Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNv2 do grupo

O GRUPO VPNv2 introduz o conceito de um grupo confiável para eliminar túneis ponto a ponto e o roteamento de sobreposição associado. Todos os membros do grupo compartilham uma associação comum de segurança (SA), também conhecida como grupo SA.

Visão geral do GRUPO VPNv2

Uma associação de segurança IPsec (SA) é um acordo unidirecional entre os participantes da rede privada virtual (VPN) que define as regras de uso para algoritmos de autenticação e criptografia, mecanismos de troca de chaves e comunicações seguras. Com muitas implementações de VPN, o SA é um túnel ponto a ponto entre dois dispositivos de segurança (consulte Figura 1 ).

Figura 1: SAs ponto a pontoSAs ponto a ponto

O VPNv2 do grupo amplia a arquitetura IPsec para dar suporte a SAs compartilhados por um grupo de dispositivos de segurança (consulte Figura 2 ). Com o grupo VPNv2, conectividade any-to-any (entre dois ou mais pontos) é alcançada com a preservação dos endereços IP de origem e destino no header externo. O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX.

Figura 2: SAs compartilhadasSAs compartilhadas

O VPNv2 do grupo é uma versão aprimorada do recurso vpn em grupo introduzida em uma versão anterior do Junos OS para dispositivos da Série SRX. O grupo VPNv2 em Juniper dispositivos de segurança tem suporte para RFC 6407, O Domínio de Interpretação do Grupo (GDOI)e interopera com outros dispositivos que cumprem com a RFC 6407.

Entender o protocolo GDOI para VPNv2 do grupo

O grupo VPNv2 baseia-se no RFC 6407, The Group Domain of Interpretation (GDOI). Esta RFC descreve o protocolo entre membros do grupo e servidores de grupo para estabelecer SAs entre os membros do grupo. Mensagens GDOI criam, mantêm ou excluem SAs para um grupo de dispositivos. O grupo VPNv2 é compatível com vSRX instâncias e todos os dispositivos da Série SRX, exceto dispositivos SRX5400, SRX5600 e SRX5800 de segurança.

O protocolo GDOI é executado na porta UDP 848. A Internet Security Association e o Key Management Protocol (ISAKMP) definem duas fases de negociação para estabelecer SAs para um túnel IKE IPsec. A Fase 1 permite que dois dispositivos estabeleçam uma SA ISAKMP para outros protocolos de segurança, como GDOI.

Com o grupo VPNv2, a negociação ISAKMP SA da fase 1 é realizada entre um servidor de grupo e um membro do grupo. O servidor e o membro devem usar a mesma política de ISAKMP. As trocas de GDOI entre o servidor e o membro estabelecem as SAs compartilhadas com outros membros do grupo. Um membro do grupo não precisa negociar o IPsec com outros membros do grupo. As trocas GDOI devem ser protegidas por SAs da Fase 1 do ISAKMP.

Existem dois tipos de trocas GDOI:

  • A groupkey-pull troca permite que um membro solicite SAs e chaves compartilhadas pelo grupo a partir do servidor. Os membros do grupo devem se registrar em um servidor de grupo por meio de groupkey-pull uma troca.

  • A troca é uma única mensagem rekey que permite ao servidor enviar SAs em grupo e chaves para os membros antes que os SAs do groupkey-push grupo existente expirem. Mensagens chaves são mensagens não solicitadas enviadas do servidor para os membros.

Entender os servidores e os membros do grupo VPNv2

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. O centro do VPNv2 do grupo é o controlador de grupo/servidor de chaves (GCKS). Um cluster de servidor pode ser usado para fornecer redundância GCKS.

O GCKS ou servidor de grupo realiza as seguintes tarefas:

  • Controla a adesão ao grupo.

  • Gera chaves de criptografia.

  • Envia novos SAs e chaves de grupo para os membros. Os membros do grupo criptografam o tráfego com base no grupo de SAs e nas chaves fornecidas pelo servidor de grupo.

Um servidor de grupo pode ser atendido por vários grupos. Um único dispositivo de segurança pode ser um membro de vários grupos.

Cada grupo é representado por um identificador de grupo, que é um número entre 1 e 4.294.967.295. O servidor de grupo e os membros do grupo são vinculados juntos pelo identificador de grupo. Só pode haver um identificador de grupo por grupo, e vários grupos não podem usar o mesmo identificador de grupo.

A seguir, uma visão de alto nível das ações de servidor e membro do grupo VPNv2:

  1. O servidor de grupo escuta na porta UDP 848 para que os membros se inscrevam.

  2. Para se registrar no servidor de grupo, o membro estabelece inicialmente uma IKE SA com o servidor. Um dispositivo de membro deve fornecer autenticação IKE Fase 1 correta para se juntar ao grupo. É suportada autenticação de chaves pré-compartilhadas por membro.

  3. Após a autenticação e o registro bem-sucedidos, o dispositivo de membro recupera SAs e chaves do grupo para o identificador de grupo especificado do servidor com uma troca groupkey-pull GDOI.

  4. O servidor adiciona o membro à adesão ao grupo.

  5. Os membros do grupo trocam pacotes criptografados com chaves DE grupo.

O servidor envia ATS e atrúes-chave para membros do grupo com mensagens rekey (GDOI). groupkey-push O servidor envia mensagens recriminadas antes do expirar dos SAs para garantir que as chaves validas estão disponíveis para criptografar o tráfego entre os membros do grupo.

Uma mensagem rekey enviada pelo servidor requer uma mensagem de reconhecimento (ack) de cada membro do grupo. Caso o servidor não receba uma mensagem de ack do membro, a mensagem rekey será retransmitida no configurado (o padrão retransmission-period é de 10 segundos). Caso não haja resposta do membro após a configuração (o padrão é de 2 vezes), o membro é removido dos membros number-of-retransmission registrados do servidor. A IKE SA entre o servidor e o membro também é removida.

O servidor também envia mensagens reajustadas para fornecer novas chaves aos membros quando a S.S do grupo mudou.

Entender as limitações do vpnv2 do grupo

Os servidores VPNv2 do grupo só funcionam com membros do grupo VPNv2 que têm suporte para RFC 6407, O Domínio de Interpretação do Grupo (GDOI).

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. Nesta versão, não há suporte para VPNv2 do grupo:

  • Snmp.

  • Negar política do servidor Cisco GET VPN.

  • Suporte a PKI para autenticação IKE Fase 1.

  • Colocação de servidor e membro de grupo, onde funções de servidor e membro coexistem no mesmo dispositivo físico.

  • Membros do grupo configurados como clusters de chassi.

  • Interface J-Web para configuração e monitoramento.

  • Tráfego de dados multicast.

O VPNv2 do grupo não é suportado em implantações nas quais endereços IP não podem ser preservadas, por exemplo, na Internet onde NAT é usado.

Entender a comunicação do membro do servidor VPNv2 do grupo

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. A comunicação com membro do servidor permite ao servidor enviar mensagens GDOI groupkey-push (rekey) aos membros. Caso a comunicação com membro do servidor não esteja configurada para o grupo, os membros podem enviar mensagens GDOI para se registrar e recadastrar no servidor, mas o servidor não pode enviar mensagens para os groupkey-pullgroupkey-push membros.

A comunicação do membro do servidor está configurada para o grupo usando a instrução server-member-communication de configuração na hierarquia edit security group-vpn server [ ] As seguintes opções podem ser definidas:

  • Algoritmo de autenticação (sha-256 ou sha-384) usado para autenticar o membro ao servidor. Não existe nenhum algoritmo padrão.

  • Algoritmo de criptografia usado para comunicações entre o servidor e o membro. Você pode especificar aes-128-cbc, aes-192-cbc ou aes-256-cbc. Não existe nenhum algoritmo padrão.

  • Tipo de comunicação Unicast para mensagens rekey enviadas aos membros do grupo.

  • Vida útil para a chave de criptografia (KEK). O padrão é de 3.600 segundos.

  • Número de vezes que o servidor de grupo retransmite mensagens para um membro do grupo sem resposta (o padrão é de 2 vezes) e o período de tempo entre retransmissões (o padrão é groupkey-push de 10 segundos).

Caso a comunicação do membro do servidor para um grupo não esteja configurada, a lista de membros exibido pelo comando mostra os membros do grupo que se registraram no servidor; os membros podem estar ativos show security group-vpn server registered-members ou não. Quando a comunicação do membro do servidor para um grupo está configurada, a lista de membros do grupo é liberada. Para o tipo de comunicação unicast, show security group-vpn server registered-members o comando mostra apenas membros ativos.

Entender as principais operações do GRUPO VPNv2

Este tópico contém as seguintes seções:

Chaves de grupo

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. O servidor de grupo mantém um banco de dados para acompanhar a relação entre grupos de VPN, membros do grupo e chaves de grupo. Existem dois tipos de chaves de grupo que o servidor baixa para membros:

  • Chave de criptografia (KEK) — Usado para criptografar as trocas de chaves SAS (GDOI). groupkey-push Um KEK é suportado por grupo.

  • TEK (Traffic Encryption Key, Chave de criptografia de tráfego) — Usado para criptografar e descriptografar o tráfego de dados IPsec entre os membros do grupo.

A chave associada a uma SA é aceita por um membro do grupo apenas se houver uma política correspondente configurada no membro. Uma chave aceita é instalada para o grupo, enquanto uma chave recusada é descartada.

Mensagens prontas

Caso o grupo esteja configurado para comunicações com membros do servidor, o servidor enviará UMA E as atrções-chave para os membros do grupo com mensagens rekey (GDOI). groupkey-push Mensagens chaves são enviadas antes de os SAs expirarem; isso garante que chaves válidas estão disponíveis para criptografar tráfego entre os membros do grupo.

O servidor também envia mensagens rekey para fornecer novas chaves aos membros quando houver uma mudança na adesão ao grupo ou se a SA do grupo tiver sido alterada (por exemplo, uma política de grupo é adicionada ou eliminada).

As opções de comunicações de membro do servidor precisam ser configuradas no servidor para permitir que o servidor envie mensagens rekey para os membros do grupo.

O servidor de grupo envia uma cópia da mensagem rekey unicast para cada membro do grupo. Após o recebimento da mensagem rekey, os membros devem enviar um reconhecimento (ACK) ao servidor. Caso o servidor não receba um ACK de um membro (incluindo a retransmissão de mensagens rekey), o servidor considera o membro inativo e o remove da lista de membros. O servidor para de enviar mensagens rekey para o membro.

As declarações de configuração e as declarações de configuração para comunicações do servidor controlam number-of-retransmission o ressamento de mensagens chaves pelo servidor quando nenhum ACK é retransmission-period recebido de um membro.

O intervalo no qual o servidor envia mensagens rekey é baseado no valor da instrução de lifetime-seconds configuração na hierarquia edit security group-vpn server group group-name [ ] Novas chaves são geradas antes do vencimento das chaves KEK e TEK.

O lifetime-seconds para o KEK está configurado como parte das comunicações de membro do servidor; o padrão é de 3600 segundos. O lifetime-seconds TEK está configurado para a proposta IPsec; o padrão é de 3600 segundos.

Registro de membro

Caso um membro do grupo não receba uma nova chave SA do servidor antes da expiração da chave atual, o membro deve recadastrar-se com o servidor e obter chaves atualizadas com uma troca groupkey-pull GDOI.

Visão geral da configuração do grupo VPNv2

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. Este tópico descreve as principais tarefas para configurar o VPNv2 do grupo.

O controlador de grupo/servidor de chaves (GCKS) gerencia as SAs (Group VPNv2 Security Associations, associações de segurança do grupo) e gera chaves de criptografia e as distribui a membros do grupo. Você pode usar um cluster de servidor de VpNv2 de grupo para fornecer redundância GCKS. Consulte Compreender clusters de servidor VPNv2 do grupo.

