN, membros do grupo e chaves de grupo. Existem dois tipos de chaves de grupo que o servidor baixa para os membros:

  • Chave de criptografia de chave (KEK) — usada para criptografar as trocas de sa rekey (GDOI groupkey-push). Um KEK é compatível por grupo.

  • Chave de criptografia de tráfego (TEK)— usada para criptografar e descriptografar o tráfego de dados IPsec entre membros do grupo.

A chave associada a uma SA é aceita por um membro do grupo apenas se houver uma política de correspondência configurada no membro. Uma chave aceita é instalada para o grupo, enquanto uma chave rejeitada é descartada.

Mensagens rekey

Se o grupo estiver configurado para comunicações de membros do servidor, o servidor envia sa e atualizações de chave para membros do grupo com mensagens rekey (GDOI groupkey-push). As mensagens rekey são enviadas antes que os SAs expiram; isso garante que chaves válidas estejam disponíveis para criptografar o tráfego entre membros do grupo.

O servidor também envia mensagens rekey para fornecer novas chaves aos membros quando há uma mudança na adesão ao grupo ou a SA do grupo mudou (por exemplo, uma política de grupo é adicionada ou excluída).

As opções de comunicação entre membros do servidor devem ser configuradas no servidor para permitir que o servidor envie mensagens rekey aos membros do grupo.

O servidor do grupo envia uma cópia da mensagem de re-chave unicast para cada membro do grupo. Após o recebimento da mensagem re-chave, os membros devem enviar um reconhecimento (ACK) ao servidor. Se o servidor não receber uma ACK de um membro (incluindo a retransmissão de mensagens rekey), o servidor considera o membro inativo e o remove da lista de membros. O servidor deixa de enviar mensagens prontas para o membro.

As number-of-retransmission declarações de configuração para retransmission-period comunicações de membros do servidor controlam a reenconsão de mensagens re-chaves pelo servidor quando nenhuma ACK é recebida de um membro.

O intervalo em que o servidor envia mensagens rekey é baseado no valor da declaração de lifetime-seconds configuração naedit security group-vpn server group group-name [] hierarquia. Novas chaves são geradas antes da expiração das chaves KEK e TEK.

O lifetime-seconds kek está configurado como parte das comunicações de membros do servidor; o padrão é de 3600 segundos. O lifetime-seconds TEK está configurado para a proposta IPsec; o padrão é de 3600 segundos.

Registro de membros

Se um membro do grupo não receber uma nova chave SA do servidor antes da expiração da chave atual, o membro deve se recadastrar com o servidor e obter chaves atualizadas com uma troca de GDOI groupkey-pull .

Visão geral da configuração do grupo VPNv2

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. Este tópico descreve as principais tarefas para configurar o VPNv2 do grupo.

O controlador de grupo/servidor-chave (GCKS) gerencia as associações de segurança (SAs) do Grupo VPNv2, e gera chaves de criptografia e as distribui para membros do grupo. Você pode usar um cluster de servidor VPNv2 em grupo para fornecer redundância de GCKS. Veja a compreensão dos clusters de servidor VPNv2 do grupo.

No(s) servidor(s) do grupo, configure o seguinte:

  1. IKE Fase 1 SA. Veja como entender a configuração da Fase 1 do IKE para o VPNv2 do grupo .
  2. IPsec SA. Veja a compreensão da configuração de SA IPsec para VPNv2 em grupo.
  3. Informações do grupo VPN, incluindo o identificador de grupo, gateways IKE para membros do grupo, o número máximo de membros do grupo e comunicações de membros de servidor. A configuração do grupo inclui uma política de grupo que define o tráfego ao qual a SA e as chaves se aplicam. O cluster do servidor e a janela de tempo antireplay podem ser configurados opcionalmente. Consulte a visão geral da configuração do grupo VPNv2 e entenda a direção de tráfego do grupo VPNv2.

