创建安全日志记录通道
本节介绍如何将设备置于评估的配置中,以便在运行 Junos OS 的设备与远程外部存储服务器(系统日志服务器)之间通过 IPsec VPN 隧道提供加密通信通道。
ssh-rsa 身份验证方法是 FIPS 模式下允许的算法之一。
表 1 列出了 IPsec VPN 隧道支持的所有算法。
IKE 第 1 阶段提案 |
|||
|---|---|---|---|
身份验证方法 |
身份验证算法 |
DH集团 |
加密算法 |
预共享密钥 RSA 签名-2048 ECDSA 签名-256 ECDSA 签名-384 |
SHA-256 SHA-384 |
组14 组19 组20 组24 |
AES-128-CBC AES-128-GCM AES-192-CBC AES-256-CBC AES-256-GCM
|
IPSec 第 2 阶段提案 |
|||
|---|---|---|---|
身份验证算法 |
卫生署集团 |
加密方法 |
加密算法 |
HMAC-SHA1-96 HMAC-SHA-256-128 |
组14 组19 组20 组24 |
Esp |
AES-128-CBC AES-128-GCM AES-192-CBC AES-192-GCM AES-256-CBC AES-256-GCM
|
在运行 Junos OS 的设备与远程外部存储服务器之间配置可信路径或通道
本节介绍通过 IPsec VPN 隧道在运行 Junos OS 的设备与远程外部存储服务器之间提供加密通信通道所需的配置详细信息。
远程外部存储服务器是基于 Linux 的系统日志服务器,IPsec VPN 隧道在其上终止于出站接口 Eth1。从设备传输的日志数据将发送到系统日志终止接口 Eth2 和 StrongSwan 应用程序,以提供 IPsec VPN 功能。
表 2 列出了此示例中使用的 IPsec VPN 隧道详细信息。
第 1 阶段提案(P1、IKE) |
第 2 阶段提案(P2、IPSec) |
||||||
|---|---|---|---|---|---|---|---|
鉴定离子方法 |
验证离子算法 |
DH集团 |
加密算法 |
验证离子算法 |
卫生署集团 |
加密方法 |
加密算法 |
预共享密钥 |
SHA-256 |
组14 |
AES-128-CBC |
HMAC-SHA1 -96 |
组14 |
Esp |
AES-128-CBC |
图 1 显示了运行 Junos OS 的设备与远程外部存储服务器之间的加密通信通道。在设备出口接口 (Intf-1) 和远程系统日志服务器出站接口 (Eth1) 之间建立 IPsec 隧道。然后,数据从其出站接口 Eth1 在远程外部存储服务器上进行内部转发;即 Eth2 的 VPN 端点。
表 3 提供了此示例中使用的接口和 IP 配置详细信息。
运行 Junos OS 的设备 |
远程存储服务器 |
|---|---|
IP 地址: “Intf-2”接口:GE-0/0/1 – IP 地址:198.51.100.2 “Intf-1”接口:GE-0/0/2 - IP 地址:198.51.100.1 启用:将系统日志日志记录到远程系统日志服务器 |
IP 地址: 乙醚1: 198.51.100.3 乙醚2: 203.0.113.1 网关 Eth1:198.51.100.1 工具:SSH 和 Strongswan(适用于 IPsec VPN) |
要在运行 Junos OS 的设备与远程外部存储服务器之间配置可信路径或通道,请执行以下操作: