IKE和 ESP ALG
互联网密钥交换 (IKE) 和封装安全有效负载 (ESP) 是 IP 安全 (IPsec) 协议的一部分。IKE与 ESP 流量在客户端和服务器之间交换。当IKE IPsec VPN 通过已启用 IPsec VPN 的设备时,该平台和 ESP ALG 有助于NAT IPsec VPN 问题。
了解IKE ESP ALG
当 NFX 系列 网关的专用端与公共侧的虚拟专用网 (VPN) 网关之间的 VPN 客户端之间时,NFX 系列 或 SRX 系列设备仅用作 NAT 网络地址转换 (NAT) 设备。
互联网密钥交换(IKE)和封装安全有效负载 (ESP) 信息流在客户端和服务器之间交换。但是,如果客户端不支持 NAT 遍历 (NAT-T),并且设备向两个或多个客户端分配相同的 NAT 生成的 IP 地址,设备将无法区分并正确路由返回流量。
如果用户希望同时支持支持 NAT-T 的客户端和非支持 NAT 的客户端,则还需要一些额外配置。如果存在支持 NAT-T 的客户端,则用户必须启用源NAT持久性。
IKE 和 ESP 的 ALG 将监控客户端与服务器之间的 IKE 流量,并且仅允许任何给定客户端/服务器对之间发生一次 IKE 第 2 阶段消息交换,而并非仅允许任何客户端与任何服务器之间的一次交换。
已创建IKE ESP 流量的 ALG,NAT进行了增强以实施以下功能:
使设备能够使用源IKE个源源池传递 NAT ESP 流量
要允许配置设备为相同的 IP 地址返回NAT IP 地址相同的 IP 地址,而不NAT("地址持久NAT)。因此,设备能够将客户端的传出 IKE 流量与服务器中的返回信息流关联,特别是在 IKE 会话需要退出且需要重新建立时。
还允许客户端与服务器之间产生的 ESP 流量,特别是在服务器到客户端的方向上。
返回 ESP 信息流与以下内容匹配:
作为源 IP 的服务器 IP 地址
客户端 IP 地址作为目标 IP
在 SRX1400、SRX1500、SRX3400、SRX3600、SRX5600 或 SRX5800 设备中,如果 IKE 对等方位于 NAT 设备后面,而设备将在协商期间更改 IKE 数据包的源 IP 地址,则涉及 NAT 遍历的 IKE 协商将不起作用。例如,如果 NAT 设备配置了 DIP,它将更改源 IP,因为 IKE 协议将 UDP 端口从 500 切换到 4500。(平台支持取决于Junos OS的新版本。)
了解IKE和 ESP ALG 运营
应用层 (互联网密钥交换 (IKE) 和封装安全有效负载 (ESP) 流量的路由网关 (ALG) 具有以下行为:
IKE ESP ALG 将监控客户端IKE服务器之间的流量,并且允许客户端和服务器在给定时间进行一次 IKE 第 2 阶段消息交换。
对于第 2 阶段消息:
如果客户端与服务器之间未进行第 2 阶段消息交换,IKE ALG 门将打开,用于从客户端到服务器以及从服务器到客户端的相关 ESP 流量。
如果两个 ALG IKE都未成功打开,或者已进行第 2 阶段消息交换,则丢弃第 2 阶段消息。
当 ESP 流量到达 IKE ALG 门时,将创建会话以捕获后续的 ESP 流量,并执行适当的 NATing(即从客户端到服务器流量的源 IP 地址转换,以及从服务器到客户端流量的目标 IP 地址转换)。
当 ESP 流量未攻击其中一个或两个入口时,门自然会出局。
一旦IKE ALG 门折叠或过长,则允许IKE第 2 阶段消息交换。
IKE NAT端口 4500 上的 T-T 流量不在 ALG IKE中处理。要支持同时具有 NAT-T 功能和非功能客户端,您需要启用源源地址NAT持久。
示例:配置 IKE ESP ALG
此示例展示如何配置 IKE ESP ALG,以通过 IKE 设备上的来源NAT流量和 ESP 瞻博网络流量。
要求
开始之前:
为源设备池中的所有 IP 地址配置NAT ARP。
了解 ALG 和 IKE的概念。请参阅 了解IKE ESP ALG 操作 。
概述
此示例将 IKE 和 ESP 的 ALG 配置为监控 IKE 和 ESP 流量,允许在客户端与位于 瞻博网络 设备另一侧的服务器之间交换 瞻博网络 流量。
此示例展示如何配置源 NAT池和规则集、配置自定义应用程序以支持 IKE 和 ESP ALG 并将此 ALG 关联至策略。
如果要支持支持 NAT 遍历 (NAT-T) 客户端和非标准客户端的混合,必须启用持久源 NAT 转换(因此,一旦特定源 NAT 与给定 IP 地址相关联,后续源 NAT 转换将使用相同 IP 地址)。您还必须配置自定义数据包IKE NAT应用程序,以支持在 UDP 端口 4500 中封装 IKE ESP。此配置IKE ESP 通过NAT设备。
拓扑
配置
配置源NAT池和规则集
CLI快速配置
要[edit]commit快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32 set security zones security-zone green address-book address sa1 1.1.1.0/24 set security zones security-zone red address-book address da1 2.2.2.0/24 set security nat source rule-set rs1 from zone green set security nat source rule-set rs1 to zone red set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool pool1
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI用户指南 中的 在配置模式下CLI编辑器 。
要配置源NAT池:
创建一NAT源池。
[edit ] user@host# set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