No membro do grupo, configure o seguinte:

  1. IKE Fase 1 SA. Veja como entender a configuração da Fase 1 do IKE para o VPNv2 do grupo .

  2. IPsec SA. Veja a compreensão da configuração de SA IPsec para VPNv2 em grupo.

  3. Política IPsec que define a zona de entrada (geralmente uma LAN protegida), zona de saída (geralmente uma WAN) e o grupo VPN ao qual a política se aplica. Regras de exclusão ou falha em aberto também podem ser especificadas. Veja a compreensão da direção de tráfego do grupo VPNv2.

  4. Política de segurança para permitir o tráfego VPN em grupo entre as zonas especificadas na política IPsec.

A operação VPNv2 do grupo requer uma topologia de roteamento de trabalho que permita que os dispositivos do cliente cheguem aos locais pretendidos em toda a rede.

O grupo está configurado no servidor com a group declaração de configuração na [edit security group-vpn server] hierarquia.

As informações do grupo consistem nas seguintes informações:

  • Identificador de grupo — um valor que identifica o grupo VPN. O mesmo identificador de grupo deve ser configurado no membro do grupo.

  • Cada membro do grupo está configurado com a declaração de ike-gateway configuração. Pode haver várias instâncias desta declaração de configuração, uma para cada membro do grupo.

  • Políticas de grupo — políticas que devem ser baixadas aos membros. As políticas de grupo descrevem o tráfego ao qual a SA e as chaves se aplicam. Veja a compreensão da direção de tráfego do grupo VPNv2.

  • Limite de membro — o número máximo de membros do grupo. Após o limite de membros para um grupo ser atingido, um servidor deixa de responder às groupkey-pull iniciações de novos membros. Veja a compreensão dos clusters de servidor VPNv2 do grupo.

  • Comunicação entre membros do servidor — configuração opcional que permite que o servidor envie groupkey-push mensagens rekey aos membros.

  • Cluster de servidor — configuração opcional que oferece suporte à redundância do controlador de grupo/servidor de chave (GCKS). Veja a compreensão dos clusters de servidor VPNv2 do grupo.

  • Antireplay — configuração opcional que detecta interceptação e repetição de pacotes. Consulte o Understanding Group VPNv2 Antireplay.

Entender a configuração da Fase 1 do IKE para VPNv2 do grupo

Uma SA IKE Fase 1 entre um servidor de grupo e um membro do grupo estabelece um canal seguro para negociar SAs IPsec que são compartilhados por um grupo. Para VPNs IPsec padrão em dispositivos de segurança da Juniper Networks, a configuração de SA da Fase 1 consiste em especificar uma proposta de IKE, política e gateway.

Para o Grupo VPNv2, a configuração DE SA da Fase 1 do IKE é semelhante à configuração para VPNs IPsec padrão, mas é realizada nas [edit security group-vpn server ike] e [edit security group-vpn member ike] hierarquias. O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX.

Na configuração da proposta de IKE, você define o método de autenticação e os algoritmos de autenticação e criptografia que serão usados para abrir um canal seguro entre os participantes. Na configuração da política de IKE, você define o modo em que o canal de Fase 1 será negociado, especifica o tipo de troca de chave a ser usada e faz referência à proposta de Fase 1. Na configuração do gateway IKE, você faz referência à política de Fase 1.

A proposta de IKE e a configuração de políticas no servidor do grupo devem corresponder à proposta de IKE e à configuração de políticas dos membros do grupo. Em um servidor de grupo, um gateway IKE está configurado para cada membro do grupo. Em um membro do grupo, até quatro endereços de servidor podem ser especificados na configuração do gateway IKE.

Entendendo a configuração do IPsec SA para o grupo VPNv2

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. Depois que o servidor e o membro estabelecerem um canal seguro e autenticado na negociação da Fase 1, eles passam a estabelecer as SAs IPsec que são compartilhadas por membros do grupo para proteger dados transmitidos entre os membros. Embora a configuração IPsec SA para o Grupo VPNv2 seja semelhante à configuração para VPNs padrão, um membro do grupo não precisa negociar a SA com outros membros do grupo.

A configuração do IPsec para o Grupo VPNv2 consiste nas seguintes informações:

  • No servidor do grupo, uma proposta de IPsec é configurada para que o algoritmo de protocolo, autenticação e criptografia de segurança seja usado para o SA. A proposta do IPsec SA está configurada no servidor de grupo com a proposal declaração de configuração naedit security group-vpn server ipsec [] hierarquia.

  • No membro do grupo, um IKE autokey é configurado que faz referência ao identificador de grupo, ao servidor de grupo (configurado com a ike-gateway declaração de configuração) e à interface usada pelo membro para se conectar aos pares do grupo. O IKE autokey está configurado no membro com a declaração de vpn configuração naedit security group-vpn member ipsec [] hierarquia.

Entendendo o direcionamento de tráfego VPNv2 do grupo

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. O servidor do grupo distribui associações de segurança IPsec (SAs) e chaves para membros de um grupo especificado. Todos os membros que pertencem ao mesmo grupo compartilham o mesmo conjunto de SAs IPsec. A SA instalada em um membro de grupo específico é determinada pela política associada à SA do grupo e à política IPsec configurada no membro do grupo.

Políticas de grupo configuradas em servidores de grupo

Em um grupo de VPN, cada SA de grupo e a chave que o servidor empurra para um membro estão associados a uma política de grupo. A política do grupo descreve o tráfego no qual a chave deve ser usada, incluindo protocolo, endereço de origem, porta de origem, endereço de destino e porta de destino. No servidor, a política de grupo está configurada com as match-policy policy-name opções no nível [edit security group-vpn server group name ipsec-sa name] de hierarquia.

As políticas de grupo idênticas (configuradas com o mesmo endereço de origem, endereço de destino, porta de origem, porta de destino e valores de protocolo) não podem existir para um único grupo. Um erro é devolvido se você tentar cometer uma configuração que contenha políticas de grupo idênticas para um grupo. Se isso ocorrer, você deve excluir uma das políticas de grupo idênticas antes de confirmar a configuração.

Políticas IPsec configuradas em membros do grupo

No membro do grupo, uma política IPsec consiste nas seguintes informações:

  • Zona de entrada (from-zone) para tráfego em grupo.

  • Zona de saída (to-zone) para tráfego em grupo.

  • O nome do grupo ao qual a política IPsec se aplica. Apenas um nome de VPNv2 do grupo pode ser mencionado por um par específico de zona/para zona.

A interface usada pelo membro do grupo para se conectar ao VPNv2 do grupo deve pertencer à zona de saída. Esta interface é especificada com a group-vpn-external-interface declaração no nível [edit security group-vpn member ipsec vpn vpn-name] de hierarquia.

No membro do grupo, a política do IPsec está configurada no nível [edit security ipsec-policy] de hierarquia. O tráfego que corresponde à política de IPsec é verificado ainda contra regras de exclusão e falha que são configuradas para o grupo.

Falha de encerramento

Por padrão, o tráfego que não corresponde a regras de exclusão ou falha aberta ou políticas de grupo recebidas do servidor do grupo é bloqueado; isso é conhecido como fail-close.

Excluir e abrir regras

Nos membros do grupo, os seguintes tipos de regras podem ser configurados para cada grupo:

  • Tráfego excluído da criptografia VPN. Exemplos desse tipo de tráfego podem incluir protocolos de roteamento BGP ou OSPF. Para excluir o tráfego de um grupo, use a set security group-vpn member ipsec vpn vpn-name exclude rule configuração. Um máximo de 10 regras de exclusão podem ser configuradas.

  • Tráfego essencial para a operação do cliente e que deve ser enviado em texto claro (não criptografado) se o membro do grupo não tiver recebido uma chave de criptografia de tráfego (TEK) válida para o IPsec SA. As regras não abertas permitem esse fluxo de tráfego enquanto todo o tráfego está bloqueado. Habilite o fail-open com a set security group-vpn member ipsec vpn vpn-name fail-open rule configuração. Um máximo de 10 regras sem falhas podem ser configuradas.