No servidor de grupo, configure o seguinte:

  1. IKE Fase 1 SA. Consulte a compreensão IKE configuração da fase 1 para o grupo VPNv2.
  2. IPsec SA. Consulte a compreensão da configuração IPsec SA para VPNv2 do grupo.
  3. As informações do grupo VPN, incluindo o identificador de grupo, IKE gateways para membros do grupo, o número máximo de membros do grupo e as comunicações do membro do servidor. A configuração de grupo inclui uma política de grupo que define o tráfego ao qual a SA e as chaves se aplicam. A janela de tempo de cluster de servidor e de antireplay pode, opcionalmente, ser configurada. Consulte a visão geral da configuração do grupo VPNv2 e entenda a direção de tráfego do grupo VPNv2.

No membro do grupo, configure o seguinte:

  1. IKE Fase 1 SA. Consulte a compreensão IKE configuração da fase 1 para o grupo VPNv2.

  2. IPsec SA. Consulte a compreensão da configuração IPsec SA para VPNv2 do grupo.

  3. Política IPsec que define a zona de entrada (geralmente uma LAN protegida), a zona de saída (geralmente uma WAN) e o grupo DE VPN ao qual a política se aplica. Regras de exclusão ou não abertas também podem ser especificadas. Consulte Entender a direção de tráfego do grupo VPNv2.

  4. Política de segurança para permitir tráfego de VPN em grupo entre as zonas especificadas na política IPsec.

A operação do GRUPO VPNv2 requer uma topologia de roteamento funcionando que permita que os dispositivos do cliente alcancem seus locais destinados em toda a rede.

O grupo está configurado no servidor com a instrução group de configuração na hierarquia edit security group-vpn server [ ]

As informações do grupo consistem nas seguintes informações:

  • Identificador de grupo — um valor que identifica o grupo VPN. O mesmo identificador de grupo deve estar configurado no membro do grupo.

  • Cada membro do grupo está configurado com a instrução ike-gateway de configuração. Pode haver várias instâncias dessa instrução de configuração, uma para cada membro do grupo.

  • Políticas de grupo — Políticas que devem ser baixadas para os membros. As políticas de grupo descreverão o tráfego ao qual a SA e as chaves se aplicam. Consulte Entender a direção de tráfego do grupo VPNv2.

  • Limiar de membro — O número máximo de membros no grupo. Depois que o limiar de membro para um grupo é atingido, um servidor para de responder a groupkey-pull iniciações de novos membros. Consulte Compreender clusters de servidor VPNv2 do grupo.

  • Comunicação com membro do servidor — configuração opcional que permite ao servidor enviar groupkey-push mensagens rekey para os membros.

  • cluster de servidor — configuração opcional que aceita redundância de controlador de grupo/servidor de chaves (GCKS). Consulte Compreender clusters de servidor VPNv2 do grupo.

  • Antireplay — configuração opcional que detecta interceptação e reprodução de pacotes. Consulte a compreensão da antireplay do grupo VPNv2.

Compreender IKE configuração de Fase 1 para VPNv2 do grupo

Uma IKE SA de fase 1 entre um servidor de grupo e um membro do grupo estabelece um canal seguro no qual negociar SAs IPsec que são compartilhadas por um grupo. Para VPNs IPsec padrão em Juniper Networks de segurança, a configuração da Fase 1 SA consiste em especificar uma proposta IKE, política e gateway.

Para o grupo VPNv2, a configuração IKE Fase 1 SA é semelhante à configuração para VPNs IPsec padrão, mas é executada nas hierarquias [ ] e edit security group-vpn server ike [ edit security group-vpn member ike ] O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX.

Na configuração IKE proposta, você definirá o método de autenticação e os algoritmos de autenticação e criptografia que serão usados para abrir um canal seguro entre os participantes. Na configuração IKE política, você definirá o modo em que o canal da Fase 1 será negociado, especificará o tipo de troca de chaves a ser usada e referencia a proposta da Fase 1. Na configuração IKE gateway, você faz referência à política de Fase 1.

A IKE e a configuração de política do servidor de grupo devem combinar IKE a proposta e a configuração de política nos membros do grupo. Em um servidor de grupo, um IKE gateway está configurado para cada membro do grupo. Em um membro do grupo, até quatro endereços de servidor podem ser especificados na configuração IKE gateway.

Entender a configuração IPsec SA para VPNv2 do grupo

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. Depois que o servidor e o membro estabeleceram um canal seguro e autenticado na negociação da Fase 1, eles passaram a estabelecer as SAs IPsec compartilhadas por membros do grupo para proteger dados que são transmitidas entre os membros. Embora a configuração IPsec SA para VPNv2 do grupo seja semelhante à configuração de VPNs padrão, um membro do grupo não precisa negociar a SA com outros membros do grupo.

A configuração IPsec para o grupo VPNv2 consiste nas seguintes informações:

  • No servidor de grupo, uma proposta do IPsec está configurada para que o protocolo de segurança, autenticação e algoritmo de criptografia sejam usados para o SA. A proposta IPsec SA está configurada no servidor de grupo com a instrução de proposal configuração na hierarquia edit security group-vpn server ipsec [ ]

  • No membro do grupo, uma IKE autokey está configurada que referencia o identificador de grupo, o servidor de grupo (configurado com a instrução de configuração) e a interface usada pelo membro para se conectar a peers de ike-gateway grupo. O sistema autokey IKE está configurado no membro com a instrução vpn de configuração na hierarquia edit security group-vpn member ipsec [ ]

Entender a direção de tráfego do grupo VPNv2

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. O servidor de grupo distribui SAs (Security Associations, associações de segurança IPsec) e chaves para membros de um grupo especificado. Todos os membros que pertencem ao mesmo grupo compartilham o mesmo conjunto de SAs IPsec. A SA instalada em um membro de grupo específico é determinada pela política associada ao grupo SA e à política IPsec configurada no membro do grupo.

Políticas de grupo configuradas em servidores de grupo

Em um grupo de VPN, cada GRUPO SA e a chave que o servidor pressiona para um membro estão associadas a uma política de grupo. A política de grupo descreve o tráfego no qual a chave deve ser usada, incluindo protocolo, endereço de origem, porta de origem, endereço de destino e porta de destino. No servidor, a política de grupo está configurada com as match-policy policy-name opções no nível [ ] da edit security group-vpn server group name ipsec-sa name hierarquia.

Políticas de grupo que são idênticas (configuradas com o mesmo endereço de origem, endereço de destino, porta de origem, porta de destino e valores de protocolo) não podem existir para um único grupo. Um erro é devolvido se você tentar cometer uma configuração que contenha políticas de grupo idênticas para um grupo. Caso isso ocorra, você deve excluir uma das políticas de grupo idênticas antes de poder cometer a configuração.

Políticas IPsec configuradas nos membros do grupo

No membro do grupo, uma política do IPsec consiste nas seguintes informações:

  • Zona de entrada from-zone () para tráfego de grupo.

  • Zona de saída ( to-zone ) para tráfego de grupo.

  • O nome do grupo ao qual a política IPsec se aplica. Apenas um nome VPNv2 do grupo pode ser referenciado por um par específico de zona/zona.

A interface usada pelo membro do grupo para se conectar ao VPNv2 do grupo deve ser da zona de saída. Essa interface é especificada com a group-vpn-external-interface instrução no nível edit security group-vpn member ipsec vpn vpn-name da hierarquia [ ]

No membro do grupo, a política IPsec está configurada no nível edit security ipsec-policy [ ] da hierarquia. O tráfego que combina com a política IPsec é verificado ainda mais contra regras de exclusão e fail-open configuradas para o grupo.

Fail-Close

Por padrão, o tráfego que não combina com exclusão ou falhas em regras ou políticas de grupo recebidos do servidor de grupo é bloqueado; isso é conhecido como fail-close.

Excluir e deixar regras abertas

Nos membros do grupo, os seguintes tipos de regras podem ser configurados para cada grupo:

  • Tráfego excluído da criptografia VPN. Exemplos desse tipo de tráfego podem incluir BGP ou OSPF roteamento. Para excluir o tráfego de um grupo, use a set security group-vpn member ipsec vpn vpn-name exclude rule configuração. No máximo 10 regras de exclusão podem ser configuradas.

  • O tráfego crítico para a operação do cliente e que deve ser enviado em cleartext (não criptografado) caso o membro do grupo não tenha recebido uma chave de criptografia de tráfego (TEK) válida para a IPsec SA. Regras não abertas permitem esse fluxo de tráfego enquanto todos os outros tráfegos são bloqueados. Habilitar o fail-open com a set security group-vpn member ipsec vpn vpn-name fail-open rule configuração. Um máximo de 10 regras de abertura de falhas pode ser configurada.

Prioridades de políticas e regras do IPsec

As políticas e as regras do IPsec têm as seguintes prioridades sobre o membro do grupo:

  1. Excluir regras que definem tráfego a serem excluídas da criptografia VPN.

  2. Políticas de grupo baixadas do servidor de grupo.

  3. Regras não abertas que definem o tráfego enviado em cleartext caso não haja TEK válido para a SA.

  4. Política de bloqueio de falhas que bloqueia o tráfego. Esse é o padrão se o tráfego não combinar com exclusão ou falhas em regras ou políticas de grupo.

Entender o processo de sonda de recuperação do VPNv2 do grupo

O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX. Duas situações podem indicar que um membro do grupo está fora de sincronização com o servidor de grupo e outros membros do grupo:

  • O membro do grupo recebe um pacote ESP (Encapsulando o payload de segurança) com um SPI (Security Parameter Index, Índice de parâmetros de segurança) não reconhecedo.

  • Existe tráfego IPsec de saída, mas nenhum tráfego IPsec de entrada no membro do grupo.

Quando qualquer situação é detectada, um processo de sonda de recuperação pode ser acionado no membro do grupo. O processo de teste de recuperação inicia trocas GDOI em intervalos específicos para atualizar a SA do groupkey-pull membro a partir do servidor de grupo. Se houver um ataque DoS de pacotes SPI errados ou se o próprio remetente estiver fora da sincronização, a indicação de fora da sincronização no membro do grupo pode ser um alarme falso. Para evitar sobrecarregar o sistema, a iniciação é retregada em intervalos de groupkey-pull 10, 20, 40, 80, 160 e 320 segundos.

O processo de teste de recuperação é desabilitado por padrão. Para habilitar o processo de sonda de recuperação, recovery-probe configure-o edit security group-vpn member ipsec vpn vpn-name em nível de hierarquia[ ]

Entender a antireplay do grupo VPNv2

A antireplay do grupo VPNv2 é compatível com vSRX instâncias e todos os dispositivos da Série SRX, exceto dispositivos SRX5400, SRX5600 e SRX5800 de segurança. O antireplay é um recurso IPsec que pode detectar quando um pacote é interceptado e reprisado por invasores. A antireplay é desabilitada por padrão para um grupo.

Cada pacote IPsec contém um timestamp. O membro do grupo verifica se o timestamp do pacote está dentro do valor anti-replay-time-window configurado. Um pacote é descartado se o timestamp exceder o valor.

Recomendamos que o NTP seja configurado em todos os dispositivos que suportem a antireplay do grupo VPNv2.

Os membros do grupo que estão em execução em vSRX instâncias em uma máquina host onde o hipervisor está em execução sob uma carga pesada podem ter problemas que podem ser corrigidos reconfigurando-se anti-replay-time-window o valor. Se os dados que são de acordo com a política IPsec do membro do grupo não for transferido, marque a saída para verificar se show security group-vpn member ipsec statistics há erros de D3P. Certifique-se de que o NTP está funcionando corretamente. Se houver erros, ajuste o anti-replay-time-window valor.

Exemplo: Configurando um servidor e membros de vpnv2 de grupo

Este exemplo mostra como configurar um servidor VPNv2 do grupo para fornecer suporte ao controlador de grupo/servidor-chave (GCKS) aos membros do grupo VPNv2. O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX.

Requisitos

O exemplo usa os seguintes componentes de hardware e software:

  • Um dispositivo da Série SRX ou uma instância vSRX Junos OS Release 15.1X49-D30 ou mais tarde compatível com o Grupo VPNv2. Este dispositivo ou instância da Série SRX vSRX como um servidor VPNv2 de grupo.

  • Dois dispositivos da Série SRX com suporte ou vSRX instâncias que executam a versão do Junos OS 15.1X49-D30 ou mais tarde com suporte ao grupo VPNv2. Esses dispositivos ou instâncias funcionam como membros do grupo VPNv2 do grupo.

  • Dois dispositivos da Série MX com suporte que executam a versão do Junos OS 15.1R2 ou mais tarde compatíveis com o grupo VPNv2. Esses dispositivos funcionam como membros do grupo VPNv2 do grupo.

Um nome de host, uma senha do administrador raiz e acesso ao gerenciamento devem ser configurados em cada dispositivo. Recomendamos que o NTP também seja configurado em cada dispositivo.

A operação do GRUPO VPNv2 requer uma topologia de roteamento funcionando que permita que os dispositivos do cliente alcancem seus locais destinados em toda a rede. Esse exemplo se concentra na configuração de VPNv2 do grupo; a configuração do roteamento não está descrita.

Visão geral

Neste exemplo, a rede vpNv2 do grupo consiste em um servidor e quatro membros. Dois dos membros são dispositivos da Série SRX ou vSRX instâncias, enquanto os outros dois são dispositivos da Série MX. As SAs de VPN em grupo compartilhado garantem tráfego entre os membros do grupo.

As SAs de VPN do grupo devem ser protegidas por uma S.A. fase 1. Portanto, a configuração de VPN do grupo deve incluir a configuração IKE negociações da Fase 1, tanto no servidor de grupo como nos membros do grupo.

O mesmo identificador de grupo deve estar configurado no servidor de grupo e nos membros do grupo. Neste exemplo, o nome do grupo é GROUP_ID-0001 e o identificador de grupo é 1. A política de grupo configurada no servidor especifica que a S.A. e a chave são aplicadas ao tráfego entre sub-redes na gama 172.16.0.0/12.

Nos membros do SRX ou vSRX grupo, uma política IPsec está configurada para o grupo com a zona LAN como a zona de saída (tráfego de entrada) e a zona WAN como a zona para zona (tráfego de saída). Uma política de segurança também é necessária para permitir o tráfego entre as zonas de LAN e WAN.

Topologia

Figura 3 mostra os Juniper Networks de segurança a serem configurados para este exemplo.

Figura 3: Servidor de VPNv2 do grupo com membros das séries SRX ou vSRX e MXServidor de VPNv2 do grupo com membros das séries SRX ou vSRX e MX

Configuração

Configuração do servidor de grupo

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o servidor VPNv2 do grupo:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure as rotas estáticas.

  3. Configure a IKE, a política e os gateways mais eficientes.

  4. Configure a proposta do IPsec.

  5. Configure o grupo.

  6. Configure as comunicações de servidor para membro.

  7. Configure a política de grupo a ser baixada para os membros do grupo.

Resultados

A partir do modo de configuração, confirme sua configuração show interfaces inserindo os show routing-options comandos , e . show security Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do membro do grupo GM-0001 (Dispositivo da Série SRX ou vSRX Instância)

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o membro do grupo VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure as rotas estáticas.

  3. Configure a IKE, a política e o gateway.

  4. Configure o IPsec SA.

  5. Configure a política IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração show interfaces inserindo os show routing-options comandos , e . show security Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do membro do grupo GM-0002 (Dispositivo da Série SRX ou vSRX Instância)

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar o membro do grupo VPNv2:

  1. Configure interfaces, zonas de segurança e políticas de segurança.

  2. Configure as rotas estáticas.

  3. Configure a IKE, a política e o gateway.

  4. Configure o IPsec SA.

  5. Configure a política IPsec.

Resultados

A partir do modo de configuração, confirme sua configuração show interfaces inserindo os show routing-options comandos , e . show security Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Configuração do membro do grupo GM-0003 (dispositivo da série MX)

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

Para configurar o membro do grupo VPNv2:

  1. Configure as interfaces.

  2. Configure o roteamento.

  3. Configure IKE, política e gateway.

  4. Configure o IPsec SA.

  5. Configure o filtro de serviço.

  6. Configure o conjunto de serviços.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow routing-options comandos, show security , show servicesshow firewall Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Configuração do membro do grupo GM-0004 (dispositivo da série MX)

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

Para configurar o membro do grupo VPNv2:

  1. Configure as interfaces.

  2. Configure o roteamento.

  3. Configure IKE, política e gateway.

  4. Configure o IPsec SA.

  5. Configure o filtro de serviço.

  6. Configure o conjunto de serviços.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow routing-options comandos, show security , show servicesshow firewall Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação do registro de membros do grupo

Propósito

Verificar se os membros do grupo estão registrados no servidor.

Ação

Do modo operacional, insira show security group-vpn server registered-members os comandos e o show security group-vpn server registered-members detail servidor.

Verificar se as chaves de grupo são distribuídas

Propósito

Verificar se as chaves de grupo são distribuídas para os membros.

Ação

Do modo operacional, insira show security group-vpn server statistics o comando no servidor de grupo.

Verificação de SAs de VPN em grupo no servidor de grupo

Propósito

Verificar SAs de VPN em grupo no servidor de grupo.

Ação

Do modo operacional, insira os show security group-vpn server kek security-associations comandos e o servidor de show security group-vpn server kek security-associations detail grupo.

Verificação de SAs de VPN do grupo nos membros do grupo

Propósito

Verificar SAs de VPN do grupo nos membros do grupo.

Ação

Do modo operacional, insira os show security group-vpn member kek security-associations comandos show security group-vpn member kek security-associations detail e o SRX ou vSRX grupo.

Do modo operacional, insira os comandos e o show security group-vpn member kek security-associations membro do grupo da Série show security group-vpn member kek security-associations detail MX.

Verificação de SAs IPsec no servidor de grupo

Propósito

Verificar SAs IPsec no servidor de grupo.

Ação

Do modo operacional, insira os show security group-vpn server ipsec security-associations comandos e o servidor de show security group-vpn server ipsec security-associations detail grupo.

Verificação de SAs IPsec nos membros do grupo

Propósito

Verificar SAs IPsec nos membros do grupo.

Ação

Do modo operacional, insira os show security group-vpn member ipsec security-associations comandos show security group-vpn member ipsec security-associations detail e o SRX ou vSRX grupo.

Do modo operacional, insira os comandos e o show security group-vpn member ipsec security-associations membro do grupo da Série show security group-vpn member ipsec security-associations detail MX.

Verificar políticas de grupo (srx ou vSRX apenas membros do grupo)

Propósito

Verificar políticas de grupo em SRX ou vSRX grupo.

Ação

Do modo operacional, insira show security group-vpn member policy o comando no membro do grupo.

Exemplo: Configuração da comunicação do servidor VPNv2 do grupo para mensagens prontas da Unicast

Este exemplo mostra como permitir que o servidor envie mensagens prontas para unicast para os membros do grupo a fim de garantir que chaves válidas estão disponíveis para criptografar o tráfego entre os membros do grupo. O grupo VPNv2 é compatível com SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 e SRX4600 e vSRX.

Requisitos

Antes de começar:

  • Configure o servidor de grupo e os membros para IKE negociação da Fase 1.

  • Configure o servidor de grupo e os membros para IPsec SA.

  • Configure o grupo g1 no servidor de grupo.

Visão geral

Neste exemplo, você especificará os seguintes parâmetros de comunicação entre servidor e membro do g1 grupo:

  • O servidor envia mensagens rekey unicast para os membros do grupo.

  • o aes-128-cbc é usado para criptografar o tráfego entre o servidor e os membros.

  • sha-256 é usado para autenticação de membros.

Os valores padrão são usados para a vida útil e as retransmissões do KEK.

Configuração

Procedimento

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o ClI Editor no modo de configuração.

Para configurar a comunicação do membro do servidor:

  1. Definir o tipo de comunicações.

  2. Definir o algoritmo de criptografia.

  3. De definir a autenticação de membro.

Verificação

Para verificar se a configuração está funcionando corretamente, insira o show security group-vpn server group g1 server-member-communication comando.