配置安全区域地址簿条目。
[edit] user@host# set security zones security-zone green address-book address sa1 1.1.1.0/24 user@host# set security zones security-zone red address-book address da1 2.2.2.0/24
创建一NAT源规则集。
[edit security nat source rule-set rs1] user@host# set from zone green user@host# set to zone red user@host# set rule r1 match source-address 1.1.1.0/24 user@host# set rule r1 match destination-address 2.2.2.0/24 user@host# set rule r1 then source-nat pool pool1
结果
在配置模式下,输入 命令以确认您的 show security nat 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
user@host# show security nat
source {
pool pool1 {
address {
10.10.10.1/32 to 10.10.10.10/32;
}
}
rule-set rs1 {
from zone green;
to zone red;
rule r1 {
match {
source-address 1.1.1.0/24;
destination-address 2.2.2.0/24;
}
then {
source-nat {
pool {
pool1;
}
}
}
}
}
如果完成设备配置,请从配置 commit 模式输入 。
配置自定义应用程序并将其与策略关联
CLI快速配置
要[edit]commit快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。
set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-alg set security policies from-zone green to-zone red policy pol1 then permit
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI用户指南 中的 在配置模式下CLI编辑器 。
要配置自定义应用程序并将其关联至策略:
配置自定义应用程序。
[edit] user@host# set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
将自定义应用程序与策略关联。
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-alg user@host# set then permit
结果
在配置模式下,输入 和 命令以确认 show applications 您的 show security zones 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show applications
application custom-ike-alg {
application-protocol ike-esp-nat;
protocol udp;
source-port 500;
destination-port 500;
}
[edit]
user@host# show security zones
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone green {
address-book {
address sa1 1.1.1.0/24;
}
}
security-zone red {
address-book {
address da1 2.2.2.0/24;
}
}
如果完成设备配置,请从配置 commit 模式输入 。
为IKE功能和非多NAT客户端配置安全服务以及 ESP ALG 支持
CLI快速配置
要[edit]commit快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。
set security nat source address-persistent set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500 set security policies from-zone green to-zone red policy pol1 match source-address sa1 set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-natt set security policies from-zone green to-zone red policy pol1 then permit
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI用户指南 中的 在配置模式下CLI编辑器 。
要配置IKE支持 NAT-T 的客户端以及 ESP ALG 支持,
全局支持持久源NAT转换。
[edit] user@host# set security nat source address-persistent
配置 IKE NAT-T 应用程序。
[edit] user@host# set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500
使用NAT将 NAT-T 应用程序关联。