Prioridades das políticas e regras do IPsec

As políticas e regras do IPsec têm as seguintes prioridades para o membro do grupo:

  1. Exclua regras que definem o tráfego a ser excluído da criptografia vpn.

  2. Políticas de grupo que são baixadas do servidor do grupo.

  3. Regras de falha aberta que definem o tráfego que é enviado em texto claro se não houver TEK válida para a SA.

  4. Política de fechamento de falhas que bloqueia o tráfego. Esse é o padrão se o tráfego não corresponder a regras ou políticas de grupo que não correspondam.

Entendendo o processo de recuperação do VPNv2 do grupo

O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX. Duas situações podem indicar que um membro do grupo está fora de sincronização com o servidor do grupo e outros membros do grupo:

  • O membro do grupo recebe um pacote de payload de segurança (ESP) encapsulado com um Índice de Parâmetros de Segurança (SPI) não reconhecido.

  • Há tráfego IPsec de saída, mas não há tráfego IPsec no membro do grupo.

Quando uma situação é detectada, um processo de sonda de recuperação pode ser acionado no membro do grupo. O processo de sonda de recuperação inicia as trocas de GDOI groupkey-pull em intervalos específicos para atualizar a SA do membro do servidor do grupo. Se houver um ataque DoS de pacotes SPI ruins ou se o remetente estiver fora de sincronização, a indicação fora de sincronização no membro do grupo pode ser um alarme falso. Para evitar sobrecarregar o sistema, a groupkey-pull iniciação é retraída em intervalos de 10, 20, 40, 80, 160 e 320 segundos.

O processo de sonda de recuperação é desativado por padrão. Para habilitar o processo de sonda de recuperação, configure recovery-probe no nível [edit security group-vpn member ipsec vpn vpn-name] de hierarquia.

Entender o antireplay de VPNv2 do grupo

O antireplay de VPNv2 do grupo é suportado em instâncias vSRX e em todos os dispositivos da Série SRX, exceto nos dispositivos SRX5400, SRX5600 e SRX5800. O antireplay é um recurso IPsec que pode detectar quando um pacote é interceptado e depois reproduzido por invasores. O antireplay é desativado por padrão para um grupo.

Cada pacote IPsec contém um ponto de tempo. O membro do grupo verifica se o tempodo pacote está dentro do valor configuradoanti-replay-time-window. Um pacote é descartado se o tempotamp exceder o valor.

Recomendamos que o NTP seja configurado em todos os dispositivos que oferecem suporte ao antireplay do Grupo VPNv2.

Os membros do grupo que estão em execução em instâncias vSRX em uma máquina de host onde o hipervisor está funcionando sob uma carga pesada podem experimentar problemas que podem ser corrigidos reconfigurando o anti-replay-time-window valor. Se os dados que correspondem à política de IPsec no membro do grupo não forem transferidos, verifique a show security group-vpn member ipsec statistics saída por erros D3P. Certifique-se de que o NTP está funcionando corretamente. Se houver erros, ajuste o anti-replay-time-window valor.

Exemplo: Configuração de um servidor VPNv2 de grupo e membros

Este exemplo mostra como configurar um servidor VPNv2 de grupo para fornecer suporte de controlador de grupo/servidor de chave (GCKS) aos membros do grupo VPNv2. O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX.

Requisitos

O exemplo usa os seguintes componentes de hardware e software:

  • Um dispositivo da Série SRX ou instância vSRX compatível com o Junos OS Release 15.1X49-D30 ou posterior que oferece suporte ao Grupo VPNv2. Este dispositivo da Série SRX ou instância vSRX opera como um servidor VPNv2 de grupo.

  • Dois dispositivos da Série SRX suportados ou instâncias vSRX que executam o Junos OS Release 15.1X49-D30 ou posteriores que oferecem suporte ao Grupo VPNv2. Esses dispositivos ou instâncias operam como membros do grupo VPNv2.

