Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

量子安全 IPsec VPN

了解如何在 IKED 过程中使用和配置带外密钥检索机制,以便与量子安全 IKE 和 IPsec SA 进行协商。

量子安全概述

IPsec 通信通道依赖于互联网密钥交换 (IKE) 协议。IKE 维护安全参数以保护数据流量。安全参数包括加密和身份验证算法以及关联的密钥。

安全协议依赖于非对称加密算法,如Diffie Hellman(DH)或椭圆曲线Diffie Hellman(ECDH)来确定密钥容易受到攻击。

为避免安全攻击, RFC8784 引入了带外方法。带外方法在发起方和响应方处添加一个密钥。密钥是后量子预共享密钥 (PPK)。

  • 除了 IKEv2 中的身份验证方法之外,您还可以使用 PPK。

  • PPK 可为初始协商的 IPsec SA 中的任何子 SA 以及任何后续的 IPsec SA 提供量子抵抗力。

  • 使用 PPK 和对等身份验证密钥,发起方和响应方可以检测到密钥不匹配。

量子安全概述

IPsec 通信通道依赖于互联网密钥交换 (IKE) 协议。IKE 维护安全参数以保护数据流量。安全参数包括加密和身份验证算法以及关联的密钥。

安全协议依赖于非对称加密算法,如Diffie Hellman(DH)或椭圆曲线Diffie Hellman(ECDH)来确定密钥容易受到攻击。

为避免安全攻击, RFC8784 引入了带外方法。带外方法在发起方和响应方处添加一个密钥。密钥是后量子预共享密钥 (PPK)。

  • 除了 IKEv2 中的身份验证方法之外,您还可以使用 PPK。

  • PPK 可为初始协商的 IPsec SA 中的任何子 SA 以及任何后续的 IPsec SA 提供量子抵抗力。

  • 使用 PPK 和对等身份验证密钥,发起方和响应方可以检测到密钥不匹配。

Junos 密钥管理器概述

您可以使用 Junos 密钥管理器 (JKM) 配置静态密钥或动态密钥来保护数据平面和控制平面。

JKM 进程充当客户端或加密应用程序之间的密钥存储和代理。客户端或加密应用程序需要一个密钥来与对等方或应用程序建立加密且经过身份验证的量子安全会话。量子保险箱使用带外密钥检索机制,让两个对等方拥有密钥。不同的带外机制将具有不同的协议或通信方法。JKM 为客户端或加密应用程序提供了一个通用的统一接口进行通信。

密钥检索机制

IKED 进程中的两种带外密钥检索机制,用于与量子安全 IKE 和 IPsec SA 进行协商。

  • 静态密钥 — 使用静态密钥配置文件,您可以配置静态密钥 ID 和相应的密钥。每次通过静态密钥配置文件向 JKM 发出请求时,都会生成相同的静态密钥 ID 和密钥。

  • 量子密钥管理器 — 使用量子密钥管理器密钥配置文件,您可以访问量子密钥分发 (QKD) 设备和量子网络。量子网络在对等方之间生成和交换量子密钥。每次通过量子密钥管理器密钥配置文件向 JKM 发出请求时,都会生成不同的密钥 ID 和密钥。

Junos 密钥管理器概述

您可以使用 Junos 密钥管理器 (JKM) 配置静态密钥或动态密钥来保护数据平面和控制平面。

JKM 进程充当客户端或加密应用程序之间的密钥存储和代理。客户端或加密应用程序需要一个密钥来与对等方或应用程序建立加密且经过身份验证的量子安全会话。量子保险箱使用带外密钥检索机制,让两个对等方拥有密钥。不同的带外机制将具有不同的协议或通信方法。JKM 为客户端或加密应用程序提供了一个通用的统一接口进行通信。

密钥检索机制

IKED 进程中的两种带外密钥检索机制,用于与量子安全 IKE 和 IPsec SA 进行协商。

  • 静态密钥 — 使用静态密钥配置文件,您可以配置静态密钥 ID 和相应的密钥。每次通过静态密钥配置文件向 JKM 发出请求时,都会生成相同的静态密钥 ID 和密钥。

  • 量子密钥管理器 — 使用量子密钥管理器密钥配置文件,您可以访问量子密钥分发 (QKD) 设备和量子网络。量子网络在对等方之间生成和交换量子密钥。每次通过量子密钥管理器密钥配置文件向 JKM 发出请求时,都会生成不同的密钥 ID 和密钥。

将密钥配置文件用于量子安全 IPsec VPN

使用静态密钥配置文件,您可以配置静态密钥 ID 和相应的密钥。要建立量子安全 IPsec SA,请在 IPsec-VPN 配置中使用静态密钥配置文件作为后量子预共享密钥 (PPK) 配置文件。使用相同的密钥和密钥 ID 重新验证现有 IKE SA。

使用量子密钥管理器密钥配置文件,要访问量子网络,您需要访问 QKD 设备。量子网络在对等方之间生成和交换量子密钥。您可以配置所有必要的参数,例如本地 SAE ID、QKD 设备的 URL 等。要建立 IPsec SA,请在 IPsec VPN 配置中使用量子密钥管理器密钥配置文件作为后量子预共享密钥 (PPK) 配置文件。使用不同的密钥和密钥 ID 重新验证现有 IKE SA。

将密钥配置文件用于量子安全 IPsec VPN

使用静态密钥配置文件,您可以配置静态密钥 ID 和相应的密钥。要建立量子安全 IPsec SA,请在 IPsec-VPN 配置中使用静态密钥配置文件作为后量子预共享密钥 (PPK) 配置文件。使用相同的密钥和密钥 ID 重新验证现有 IKE SA。

使用量子密钥管理器密钥配置文件,要访问量子网络,您需要访问 QKD 设备。量子网络在对等方之间生成和交换量子密钥。您可以配置所有必要的参数,例如本地 SAE ID、QKD 设备的 URL 等。要建立 IPsec SA,请在 IPsec VPN 配置中使用量子密钥管理器密钥配置文件作为后量子预共享密钥 (PPK) 配置文件。使用不同的密钥和密钥 ID 重新验证现有 IKE SA。

量子密钥分发

量子密钥分发 (QKD) 是一种使用量子的安全密钥分发方法。网络使用量子通道在两端生成相同的密钥,并监控对等方之间的量子通道。这些密钥是动态的,用于保护数据平面和控制平面。

密钥管理实体 (KME) 是我们用来指代管理或控制层上的 QKD 设备的术语。QKD 设备通过其量子或 QKD 网络相互连接。KME 通过安全通道在公共网络上进行连接,以交换任何控制消息。应用程序、安全应用程序实体 (SAE) 和设备通过符合 ETSI 规范的安全通道与 KME 交互。HTTPS 与相互 TLS 身份验证相结合,并通过 QKD 网络实现安全操作。

图 1: 两台设备与其相应的 QKD 设备交互以建立量子安全会话两台设备与其相应的 QKD 设备交互以建立量子安全会话

图 1 中,介绍了两台设备如何与其对应的 QKD 设备交互以建立量子安全会话

  • SAE A 角色是主要角色。SAE A 充当与 SAE B 建立量子安全会话的发起方。

  • SAE B 角色是次要角色。SAE B 充当响应方。

  • SAE A 通过获取密钥 API 请求 KME A,以生成新的量子密钥,并与目标 SAE ID 的 SAE B 共享。

  • KME A 执行操作,并使用生成的密钥 ID 和密钥材料响应 SAE A。

  • KME B 通过 QKD 网络接收密钥材料和生成的 ID 密钥。

  • SAE A 使用相同的密钥和密钥 ID 直接启动与 SAE B 的安全会话。

  • 消息交换可与 SAE B 建立安全会话。

  • SAE A 以明文形式发送密钥 ID,或者针对用于保护与 SAE B 的会话的相应量子密钥进行加密。

  • SAE B 收到密钥 ID 后,SAE B 会通过包含 ID 的获取密钥 API 联系 KME B,以获取给定密钥 ID 和目标 SAE ID 或 SAE A 的相应量子密钥。

  • SAE B 获得密钥后,将在 SAE A 和 SAE B 之间建立完全量子安全会话。

量子密钥分发

量子密钥分发 (QKD) 是一种使用量子的安全密钥分发方法。网络使用量子通道在两端生成相同的密钥,并监控对等方之间的量子通道。这些密钥是动态的,用于保护数据平面和控制平面。

密钥管理实体 (KME) 是我们用来指代管理或控制层上的 QKD 设备的术语。QKD 设备通过其量子或 QKD 网络相互连接。KME 通过安全通道在公共网络上进行连接,以交换任何控制消息。应用程序、安全应用程序实体 (SAE) 和设备通过符合 ETSI 规范的安全通道与 KME 交互。HTTPS 与相互 TLS 身份验证相结合,并通过 QKD 网络实现安全操作。

图 2: 两台设备与其相应的 QKD 设备交互以建立量子安全会话两台设备与其相应的 QKD 设备交互以建立量子安全会话

图 2 中,介绍了两台设备如何与其对应的 QKD 设备交互以建立量子安全会话

  • SAE A 角色是主要角色。SAE A 充当与 SAE B 建立量子安全会话的发起方。

  • SAE B 角色是次要角色。SAE B 充当响应方。

  • SAE A 通过获取密钥 API 请求 KME A,以生成新的量子密钥,并与目标 SAE ID 的 SAE B 共享。

  • KME A 执行操作,并使用生成的密钥 ID 和密钥材料响应 SAE A。

  • KME B 通过 QKD 网络接收密钥材料和生成的 ID 密钥。

  • SAE A 使用相同的密钥和密钥 ID 直接启动与 SAE B 的安全会话。

  • 消息交换可与 SAE B 建立安全会话。

  • SAE A 以明文形式发送密钥 ID,或者针对用于保护与 SAE B 的会话的相应量子密钥进行加密。

  • SAE B 收到密钥 ID 后,SAE B 会通过包含 ID 的获取密钥 API 联系 KME B,以获取给定密钥 ID 和目标 SAE ID 或 SAE A 的相应量子密钥。

  • SAE B 获得密钥后,将在 SAE A 和 SAE B 之间建立完全量子安全会话。

为 Junos 密钥管理器配置静态密钥配置文件

此示例说明如何为 Junos 密钥管理器配置静态密钥配置文件。在相关网关上配置静态密钥,无需通过互联网共享静态密钥即可建立 IPsec 隧道。

要求

  1. 硬件要求 —瞻博网络® SRX1500防火墙和更高编号的设备型号或瞻博网络®vSRX 虚拟防火墙 (vSRX3.0)。

  2. 软件要求 - Junos OS 22.4R1 或更高版本,带有 JUNOS ike 软件 JUNOS Key Manager 包。

概述

对于基于静态密钥的配置文件,您需要配置静态密钥 ID 和对应的密钥。如果在 IPsec VPN 对象中使用静态密钥配置文件,则在对现有 IKE SA 进行重新身份验证时,将使用相同的密钥和密钥 ID。

配置

为 Junos 密钥管理器配置静态密钥配置文件。

验证

目的

验证静态密钥配置文件和密钥。

操作

在操作模式下,输入 request security key-manager profiles get profile-keys name km_profile_1 以查看静态密钥配置文件和密钥。

在操作模式下,输入 show security key-manager profiles name km_profile_1 detail 以查看静态密钥配置文件的详细信息。

意义

显示 request security key-manager profiles get profile-keys name km_profile_1 状态、静态密钥配置文件名称、类型、密钥大小、密钥 ID 和密钥。

显示 show security key-manager profiles name km_profile_1 detail 静态密钥配置文件名称、类型和请求状态。

示例:为站点到站点 VPN 配置静态密钥配置文件

使用此配置示例可以配置静态密钥配置文件。您可以使用静态密钥配置文件来保护 IPsec 站点到站点 VPN 基础架构。

您可以通过配置静态密钥配置文件来保护 IPsec 站点到站点 VPN 基础架构。

在此配置示例中,SRX1 和 SRX2 设备使用静态密钥配置文件获取 IPsec VPN 上的 QKD 密钥。QKD 密钥有助于在互联网上安全地发送流量。

提示:
表 1: 预估计时器

阅读时间

不到一个小时

配置时间

不到一个小时

先决条件示例

表 2: 要求

硬件要求

® 瞻博网络SRX1500防火墙或更高编号的设备型号或瞻博网络®vSRX 虚拟防火墙 (vSRX3.0)

软件要求

Junos OS 22.4R1 或更高版本。

开始之前

表 3: 优势、资源和其他信息

优势

  • 威胁识别

    通过配置量子密钥,您可以在 QKD 设备之间建立安全的量子通道。这样便能改进威胁识别并确保网络安全。

  • 扩展安全性

    您可以将现有密钥与量子密钥合并,并通过现有 VPN 隧道对其进行加密和解密。这提高了 IPsec VPN 基础架构的安全性。

  • 增强的加密强度

    RFC 8784 合规性为您提供了一种防止攻击者窃听连接和拦截密钥的简单方法。这也确保了与符合标准的其他设备的互操作性。

实用资源

  

了解更多

实践经验

vLABs 沙盒

了解更多

RFC 8784 - 在互联网密钥交换协议第 2 版 (IKEv2) 中混合预共享密钥以实现后量子安全

功能概述

表 4: 静态密钥管理器功能概述
IPsec VPN

部署一个 IPsec VPN 拓扑,其中 SRX 系列防火墙设备通过 VPN 隧道连接,这些 VPN 隧道通过 IPsec VPN 隧道发送流量。VPN 隧道稍后配置为使用量子密钥,使其成为量子安全 VPN 隧道。
IKE 网关

建立安全连接时,IKE 网关使用 IKE 策略将自身限制为已配置的 CA 组(CA 配置文件),同时验证证书。
建议
IKE 提案

定义用于与对等安全网关建立安全 IKE 连接的算法和密钥。

IKE 创建动态 SA 并就 IPsec 对其进行协商。
IPsec 提议

列出要与远程 IPsec 对等方协商的协议、算法和安全服务。
策略
IKE 策略

定义在 IKE 协商期间要使用的安全参数(IKE 提议)组合。
IPsec 策略

包含规则和安全策略,以允许在指定区域之间分组 VPN 流量。
安全策略

允许您选择要通过 IPsec SA 保护的数据流量类型。

  • VPN-OUT – 允许从信任区域到 VPN 区域的流量,其中匹配条件为:

    • 源地址:主机-1-Net

    • 目标地址:主机-2-网络

    • 应用:任何

  • VPN-IN – 允许从 VPN 区域到信任区域的流量,其中匹配条件为:

    • 源地址:主机-2-网络

    • 目标地址:主机-1-Net

    • 应用:任何

配置文件

密钥配置文件

定义 SRX 系列防火墙设备如何使用静态密钥配置文件在 IPsec VPN 上获取 QKD 密钥,以便通过互联网安全地发送流量。

  • 密钥配置文件 — 为应用程序和服务配置静态密钥配置文件 km_profile_1 ,以检索配置的密钥 ID 和对应的密钥。

  • IKE 提议 — IKE 提议 IKE_PROP 配置了建立 IKE SA 所需的算法。

  • IKE 策略 — 配置 IKE 策略 IKE_POL 以设置运行时协商和身份验证属性。

  • IKE 网关 — IKE 网关 IKE_GW 配置为管理端点之间的 IPsec 隧道。A ppk-profile 指示用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。

  • IPsec 提议 — IPsec 提议 IPSEC_PROP 配置了建立 IPsec SA 所需的算法。

  • IPsec 策略 — 配置了 IPsec 策略 IPSEC_POL 以设置运行时 IPsec 协商属性。

  • IPsec VPN — 配置 IPsec VPN 策略 IPSEC_VPN 以设置需要保护的子网范围。

  • 安全区域 — 三个不同的安全区域 trustuntrustvpn 经过配置,可以更好地隔离每个区域内的预期流量。

  • 安全策略 — 在安全区域之间配置安全策略 trust to vpnvpn to trust 以过滤掉通过 IPsec SA 保护的数据流量类型。
PPK 信息

通过引用 IKE 网关下的密钥配置文件,指明用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。
证书
CA 证书 验证设备的身份并验证它们之间的通信链路。
本地证书 生成 PKI 并使用 CA 证书注册以进行验证。
KME证书 供应商生成的第三方证书
安全区域
trust

主机区域的网段
untrust

目标服务器区域的网络分段
vpn

SRX1 和 SRX2 设备通过其交互的网段。

主要验证任务

 验证已建立的 IKE 和 IPsec SA 是否为量子安全。

拓扑概述

在此示例中,SRX1 使用 CLI 配置的静态密钥与 SRX2 启动量子安全 IPsec 隧道协商。SRX2 通过验证 SRX1 的身份和密钥来响应此请求,并建立量子安全 IPsec VPN。隧道建立后,将使用建立的 IPsec 隧道保护 Host1 和 Host2 之间的数据流量。

表 5: 此配置中使用的设备、角色和功能

主机名

角色

功能
SRX1

能够建立 IPsec 隧道的 SRX 系列防火墙

使用 SRX1 上配置的静态密钥发起 IKE 或 IPsec SA 协商,并与 SRX2 建立量子安全 IPsec 隧道。
SRX2 能够建立 IPsec 隧道的 SRX 系列防火墙 响应 SRX1 发起的 IKE 或 IPsec SA 协商,并使用 SRX2 上配置的静态密钥建立量子安全 IPsec 隧道。
主机1 SRX1 的可信区域或 LAN 端内的主机 发起流向 Host2 的客户端流量
主机2 SRX2 的可信区域或 LAN 端内的主机 响应来自 Host1 的客户端流量

拓扑图示

图 3: 站点到站点 VPN 站点到站点 VPN

SRX 系列防火墙设备上的分步配置

注:

有关 DUT 的完整示例配置,请参阅:

此配置仅适用于 SRX1 和 SRX2 设备。您必须进行特定于设备的相应配置更改。

  1. 配置接口。

  2. 使用密钥 ID 和对应的密钥配置静态类型的密钥配置文件。

  3. 配置安全区域。

验证

本部分提供可用于验证此示例中的功能的 show 命令列表。

表 6: 显示要验证的命令

命令

验证任务

显示安全 IKE 安全关联详细信息

验证是否已建立 IKE SA。

显示安全 IPsec 安全关联详细信息

验证 IPsec SA 是否已建立。

显示安全 IPsec 统计信息

验证 IPsec 加密和解密统计信息。

显示安全密钥管理器配置文件详细信息

验证密钥配置文件统计信息。

ping 192.168.80.20 源 192.168.90.20 计数 4

从 HOST1 到 HOST2 的 Ping,反之亦然。

验证 IKE SA

目的

验证 IKE SA

操作

在操作模式下,输入 show security ike security-associations detail 命令,以查看 IKE SA。

意义

Role: Initiator, State: UPPPK-profile: km_profile_1 Optional: NoIPSec security associations: 4 createdFlags: IKE SA is created和字段表示 IKE SA 创建成功。