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-natt user@host# set then permit
结果
在配置模式下,输入 和 命令以确认 show security nat 您的 show security policies 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security nat
source {
address-persistent;
}
[edit]
user@host# show security policies
from-zone green to-zone red {
policy pol1 {
match {
source-address sa1;
destination-address da1;
application [ custom-ike-alg custom-ike-natt ];
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
如果完成设备配置,请从配置 commit 模式输入 。
验证
要确认配置工作正常,请执行以下任务:
验证IKE ESP ALG 自定义应用程序
目的
验证是否启用了用于支持 IKE ESP ALG 的自定义应用程序。
行动
在操作模式下,输入 show security alg status 命令。
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Enabled
意义
输出显示 ALG 状态,如下所示:
启用 - 显示 ALG 已启用。
禁用 - 显示 ALG 已禁用。
验证 ALG 的安全策略
目的
验证应用程序自定义服务IKE ALG 和应用程序自定义IKE NATT。
行动
在操作模式下,输入 show security policies 命令。
user@host> show security policies
Default policy: permit-all From zone: green, To zone: red Policy: pol1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source addresses: sa1 Destination addresses: da1 Applications: custom-ike-alg, custom-ike-natt Action: permit
意义
示例输出显示,已IKE ALG 和IKE NATT 应用。
示例:启用 IKE ESP ALG 并设置超时
此示例显示如何启用 IKE ESP ALG 并设置超时值,以便 ALG 能处理 ALG 状态信息、ESP 门和 ESP 会话。
要求
了解 ALG for IKE ESP 的概念。请参阅 了解IKE ESP ALG 操作 。
概述
该IKE ESP ALG 处理 ALG 所连接的任何策略中指定的所有流量。此示例将配置 set security alg ike-esp-nat enable 语句,因此不管策略是什么,都将禁用所有 IPsec 通过流量的当前默认 IPsec 通过行为。
然后设置超时值以允许 IKE ESP ALG 处理 ALG 状态信息、ESP 门和 ESP 会话。此示例将设置 ALG 状态信息的超时。超时范围为 180 到 86400 秒。默认超时为 14400 秒。然后,您可设置在第 2 阶段交换完成之后创建的 ESP IKE的超时。超时范围为 2 到 30 秒。默认超时为 5 秒。最后,设置从 IPsec 门创建的 ESP 会话的空闲超时。如果没有流量点击会话,则在此时间段后该流量会老化。超时范围为 60 到 2400 秒。默认超时为 1800 秒。
配置
程序
CLI快速配置
要[edit]commit快速配置示例的此部分,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。
set security alg ike-esp-nat enable set security alg ike-esp-nat esp-gate-timeout 20 set security alg ike-esp-nat esp-session-timeout 2400 set security alg ike-esp-nat state-timeout 360
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何操作的说明,请参阅 CLI用户指南 中的 在配置模式下CLI编辑器 。
要启用 IKE ESP ALG 并设置超时值:
支持 IKE ESP ALG。
[edit] user@host# set security alg ike-esp-nat enable
设置 ALG 状态信息的超时。
[edit security alg ike-esp-nat] user@host# set state-timeout 360
设置在第 2 阶段交换完成之后创建的 ESP IKE的超时。
[edit security alg ike-esp-nat] user@host# set esp-gate-timeout 20
设置从 IPsec 门创建的 ESP 会话的空闲超时。
[edit security alg ike-esp-nat] user@host# set esp-session-timeout 2400
结果
在配置模式下,输入 命令以确认您的 show security alg 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
[edit]
user@host# show security alg
ike-esp-nat {
enable;
state-timeout 360;
esp-gate-timeout 20;
esp-session-timeout 2400;
}
如果完成设备配置,请从配置 commit 模式输入 。