  • Dois dispositivos da Série MX suportados que executam o Junos OS Release 15.1R2 ou posteriores que oferecem suporte ao Grupo VPNv2. Esses dispositivos operam como membros do grupo VPNv2.

Um nome de host, uma senha de administrador raiz e acesso de gerenciamento devem ser configurados em cada dispositivo. Recomendamos que o NTP também seja configurado em cada dispositivo.

A operação VPNv2 do grupo requer uma topologia de roteamento de trabalho que permita que os dispositivos do cliente cheguem aos locais pretendidos em toda a rede. Esses exemplos se concentram na configuração do Grupo VPNv2; a configuração de roteamento não está descrita.

Visão geral

Neste exemplo, a rede VPNv2 do grupo consiste em um servidor e quatro membros. Dois dos membros são dispositivos da Série SRX ou instâncias vSRX, enquanto os outros dois membros são dispositivos da Série MX. Os SAs vpn de grupo compartilhado protegem o tráfego entre os membros do grupo.

Os SAs vpn do grupo devem ser protegidos por uma SA fase 1. Portanto, a configuração de VPN do grupo deve incluir a configuração das negociações da Fase 1 do IKE no servidor do grupo e nos membros do grupo.

O mesmo identificador de grupo deve ser configurado no servidor do grupo e nos membros do grupo. Neste exemplo, o nome do grupo é GROUP_ID-0001 e o identificador de grupo é 1. A política de grupo configurada no servidor especifica que o SA e a chave são aplicados ao tráfego entre sub-redes na faixa 172.16.0.0/12.

Nos membros do grupo SRX ou vSRX, uma política de IPsec é configurada para o grupo com a zona LAN como a zona de saída (tráfego de entrada) e a zona WAN como zona de entrada (tráfego de saída). Uma política de segurança também é necessária para permitir o tráfego entre as zonas de LAN e WAN.

Topologia

Figura 3 mostra que os dispositivos da Juniper Networks estão configurados para este exemplo.

Figura 3: Servidor VPNv2 do grupo com membros da Série SRX ou vSRX e MXServidor VPNv2 do grupo com membros da Série SRX ou vSRX e MX

Configuração

Configuração do servidor de grupo

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o servidor VPNv2 do grupo:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure as rotas estáticas.

  3. Configure a proposta, a política e os gateways do IKE.

  4. Configure a proposta IPsec.

  5. Configure o grupo.

  6. Configure comunicações de servidor para membro.

  7. Configure a política do grupo a ser baixada para os membros do grupo.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show routing-optionse show security comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do membro do grupo GM-0001 (dispositivo da Série SRX ou instância vSRX)

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o membro do Grupo VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure as rotas estáticas.

  3. Configure a proposta, a política e o gateway do IKE.

  4. Configure o IPsec SA.

  5. Configure a política IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show routing-optionse show security comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do membro do grupo GM-0002 (dispositivo da Série SRX ou instância vSRX)

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração no Guia de Usuário da CLI.

Para configurar o membro do Grupo VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure as rotas estáticas.

  3. Configure a proposta, a política e o gateway do IKE.

  4. Configure o IPsec SA.

  5. Configure a política IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfaces, show routing-optionse show security comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração do membro do grupo GM-0003 (dispositivo da Série MX)

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

Para configurar o membro do Grupo VPNv2:

  1. Configure as interfaces.

  2. Configure o roteamento.

  3. Configure a proposta, a política e o gateway do IKE.

  4. Configure o IPsec SA.

  5. Configure o filtro de serviço.

  6. Configure o conjunto de serviços.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nosshow interfaces, show routing-options, show security, e show firewallshow servicescomandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Configuração do membro do grupo GM-0004 (dispositivo da Série MX)

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

Para configurar o membro do Grupo VPNv2:

  1. Configure as interfaces.

  2. Configure o roteamento.

  3. Configure a proposta, a política e o gateway do IKE.

  4. Configure o IPsec SA.

  5. Configure o filtro de serviço.

  6. Configure o conjunto de serviços.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nosshow interfaces, show routing-options, show security, e show firewallshow servicescomandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificação do registro de membros do grupo

Propósito

Verifique se os membros do grupo estão registrados no servidor.

