Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

量子安全 IPsec VPN

了解如何在 IKEED 进程中使用和配置带外密钥检索机制,以便与量子安全 IKE 和 IPsec SA 进行协商。

量子安全性概述

IPsec 通信通道依赖于互联网密钥交换 (IKE) 协议。IKE 会保留安全参数来保护数据流量。安全参数包括加密和身份验证算法以及关联的密钥。

安全协议依靠 Diffie Hellman (DH) 或椭圆曲线 Diffie Hellman (ECDH) 等非对称加密算法来确定密钥容易受到攻击。

为避免安全攻击, RFC8784 引入了带外方法。带外方法在发起方和响应方添加密钥。密钥是后量子预共享密钥 (PPK)。

  • 除了 IKEv2 中的身份验证方法外,您还可以使用 PPK。

  • PPK 为初始协商的 IPsec SA 和任何后续重新绑定的 IPsec SA 中的任何子 SA 提供量子阻力。

  • 使用 PPK 和对等方身份验证密钥,发起方和响应方可以检测密钥不匹配。

Junos Key Manager 概述

您可以使用 Junos 密钥管理器 (JKM) 配置静态密钥或动态密钥,以保护数据平面和控制平面。

JKM 进程充当密钥存储和客户端或加密应用程序之间的代理。客户端或加密应用程序需要密钥来与对等方或应用程序建立经过加密和身份验证的量子安全会话。量子保险箱使用带外密钥检索机制,让两个对等方拥有密钥。不同的带外机制会有不同的协议或方法进行通信。JKM 为客户端或加密应用程序提供用于通信的通用统一接口。

密钥检索机制

IKE 进程中的两个带外密钥检索机制,用于与量子安全 IKE 和 IPsec SA 进行协商。

  • 静态密钥 — 使用静态密钥配置文件,您可以配置静态密钥 ID 和相应的密钥。每次通过静态密钥配置文件向 JKM 发出请求时,都会生成相同的静态密钥 ID 和密钥。

  • 量子密钥管理器 — 使用量子密钥管理器密钥配置文件,您可以访问量子密钥分发 (QKD) 设备和量子网络。量子网络在对等节点之间生成和交换量子密钥。每次通过量子密钥管理器密钥配置文件向 JKM 提出请求时,都会生成不同的密钥 ID 和密钥。

使用量子安全 IPsec VPN 的密钥配置文件

使用静态密钥配置文件,您可以配置静态密钥 ID 和相应的密钥。要建立量子安全 IPsec SA,请在 IPsec-VPN 配置中使用静态密钥配置文件作为后量子预共享密钥 (PPK) 配置文件。使用相同的密钥和密钥 ID 重新验证现有 IKE SA。

使用量子密钥管理器密钥配置文件配置文件,要访问量子网络,您需要访问 QKD 设备。量子网络生成量子密钥并在对等节点之间交换量子密钥。您可以配置所有必要的参数,例如本地 SAE ID、QKD 设备的 URL 等。要建立 IPsec SA,请在 IPsec VPN 配置中使用量子密钥管理器密钥配置文件作为后量子预共享密钥 (PPK) 配置文件。使用不同的密钥和密钥 ID 重新验证现有 IKE SA。

量子密钥分发

量子密钥分配 (QKD) 是一种使用量子的安全密钥分配方法。网络使用量子通道在两端生成相同的密钥,并监视对等节点之间的量子通道。这些密钥是动态的,用于保护数据平面和控制平面。

密钥管理实体 (KME) 是我们用来指代管理或控制层上的 QKD 设备的术语。QKD 设备通过其量子或 QKD 网络相互连接。KME 通过用于交换任何控制消息的安全通道在公共网络上进行连接。应用、安全应用实体 (SAE) 和设备根据 ETSI 规范通过安全通道与 KME 交互。HTTPS 与相互 TLS 身份验证相结合,可在 QKD 网络上实现安全操作。

图 1:两台设备与其相应的 QKD 设备交互,以建立量子安全会话 Key management process between Site A with SAE A and KME A, and Site B with SAE B and KME B, ensuring secure synchronization via cloud communication.

图 1 中,描述了两个设备如何与其相应的 QKD 设备交互以建立量子安全会话

  • SAE 角色是主要角色。SAE A 作为与 SAE B 建立量子安全会话的发起方。

  • SAE B 角色是次要的。SAE B 充当响应者。

  • SAE A 通过获取密钥 API 请求 KME A 生成新的量子密钥,并与具有目标 SAE ID 的 SAE B 共享。

  • KME A 执行操作并使用生成的密钥 ID 和密钥材料响应 SAE A。

  • KME B 通过 QKD 网络接收密钥材料和生成的 ID 密钥。

  • SAE A 使用相同的密钥和密钥 ID 直接发起与 SAE B 的安全会话。

  • 消息交换将与 SAE B 建立安全会话。

  • SAE A 以明文或加密形式发送用于保护与 SAE B 会话的相应量子密钥的密钥 ID。

  • 一旦 SAE B 收到密钥 ID,SAE B 就会通过“获取带有 ID 的密钥”API 联系 KME B,以获取给定密钥 ID 和目标 SAE ID 或 SAE A 的相应量子密钥。

  • SAE B 获取密钥后,SAE A 与 SAE B 之间将建立完全量子安全的会话。

为 Junos 密钥管理器配置静态密钥配置文件

此示例说明如何为 Junos 密钥管理器配置静态密钥配置文件。在相关网关上配置静态密钥,无需通过互联网共享静态密钥即可建立 IPsec 隧道。

要求

使用 功能资源管理器 确认平台和版本对特定功能的支持。

  1. 硬件要求 — 支持该功能的设备。

  2. 软件要求 — 具有支持该功能的 Junos IKEJunos 密钥管理器 软件包的操作系统。

概述

对于基于静态密钥的配置文件,您需要配置静态密钥 ID 和相应的密钥。如果在 IPsec VPN 对象中使用静态密钥配置文件,则在对现有 IKE SA 进行重新身份验证时,将使用相同的密钥和密钥 ID。

配置

为 Junos 密钥管理器配置静态密钥配置文件。

验证

目的

验证静态密钥配置文件和密钥。

行动

在操作模式下,输入 request security key-manager profiles get profile-keys name km_profile_1 以查看静态密钥配置文件和密钥。

在操作模式下,输入 show security key-manager profiles name km_profile_1 detail 以查看静态密钥配置文件详细信息。

意义

显示 request security key-manager profiles get profile-keys name km_profile_1 状态、静态密钥配置文件名称、类型、密钥大小、密钥 ID 和密钥。

显示 show security key-manager profiles name km_profile_1 detail 静态密钥配置文件名称、类型和请求状态。