验证 IPsec SA

目的

验证 IPsec SA

操作

在操作模式下,输入 show security ipsec security-associations detail 命令,以查看 IPsec SA。

意义

Version: IKEv2 Quantum Secured: Yestunnel-establishment: establish-tunnels-immediately IKE SA Index: 1 字段表示 IPsec SA 创建成功。

示例输出确认 IPsec SA。

验证 IPsec 统计信息

目的

验证 IPsec 统计信息。

操作

在操作模式下,输入 show security ipsec statistics 命令,以查看 IPsec 统计信息。

意义

ESP StatisticsAH Statistics 字段显示 IPsec 统计信息。

验证密钥管理器配置文件

目的

验证密钥管理器配置文件。

操作

在操作模式下,输入 show security key-manager profiles 详细信息以查看密钥管理器配置文件。

意义

Name: km_profile_1Type: Static 字段显示密钥管理器配置文件。

从 HOST 1 到 HOST 2 的 Ping

目的

验证从主机 1 到主机 2 的连接。

操作

在操作模式下,输入 ping 192.168.80.20 源 192.168.90.20 计数 4 以查看从主机 1 到主机 2 的连接。

意义

确认 PING 192.168.80.20 (192.168.80.20): 56 data bytes 从主机 1 到主机 2 的连接。

附录1:在所有设备上设置命令

在所有设备上设置命令输出。

在 SRX1 上设置命令
在 SRX2 上设置命令

附录2:显示 DUT 上的配置输出

SRX1

在配置模式下,输入show security key-manager profiles、、show security key-managershow security zonesshow security ipsec policy IPSEC_POLshow interfacesshow security ike proposal IKE_PROPshow security ipsec vpn IPSEC_VPNshow security policiesshow security ike policy IKE_POLshow security ike gateway IKE_GWshow security ipsec proposal IPSEC_PROP和命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

SRX2

在配置模式下,输入show security key-manager profiles、、show security key-managershow security zonesshow security ipsec policy IPSEC_POLshow interfacesshow security ike proposal IKE_PROPshow security ipsec vpn IPSEC_VPNshow security policiesshow security ike policy IKE_POLshow security ike gateway IKE_GWshow security ipsec proposal IPSEC_PROP和命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

示例:使用 Quantum Key Manager 密钥配置文件配置量子安全 IPsec AutoVPN 拓扑

使用此配置示例可以通过配置量子密钥管理器密钥配置文件来保护 IPsec AutoVPN 基础架构。

Hub、Spoke 1 和 Spoke 2 使用量子密钥管理器密钥配置文件与 KME Hub、KME Spoke 1 和 KME Spoke 2 通信,以获取 QKD 密钥并建立 IPsec VPN 隧道。

提示:
表 7: 预估计时器

阅读时间

不到一个小时。

配置时间

不到一个小时。

先决条件示例

表 8: 硬件和软件要求

硬件要求

  • ® 瞻博网络SRX1500防火墙或更高编号的设备型号或瞻博网络®vSRX 虚拟防火墙 (vSRX3.0)

  • 第三方密钥管理实体 (KME) 或量子密钥分发 (QKD) 设备。KME 参数符合 ETSI GS QKD 014 规范。

软件要求

Junos OS 22.4R1 或更高版本。

开始之前

表 9: 优势、资源和其他信息

优势

  • 威胁识别

    在 QKD 设备之间建立安全的量子通道,保证借助量子密钥识别威胁。

  • 扩展安全性

    将现有密钥与量子密钥合并,并通过现有 VPN 隧道对其进行加密和解密,从而扩展 IPsec VPN 基础架构的安全性。

  • 符合 RFC 8784

    扩展已经标准化的 RFC 8784 过程。

实用资源

  

了解更多

实践经验

vLab 沙盒:IPsec VPN - 基于策略

了解更多

功能概述

表 10 提供此示例中部署的配置组件的快速摘要。

表 10: Quantum Key Manager 功能概述
IPsec VPN

部署中心辐射型 IPsec VPN 拓扑,其中分支通过通过中枢发送流量的 VPN 隧道连接。这些 VPN 隧道稍后会配置为使用量子密钥,使其成为量子安全 VPN 隧道。
IKE 网关

建立安全连接时,IKE 网关使用 IKE 策略将自身限制为已配置的 CA 组(CA 配置文件),同时验证证书。
建议
IKE 提案

定义用于与对等安全网关建立安全 IKE 连接的算法和密钥。

IKE 创建动态 SA 并就 IPsec 对其进行协商。
IPsec 提议

列出要与远程 IPsec 对等方协商的协议、算法和安全服务。
策略
IKE 策略

定义在 IKE 协商期间要使用的安全参数(IKE 提议)组合。
IPsec 策略

包含规则和安全策略,以允许在指定区域之间分组 VPN 流量。
安全策略

允许您选择要通过 IPsec SA 保护的数据流量类型。

  • VPN-OUT – 允许从信任区域到 VPN 区域的流量,其中匹配条件为:

    • 源地址:主机-1-Net

    • 目标地址:主机-2-网络

    • 应用:任何

  • VPN-IN – 允许从 VPN 区域到信任区域的流量,其中匹配条件为:

    • 源地址:主机-2-网络

    • 目标地址:主机-1-Net

    • 应用:任何

配置文件
密钥配置文件

定义 SRX 设备如何与 KME 设备通信,以便从外部 KME 服务器检索 QKD 密钥。密钥配置文件分别配置在集线器 (HUB_KM_PROFILE_1) 和分支(SPOKE_1_KM_PROFILE_1 和 SPOKE_2_KM_PROFILE_1)上。

为应用和服务配置 SPOKE-1SPOKE-2 以从外部服务器检索 QKD 密钥。

  • 密钥配置文件 — 在 Hub 上配置以下量子密钥管理器密钥配置文件。

    • HUB_KM_PROFILE_1

    • SPOKE_1_KM_PROFILE_1

    • SPOKE_2_KM_PROFILE_1

  • 配置 SPOKE-1 并使用 SPOKE-2 所需的算法建立 IKE SA。

    IKE 提议 — 在 Hub 上配置以下 IKE 提议。

    • HUB_IKE_PROP

    • SPOKE_1_IKE_PROP

    • SPOKE_2_IKE_PROP

  • 配置 SPOKE-1SPOKE-2 设置运行时协商和身份验证属性。

    IKE 策略 — 在集线器上配置以下 IKE 策略。

    • HUB_IKE_POL

    • SPOKE_1_IKE_POL

    • SPOKE_3_IKE_POL

  • 配置 SPOKE-1SPOKE-2 设置 IPsec 隧道之间的终结点。

    IKE 网关 — 在 the Hub 上配置以下 IKE 网关。

    A ppk-profile 指示用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。

    • HUB_IKE_GW

    • SPOKE_1_IKE_GW

    • SPOKE_2_IKE_GW

  • 配置 SPOKE-1 并使用 SPOKE-2 所需的算法建立 IPsec SA。

    IPsec 提议 — 在 the Hub 上配置以下 IPsec 提议。

    • HUB_IPSEC_PROP

    • SPOKE_1_IPSEC_PROP

    • SPOKE_2_IPSEC_PROP

  • 配置 SPOKE-1SPOKE-2 设置运行时 IPsec 协商属性。

    IPsec 策略 — 在 the Hub 上配置以下 IPsec 策略。

    • HUB_IPSEC_POL

    • SPOKE_1_IPSEC_POL

    • SPOKE_2_IPSEC_POL

  • 配置 SPOKE-1SPOKE-2 设置需要保护的子网范围。

    IPsec VPN — 在 the Hub 上配置以下 IPsec VPN。

    • HUB_IPSEC_VPN

    • SPOKE_1_IPSEC_VPN

    • SPOKE_2_IPSEC_VPN

  • 安全区域 — 配置三个不同的安全区域以隔离流量。

    • trust

    • untrust

    • vpn

  • 安全策略 — 配置安全策略 trust to vpnvpn to trust 选择通过 IPsec SA 保护的数据流量类型。
PPK 信息

通过引用 IKE 网关下的密钥配置文件,指明用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。
证书
CA 证书 验证设备的身份并验证它们之间的通信链路。
本地证书 生成 PKI 并使用 CA 证书注册以进行验证。
KME证书 供应商生成的第三方证书。
安全区域
trust

主机区域的网段。
untrust

目标服务器区域的网段。
vpn

中心辐射公司通过它进行交互的网段。

主要验证任务

验证已建立的 IKE 和 IPsec SA 是否为量子安全。

拓扑概述

在此示例中,我们使用第三方 KME 设备生成的量子密钥保护中心辐射型 IPsec VPN 隧道。KME 设备(KME-Hub、KME-Spoke 1 和 KME-Spoke 2)通过高度安全且能够识别威胁的量子通道相互连接。使用此通道,中心辐射型设备从相应的 KME 设备检索量子密钥,并将其与现有密钥合并,以使 VPN 隧道实现量子安全。

表 11: Quantum Key Manager 拓扑组件

拓扑组件

角色

功能
Hub 能够建立 IPsec 隧道的 SRX 系列防火墙 响应 IKE 或 IPsec SA 协商,并使用 KME-HUB QKD 设备的 SPOKE-1SPOKE-2QKD 密钥建立量子安全 IPsec 隧道。
SPOKE-1 能够建立 IPsec 隧道的 SRX 系列防火墙 启动 IKE 或 IPsec SA 协商,并使用 QKD 设备中的 QKD 密钥 KME-SPOKE-1 与集线器建立量子安全 IPsec 隧道。
SPOKE-2 能够建立 IPsec 隧道的 SRX 系列防火墙 启动 IKE 或 IPsec SA 协商,并使用 QKD 设备中的 QKD 密钥 KME-SPOKE-2 与集线器建立量子安全 IPsec 隧道。
HOST-1 受信任区域或 的 SPOKE 1Host 1 LAN 端内的主机受 SPOKE 1保护。 将客户端流量引导至以下 HOST-3
HOST-2 受信任区域或 的 SPOKE 2Host 2 LAN 端内的主机受 SPOKE 2保护。 将客户端流量引导至以下 HOST-3
HOST- 3 托管在集线器的可信区域或 LAN 端。 Host 3Hub保护。 响应来自 HOST-1 和 的客户端流量 HOST-2
KME-HUB 第三方 QKD 设备 提供 QKD 密钥以响应来自 HUB
KME-SPOKE-1 第三方 QKD 设备 提供 QKD 密钥以响应来自 SPOKE-1
KME-SPOKE-2 第三方 QKD 设备 提供 QKD 密钥以响应来自 SPOKE-2

拓扑图示

图 4: 使用 AutoVPN 的量子密钥管理器使用 AutoVPN 的量子密钥管理器

在 Hub 上进行分步配置

注:

有关中心辐射型设备上的完整示例配置,请参阅:

  1. 配置中枢接口。

  2. 配置中心辐射型 IPsec VPN。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

    将集线器配置为从 CA 服务器获取 CA 证书,或从设备加载本地可用的 CA 证书。

    注:

    KME 证书需要按照第三方供应商的说明进行配置。

    配置 IPsec 提议和策略。为 IPsec VPN 配置 IKE 策略、提议和网关。

  3. 配置量子密钥管理器密钥配置文件,以从相应的 KME-Hub 设备检索量子密钥。

  4. 将量子密钥管理器密钥配置文件绑定为 IKE 网关 ppk-profile,以使 VPN 隧道实现量子安全。

如果完成设备配置,请从配置模式输入 commit

分支设备上的分步配置

注:

有关设备上的完整示例配置,请参阅:

此配置适用于分支 1 和分支 2 设备,您必须针对特定于设备进行适当的配置更改。

  1. 配置分支接口。

  2. 配置中心辐射型 IPsec VPN。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

    将集线器配置为从 CA 服务器获取 CA 证书,或从设备加载本地可用的 CA 证书。

    注:

    KME 证书需要按照第三方供应商的说明进行配置。

    配置 IPsec 提议和策略。为 IPsec VPN 配置 IKE 策略、提议和网关。

  3. 配置量子密钥管理器密钥配置文件,以从相应的分支设备检索量子密钥。

  4. 将量子密钥管理器密钥配置文件绑定为 IKE 网关 ppk-profile,以使 VPN 隧道实现量子安全。

如果完成设备配置,请从配置模式输入 commit

验证

本部分提供可用于验证此示例中的功能的 show 命令列表。

表 12: 验证任务
命令 验证任务

显示安全 IKE 安全关联详细信息

 验证 IKE SA。

显示安全 IPsec 安全关联详细信息

 验证 IPsec SA。

显示安全 IPsec 统计信息

 验证 IPsec 加密和解密统计信息。

显示安全密钥管理器配置文件详细信息

 验证密钥配置文件统计信息。

ping 192.168.90.20 源 192.168.80.20 计数 4

 从主机 1 到主机 3 的 Ping。

ping 192.168.90.20 源 192.168.70.20 计数 4

 从主机 2 到主机 3 的 Ping。

验证 IKE SA

目的

验证 IKE SA。

操作

在操作模式下,输入 show security ike security-associations detail 命令,以查看 IKE SA。

意义

示例输出确认 IKE SA。

验证 IPsec SA

目的

验证 IPsec SA。

操作

在操作模式下,输入 show security ipsec security-associations detail 命令,以查看 IPsec SA。

意义

示例输出确认 IPsec SA。

验证 IPsec 统计信息

目的

验证 IPsec 统计信息。

操作

在操作模式下,输入 show security ipsec statistics 命令,以查看 IPsec 统计信息。

意义

示例输出确认 IPsec 统计信息。

验证密钥管理器配置文件

目的

验证密钥管理器配置文件。

操作

在操作模式下,输入 show security key-manager profiles detail 命令并验证 Success 选项中的 Request stats 字段。

意义

示例输出确认量子密钥管理器配置文件。

从主机 1 到主机 3 的 Ping

目的

验证从主机 1 到主机 3 的连接。

操作

在操作模式下,输入 ping 192.168.90.20 source 192.168.80.20 count 5 命令以查看从主机 1 到主机 3 的连接。

意义

示例输出确认从主机 1 到主机 3 的连接。

从主机 2 到主机 3 的 Ping

目的

验证从主机 2 到主机 3 的连接。

操作

在操作模式下,输入 ping 192.168.90.20 source 192.168.80.20 count 5 命令,以查看从主机 2 到主机 3 的连接。

意义

示例输出确认从主机 2 到主机 3 的连接。

附录1:在所有设备上设置命令

在所有设备上设置命令输出。

在集线器上设置命令
在分支 1 上设置命令
在分支 2 上设置命令

附录2:显示 DUT 上的配置输出

在 DUT 上显示命令输出。

枢纽

在配置模式下,输入show security pki ca-profile Root-CA、、show security key-managershow security ike policy HUB_IKE_POLshow security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security policies from-zone vpn to-zone trustshow security ike proposal HUB_IKE_PROPshow security ipsec proposal HUB_IPSEC_PROPshow interfacesshow security ike gateway HUB_IKE_GWshow security ipsec policy HUB_IPSEC_POLshow security ipsec vpn HUB_IPSEC_VPNshow security zones security-zone untrust和命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

辐条 1

在配置模式下,输入show security pki ca-profile Root-CA、、show security key-manager profiles SPOKE_1_KM_PROFILE_1show security ike policy SPOKE_1_IKE_POLshow security zones security-zone untrustshow security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security ike proposal SPOKE_1_IKE_PROPshow security ipsec proposal SPOKE_1_IPSEC_PROPshow security policies from-zone vpn to-zone trustshow security ike gateway SPOKE_1_IKE_GWshow security ipsec policy SPOKE_1_IPSEC_POLshow security ipsec vpn SPOKE_1_IPSEC_VPNshow interfaces和命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

辐条 2

在配置模式下,输入show security pki ca-profile Root-CA、、show security key-manager profiles SPOKE_1_KM_PROFILE_1show security ike policy SPOKE_1_IKE_POLshow security zones security-zone untrustshow security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security ike proposal SPOKE_1_IKE_PROPshow security ipsec proposal SPOKE_1_IPSEC_PROPshow security policies from-zone vpn to-zone trustshow security ike gateway SPOKE_1_IKE_GWshow security ipsec policy SPOKE_1_IPSEC_POLshow security ipsec vpn SPOKE_1_IPSEC_VPNshow interfaces和命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

示例:为 AutoVPN 配置静态密钥配置文件

使用此配置示例可以通过配置静态密钥配置文件来保护 IPsec AutoVPN 基础架构。

您可以通过配置静态密钥配置文件来保护 IPsec AutoVPN 基础架构。

在此配置示例中,集线器、分支 1 和分支 2 使用静态密钥配置文件获取 IPsec VPN 上的 QKD 密钥。QKD 密钥有助于在互联网上安全地发送流量。

提示:
表 13: 预估计时器

阅读时间

不到一个小时

配置时间

不到一个小时

先决条件示例

表 14: 要求

硬件要求

  • ® 瞻博网络SRX1500防火墙或更高编号的设备型号或瞻博网络®vSRX 虚拟防火墙 (vSRX3.0)

  • 第三方密钥管理实体 (KME) 或量子密钥分发 (QKD) 设备。KME 参数符合 ETSI GS QKD 014 规范。

软件要求

Junos OS 22.4R1 或更高版本。

开始之前

表 15: 优势、资源和其他信息

优势

  • 威胁识别

    通过配置量子密钥,您可以在 QKD 设备之间建立安全的量子通道。这样便能改进威胁识别并确保网络安全。

  • 扩展安全性

    您可以将现有密钥与量子密钥合并,并通过现有 VPN 隧道对其进行加密和解密。这提高了 IPsec VPN 基础架构的安全性。

  • 增强的加密强度

    RFC 8784 合规性为您提供了一种防止攻击者窃听连接和拦截密钥的简单方法。这也确保了与符合标准的其他设备的互操作性。

实用资源

  

了解更多

实践经验

vLABs 沙盒

了解更多

RFC 8784 - 在互联网密钥交换协议第 2 版 (IKEv2) 中混合预共享密钥以实现后量子安全

获取证书颁发机构 (CA) 的地址及其所需的信息(如质询密码),然后提交本地证书请求。请参阅 了解本地证书请求

在每个设备中注册数字证书。请参阅 示例:手动加载 CA 和本地证书。

功能概述

表 16: 静态密钥管理器功能概述
IPsec VPN

部署中心辐射型 IPsec VPN 拓扑,其中分支通过通过中枢发送流量的 VPN 隧道连接。这些 VPN 隧道稍后会配置为使用量子密钥,使其成为量子安全 VPN 隧道。
IKE 网关

建立安全连接时,IKE 网关在验证证书时,使用 IKE 策略将自身限制为已配置的 CA 组(CA 配置文件)。
建议
IKE 提案

定义用于与对等方安全网关建立安全 IKE 连接的算法和密钥。

IKE 创建动态 SA 并就 IPsec 对其进行协商。
IPsec 提议

列出要与远程 IPsec 对等方协商的协议、算法和安全服务。
策略
IKE 策略

定义在 IKE 协商期间要使用的安全参数(IKE 提议)组合。
IPsec 策略

包含允许在指定区域之间分组 VPN 流量的规则和安全策略。
安全策略

允许您选择要通过 IPsec SA 保护的数据流量类型。

  • VPN-OUT — 允许从信任区域到 VPN 区域的流量,其中匹配标准为:

    • 源地址:主机-1-Net

    • 目标地址:主机-2-网络

    • 应用:任何

  • VPN-IN — 允许从 VPN 区域到信任区域的流量,其中匹配标准为:

    • 源地址:主机-2-网络

    • 目标地址:主机-1-Net

    • 应用:任何

配置文件

密钥配置文件

定义 SRX 系列防火墙设备如何与 KME 设备通信,以便从外部 KME 服务器检索 QKD 密钥。密钥配置文件分别配置在集线器 (HUB_KM_PROFILE_1) 和分支(SPOKE_1_KM_PROFILE_1 和 SPOKE_2_KM_PROFILE_1)上。

  • 密钥配置文件 — 静态密钥配置文件 HUB_KM_PROFILE_1SPOKE_1_KM_PROFILE_1SPOKE_2_KM_PROFILE_1 分别在 HUB、SPOKE-1 和 SPOKE-2 上配置,供应用程序/服务检索 CLI 配置的密钥 ID 和对应的密钥。

  • IKE 提议 — IKE 提议 HUB_IKE_PROPSPOKE_1_IKE_PROPSPOKE_2_IKE_PROP 分别在 HUB、SPOKE-1 和 SPOKE-2 上配置,具有建立 IKE 安全关联所需的算法。

  • IKE 策略 — IKE 策略 HUB_IKE_POLSPOKE_1_IKE_POLSPOKE_3_IKE_POL 分别在 HUB、SPOKE-1 和 SPOKE-2 上配置,用于设置运行时协商/身份验证属性。

  • IKE 网关 — IKE 网关 HUB_IKE_GWSPOKE_1_IKE_GW 分别 SPOKE_2_IKE_GW 在 HUB、SPOKE-1 和 SPOKE-2 上配置,以设置需要在哪些端点之间建立 IPsec 隧道,参考配置的 IKE 策略、需要使用的 IKE 版本和 ppk 配置文件,以指示需要使用哪个密钥配置文件来建立量子安全 IKE/IPsec 安全关联。

  • IPsec 提议 — IPSEC 提议 HUB_IPSEC_PROPSPOKE_1_IPSEC_PROPSPOKE_2_IPSEC_PROP 分别在 HUB、SPOKE-1 和 SPOKE-2 上配置,具有建立 IPSEC 安全关联所需的算法。

  • IPsec 策略 — IPsec 策略 HUB_IPSEC_POLSPOKE_1_IPSEC_POLSPOKE_2_IPSEC_POL 分别在 HUB、SPOKE-1 和 SPOKE-2 上配置,用于设置运行时 IPsec 协商属性。

  • IPsec VPN — IPSEC VPN HUB_IPSEC_VPNSPOKE_1_IPSEC_VPNSPOKE_2_IPSEC_VPN 分别在 HUB、SPOKE-1 和 SPOKE-2 上配置 要设置需要保护的子网范围,请参考配置的 IPsec 策略和 IKE 网关。

  • 安全区域 - 3 个不同的安全区域 trustuntrust 经过 vpn 配置,可以在每个区域内更好地隔离预期流量。

  • 安全策略 — 在安全区域之间配置的安全策略 trust to vpnvpn to trust 以过滤掉通过 IPsec 安全关联保护的数据流量类型。
PPK 信息

通过引用 IKE 网关下的密钥配置文件,指示用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。
证书
CA 证书 验证设备的身份并验证设备之间的通信链路。
本地证书 生成 PKI 并使用 CA 证书注册以进行验证。
KME证书 供应商生成的第三方证书。
安全区域
trust

主机区域的网段。
untrust

目标服务器区域的网段。
vpn

中心辐射型交换机交互的网段。

主要验证任务

 验证已建立的 IKE 和 IPsec SA 是否为量子安全。

拓扑概述

在此示例中,分支 1 和 SPOKE 2 使用 CLI 配置的静态密钥启动与集线器的量子安全 IPsec 隧道协商。中枢通过验证分支 1 和分支 2 的身份及其各自的密钥来响应请求,并使用这两个分支建立量子安全 IPsec VPN。隧道建立后,将使用建立的 IPsec 隧道保护主机 1 和主机 3 之间以及主机 2 和主机 3 之间的数据流量。

表 17: 此配置中使用的设备、角色和功能

主机名

角色

功能
枢纽 能够建立 IPsec 隧道的 SRX 系列防火墙 响应由 SPOKE 1 和 SPOKE 2 发起的 IKE 或 IPsec SA 协商,并使用中枢设备上配置的静态密钥建立量子安全 IPsec 隧道。
辐条 1 能够建立 IPsec 隧道的 SRX 系列防火墙 使用在分支 1 上配置的静态密钥启动 IKE/IPsec SA 协商并与集线器建立量子安全 IPsec 隧道。
辐条 2 能够建立 IPsec 隧道的 SRX 系列防火墙 启动 IKE 或 IPsec SA 协商,并使用在分支 2 上配置的静态密钥与中枢建立量子安全 IPsec 隧道。
主机 1 托管在受信任区域或分支 1 的 LAN 端内 发起流向主机 3 的客户端流量。
主机 2 位于辐射型 2 的可信区域或 LAN 端内的主机 发起流向主机 3 的客户端流量。
主机 3 托管在 HUB 的可信区域或 LAN 端 响应来自主机 1 和主机 2 的客户端流量。

拓扑图示

图 5: 具有自动 VPN 的静态密钥 具有自动 VPN 的静态密钥

在 Hub 上进行分步配置

注:

有关 DUT 的完整示例配置,请参阅:

此配置仅适用于 Hub 设备。您必须进行特定于设备的相应配置更改。

  1. 配置中枢接口。

  2. 配置 CA 配置文件和 CA 证书。

  3. 在操作模式下,将 CA 证书绑定到 CA 配置文件。

  4. 配置静态密钥管理器配置文件。

  5. 在 IPsec VPN 上配置中心辐射型。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

分支设备上的分步配置

注:

有关 DUT 的完整示例配置,请参阅:

此配置适用于分支 1 和分支 2 设备。对于其他设备,您必须进行特定于设备的适当配置更改。

  1. 配置分支接口。

  2. 在 IPsec VPN 上配置中心辐射型。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

  3. 配置静态密钥管理器配置文件。

验证

本部分提供可用于验证此示例中的功能的 show 命令列表。

命令 验证任务

显示安全 IKE 安全关联详细信息

验证是否已建立 IKE SA。

显示安全 IPsec 安全关联详细信息

目的验证 IPsec SA 是否已建立。

显示安全 IPsec 统计信息

目的验证 IPsec 加密和解密统计信息。

显示安全密钥管理器配置文件详细信息

验证密钥配置文件统计信息。

ping 192.168.90.20 源 192.168.80.20 计数 4

从主机 1 到主机 3 的 Ping,反之亦然。

验证 IKE SA

目的

验证 IKE SA。

操作

在操作模式下,输入 show security ike security-associations detail 命令,以查看 IKE SA。

意义

Role: Responder, State: UPPPK-profile: HUB_KM_PROFILE_1IPSec security associations: 2 created, 0 deletedFlags: IKE SA is created和字段表示 IKE SA 创建成功。

验证 IPsec SA

目的

验证 IPsec SA。

操作

在操作模式下,输入 show security ipsec security-associations detail 命令,以查看 IPsec SA。

意义

Quantum Secured: YesPassive mode tunneling: DisabledPolicy-name: HUB_IPSEC_POLIPsec SA negotiation succeeds (1 times)、和字段表示 IPsec SA 创建成功。

验证 IPsec 统计信息

目的

验证 IPsec 统计信息。

操作

在操作模式下,输入 show security ipsec statistics 命令,以查看 IPsec 统计信息。

意义

ESP StatisticsAH Statistics 字段显示 IPsec 统计信息。

验证密钥管理器配置文件

目的

验证密钥管理器配置文件。

操作

在操作模式下,输入 show security key-manager profiles detail 命令以查看密钥管理器配置文件。

意义

Name: HUB_KM_PROFILE_1Type: Static 字段显示密钥管理器配置文件

从主机 1 到主机 3 的 Ping,反之亦然

目的

验证从主机 1 到主机 3 的连接。

操作

在操作模式下,输入 ping 192.168.90.20 source 192.168.80.20 count 4 命令以查看从主机 1 到主机 3 的连接。

意义

确认 PING 192.168.80.20 (192.168.80.20): 56 data bytes 从主机 1 到主机 3 的连接。

从主机 2 到主机 3 的 Ping,反之亦然

目的

验证从主机 2 到主机 3 的连接。

操作

在操作模式下,输入 ping 192.168.90.20 source 192.168.80.20 count 4 查看从主机 2 到主机 3 的连接。

意义

确认 PING 192.168.80.20 (192.168.80.20): 56 data bytes 从主机 2 到主机 3 的连接。

附录1:在所有设备上设置命令

在所有设备上设置命令输出。

在集线器上设置命令
在分支 1 上设置命令
在分支 2 上设置命令

附录2:显示 DUT 上的配置输出

枢纽

在配置模式下,输入 show security ike proposal HUB_IKE_PROPshow security ike policy HUB_IKE_POLshow security ipsec vpn HUB_IPSEC_VPNshow security ike gateway HUB_IKE_GWshow security ipsec policy HUB_IPSEC_POLshow interfacesshow security ipsec proposal HUB_IPSEC_PROPshow security zonesshow security policies命令来确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

辐条 1

在配置模式下,输入show security pki ca-profile Root-CA、、show security key-manager profiles SPOKE_1_KM_PROFILE_1show security ike gateway SPOKE_1_IKE_GWshow security ipsec proposal SPOKE_1_IPSEC_PROPshow security ipsec policy SPOKE_1_IPSEC_POLshow security ike policy SPOKE_1_IKE_POLshow security ike proposal SPOKE_1_IKE_PROPshow interfacesshow security zonesshow security ipsec vpn SPOKE_1_IPSEC_VPNshow security policiesshow security pki命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

辐条 2

在配置模式下,输入show security pki、、show security key-managershow security ipsec proposal SPOKE_2_IPSEC_PROPshow security ike policy SPOKE_2_IKE_POLshow security ike proposal SPOKE_2_IKE_PROPshow security ipsec vpn SPOKE_2_IPSEC_VPNshow interfacesshow security ike gateway SPOKE_2_IKE_GWshow security zonesshow security policies命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

为 Junos Key Manager 配置 Quantum Key Manager 密钥配置文件

此示例说明如何为 Junos 密钥管理器配置量子密钥配置文件。配置量子密钥管理器密钥配置文件,以生成并发送生成的密钥,以建立量子安全 IPsec VPN 隧道。

要求

  1. 硬件要求 —瞻博网络® SRX1500防火墙和更高编号的设备型号或瞻博网络®vSRX 虚拟防火墙 (vSRX3.0)。

  2. 软件要求 - Junos OS 22.4R1 或更高版本,带有 JUNOS ike 软件 JUNOS Key Manager 包。

  3. 使用任何支持 ETSI 量子密钥分发 (QKD) REST API 标准的 QKD 设备进行通信。

  4. 在设备上加载本地证书。建议提供证书的完整路径。

概述

SRX 系列防火墙设备使用 IPsec VPN 通过互联网安全地发送流量。在 IPsec VPN 中配置量子密钥管理器密钥配置文件,以重新验证现有 IKE SA 以及新的密钥和密钥。

量子密钥管理器密钥配置文件使用基于 QKD 的安全密钥分配方法来生成和分发量子安全的密钥。这些键是动态的。

配置

  1. 配置 CA 证书。

  2. 加载 CA 证书。

  3. 注册 CA 证书。

  4. 配置量子密钥管理器配置文件。

验证

目的

验证量子密钥管理器密钥配置文件和密钥。

操作

在操作模式下,输入 show security pki ca-certificate ca-profile Root-CA ,查看 CA 配置文件和 CA 证书。

在操作模式下,输入 show security pki local-certificate certificate-id SAE_A_CERT ,查看 PKI 本地证书。

在操作模式下,输入 request security key-manager profiles get profile-keys name km_profile_1 peer-sae-id SAE_B 以查看对等设备密钥管理器配置文件和密钥。

在操作模式下,输入 show security key-manager profiles name KM_PROFILE_1 detail 以查看密钥管理器配置文件的详细信息。

意义

显示 show security pki ca-certificate ca-profile Root-CA PKI CA 配置文件名称、证书标识符、有效性、公钥算法等。

显示 show security pki local-certificate certificate-id SAE_A_CERT 本地 CA 配置文件名称、证书标识符、有效性、公钥算法等。

显示 request security key-manager profiles get profile-keys name km_profile_1 peer-sae-id SAE_B 对等设备密钥管理器配置文件和密钥。

显示 show security key-manager profiles name KM_PROFILE_1 detail 安全密钥管理器配置文件名称、URL、请求等。

示例:为站点到站点 IPsec VPN 配置 Quantum Key Manager 密钥配置文件

使用此配置示例可以通过配置量子密钥管理器密钥配置文件来保护 IPsec 站点到站点 VPN 基础架构。

您可以通过配置量子密钥管理器密钥配置文件来保护 IPsec 站点到站点 VPN 基础架构。

在此配置示例中, SRX1 和 SRX2 设备使用量子密钥管理器配置文件获取 IPsec VPN 上的 QKD 密钥。QKD 密钥有助于在互联网上安全地发送流量。

提示:
表 18: 预估计时器

阅读时间

不到一个小时

配置时间

不到一个小时

先决条件示例

表 19: 硬件和软件要求

硬件要求

® 瞻博网络SRX1500防火墙或更高编号的设备型号或瞻博网络®vSRX 虚拟防火墙 (vSRX3.0)

软件要求

Junos OS 22.4R1 或更高版本。

开始之前

表 20: 优势、资源和其他信息

优势

  • 威胁识别

    通过配置量子密钥,您可以在 QKD 设备之间建立安全的量子通道。这样便能改进威胁识别并确保网络安全。

  • 扩展安全性

    您可以将现有密钥与量子密钥合并,并通过现有 VPN 隧道对其进行加密和解密。这提高了 IPsec VPN 基础架构的安全性。

  • 增强的加密强度

    RFC 8784 合规性为您提供了一种防止攻击者窃听连接和拦截密钥的简单方法。这也确保了与符合标准的其他设备的互操作性。

实用资源

  

了解更多

实践经验

vLABs 沙盒

了解更多

RFC 8784 - 在互联网密钥交换协议第 2 版 (IKEv2) 中混合预共享密钥以实现后量子安全

ETSI QKD Rest API

功能概述

表 21: 量子密钥管理器密钥配置文件功能概述
IPsec VPN

部署中心辐射型 IPsec VPN 拓扑,其中分支通过通过中枢发送流量的 VPN 隧道连接。这些 VPN 隧道稍后会配置为使用量子密钥,使其成为量子安全 VPN 隧道。
IKE 网关

建立安全连接。在验证证书时,IKE 网关使用 IKE 策略将自身限制为已配置的证书颁发机构 (CA) 配置文件组。
建议
IKE 提案

定义用于与对等方安全网关建立安全 IKE 连接的算法和密钥。

IKE 创建动态安全关联 (SA),并针对 IPsec 对其进行协商。
IPsec 提议

列出要与远程 IPsec 对等方协商的协议、算法和安全服务。
策略
IKE 策略

定义在 IKE 协商期间要使用的安全参数(IKE 提议)组合。
IPsec 策略

包含允许在指定区域之间分组 VPN 流量的规则和安全策略。
安全策略

允许您选择要通过 IPsec SA 保护的数据流量类型。

  • VPN-OUT — 允许从信任区域到 VPN 区域的流量,其中匹配标准为:

    • 源地址:主机-1-Net

    • 目标地址:主机-2-网络

    • 应用:任何

  • VPN-IN — 允许从 VPN 区域到信任区域的流量,其中匹配标准为:

    • 源地址:主机-2-网络

    • 目标地址:主机-1-Net

    • 应用:任何

配置文件

密钥配置文件

定义 SRX 系列防火墙设备如何与 KME 设备通信以从外部 KME 服务器检索 QKD 密钥。密钥配置文件分别配置在集线器 (HUB_KM_PROFILE_1) 和分支(SPOKE_1_KM_PROFILE_1 和 SPOKE_2_KM_PROFILE_1)上。

  • 密钥配置文件 — 为应用和服务配置了量子密钥管理器配置文件 km_profile_1 ,以便从外部服务器检索 QKD 密钥。

  • IKE 提议 — IKE 提议 IKE_PROP 配置了建立 IKE SA 所需的算法。

  • IKE 策略 — 配置 IKE 策略 IKE_POL 以设置运行时协商和身份验证属性。

  • IKE 网关 — IKE 网关 IKE_GW 配置为管理端点之间的 IPsec 隧道。A ppk-profile 指示用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。

  • IPsec 提议 — IPsec 提议 IPSEC_PROP 配置了建立 IPsec SA 所需的算法。

  • IPsec 策略 — 配置了 IPsec 策略 IPSEC_POL 以设置运行时 IPsec 协商属性。

  • IPsec VPN — 配置 IPsec VPN 策略 IPSEC_VPN 以设置需要保护的子网范围。

  • 安全区域 — 三个不同的安全区域 trustuntrustvpn 经过配置,可以更好地隔离每个区域内的预期流量。

  • 安全策略 — 在安全区域之间配置安全策略 trust to vpnvpn to trust 以过滤掉通过 IPsec SA 保护的数据流量类型。
PPK 信息

通过引用 IKE 网关下的密钥配置文件,指示用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。
证书
CA 证书 验证设备的身份并验证通信链路。
本地证书 生成 PKI 并使用 CA 证书注册以进行验证。
KME证书 供应商生成的第三方证书。
安全区域
trust

主机区域的网段。
untrust

目标服务器区域的网段。
vpn

中心辐射公司通过它进行交互的网段。

主要验证任务

 验证已建立的 IKE 和 IPsec SA 是否为量子安全。

拓扑概述

在此示例中,我们使用第三方 KME 设备生成的量子密钥保护 SRX1 和 SRX2 IPsec VPN 隧道。KME 设备(KME-A 和 KME-B)通过高度安全且能够识别威胁的量子通道相互连接。利用此通道,SRX1 和 SRX2 设备从对应的 KME 设备检索量子密钥,并将其与现有密钥合并,从而实现量子安全 VPN 隧道。

表 22: 此配置中使用的设备、角色和功能

主机名

角色

功能
SRX1 能够建立 IPsec 隧道的 SRX 系列防火墙设备 启动 IKE 或 IPsec SA 协商,并使用从 KME-A QKD 设备获取的 QKD 密钥与 SRX2 建立量子安全 IPsec 隧道。
SRX2 能够建立 IPsec 隧道的 SRX 系列防火墙设备 响应 IKE 或 IPsec SA 协商,并使用 KME-B QKD 设备的 QKD 密钥建立量子安全 IPsec 隧道。
HOST1 SRX1 的可信区域或 LAN 端内的主机 启动流向主机 2 的客户端流量
HOST2 SRX2 的可信区域或 LAN 端内的主机 响应来自主机 1 的客户端流量。
KME-A 第三方供应商 QKD 设备 提供 QKD 密钥以响应来自 SRX1 的密钥请求。
KME-B 第三方供应商 QKD 设备 提供 QKD 密钥以响应来自 SRX2 的密钥请求。

拓扑图示

图 6: 站点到站点 VPN 站点到站点 VPN

SRX 系列防火墙设备上的分步配置

注:

有关 DUT 的完整示例配置,请参阅:

此配置适用于 SRX1 和 SRX2 设备。对于其他设备,您必须进行特定于设备的相应配置更改。

  1. 配置接口。

  2. 使用必须参数或推荐参数配置 quantum-key-manager 类型的密钥配置文件。

    定义CA证书,配置KME服务器的URL,配置本地端使用的SAE-ID,为本地SAE-ID配置相应的证书,配置之前定义的CA证书。

  3. 配置站点到站点 IPsec VPN。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

验证

本部分提供可用于验证此示例中的功能的 show 命令列表。

命令 验证任务

显示安全 IKE 安全关联详细信息

目的验证是否已建立 IKE SA。

显示安全 IPsec 安全关联详细信息

验证 IPsec SA 是否已建立。

显示安全 IPsec 统计信息

 验证 IPsec 加密和解密统计信息。

显示安全密钥管理器配置文件详细信息

 验证密钥配置文件统计信息。

ping 192.168.80.20 源 192.168.90.20 计数 5

 从 HOST 1 到 HOST 2 的 Ping,反之亦然。

验证 IKE SA

目的

验证 IKE SA。

操作

在操作模式下,输入 show security ike security-associations detail 命令,以查看 IKE SA。

意义

Role: Initiator, State: UPPPK-profile: km_profile_1IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1Flags: IKE SA is created和字段表示 IKE SA 创建成功。

验证 IPsec SA

目的

验证 IPsec SA。

操作

在操作模式下,输入 show security ipsec security-associations detail 命令,以查看 IPsec SA。

意义

Quantum Secured: YesPolicy-name: IPSEC_POLIPsec SA negotiation succeeds (1 times)tunnel-establishment: establish-tunnels-immediately IKE SA Index: 21、和字段表示 IPsec SA 创建成功。

验证 IPsec 统计信息

目的

验证 IPsec 统计信息。

操作

在操作模式下,输入 show security ipsec statistics 命令,以查看 IPsec 统计信息。

意义

ESP StatisticsAH Statistics 字段显示 IPsec 统计信息。

验证密钥管理器配置文件

目的

验证密钥管理器配置文件。

操作

在操作模式下,输入 show security key-manager profiles detail 命令以查看密钥管理器配置文件。

意义

Name: km_profile_1Quantum-key-manager 字段显示密钥管理器配置文件。

从 HOST 1 到 HOST 2 的 Ping,反之亦然

目的

验证从主机 1 到主机 2 的连接。

操作

在操作模式下,输入 ping 192.168.80.20 source 192.168.90.20 计数 5 以查看从主机 1 到主机 2 的连接。

意义

确认 PING 192.168.80.20 (192.168.80.20): 56 data bytes count 5 从主机 1 到主机 2 的连接。

附录1:在所有设备上设置命令

在所有设备上设置命令输出。

在 SRX1 上设置命令
在 SRX2 上设置命令

附录2:显示 DUT 上的配置输出

在 DUT 上显示命令输出。

SRX1

SRX 2

示例:使用 Quantum Key Manager 密钥配置文件配置量子安全 IPsec AutoVPN 拓扑

使用此配置示例可以通过配置量子密钥管理器密钥配置文件来保护 IPsec AutoVPN 基础架构。

Hub、Spoke 1 和 Spoke 2 使用量子密钥管理器密钥配置文件与 KME Hub、KME Spoke 1 和 KME Spoke 2 通信,以获取 QKD 密钥并建立 IPsec VPN 隧道。

提示:
表 23: 预估计时器

阅读时间

不到一个小时。

配置时间

不到一个小时。

先决条件示例

表 24: 硬件和软件要求

硬件要求

  • ® 瞻博网络SRX1500防火墙或更高编号的设备型号或瞻博网络®vSRX 虚拟防火墙 (vSRX3.0)

  • 第三方密钥管理实体 (KME) 或量子密钥分发 (QKD) 设备。KME 参数符合 ETSI GS QKD 014 规范。

软件要求

Junos OS 22.4R1 或更高版本。

开始之前

表 25: 优势、资源和其他信息

优势

  • 威胁识别

    在 QKD 设备之间建立安全的量子通道,保证借助量子密钥识别威胁。

  • 扩展安全性

    将现有密钥与量子密钥合并,并通过现有 VPN 隧道对其进行加密和解密,从而扩展 IPsec VPN 基础架构的安全性。

  • 符合 RFC 8784

    扩展已经标准化的 RFC 8784 过程。

实用资源

  

了解更多

实践经验

vLab 沙盒:IPsec VPN - 基于策略

了解更多

功能概述

表 10 提供此示例中部署的配置组件的快速摘要。

表 26: Quantum Key Manager 功能概述
IPsec VPN

部署中心辐射型 IPsec VPN 拓扑,其中分支通过通过中枢发送流量的 VPN 隧道连接。这些 VPN 隧道稍后会配置为使用量子密钥,使其成为量子安全 VPN 隧道。
IKE 网关

建立安全连接时,IKE 网关使用 IKE 策略将自身限制为已配置的 CA 组(CA 配置文件),同时验证证书。
建议
IKE 提案

定义用于与对等安全网关建立安全 IKE 连接的算法和密钥。

IKE 创建动态 SA 并就 IPsec 对其进行协商。
IPsec 提议

列出要与远程 IPsec 对等方协商的协议、算法和安全服务。
策略
IKE 策略

定义在 IKE 协商期间要使用的安全参数(IKE 提议)组合。
IPsec 策略

包含规则和安全策略,以允许在指定区域之间分组 VPN 流量。
安全策略

允许您选择要通过 IPsec SA 保护的数据流量类型。

  • VPN-OUT – 允许从信任区域到 VPN 区域的流量,其中匹配条件为:

    • 源地址:主机-1-Net

    • 目标地址:主机-2-网络

    • 应用:任何

  • VPN-IN – 允许从 VPN 区域到信任区域的流量,其中匹配条件为:

    • 源地址:主机-2-网络

    • 目标地址:主机-1-Net

    • 应用:任何

配置文件
密钥配置文件

定义 SRX 设备如何与 KME 设备通信,以便从外部 KME 服务器检索 QKD 密钥。密钥配置文件分别配置在集线器 (HUB_KM_PROFILE_1) 和分支(SPOKE_1_KM_PROFILE_1 和 SPOKE_2_KM_PROFILE_1)上。

为应用和服务配置 SPOKE-1SPOKE-2 以从外部服务器检索 QKD 密钥。

  • 密钥配置文件 — 在 Hub 上配置以下量子密钥管理器密钥配置文件。

    • HUB_KM_PROFILE_1

    • SPOKE_1_KM_PROFILE_1

    • SPOKE_2_KM_PROFILE_1

  • 配置 SPOKE-1 并使用 SPOKE-2 所需的算法建立 IKE SA。

    IKE 提议 — 在 Hub 上配置以下 IKE 提议。

    • HUB_IKE_PROP

    • SPOKE_1_IKE_PROP

    • SPOKE_2_IKE_PROP

  • 配置 SPOKE-1SPOKE-2 设置运行时协商和身份验证属性。

    IKE 策略 — 在集线器上配置以下 IKE 策略。

    • HUB_IKE_POL

    • SPOKE_1_IKE_POL

    • SPOKE_3_IKE_POL

  • 配置 SPOKE-1SPOKE-2 设置 IPsec 隧道之间的终结点。

    IKE 网关 — 在 the Hub 上配置以下 IKE 网关。

    A ppk-profile 指示用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。

    • HUB_IKE_GW

    • SPOKE_1_IKE_GW

    • SPOKE_2_IKE_GW

  • 配置 SPOKE-1 并使用 SPOKE-2 所需的算法建立 IPsec SA。

    IPsec 提议 — 在 the Hub 上配置以下 IPsec 提议。

    • HUB_IPSEC_PROP

    • SPOKE_1_IPSEC_PROP

    • SPOKE_2_IPSEC_PROP

  • 配置 SPOKE-1SPOKE-2 设置运行时 IPsec 协商属性。

    IPsec 策略 — 在 the Hub 上配置以下 IPsec 策略。

    • HUB_IPSEC_POL

    • SPOKE_1_IPSEC_POL

    • SPOKE_2_IPSEC_POL

  • 配置 SPOKE-1SPOKE-2 设置需要保护的子网范围。

    IPsec VPN — 在 the Hub 上配置以下 IPsec VPN。

    • HUB_IPSEC_VPN

    • SPOKE_1_IPSEC_VPN

    • SPOKE_2_IPSEC_VPN

  • 安全区域 — 配置三个不同的安全区域以隔离流量。

    • trust

    • untrust

    • vpn

  • 安全策略 — 配置安全策略 trust to vpnvpn to trust 选择通过 IPsec SA 保护的数据流量类型。
PPK 信息

通过引用 IKE 网关下的密钥配置文件,指明用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。
证书
CA 证书 验证设备的身份并验证它们之间的通信链路。
本地证书 生成 PKI 并使用 CA 证书注册以进行验证。
KME证书 供应商生成的第三方证书。
安全区域
trust