Ação

Do modo operacional, insira o show security group-vpn server registered-members e show security group-vpn server registered-members detail os comandos no servidor.

Verificando se as chaves do grupo são distribuídas

Propósito

Verifique se as chaves do grupo são distribuídas aos membros.

Ação

A partir do modo operacional, insira o show security group-vpn server statistics comando no servidor do grupo.

Verificação de SAs vpn em grupo no servidor de grupo

Propósito

Verifique os SAs de VPN em grupo no servidor do grupo.

Ação

A partir do modo operacional, entre no show security group-vpn server kek security-associations servidor de grupo e show security group-vpn server kek security-associations detail nos comandos.

Verificação de SAs vpn de grupo em membros do grupo

Propósito

Verifique os SAs de VPN do grupo nos membros do grupo.

Ação

A partir do modo operacional, entre no show security group-vpn member kek security-associations e show security group-vpn member kek security-associations detail comandos no membro do grupo SRX ou vSRX.

A partir do modo operacional, entre no show security group-vpn member kek security-associations e show security group-vpn member kek security-associations detail comanda o membro do grupo da Série MX.

Verificação de SAs IPsec no servidor de grupo

Propósito

Verifique os SAs IPsec no servidor do grupo.

Ação

A partir do modo operacional, entre no show security group-vpn server ipsec security-associations servidor de grupo e show security group-vpn server ipsec security-associations detail nos comandos.

Verificação de SAs IPsec nos membros do grupo

Propósito

Verifique os SAs IPsec nos membros do grupo.

Ação

A partir do modo operacional, entre no show security group-vpn member ipsec security-associations e show security group-vpn member ipsec security-associations detail comandos no membro do grupo SRX ou vSRX.

A partir do modo operacional, entre no show security group-vpn member ipsec security-associations e show security group-vpn member ipsec security-associations detail comanda o membro do grupo da Série MX.

Verificação de políticas de grupo (somente para membros do grupo SRX ou vSRX)

Propósito

Verifique as políticas de grupo nos membros do grupo SRX ou vSRX.

Ação

A partir do modo operacional, entre no show security group-vpn member policy comando do membro do grupo.

Exemplo: Configuração da comunicação de membros do servidor VPNv2 do grupo para mensagens rekey da Unicast

Este exemplo mostra como permitir que o servidor envie mensagens de rekey unicast aos membros do grupo para garantir que chaves válidas estejam disponíveis para criptografar o tráfego entre os membros do grupo. O grupo VPNv2 tem suporte para SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e dispositivos SRX4600 e instâncias vSRX.

Requisitos

Antes de começar:

  • Configure o servidor e os membros do grupo para a negociação da Fase 1 do IKE.

  • Configure o servidor de grupo e os membros para IPsec SA.

  • Configure o grupo g1 no servidor do grupo.

Visão geral

Neste exemplo, você especifica os seguintes parâmetros de comunicação entre membros do servidor para grupo g1:

  • O servidor envia mensagens rekey unicast aos membros do grupo.

  • o aes-128-cbc é usado para criptografar o tráfego entre o servidor e os membros.

  • sha-256 é usado para autenticação de membros.

Os valores padrão são usados para a vida útil e retransmissões KEK.

Configuração

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do Editor de CLI no modo de configuração.

Para configurar a comunicação entre membros do servidor:

  1. Defina o tipo de comunicação.

  2. Defina o algoritmo de criptografia.

  3. Defina a autenticação dos membros.

Verificação

Para verificar se a configuração está funcionando corretamente, entre no show security group-vpn server group g1 server-member-communication comando.