示例:为站点到站点 VPN 配置静态密钥配置文件

使用此配置示例配置静态密钥配置文件。您可以使用静态密钥配置文件来保护 IPsec 站点到站点 VPN 基础架构的安全。

您可以通过配置静态密钥配置文件来保护 IPsec 站点到站点 VPN 基础架构的安全。

在此配置示例中,SRX1 和 SRX2 设备使用静态密钥配置文件来获取 IPsec VPN 上的 QKD 密钥。QKD 密钥有助于通过互联网安全地发送流量。

提示:
表 1:预计计时器

阅读时间

不到一小时

配置时间

不到一小时

先决条件示例

使用 功能资源管理器 确认平台和版本对特定功能的支持。

表 2:要求

硬件要求

支持该功能的设备。

软件要求

支持该功能的操作系统。

开始之前

表 3:优势、资源和其他信息

优势

  • 威胁识别

    通过配置量子密钥,可以在 QKD 设备之间建立安全的量子通道。该功能可以提高威胁识别能力并保护网络。

  • 扩展安全性

    您可以将现有密钥与量子密钥合并,并通过现有 VPN 隧道对密钥进行加密和解密。此功能提高了 IPsec VPN 基础架构的安全性。

  • 增强的加密强度

    RFC 8784 合规性为您提供了一种防止攻击者窃取连接并拦截密钥的简单方法。该功能还确保与其他符合该标准的设备的互操作性。

实用资源

  

了解更多

实践经验

vLAB 沙盒

了解更多

RFC 8784 - 在互联网密钥交换协议第 2 版 (IKEv2) 中混合预共享密钥以实现后量子安全性

功能概述

表 4:静态密钥管理器功能概述
IPsec VPN

部署 IPsec VPN 拓扑,其中设备通过 VPN 隧道连接,这些隧道通过 IPsec VPN 隧道发送流量。稍后,VPN 隧道配置为使用量子密钥,使隧道成为量子安全 VPN 隧道。
IKE 网关

建立安全连接后,IKE 网关在验证证书时使用 IKE 策略将自身限制为配置的 CA 组(ca 配置文件)。
提议
IKE 提议

定义用于与对等安全网关建立安全 IKE 连接的算法和密钥。

IKE 创建动态 SA 并对其进行 IPsec 协商。
IPsec 提议

列出要与远程 IPsec 对等方协商的协议、算法和安全服务。
政策
IKE 策略

定义要在IKE协商期间使用的安全参数(IKE提议)的组合。
IPsec 策略

包含允许指定区域之间的组 VPN 流量的规则和安全策略。
安全性策略

允许您选择通过 IPsec SA 保护的数据流量类型。

  • VPN-OUT – 允许从信任区域到 VPN 区域的流量,其中匹配标准为:

    • 源-地址:HOST-1-Net

    • 目标地址:HOST-2-Net

    • 应用:任何

  • VPN-IN – 允许从 VPN 区域到信任区域的流量,其中匹配标准为:

    • 源地址:HOST-2-Net

    • 目标地址:HOST-1-Net

    • 应用:任何

配置文件

密钥配置文件

定义设备如何使用静态密钥配置文件在 IPsec VPN 上获取 QKD 密钥,从而通过互联网安全地发送流量。

  • 密钥配置文件 — 为应用程序和服务配置静态密钥配置文件 km_profile_1 ,以检索配置的密钥 ID 和相应的密钥。

  • IKE 提议 — 一种 IKE 提议 IKE_PROP ,其中包含建立 IKE SA 所需的算法。

  • IKE 策略 — 将 IKE 策略 IKE_POL 配置为设置运行时协商和身份验证属性。

  • IKE 网关 — 配置了 IKE 网关 IKE_GW 来管理端点之间的 IPsec 隧道。A ppk-profile 表示要用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。

  • IPsec 提议 — IPsec 提议 IPSEC_PROP 配置了建立 IPsec SA 所需的算法。

  • IPsec 策略 — 配置 IPsec 策略 IPSEC_POL 用于设置运行时 IPsec 协商属性。

  • IPsec VPN — 配置 IPsec VPN 策略 IPSEC_VPN 是为了设置需要保护的子网范围。

  • 安全性区域 — 三个不同的安全区域 trustuntrust vpn 并进行了配置,以便在每个区域内更好地隔离预期流量。

  • 安全性策略 — 在安全区域之间配置的vpn to trust安全性策略trust to vpn,用于过滤掉通过 IPsec SA 保护的数据流量类型。
PPK 配置文件

通过引用 IKE 网关下的密钥配置文件,指示用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。
证书
证书颁发机构证书 验证设备的身份并验证设备之间的通信链路。
本地证书 生成 PKI 并将其注册到 证书颁发机构 证书中进行验证。
KME 证书 供应商生成的第三方证书
安全性区域
信任

主机区域的网段
不信任

目标服务器区域的网络分段
VPN

SRX1 和 SRX2 设备通过其交互的网段。

主要验证任务

 验证已建立的 IKE 和 IPsec SA 是否具备量子安全性。

拓扑概述

在此示例中,SRX1 使用 CLI 配置的静态密钥启动与 SRX2 的量子安全 IPsec 隧道协商。SRX2 通过验证 SRX1 的身份和密钥来响应此请求,并建立量子安全 IPsec VPN。建立隧道后,Host1 和 Host2 之间的数据流量将使用已建立的 IPsec 隧道得到保护。

表 5:此配置中使用的设备、角色和功能

主机名

角色

功能
SRX1

能够建立 IPsec 隧道的设备

使用 SRX1 上配置的静态密钥发起 IKE 或 IPsec SA 协商,并与 SRX2 建立量子安全 IPsec 隧道。
SRX2 能够建立 IPsec 隧道的设备 响应 SRX1 发起的 IKE 或 IPsec SA 协商,并使用 SRX2 上配置的静态密钥建立量子安全 IPsec 隧道。
主机1 SRX1 可信区域或 LAN 端内的主机 发起流向 Host2 的客户端流量
主机 2 SRX2 可信区域或 LAN 端内的主机 响应来自 Host1 的客户端流量

拓扑图示

图 2:站点到站点 VPN Quantum Safe IPsec VPN Tunnel setup between SRX1 and SRX2 over the Internet, connecting Host 1 at 192.168.90.20 and Host 2 at 192.168.80.20.

防火墙设备上的分步配置

注意:

有关 DUT 上的完整示例配置,请参阅:

此配置仅适用于 SRX1 和 SRX2 设备。您必须针对特定于设备进行适当的配置更改。

  1. 配置接口。

  2. 使用密钥 ID 和相应的密钥配置静态类型的密钥配置文件。

  3. 配置安全区域。

验证

本节提供了可用于验证此示例中的功能的 show 命令列表。

表 6:要验证的 show 命令

命令

验证任务

显示安全 IKE 安全关联详细信息

验证是否已建立 IKE SA。

显示安全 IPsec 安全关联详细信息

验证是否已建立 IPsec SA。

显示安全 IPsec 统计信息

验证 IPsec 加密和解密统计数据。

显示安全密钥管理器配置文件详细信息

验证关键配置文件统计信息。

ping 192.168.80.20 源 192.168.90.20 计数 4

从 HOST1 到 HOST2 的 Ping,反之亦然。

验证 IKE SA

目的

验证 IKE SA

行动

在操作模式下,输入命令 show security ike security-associations detail 以查看 IKE SA。

意义

PPK-profile: km_profile_1 Optional: No、 和 Flags: IKE SA is created IPSec security associations: 4 created字段显示Role: Initiator, State: UP设备已成功创建 IKE SA。

验证 IPsec SA

目的

验证 IPsec SA

行动

在操作模式下,输入命令 show security ipsec security-associations detail 以查看 IPsec SA。

意义

tunnel-establishment: establish-tunnels-immediately IKE SA Index: 1字段显示Version: IKEv2 Quantum Secured: Yes设备已成功创建 IPsec SA。

示例输出确认了 IPsec SA。

验证 IPsec 统计信息

目的

验证 IPsec 统计信息。

行动

在操作模式下,输入命令 show security ipsec statistics 以查看 IPsec 统计信息。

意义

ESP StatisticsAH Statistics 字段显示 IPsec 统计信息。

验证密钥管理器配置文件

目的

验证密钥管理器配置文件。

行动

在操作模式下,输入 show security key-manager profiles 详细信息以查看密钥管理器配置文件。

意义

Type: Static字段显示Name: km_profile_1密钥管理器配置文件。

从 HOST 1 到 HOST 2 的 Ping

目的

验证从主机 1 到主机 2 的连接。

行动

在操作模式下,输入 ping 192.168.80.20 源 192.168.90.20 计数 4 以查看从主机 1 到主机 2 的连接。

意义

确认 PING 192.168.80.20 (192.168.80.20): 56 data bytes 从 HOST 1 到 HOST 2 的连接。

附录 1:在所有设备上设置命令

在所有设备上设置命令输出。

在 SRX1 上设置命令
在 SRX2 上设置命令

附录 2:在 DUT 上显示配置输出

SRX1

在配置模式下,输入 show security key-manager profilesshow security key-managershow security zonesshow security ipsec policy IPSEC_POLshow interfacesshow security ike proposal IKE_PROPshow security ipsec vpn IPSEC_VPN show security policiesshow security ike policy IKE_POLshow security ike gateway IKE_GWshow security ipsec proposal IPSEC_PROP和 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

SRX2

在配置模式下,输入 show security key-manager profilesshow security key-managershow security zonesshow security ipsec policy IPSEC_POLshow interfacesshow security ike proposal IKE_PROPshow security ipsec vpn IPSEC_VPN show security policiesshow security ike policy IKE_POLshow security ike gateway IKE_GWshow security ipsec proposal IPSEC_PROP和 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

示例:为 AutoVPN 配置静态密钥配置文件

使用此配置示例,通过配置静态密钥配置文件来保护 IPsec AutoVPN 基础架构。

您可以通过配置静态密钥配置文件来保护 IPsec AutoVPN 基础架构的安全。

在此配置示例中,中心、分支 1 和分支 2 使用静态密钥配置文件来获取 IPsec VPN 上的 QKD 密钥。QKD 密钥有助于通过互联网安全地发送流量。

提示:
表 7:预计计时器

阅读时间

不到一小时

配置时间

不到一小时

先决条件示例

使用 功能资源管理器 确认平台和版本对特定功能的支持。

表 8:要求

硬件要求

  • 支持该功能的设备。

  • 第三方密钥管理实体 (KME) 或量子密钥分配 (QKD) 设备。KME 参数符合 ETSI GS QKD 014 规范。

软件要求

支持该功能的操作系统。

开始之前

表 9:优势、资源和其他信息

优势

  • 威胁识别

    通过配置量子密钥,可以在 QKD 设备之间建立安全的量子通道。这可以提高威胁识别能力并保护网络。

  • 扩展安全性

    您可以将现有密钥与量子密钥合并,并通过现有 VPN 隧道对其进行加密和解密。这提高了 IPsec VPN 基础架构的安全性。

  • 增强的加密强度

    RFC 8784 合规性为您提供了一种防止攻击者窃取连接并拦截密钥的简单方法。这也确保了与符合该标准的其他设备的互操作性。

实用资源

  

了解更多

实践经验

vLAB 沙盒

了解更多

RFC 8784 - 在互联网密钥交换协议第 2 版 (IKEv2) 中混合预共享密钥以实现后量子安全性

获取证书颁发机构 (证书颁发机构) 的地址及其所需的信息(例如质询密码),然后提交本地证书请求。请参阅 了解本地证书请求

在每台设备中注册数字证书。请参阅 示例:手动加载证书颁发机构和本地证书

功能概述

表 10:静态密钥管理器功能概述
IPsec VPN

部署中心辐射型 IPsec VPN 拓扑,其中分支通过 VPN 隧道连接,通过中枢发送流量。这些 VPN 隧道稍后配置为使用量子密钥,从而成为量子安全 VPN 隧道。
IKE 网关

建立安全连接,IKE 网关在验证证书时使用 IKE 策略将自身限制为配置的 CA 组(CA 配置文件)。
提议
IKE 提议

定义用于与对等安全网关建立安全 IKE 连接的算法和密钥。

IKE 创建动态 SA 并对其进行 IPsec 协商。
IPsec 提议

列出要与远程 IPsec 对等方协商的协议、算法和安全服务。
政策
IKE 策略

定义要在 IKE 协商期间使用的安全参数(IKE 提议)的组合。
IPsec 策略

包含允许指定区域之间的组 VPN 流量的规则和安全策略。
安全性策略

允许您选择通过 IPsec SA 保护的数据流量类型。

  • VPN-OUT — 允许从信任区域到 VPN 区域的流量,其中匹配标准为:

    • 源-地址:HOST-1-Net

    • 目标地址:HOST-2-Net

    • 应用:任何

  • VPN-IN — 允许从 VPN 区域到信任区域的流量,其中匹配标准为:

    • 源地址:HOST-2-Net

    • 目标地址:HOST-1-Net

    • 应用:任何

配置文件

密钥配置文件

定义设备如何与 KME 设备通信,以便从外部 KME 服务器检索 QKD 密钥。密钥配置文件分别配置在中心 (HUB_KM_PROFILE_1) 和分支(SPOKE_1_KM_PROFILE_1 和 SPOKE_2_KM_PROFILE_1)上。

  • 密钥配置文件 — 静态密钥配置文件 HUB_KM_PROFILE_1SPOKE_1_KM_PROFILE_1 SPOKE_2_KM_PROFILE_1 分别在 HUB、SPOKE-1 和 SPOKE-2 上配置,以便应用程序/服务检索 CLI 配置的密钥 ID 和相应的密钥。

  • IKE 提议 — IKE 提议 HUB_IKE_PROPSPOKE_1_IKE_PROP SPOKE_2_IKE_PROP 分别在 HUB、SPOKE-1 和 SPOKE-2 上配置了建立 IKE 安全关联所需的算法。

  • IKE 策略 — IKE 策略HUB_IKE_POLSPOKE_3_IKE_POLSPOKE_1_IKE_POL并分别在 HUB、SPOKE-1 和 SPOKE-2 上配置,以设置运行时协商/身份验证属性。

  • IKE网关 — IKE网关 HUB_IKE_GWSPOKE_1_IKE_GW 分别 SPOKE_2_IKE_GW 配置在HUB、SPOKE-1和SPOKE-2上,以设置需要在其之间建立IPsec隧道的端点,引用配置的IKE策略,需要使用的IKE版本和ppk配置文件,以表示需要使用哪个密钥配置文件来建立量子安全IKE/IPsec安全关联。

  • IPsec 提议 — IPSEC 提议 HUB_IPSEC_PROPSPOKE_1_IPSEC_PROP SPOKE_2_IPSEC_PROP 分别在 HUB、SPOKE-1 和 SPOKE-2 上配置,并使用建立 IPSEC 安全关联所需的算法进行配置。

  • IPsec 策略 — IPsec 策略 HUB_IPSEC_POLSPOKE_1_IPSEC_POL SPOKE_2_IPSEC_POL 分别在 HUB、SPOKE-1 和 SPOKE-2 上配置,用于设置运行时 IPsec 协商属性。

  • IPsec VPN — IPSEC VPN HUB_IPSEC_VPNSPOKE_1_IPSEC_VPN 分别 SPOKE_2_IPSEC_VPN 配置在 HUB、SPOKE-1 和 SPOKE-2 上。要设置需要保护的子网范围,请参阅配置的 IPsec 策略和 IKE 网关。

  • 安全性区域 — 3 个不同的安全区域 trustuntrust 并且 vpn 配置为更好地隔离每个区域内的预期流量。

  • 安全性策略 — 在安全区域之间配置的vpn to trust安全性策略trust to vpn,用于过滤掉通过 IPsec 安全关联保护的数据流量类型。
PPK 配置文件

通过引用 IKE 网关下的密钥配置文件,指示用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。
证书
证书颁发机构证书 验证设备的身份并验证设备之间的通信链路。
本地证书 生成 PKI 并将其注册到 证书颁发机构 证书中以进行验证。
KME 证书 供应商生成的第三方证书。
安全性区域
信任

主机区域的网络分段。
不信任

目标服务器区域中的网络分段。
VPN

中心辐射型网络通过其进行交互的网段。

主要验证任务

 验证已建立的 IKE 和 IPsec SA 是否具备量子安全性。

拓扑概述

在此示例中,分支 1 和分支 2 使用 CLI 配置的静态密钥发起与中枢的量子安全 IPsec 隧道协商。中枢通过验证分支 1 和分支 2 的身份及其各自的密钥来响应请求,并使用两个分支建立量子安全 IPsec VPN。隧道建立后,主机 1 和主机 3 之间以及主机 2 和主机 3 之间的数据流量将使用已建立的 IPsec 隧道得到保护。

表 11:此配置中使用的设备、角色和功能

主机名

角色

功能
集线器 能够建立 IPsec 隧道的设备 响应分支 1 和分支 2 发起的 IKE 或 IPsec SA 协商,并使用中枢设备上配置的静态密钥建立量子安全 IPsec 隧道。
分支 1 能够建立 IPsec 隧道的设备 发起 IKE/IPsec SA 协商,并使用在分支 1 上配置的静态密钥与中枢建立量子安全 IPsec 隧道。
分支 2 能够建立 IPsec 隧道的设备 发起 IKE 或 IPsec SA 协商,并使用分支 2 上配置的静态密钥与中枢建立量子安全 IPsec 隧道。
主持人 1 位于可信区域或分支 1 的 LAN 端的主机 发起流向主机 3 的客户端流量。
主持人 2 位于分支 2 的可信区域或 LAN 端内的主机 发起流向主机 3 的客户端流量。
主持人 3 主机位于 HUB 的可信区域或 LAN 端 响应来自主机 1 和主机 2 的客户端流量。

拓扑图示

图 3:带自动 VPN 的静态密钥
Network topology diagram showing a secure communication setup using Quantum Safe IPsec VPN tunnels with a Hub, Spoke 1, and Spoke 2. Hosts connected to nodes use specific IPs for secure data transmission over the Internet.

在 Hub 上进行分步配置

注意:

有关 DUT 上的完整示例配置,请参阅:

此配置仅适用于 Hub 设备。您必须针对特定于设备进行适当的配置更改。

  1. 配置中枢接口。

  2. 配置 证书颁发机构配置文件和证书颁发机构证书。

  3. 在操作模式下,将 证书颁发机构证书绑定到 证书颁发机构配置文件。

  4. 配置静态密钥管理器配置文件。

  5. 在 IPsec VPN 上配置中心辐射型。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

分支设备上的分步配置

注意:

有关 DUT 上的完整示例配置,请参阅:

此配置适用于分支 1 和分支 2 设备。对于其他设备,您必须进行适当的特定于设备的配置更改。

  1. 配置分支接口。

  2. 在 IPsec VPN 上配置中心辐射型。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

  3. 配置静态密钥管理器配置文件。

验证

本节提供了可用于验证此示例中的功能的 show 命令列表。

命令 验证任务

显示安全 IKE 安全关联详细信息

验证是否已建立 IKE SA。

显示安全 IPsec 安全关联详细信息

目的验证是否已建立 IPsec SA。

显示安全 IPsec 统计信息

目的验证 IPsec 加密和解密统计信息。

显示安全密钥管理器配置文件详细信息

验证关键配置文件统计信息。

ping 192.168.90.20 源 192.168.80.20 计数 4

从主机 1 到主机 3 Ping,反之亦然。

验证 IKE SA

目的

验证 IKE SA。

行动

在操作模式下,输入命令 show security ike security-associations detail 以查看 IKE SA。

意义

Role: Responder, State: UP、 、 PPK-profile: HUB_KM_PROFILE_1IPSec security associations: 2 created, 0 deletedFlags: IKE SA is created 字段显示已成功创建 IKE SA。

验证 IPsec SA

目的

验证 IPsec SA。

行动

在操作模式下,输入命令 show security ipsec security-associations detail 以查看 IPsec SA。

意义

Passive mode tunneling: DisabledPolicy-name: HUB_IPSEC_POL、 和 IPsec SA negotiation succeeds (1 times) 字段显示Quantum Secured: Yes已成功创建 IPsec SA。

验证 IPsec 统计信息

目的

验证 IPsec 统计信息。

行动

在操作模式下,输入命令 show security ipsec statistics 以查看 IPsec 统计信息。

意义

ESP StatisticsAH Statistics 字段显示 IPsec 统计信息。

验证密钥管理器配置文件

目的

验证密钥管理器配置文件。

行动

在操作模式下,输入命令 show security key-manager profiles detail 以查看密钥管理器配置文件。

意义

Type: Static字段显示Name: HUB_KM_PROFILE_1密钥管理器配置文件

从主机 1 到主机 3 的 Ping,反之亦然

目的

验证从主机 1 到主机 3 的连接。

行动

在操作模式下,输入命令 ping 192.168.90.20 source 192.168.80.20 count 4 以查看从主机 1 到主机 3 的连接。

意义

确认 PING 192.168.80.20 (192.168.80.20): 56 data bytes 从主机 1 到主机 3 的连接。

从主机 2 到主机 3 的 Ping,反之亦然

目的

验证从主机 2 到主机 3 的连接。

行动

在操作模式下,输入 ping 192.168.90.20 source 192.168.80.20 count 4 以查看从主机 2 到主机 3 的连接。

意义

确认 PING 192.168.80.20 (192.168.80.20): 56 data bytes 从主机 2 到主机 3 的连接。

附录 1:在所有设备上设置命令

在所有设备上设置命令输出。

在集线器上设置命令
在分支 1 上设置命令
在分支 2 上设置命令

附录 2:在 DUT 上显示配置输出

集线器

在配置模式下,输入 show security ike proposal HUB_IKE_PROPshow security ike policy HUB_IKE_POLshow security ipsec vpn HUB_IPSEC_VPNshow security ike gateway HUB_IKE_GWshow security ipsec policy HUB_IPSEC_POLshow interfacesshow security ipsec proposal HUB_IPSEC_PROPshow security zonesshow security policies命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