主机区域的网段。
untrust

目标服务器区域的网段。
vpn

中心辐射公司通过它进行交互的网段。

主要验证任务

验证已建立的 IKE 和 IPsec SA 是否为量子安全。

拓扑概述

在此示例中,我们使用第三方 KME 设备生成的量子密钥保护中心辐射型 IPsec VPN 隧道。KME 设备(KME-Hub、KME-Spoke 1 和 KME-Spoke 2)通过高度安全且能够识别威胁的量子通道相互连接。使用此通道,中心辐射型设备从相应的 KME 设备检索量子密钥,并将其与现有密钥合并,以使 VPN 隧道实现量子安全。

表 27: Quantum Key Manager 拓扑组件

拓扑组件

角色

功能
Hub 能够建立 IPsec 隧道的 SRX 系列防火墙 响应 IKE 或 IPsec SA 协商,并使用 KME-HUB QKD 设备的 SPOKE-1SPOKE-2QKD 密钥建立量子安全 IPsec 隧道。
SPOKE-1 能够建立 IPsec 隧道的 SRX 系列防火墙 启动 IKE 或 IPsec SA 协商,并使用 QKD 设备中的 QKD 密钥 KME-SPOKE-1 与集线器建立量子安全 IPsec 隧道。
SPOKE-2 能够建立 IPsec 隧道的 SRX 系列防火墙 启动 IKE 或 IPsec SA 协商,并使用 QKD 设备中的 QKD 密钥 KME-SPOKE-2 与集线器建立量子安全 IPsec 隧道。
HOST-1 受信任区域或 的 SPOKE 1Host 1 LAN 端内的主机受 SPOKE 1保护。 将客户端流量引导至以下 HOST-3
HOST-2 受信任区域或 的 SPOKE 2Host 2 LAN 端内的主机受 SPOKE 2保护。 将客户端流量引导至以下 HOST-3
HOST- 3 托管在集线器的可信区域或 LAN 端。 Host 3Hub保护。 响应来自 HOST-1 和 的客户端流量 HOST-2
KME-HUB 第三方 QKD 设备 提供 QKD 密钥以响应来自 HUB
KME-SPOKE-1 第三方 QKD 设备 提供 QKD 密钥以响应来自 SPOKE-1
KME-SPOKE-2 第三方 QKD 设备 提供 QKD 密钥以响应来自 SPOKE-2

拓扑图示

图 7: 使用 AutoVPN 的量子密钥管理器使用 AutoVPN 的量子密钥管理器

在 Hub 上进行分步配置

注:

有关中心辐射型设备上的完整示例配置,请参阅:

  1. 配置中枢接口。

  2. 配置中心辐射型 IPsec VPN。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

    将集线器配置为从 CA 服务器获取 CA 证书,或从设备加载本地可用的 CA 证书。

    注:

    KME 证书需要按照第三方供应商的说明进行配置。

    配置 IPsec 提议和策略。为 IPsec VPN 配置 IKE 策略、提议和网关。

  3. 配置量子密钥管理器密钥配置文件,以从相应的 KME-Hub 设备检索量子密钥。

  4. 将量子密钥管理器密钥配置文件绑定为 IKE 网关 ppk-profile,以使 VPN 隧道实现量子安全。

如果完成设备配置,请从配置模式输入 commit

分支设备上的分步配置

注:

有关设备上的完整示例配置,请参阅:

此配置适用于分支 1 和分支 2 设备,您必须针对特定于设备进行适当的配置更改。

  1. 配置分支接口。

  2. 配置中心辐射型 IPsec VPN。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

    将集线器配置为从 CA 服务器获取 CA 证书,或从设备加载本地可用的 CA 证书。

    注:

    KME 证书需要按照第三方供应商的说明进行配置。

    配置 IPsec 提议和策略。为 IPsec VPN 配置 IKE 策略、提议和网关。

  3. 配置量子密钥管理器密钥配置文件,以从相应的分支设备检索量子密钥。

  4. 将量子密钥管理器密钥配置文件绑定为 IKE 网关 ppk-profile,以使 VPN 隧道实现量子安全。

如果完成设备配置,请从配置模式输入 commit

验证

本部分提供可用于验证此示例中的功能的 show 命令列表。

表 28: 验证任务
命令 验证任务

显示安全 IKE 安全关联详细信息

 验证 IKE SA。

显示安全 IPsec 安全关联详细信息

 验证 IPsec SA。

显示安全 IPsec 统计信息

 验证 IPsec 加密和解密统计信息。

显示安全密钥管理器配置文件详细信息

 验证密钥配置文件统计信息。

ping 192.168.90.20 源 192.168.80.20 计数 4

 从主机 1 到主机 3 的 Ping。

ping 192.168.90.20 源 192.168.70.20 计数 4

 从主机 2 到主机 3 的 Ping。

验证 IKE SA

目的

验证 IKE SA。

操作

在操作模式下,输入 show security ike security-associations detail 命令,以查看 IKE SA。

意义

示例输出确认 IKE SA。

验证 IPsec SA

目的

验证 IPsec SA。

操作

在操作模式下,输入 show security ipsec security-associations detail 命令,以查看 IPsec SA。

意义

示例输出确认 IPsec SA。

验证 IPsec 统计信息

目的

验证 IPsec 统计信息。

操作

在操作模式下,输入 show security ipsec statistics 命令,以查看 IPsec 统计信息。

意义

示例输出确认 IPsec 统计信息。

验证密钥管理器配置文件

目的

验证密钥管理器配置文件。

操作

在操作模式下,输入 show security key-manager profiles detail 命令并验证 Success 选项中的 Request stats 字段。

意义

示例输出确认量子密钥管理器配置文件。

从主机 1 到主机 3 的 Ping

目的

验证从主机 1 到主机 3 的连接。

操作

在操作模式下,输入 ping 192.168.90.20 source 192.168.80.20 count 5 命令以查看从主机 1 到主机 3 的连接。

意义

示例输出确认从主机 1 到主机 3 的连接。

从主机 2 到主机 3 的 Ping

目的

验证从主机 2 到主机 3 的连接。

操作

在操作模式下,输入 ping 192.168.90.20 source 192.168.80.20 count 5 命令,以查看从主机 2 到主机 3 的连接。

意义

示例输出确认从主机 2 到主机 3 的连接。

附录1:在所有设备上设置命令

在所有设备上设置命令输出。

在集线器上设置命令
在分支 1 上设置命令
在分支 2 上设置命令

附录2:显示 DUT 上的配置输出

在 DUT 上显示命令输出。

枢纽

在配置模式下,输入show security pki ca-profile Root-CA、、show security key-managershow security ike policy HUB_IKE_POLshow security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security policies from-zone vpn to-zone trustshow security ike proposal HUB_IKE_PROPshow security ipsec proposal HUB_IPSEC_PROPshow interfacesshow security ike gateway HUB_IKE_GWshow security ipsec policy HUB_IPSEC_POLshow security ipsec vpn HUB_IPSEC_VPNshow security zones security-zone untrust和命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

辐条 1

在配置模式下,输入show security pki ca-profile Root-CA、、show security key-manager profiles SPOKE_1_KM_PROFILE_1show security ike policy SPOKE_1_IKE_POLshow security zones security-zone untrustshow security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security ike proposal SPOKE_1_IKE_PROPshow security ipsec proposal SPOKE_1_IPSEC_PROPshow security policies from-zone vpn to-zone trustshow security ike gateway SPOKE_1_IKE_GWshow security ipsec policy SPOKE_1_IPSEC_POLshow security ipsec vpn SPOKE_1_IPSEC_VPNshow interfaces和命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

辐条 2

在配置模式下,输入show security pki ca-profile Root-CA、、show security key-manager profiles SPOKE_1_KM_PROFILE_1show security ike policy SPOKE_1_IKE_POLshow security zones security-zone untrustshow security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security ike proposal SPOKE_1_IKE_PROPshow security ipsec proposal SPOKE_1_IPSEC_PROPshow security policies from-zone vpn to-zone trustshow security ike gateway SPOKE_1_IKE_GWshow security ipsec policy SPOKE_1_IPSEC_POLshow security ipsec vpn SPOKE_1_IPSEC_VPNshow interfaces和命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。