分支 1

在配置模式下,输入 show security pki ca-profile Root-CAshow security key-manager profiles SPOKE_1_KM_PROFILE_1show security ike policy SPOKE_1_IKE_POLshow security zonesshow security policiesshow security ike proposal SPOKE_1_IKE_PROPshow security ipsec proposal SPOKE_1_IPSEC_PROPshow security pki show security ike gateway SPOKE_1_IKE_GWshow security ipsec policy SPOKE_1_IPSEC_POLshow security ipsec vpn SPOKE_1_IPSEC_VPNshow interfaces和 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

分支 2

在配置模式下,输入 show security pkishow security key-managershow security ike gateway SPOKE_2_IKE_GWshow security ike proposal SPOKE_2_IKE_PROPshow security ipsec proposal SPOKE_2_IPSEC_PROPshow security policies show security ike policy SPOKE_2_IKE_POLshow security ipsec vpn SPOKE_2_IPSEC_VPNshow interfacesshow security zones和 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

为 Junos Key Manager 配置 Quantum Key Manager 密钥配置文件

此示例说明如何为 Junos 密钥管理器配置量子密钥配置文件。配置量子密钥管理器密钥配置文件以生成并发送生成的密钥,以建立量子安全 IPsec VPN 隧道。

要求

使用 功能资源管理器 确认平台和版本对特定功能的支持。

  1. 硬件要求 — 支持该功能的设备。

  2. 软件要求 - 具有支持该功能的 Junos IKEJunos 密钥管理器 软件包的操作系统。

  3. 使用支持 ETSI 量子密钥分发 (QKD) Rest API 标准的任何 QKD 设备进行通信。

  4. 在设备上加载本地证书。建议提供证书的完整路径。

概述

设备使用 IPsec VPN 通过互联网安全地发送流量。在 IPsec VPN 中配置量子密钥管理器密钥配置文件,以重新验证现有 IKE SA 以及新的密钥和密钥。

量子密钥管理器密钥配置文件使用基于 QKD 的安全密钥分发方法来生成和分发量子安全的密钥。这些键是动态的。

配置

  1. 配置 CA 证书颁发机构证书。

  2. 加载 CA 证书颁发机构证书。

  3. 注册 CA 证书颁发机构证书。

  4. 配置量子密钥管理器配置文件。

验证

目的

验证量子密钥管理器密钥配置文件和密钥。

行动

在操作模式下,输入 show security pki ca-certificate ca-profile Root-CA 以查看 证书颁发机构配置文件和 CA 证书颁发机构证书。

在操作模式下,输入 以 show security pki local-certificate certificate-id SAE_A_CERT 查看 PKI 本地证书。

在操作模式下,输入 request security key-manager profiles get profile-keys name km_profile_1 peer-sae-id SAE_B 以查看对等设备密钥管理器配置文件和密钥。

在操作模式下,输入 show security key-manager profiles name KM_PROFILE_1 detail 以查看密钥管理器配置文件详细信息。

意义

显示 show security pki ca-certificate ca-profile Root-CA PKI 证书颁发机构配置文件名称、证书标识符、有效性、公钥算法等。

显示 show security pki local-certificate certificate-id SAE_A_CERT 本地 证书颁发机构配置文件名称、证书标识符、有效性、公钥算法等。

显示对 request security key-manager profiles get profile-keys name km_profile_1 peer-sae-id SAE_B 等设备密钥管理器配置文件和密钥。

显示 show security key-manager profiles name KM_PROFILE_1 detail 安全密钥管理器配置文件名称、URL、请求等。

示例:为站点到站点 IPsec VPN 配置 Quantum Key Manager 密钥配置文件

使用此配置示例,通过配置量子密钥管理器密钥配置文件来保护 IPsec 站点到站点 VPN 基础架构。

您可以通过配置量子密钥管理器密钥配置文件来保护 IPsec 站点到站点 VPN 基础架构的安全。

在此配置示例中,SRX1 和 SRX2 设备使用量子密钥管理器配置文件来获取 IPsec VPN 上的 QKD 密钥。QKD 密钥有助于通过互联网安全地发送流量。

提示:
表 12:预计计时器

阅读时间

不到一小时

配置时间

不到一小时

先决条件示例

使用 功能资源管理器 确认平台和版本对特定功能的支持。

表 13:硬件和软件要求

硬件要求

支持该功能的设备。

软件要求

支持该功能的操作系统。

开始之前

表 14:优势、资源和其他信息

优势

  • 威胁识别

    通过配置量子密钥,可以在 QKD 设备之间建立安全的量子通道。这可以提高威胁识别能力并保护网络。

  • 扩展安全性

    您可以将现有密钥与量子密钥合并,并通过现有 VPN 隧道对其进行加密和解密。这提高了 IPsec VPN 基础架构的安全性。

  • 增强的加密强度

    RFC 8784 合规性为您提供了一种防止攻击者窃取连接并拦截密钥的简单方法。这也确保了与符合该标准的其他设备的互操作性。

实用资源

  

了解更多

实践经验

vLAB 沙盒

了解更多

RFC 8784 - 在互联网密钥交换协议第 2 版 (IKEv2) 中混合预共享密钥以实现后量子安全性

ETSI QKD REST API

功能概述

表 15:Quantum Key Manager 密钥配置文件功能概述
IPsec VPN

部署中心辐射型 IPsec VPN 拓扑,其中分支通过 VPN 隧道连接,通过中枢发送流量。这些 VPN 隧道稍后配置为使用量子密钥,从而成为量子安全 VPN 隧道。
IKE 网关

建立安全连接。在验证证书时,IKE 网关使用 IKE 策略将自身限制为配置的证书颁发机构 (证书颁发机构) 配置文件组。
提议
IKE 提议

定义用于与对等安全网关建立安全 IKE 连接的算法和密钥。

IKE 可创建动态安全关联 (SA) 并对其进行 IPsec 协商。
IPsec 提议

列出要与远程 IPsec 对等方协商的协议、算法和安全服务。
政策
IKE 策略

定义要在 IKE 协商期间使用的安全参数(IKE 提议)的组合。
IPsec 策略

包含允许指定区域之间的组 VPN 流量的规则和安全策略。
安全性策略

允许您选择通过 IPsec SA 保护的数据流量类型。

  • VPN-OUT — 允许从信任区域到 VPN 区域的流量,其中匹配标准为:

    • 源-地址:HOST-1-Net

    • 目标地址:HOST-2-Net

    • 应用:任何

  • VPN-IN — 允许从 VPN 区域到信任区域的流量,其中匹配标准为:

    • 源地址:HOST-2-Net

    • 目标地址:HOST-1-Net

    • 应用:任何

配置文件

密钥配置文件

定义设备如何与 KME 设备通信,以便从外部 KME 服务器检索 QKD 密钥。密钥配置文件分别配置在中心 (HUB_KM_PROFILE_1) 和分支(SPOKE_1_KM_PROFILE_1 和 SPOKE_2_KM_PROFILE_1)上。

  • 密钥配置文件 — 为应用程序和服务配置量子密钥管理器配置文件 km_profile_1 ,以便从外部服务器检索 QKD 密钥。

  • IKE提议 — IKE提议 IKE_PROP 配置了建立IKE SA 所需的算法。

  • IKE 策略 — 将 IKE 策略 IKE_POL 配置为设置运行时协商和身份验证属性。

  • IKE 网关 — 配置了 IKE 网关 IKE_GW 来管理端点之间的 IPsec 隧道。A ppk-profile 表示要用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。

  • IPsec 提议 — IPsec 提议 IPSEC_PROP 配置了建立 IPsec SA 所需的算法。

  • IPsec 策略 — 配置 IPsec 策略 IPSEC_POL 用于设置运行时 IPsec 协商属性。

  • IPsec VPN — 配置 IPsec VPN 策略 IPSEC_VPN 是为了设置需要保护的子网范围。

  • 安全性区域 — 三个不同的安全区域 trustuntrust vpn 并进行了配置,以便在每个区域内更好地隔离预期流量。

  • 安全性策略 — 在安全区域之间配置的vpn to trust安全性策略trust to vpn,用于过滤掉通过 IPsec SA 保护的数据流量类型。
PPK 配置文件

通过引用 IKE 网关下的密钥配置文件,指示用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。
证书
证书颁发机构证书 验证设备身份并验证通信链路。
本地证书 生成 PKI 并将其注册到 证书颁发机构 证书中以进行验证。
KME 证书 供应商生成的第三方证书。
安全性区域
信任

主机区域的网络分段。
不信任

目标服务器区域中的网络分段。
VPN

中心辐射型通过其进行交互的网段。

主要验证任务

 验证已建立的 IKE 和 IPsec SA 是否具备量子安全性。

拓扑概述

在此示例中,我们使用第三方 KME 设备生成的量子密钥来保护 SRX1 和 SRX2 IPsec VPN 隧道。KME 设备(KME-A 和 KME-B)通过高度安全且能够识别威胁的量子通道相互连接。SRX1 和 SRX2 设备使用此通道从其相应的 KME 设备检索量子密钥,并将其与现有密钥合并,以实现 VPN 隧道的量子安全。

表 16:此配置中使用的设备、角色和功能

主机名

角色

功能
SRX1 能够建立 IPsec 隧道的设备 使用从 KME-A QKD 设备获取的 QKD 密钥,发起 IKE 或 IPsec SA 协商,并与 SRX2 建立量子安全 IPsec 隧道。
SRX2 能够建立 IPsec 隧道的设备 响应 IKE 或 IPsec SA 协商,并使用来自 KME-B QKD 设备的 QKD 密钥建立量子安全 IPsec 隧道。
主机 1 SRX1 可信区域或 LAN 端内的主机 发起流向主机 2 的客户端流量
主机 2 SRX2 可信区域或 LAN 端内的主机 响应来自主机 1 的客户端流量。
KME-A 第三方供应商 QKD 设备 提供 QKD 密钥以响应来自 SRX1 的密钥请求。
KME-B 第三方供应商 QKD 设备 提供 QKD 密钥以响应来自 SRX2 的密钥请求。

拓扑图示

图 4:站点到站点 VPN
Quantum-safe IPsec VPN tunnel setup with SRX1 and SRX2 connected via the internet. Hosts linked via Ethernet. KME or QKD keys used.

设备上的分步配置

注意:

有关 DUT 上的完整示例配置,请参阅:

此配置适用于 SRX1 和 SRX2 设备。对于其他设备,您必须进行适当的特定于设备的配置更改。

  1. 配置接口。

  2. 使用 must 或 recommended 参数配置 quantum-key-manager 类型的密钥配置文件。

    定义证书颁发机构证书,配置KME服务器的URL,配置本地端使用的SAE-ID,为本地SAE-ID配置对应的证书,配置之前定义的证书颁发机构证书。

  3. 配置站点到站点 IPsec VPN。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

验证

本节提供了可用于验证此示例中的功能的 show 命令列表。

命令 验证任务

显示安全 IKE 安全关联详细信息

目的验证是否已建立 IKE SA。

显示安全 IPsec 安全关联详细信息

验证是否已建立 IPsec SA。

显示安全 IPsec 统计信息

 验证 IPsec 加密和解密统计数据。

显示安全密钥管理器配置文件详细信息

 验证关键配置文件统计信息。

ping 192.168.80.20 源 192.168.90.20 计数 5

 从 HOST 1 到 HOST 2,反之亦然。

验证 IKE SA

目的

验证 IKE SA。

行动

在操作模式下,输入命令 show security ike security-associations detail 以查看 IKE SA。

意义

Role: Initiator, State: UP、 、 PPK-profile: km_profile_1IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1Flags: IKE SA is created 字段显示已成功创建 IKE SA。

验证 IPsec SA

目的

验证 IPsec SA。

行动

在操作模式下,输入命令 show security ipsec security-associations detail 以查看 IPsec SA。

意义

Policy-name: IPSEC_POLIPsec SA negotiation succeeds (1 times)、 和 tunnel-establishment: establish-tunnels-immediately IKE SA Index: 21 字段显示Quantum Secured: Yes已成功创建 IPsec SA。

验证 IPsec 统计信息

目的

验证 IPsec 统计信息。

行动

在操作模式下,输入命令 show security ipsec statistics 以查看 IPsec 统计信息。

意义

ESP StatisticsAH Statistics 字段显示 IPsec 统计信息。

验证密钥管理器配置文件

目的

验证密钥管理器配置文件。

行动

在操作模式下,输入命令 show security key-manager profiles detail 以查看密钥管理器配置文件。

意义

Quantum-key-manager 字段显示Name: km_profile_1密钥管理器配置文件。

从 HOST 1 到 HOST 2 的 Ping,反之亦然

目的

验证从主机 1 到主机 2 的连接。

行动

在操作模式下,输入 ping 192.168.80.20 source 192.168.90.20 计数 5 以查看从主机 1 到主机 2 的连接。

意义

确认 PING 192.168.80.20 (192.168.80.20): 56 data bytes count 5 从 HOST 1 到 HOST 2 的连接。

附录 1:在所有设备上设置命令

在所有设备上设置命令输出。

在 SRX1 上设置命令
在 SRX2 上设置命令

附录 2:在 DUT 上显示配置输出

显示 DUT 上的命令输出。

SRX1

SRX 2

示例:使用 Quantum Key Manager 密钥配置文件配置量子安全 IPsec AutoVPN 拓扑

使用此配置示例,通过配置量子密钥管理器密钥配置文件来保护 IPsec AutoVPN 基础架构。

中心、分支 1 和分支 2 使用量子密钥管理器密钥配置文件与 KME 中心、KME 分支 1 和 KME 分支 2 通信,以获取 QKD 密钥并建立 IPsec VPN 隧道。

提示:
表 17:预计计时器

阅读时间

不到一个小时。

配置时间

不到一个小时。

先决条件示例

使用 功能资源管理器 确认平台和版本对特定功能的支持。

表 18:硬件和软件要求

硬件要求

  • 支持该功能的设备。

  • 第三方密钥管理实体 (KME) 或量子密钥分配 (QKD) 设备。KME 参数符合 ETSI GS QKD 014 规范。

软件要求

支持该功能的操作系统。

开始之前

表 19:优势、资源和其他信息

优势

  • 威胁识别

    在 QKD 设备之间建立安全的量子通道,借助量子密钥保证威胁识别。

  • 扩展安全性

    将现有密钥与量子密钥合并,并通过现有 VPN 隧道对其进行加密和解密,从而扩展 IPsec VPN 基础架构的安全性。

  • 符合 RFC 8784

    扩展已标准化的 RFC 8784 过程。

实用资源

  

了解更多

实践经验

vLab 沙盒:IPsec VPN - 基于策略

了解更多

功能概述

表 20 简要总结了此示例中部署的配置组件。

表 20:Quantum 密钥管理器功能概述
IPsec VPN

部署中心辐射型 IPsec VPN 拓扑,其中分支通过 VPN 隧道连接,通过中枢发送流量。这些 VPN 隧道稍后配置为使用量子密钥,从而成为量子安全 VPN 隧道。
IKE 网关

建立安全连接后,IKE 网关在验证证书时使用 IKE 策略将自身限制为配置的 CA 组(ca 配置文件)。
提议
IKE 提议

定义用于与对等安全网关建立安全 IKE 连接的算法和密钥。

IKE 创建动态 SA 并对其进行 IPsec 协商。
IPsec 提议

列出要与远程 IPsec 对等方协商的协议、算法和安全服务。
政策
IKE 策略

定义要在IKE协商期间使用的安全参数(IKE提议)的组合。
IPsec 策略

包含允许指定区域之间的组 VPN 流量的规则和安全策略。
安全性策略

允许您选择通过 IPsec SA 保护的数据流量类型。

  • VPN-OUT – 允许从信任区域到 VPN 区域的流量,其中匹配标准为:

    • 源-地址:HOST-1-Net

    • 目标地址:HOST-2-Net

    • 应用:任何

  • VPN-IN – 允许从 VPN 区域到信任区域的流量,其中匹配标准为:

    • 源地址:HOST-2-Net

    • 目标地址:HOST-1-Net

    • 应用:任何

配置文件
密钥配置文件

定义 SRX 设备如何与 KME 设备通信,以便从外部 KME 服务器检索 QKD 密钥。密钥配置文件分别配置在中心 (HUB_KM_PROFILE_1) 和分支(SPOKE_1_KM_PROFILE_1 和 SPOKE_2_KM_PROFILE_1)上。

为应用和服务配置 SPOKE-1SPOKE-2 以便从外部服务器检索 QKD 密钥。

  • 密钥配置文件 - 在 Hub 上配置以下量子密钥管理器密钥配置文件。

    • HUB_KM_PROFILE_1

    • SPOKE_1_KM_PROFILE_1

    • SPOKE_2_KM_PROFILE_1

  • SPOKE-1配置并SPOKE-2使用所需的算法来建立 IKE SA。

    IKE 提议 — 在 Hub 上配置以下 IKE 提议。

    • HUB_IKE_PROP

    • SPOKE_1_IKE_PROP

    • SPOKE_2_IKE_PROP

  • 配置 SPOKE-1SPOKE-2 以设置运行时协商和身份验证属性。

    IKE 策略 — 在 Hub 上配置以下 IKE 策略。

    • HUB_IKE_POL

    • SPOKE_1_IKE_POL

    • SPOKE_3_IKE_POL

  • 配置和SPOKE-1SPOKE-2设置 IPsec 隧道之间的端点。

    IKE 网关 - 在 Hub 上配置以下 IKE 网关。

    A ppk-profile 表示用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。

    • HUB_IKE_GW

    • SPOKE_1_IKE_GW

    • SPOKE_2_IKE_GW

  • SPOKE-1配置并SPOKE-2使用必要的算法来建立 IPsec SA。

    IPsec 提议 — 在中枢上配置以下 IPsec 提议。

    • HUB_IPSEC_PROP

    • SPOKE_1_IPSEC_PROP

    • SPOKE_2_IPSEC_PROP

  • 配置 SPOKE-1SPOKE-2 设置运行时 IPsec 协商属性。

    IPsec 策略 — 在 Hub 上配置以下 IPsec 策略。

    • HUB_IPSEC_POL

    • SPOKE_1_IPSEC_POL

    • SPOKE_2_IPSEC_POL

  • 配置 SPOKE-1SPOKE-2 设置需要保护的子网范围。

    IPsec VPN — 在中枢上配置以下 IPsec VPN。

    • HUB_IPSEC_VPN

    • SPOKE_1_IPSEC_VPN

    • SPOKE_2_IPSEC_VPN

  • 安全性区域 — 配置三个不同的安全区域以隔离流量。

    • trust

    • untrust

    • vpn

  • 安全性策略 — 配置安全策略 trust to vpnvpn to trust 选择通过 IPsec SA 受保护的数据流量类型。
PPK 配置文件

通过引用 IKE 网关下的密钥配置文件,指示用于建立量子安全 IKE 或 IPsec SA 的密钥配置文件。
证书
证书颁发机构证书 验证设备的身份并验证设备之间的通信链路。
本地证书 生成 PKI 并将其注册到 证书颁发机构 证书中进行验证。
KME 证书 供应商生成的第三方证书。
安全性区域
信任

主机区域的网络分段。
不信任

目标服务器区域中的网络分段。
VPN

中心辐射型通过其进行交互的网段。

主要验证任务

验证已建立的 IKE 和 IPsec SA 是否具备量子安全性。

拓扑概述

在本示例中,我们使用第三方 KME 设备生成的量子密钥来保护中心辐射型 IPsec VPN 隧道。KME 设备(KME-Hub、KME-Spoke 1 和 KME-Spoke 2)通过高度安全且能够识别威胁的量子通道相互连接。使用此通道,中心辐射型设备从其相应的 KME 设备检索量子密钥,并将其与现有密钥合并,以使 VPN 隧道具有量子安全性。

表 21:Quantum 密钥管理器拓扑组件

拓扑组件

角色

功能
Hub 能够建立 IPsec 隧道的设备 响应 IKE 或 IPsec SA 协商,并使用来自 KME-HUB QKD 设备的 SPOKE-1 SPOKE-2QKD 密钥建立量子安全 IPsec 隧道。
SPOKE-1 能够建立 IPsec 隧道的设备 发起 IKE 或 IPsec SA 协商,并使用 QKD 设备的 QKD 密钥 KME-SPOKE-1 与中枢建立量子安全 IPsec 隧道。
SPOKE-2 能够建立 IPsec 隧道的设备 发起 IKE 或 IPsec SA 协商,并使用 QKD 设备的 QKD 密钥 KME-SPOKE-2 与中枢建立量子安全 IPsec 隧道。
HOST-1 的可信区域或 LAN 端SPOKE 1Host 1内的主机由 SPOKE 1保护。 发起面向 HOST-3
HOST-2 的可信区域或 LAN 端SPOKE 2Host 2内的主机由 SPOKE 2保护。 发起面向 HOST-3
HOST- 3 主机位于中枢的可信区域或 LAN 端。Host 3由 保护。Hub 响应来自 HOST-1HOST-2
KME-HUB 第三方 QKD 设备 提供 QKD 密钥以响应来自 HUB
KME-SPOKE-1 第三方 QKD 设备 提供 QKD 密钥以响应来自 SPOKE-1
KME-SPOKE-2 第三方 QKD 设备 提供 QKD 密钥以响应来自 SPOKE-2

拓扑图示

图 5:使用 AutoVPN Error analyzing image 的量子密钥管理器

在 Hub 上进行分步配置

注意:

有关中心辐射型设备上的完整示例配置,请参阅:

  1. 配置中枢接口。

  2. 配置中心辐射型 IPsec VPN。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

    将集线器配置为从 证书颁发机构 服务器获取 证书颁发机构 证书,或从设备加载本地可用的证书颁发机构证书。

    注意:

    KME 证书需要按照第三方供应商的说明进行配置。

    配置 IPsec 提议和策略。为 IPsec VPN 配置 IKE 策略、提议和网关。

  3. 配置量子密钥管理器密钥配置文件,以从相应的 KME-Hub 设备检索量子密钥。

  4. 将量子密钥管理器密钥配置文件绑定为 IKE 网关 ppk-profile,以使 VPN 隧道具有量子安全。

如果完成设备配置,请从配置模式进入。commit

分支设备上的分步配置

注意:

有关设备上的完整示例配置,请参阅:

此配置适用于分支 1 和分支 2 设备,您必须针对特定于设备进行适当的配置更改。

  1. 配置分支接口。

  2. 配置中心辐射型 IPsec VPN。这包括配置安全区域、安全策略和相关证书,以验证设备身份及其通信链路。

    将集线器配置为从 证书颁发机构 服务器获取 证书颁发机构 证书,或从设备加载本地可用的证书颁发机构证书。

    注意:

    KME 证书需要按照第三方供应商的说明进行配置。

    配置 IPsec 提议和策略。为 IPsec VPN 配置 IKE 策略、提议和网关。

  3. 配置量子密钥管理器密钥配置文件,以从相应的分支设备检索量子密钥。

  4. 将量子密钥管理器密钥配置文件绑定为 IKE 网关 ppk-profile,以使 VPN 隧道具有量子安全。

如果完成设备配置,请从配置模式进入。commit

验证

本节提供了可用于验证此示例中的功能的 show 命令列表。

表 22:验证任务
命令 验证任务

显示安全 IKE 安全关联详细信息

 验证 IKE SA。

显示安全 IPsec 安全关联详细信息

 验证 IPsec SA。

显示安全 IPsec 统计信息

 验证 IPsec 加密和解密统计数据。

显示安全密钥管理器配置文件详细信息

 验证关键配置文件统计信息。

ping 192.168.90.20 源 192.168.80.20 计数 4

 从主机 1 到主机 3 执行 Ping 操作。

ping 192.168.90.20 源 192.168.70.20 计数 4

 从主机 2 到 Host 3 执行 Ping 操作。

验证 IKE SA

目的

验证 IKE SA。

行动

在操作模式下,输入命令 show security ike security-associations detail 以查看 IKE SA。

意义

示例输出确认了 IKE SA。

验证 IPsec SA

目的

验证 IPsec SA。

行动

在操作模式下,输入命令 show security ipsec security-associations detail 以查看 IPsec SA。

意义

示例输出确认了 IPsec SA。

验证 IPsec 统计信息

目的

验证 IPsec 统计信息。

行动

在操作模式下,输入命令 show security ipsec statistics 以查看 IPsec 统计信息。

意义

示例输出确认了 IPsec 统计信息。

验证密钥管理器配置文件

目的

验证密钥管理器配置文件。

行动

在操作模式下,输入 show security key-manager profiles detail 命令并验证 Success 选项中的 Request stats 字段。

意义

示例输出确认量子密钥管理器配置文件。

从主机 1 到主机 3 的 Ping

目的

验证从主机 1 到主机 3 的连接。

行动

在操作模式下,输入命令 ping 192.168.90.20 source 192.168.80.20 count 5 以查看从主机 1 到主机 3 的连接。

意义

示例输出确认了从主机 1 到主机 3 的连接。

从主机 2 到主机 3 的 Ping

目的

验证从主机 2 到主机 3 的连接。

行动

在操作模式下,输入命令 ping 192.168.90.20 source 192.168.80.20 count 5 以查看从主机 2 到主机 3 的连接。

意义

示例输出确认了从主机 2 到主机 3 的连接。

附录 1:在所有设备上设置命令

在所有设备上设置命令输出。

在集线器上设置命令
在分支 1 上设置命令
在分支 2 上设置命令

附录 2:在 DUT 上显示配置输出

显示 DUT 上的命令输出。

集线器

在配置模式下,输入 show security pki ca-profile Root-CAshow security key-managershow security ike policy HUB_IKE_POLshow security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security policies from-zone vpn to-zone trustshow security ike proposal HUB_IKE_PROPshow security ipsec proposal HUB_IPSEC_PROPshow interfaces show security ike gateway HUB_IKE_GWshow security ipsec policy HUB_IPSEC_POLshow security ipsec vpn HUB_IPSEC_VPNshow security zones security-zone untrust和 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

分支 1

在配置模式下,输入 show security pki ca-profile Root-CAshow security key-manager profiles SPOKE_1_KM_PROFILE_1show security ike policy SPOKE_1_IKE_POLshow security zones security-zone untrustshow security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security ike proposal SPOKE_1_IKE_PROPshow security ipsec proposal SPOKE_1_IPSEC_PROPshow security policies from-zone vpn to-zone trust show security ike gateway SPOKE_1_IKE_GWshow security ipsec policy SPOKE_1_IPSEC_POLshow security ipsec vpn SPOKE_1_IPSEC_VPNshow interfaces和 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

分支 2

在配置模式下,输入 show security pki ca-profile Root-CAshow security key-manager profiles SPOKE_1_KM_PROFILE_1show security ike policy SPOKE_1_IKE_POLshow security zones security-zone untrustshow security zones security-zone trustshow security policies from-zone trust to-zone vpnshow security ike proposal SPOKE_1_IKE_PROPshow security ipsec proposal SPOKE_1_IPSEC_PROPshow security policies from-zone vpn to-zone trust show security ike gateway SPOKE_1_IKE_GWshow security ipsec policy SPOKE_1_IPSEC_POLshow security ipsec vpn SPOKE_1_IPSEC_VPNshow interfaces和 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。