IKE und ESP ALG
Internet Key Exchange (IKE) und Encapsulating Security Payload (ESP) sind Teil des IP Security (IPsec)-Protokolls. IKE- und ESP-Datenverkehr wird zwischen den Clients und dem Server ausgetauscht. Das IKE- und ESP-ALG hilft bei der Lösung von IPsec-VPN-Problemen, wenn das IPsec-VPN das Gerät passiert, auf dem NAT aktiviert ist.
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Lesen Sie den Abschnitt Plattformspezifisches IKE ALG-Verhalten , um Hinweise zu Ihrer Plattform zu erhalten.
Grundlegendes zu IKE und ESP ALG
Eine Firewall der NFX-Serie oder SRX-Serie kann ausschließlich als NAT-Gerät (Network Address Translation) verwendet werden, wenn sie zwischen VPN-Clients auf der privaten Seite des NAT-Gateways und den VPN-Gateways (Virtual Private Network) auf der öffentlichen Seite platziert wird.
Der Datenverkehr von Internet Key Exchange (IKE) und Encapsulating Security Payload (ESP) wird zwischen den Clients und dem Server ausgetauscht. Wenn die Clients jedoch NAT-Traversal (NAT-T) nicht unterstützen und das Gerät zwei oder mehr Clients dieselbe NAT-generierte IP-Adresse zuweist, ist das Gerät nicht in der Lage, den zurückgehenden Datenverkehr ordnungsgemäß zu unterscheiden und weiterzuleiten.
Wenn der Benutzer sowohl NAT-T-fähige als auch Nicht-NAT-T-fähige Clients unterstützen möchte, sind einige zusätzliche Konfigurationen erforderlich. Wenn NAT-T-fähige Clients vorhanden sind, muss der Benutzer die Persistenz der Quell-NAT-Adresse aktivieren.
Das ALG für IKE und ESP überwacht den IKE-Datenverkehr zwischen dem Client und dem Server und lässt nur einen IKE-Phase-2-Nachrichtenaustausch zwischen einem bestimmten Client/Server-Paar zu, nicht nur einen Austausch zwischen einem beliebigen Client und einem beliebigen Server.
ALG für IKE- und ESP-Datenverkehr wurde erstellt, und NAT wurde verbessert, um Folgendes zu implementieren:
So ermöglichen Sie den Geräten die Weiterleitung von IKE- und ESP-Datenverkehr mit einem Quellen-NAT-Pool
Damit das Gerät so konfiguriert werden kann, dass es dieselbe NAT-generierte IP-Adresse für dieselbe IP-Adresse ohne NAT zurückgibt ("address-persistent NAT"). Dadurch ist das Gerät in der Lage, den ausgehenden IKE-Datenverkehr eines Clients mit dem vom Server zurückgesendeten Datenverkehr zu verknüpfen, insbesondere wenn bei der IKE-Sitzung eine Zeitüberschreitung auftritt und sie neu hergestellt werden muss.
Der daraus resultierende ESP-Verkehr zwischen Client und Server wird ebenfalls zugelassen, insbesondere in Richtung vom Server zum Client.
Der zurückgegebene ESP-Datenverkehr stimmt mit dem folgenden überein:
Die Server-IP-Adresse als Quell-IP
Die Client-IP-Adresse als Ziel-IP
Grundlegendes zum IKE- und ESP-ALG-Betrieb
Das Anwendungsebene-Gateway (ALG) für den Internet Key Exchange (IKE)- und den ESP-Datenverkehr (Encapsulating Security Payload) weist das folgende Verhalten auf:
Ein IKE- und ESP-ALG überwacht den IKE-Datenverkehr zwischen dem Client und dem Server und lässt jeweils nur einen IKE-Phase-2-Nachrichtenaustausch zwischen dem Client und dem Server zu.
Für eine Phase-2-Nachricht:
Wenn kein Phase-2-Nachrichtenaustausch zwischen Client und Server stattfindet, werden die IKE ALG-Gatter für den relevanten ESP-Datenverkehr vom Client zum Server und vom Server zum Client geöffnet.
Wenn beide IKE ALG-Gatter nicht erfolgreich geöffnet werden oder wenn der Phase-2-Nachrichtenaustausch bereits stattgefunden hat, wird die Phase-2-Nachricht gelöscht.
Wenn ESP-Datenverkehr auf die IKE ALG-Gatter trifft, werden Sitzungen erstellt, um den nachfolgenden ESP-Datenverkehr zu erfassen und das ordnungsgemäße NATing durchzuführen (d. h. die Übersetzung der Quell-IP-Adresse vom Client zum Serverdatenverkehr und die Übersetzung der Ziel-IP-Adresse vom Server zum Clientdatenverkehr).
Wenn der ESP-Datenverkehr nicht auf eines oder beide Gates trifft, tritt bei den Gates natürlich eine Zeitüberschreitung auf.
Sobald die IKE-ALG-Gatter ausgeblendet sind oder eine Zeitüberschreitung aufweisen, ist ein weiterer IKE-Phase-2-Nachrichtenaustausch zulässig.
IKE NAT-T-Datenverkehr auf dem potentialfreien Port 4500 wird nicht in einem IKE ALG verarbeitet. Um eine Mischung aus NAT-T-fähigen und nicht fähigen Clients zu unterstützen, müssen Sie die persistente Quell-NAT-Adresse aktivieren.
Beispiel: Konfiguration des IKE- und ESP-ALG
In diesem Beispiel wird gezeigt, wie Sie die IKE- und ESP-ALG so konfigurieren, dass sie IKE- und ESP-Datenverkehr mit einem Quell-NAT-Pool auf Geräten von Juniper Networks durchlaufen.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie Proxy-ARP für alle IP-Adressen im Quell-NAT-Pool.
Machen Sie sich mit den Konzepten hinter IKE und ESP ALG vertraut. Weitere Informationen finden Sie unter Grundlegendes zum IKE- und ESP-ALG-Betrieb.
Überblick
In diesem Beispiel ist das ALG für IKE und ESP so konfiguriert, dass IKE- und ESP-Datenverkehr zwischen den Clients und dem Server, die sich auf gegenüberliegenden Seiten eines Juniper Networks-Geräts befinden, überwacht und ausgetauscht werden kann.
In diesem Beispiel wird gezeigt, wie Sie einen Quell-NAT-Pool und -Regelsatz konfigurieren, eine benutzerdefinierte Anwendung zur Unterstützung der IKE- und ESP-ALG konfigurieren und diese ALG einer Richtlinie zuordnen.
Wenn Sie eine Mischung aus NAT-T-fähigen und nicht fähigen Clients (NAT-Traversal) unterstützen möchten, müssen Sie die persistente Quell-NAT-Übersetzung aktivieren (sobald eine bestimmte Quell-NAT einer bestimmten IP-Adresse zugeordnet ist, verwenden nachfolgende Quell-NAT-Übersetzungen dieselbe IP-Adresse). Außerdem müssen Sie eine benutzerdefinierte IKE-NAT-Traversalanwendung konfigurieren, um die Kapselung von IKE und ESP in UDP-Port 4500 zu unterstützen. Diese Konfiguration ermöglicht es IKE und ESP, das NAT-fähige Gerät zu passieren.
Topologie
Konfiguration
- Konfigurieren eines NAT-Quellpools und eines Regelsatzes
- Konfigurieren einer benutzerdefinierten Anwendung und Zuordnen zu einer Richtlinie
- Konfigurieren der IKE- und ESP-ALG-Unterstützung für NAT-T-fähige und nicht fähige Clients
Konfigurieren eines NAT-Quellpools und eines Regelsatzes
CLI Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um Ihrer Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und wechseln Sie commit dann aus dem [edit] Konfigurationsmodus.
set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32 set security zones security-zone green address-book address sa1 1.1.1.0/24 set security zones security-zone red address-book address da1 2.2.2.0/24 set security nat source rule-set rs1 from zone green set security nat source rule-set rs1 to zone red set security nat source rule-set rs1 rule r1 match source-address 1.1.1.0/24 set security nat source rule-set rs1 rule r1 match destination-address 2.2.2.0/24 set security nat source rule-set rs1 rule r1 then source-nat pool pool1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie einen Quell-NAT-Pool:
Erstellen Sie einen NAT-Quellpool.
[edit ] user@host# set security nat source pool pool1 address 10.10.10.1/32 to 10.10.10.10/32
Konfigurieren Sie Adressbucheinträge für die Sicherheitszone.
[edit] user@host# set security zones security-zone green address-book address sa1 1.1.1.0/24 user@host# set security zones security-zone red address-book address da1 2.2.2.0/24
Erstellen Sie einen NAT-Quellregelsatz.
[edit security nat source rule-set rs1] user@host# set from zone green user@host# set to zone red user@host# set rule r1 match source-address 1.1.1.0/24 user@host# set rule r1 match destination-address 2.2.2.0/24 user@host# set rule r1 then source-nat pool pool1
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security nat Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show security nat
source {
pool pool1 {
address {
10.10.10.1/32 to 10.10.10.10/32;
}
}
rule-set rs1 {
from zone green;
to zone red;
rule r1 {
match {
source-address 1.1.1.0/24;
destination-address 2.2.2.0/24;
}
then {
source-nat {
pool {
pool1;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Konfigurieren einer benutzerdefinierten Anwendung und Zuordnen zu einer Richtlinie
CLI Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um Ihrer Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und wechseln Sie commit dann aus dem [edit] Konfigurationsmodus.
set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-alg set security policies from-zone green to-zone red policy pol1 then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine benutzerdefinierte Anwendung und ordnen sie einer Richtlinie zu:
Konfigurieren Sie eine benutzerdefinierte Anwendung.
[edit] user@host# set applications application custom-ike-alg source-port 500 destination-port 500 protocol udp application-protocol ike-esp-nat
Ordnen Sie die benutzerdefinierte Anwendung einer Richtlinie zu.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-alg user@host# set then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show applications Befehle und show security zones eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show applications
application custom-ike-alg {
application-protocol ike-esp-nat;
protocol udp;
source-port 500;
destination-port 500;
}
[edit]
user@host# show security zones
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone green {
address-book {
address sa1 1.1.1.0/24;
}
}
security-zone red {
address-book {
address da1 2.2.2.0/24;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Konfigurieren der IKE- und ESP-ALG-Unterstützung für NAT-T-fähige und nicht fähige Clients
CLI Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um Ihrer Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und wechseln Sie commit dann aus dem [edit] Konfigurationsmodus.
set security nat source address-persistent set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500 set security policies from-zone green to-zone red policy pol1 match source-address sa1 set security policies from-zone green to-zone red policy pol1 match destination-address da1 set security policies from-zone green to-zone red policy pol1 match application custom-ike-natt set security policies from-zone green to-zone red policy pol1 then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die IKE- und ESP-ALG-Unterstützung sowohl für NAT-T-fähige als auch für nicht fähige Clients:
Aktivieren Sie global die persistente Quell-NAT-Übersetzung.
[edit] user@host# set security nat source address-persistent
Konfigurieren Sie die IKE NAT-T-Anwendung.
[edit] user@host# set applications application custom-ike-natt protocol udp source-port 4500 destination-port 4500
Ordnen Sie die NAT-T-Anwendung mithilfe einer Richtlinie zu.
[edit security policies from-zone green to-zone red policy pol1] user@host# set match source-address sa1 user@host# set match destination-address da1 user@host# set match application custom-ike-natt user@host# set then permit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security nat Befehle und show security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
address-persistent;
}
[edit]
user@host# show security policies
from-zone green to-zone red {
policy pol1 {
match {
source-address sa1;
destination-address da1;
application [ custom-ike-alg custom-ike-natt ];
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Verifizieren von benutzerdefinierten IKE- und ESP-ALG-Anwendungen
- Überprüfung der Sicherheitsrichtlinien von ALG
Verifizieren von benutzerdefinierten IKE- und ESP-ALG-Anwendungen
Zweck
Stellen Sie sicher, dass die benutzerdefinierten Anwendungen zur Unterstützung von IKE und ESP ALG aktiviert sind.
Aktion
Geben Sie im Betriebsmodus den show security alg status Befehl ein.
user@host> show security alg status
ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Disabled RTSP : Enabled SCCP : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKE-ESP : Enabled
Bedeutung
Die Ausgabe zeigt den ALG-Status wie folgt an:
Aktiviert: Zeigt an, dass ALG aktiviert ist.
Deaktiviert: Zeigt an, dass das ALG deaktiviert ist.
Überprüfung der Sicherheitsrichtlinien von ALG
Zweck
Stellen Sie sicher, dass die benutzerdefinierte IKE-ALG der Anwendung und die benutzerdefinierte IKE-NATT der Anwendung festgelegt sind.
Aktion
Geben Sie im Betriebsmodus den show security policies Befehl ein.
user@host> show security policies
Default policy: permit-all From zone: green, To zone: red Policy: pol1, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source addresses: sa1 Destination addresses: da1 Applications: custom-ike-alg, custom-ike-natt Action: permit
Bedeutung
Die Beispielausgabe zeigt, dass benutzerdefinierte IKE ALG- und benutzerdefinierte IKE NATT-Anwendungen festgelegt sind.
Beispiel: Aktivieren der IKE- und ESP-ALG und Festlegen von Timeouts
In diesem Beispiel wird gezeigt, wie Sie die IKE- und ESP-ALG aktivieren und die Timeoutwerte festlegen, um dem ALG Zeit für die Verarbeitung von ALG-Statusinformationen, ESP-Gattern und ESP-Sitzungen zu geben.
Anforderungen
Machen Sie sich mit den Konzepten hinter ALG für IKE und ESP vertraut. Weitere Informationen finden Sie unter Grundlegendes zum IKE- und ESP-ALG-Betrieb.
Überblick
Die IKE- und ESP-ALG verarbeitet den gesamten Datenverkehr, der in einer Richtlinie angegeben ist, an die die ALG angefügt ist. In diesem Beispiel konfigurieren Sie die set security alg ike-esp-nat enable Anweisung so, dass das aktuelle IPsec-Standard-Passthrough-Verhalten für den gesamten IPsec-Pass-Through-Datenverkehr unabhängig von der Richtlinie deaktiviert ist.
Anschließend legen Sie die Timeoutwerte fest, damit IKE- und ESP-ALG Zeit haben, ALG-Statusinformationen, ESP-Gates und ESP-Sitzungen zu verarbeiten. In diesem Beispiel legen Sie die Zeitüberschreitung der ALG-Statusinformationen fest. Der Timeoutbereich liegt zwischen 180 und 86400 Sekunden. Die Standardzeitüberschreitung beträgt 14400 Sekunden. Anschließend legen Sie das Timeout der ESP-Gates fest, die nach Abschluss eines IKE-Phase-2-Austauschs erstellt wurden. Der Timeoutbereich beträgt 2 bis 30 Sekunden. Die Standardzeitüberschreitung beträgt 5 Sekunden. Zum Schluss legen Sie das Leerlauftimeout der ESP-Sitzungen fest, die aus den IPsec-Gattern erstellt werden. Wenn die Sitzung nicht durchkommt, wird sie nach Ablauf dieses Zeitraums beendet. Der Timeoutbereich beträgt 60 bis 2400 Sekunden. Die Standardzeitüberschreitung beträgt 1800 Sekunden.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um Ihrer Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der Hierarchieebene ein, und wechseln Sie commit dann aus dem [edit] Konfigurationsmodus.
set security alg ike-esp-nat enable set security alg ike-esp-nat esp-gate-timeout 20 set security alg ike-esp-nat esp-session-timeout 2400 set security alg ike-esp-nat state-timeout 360
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So aktivieren Sie die IKE- und ESP-ALG und legen die Timeout-Werte fest:
Aktivieren Sie das IKE- und ESP-ALG.
[edit] user@host# set security alg ike-esp-nat enable
Legen Sie die Zeitüberschreitung für die ALG-Statusinformationen fest.
[edit security alg ike-esp-nat] user@host# set state-timeout 360
Legen Sie das Timeout für die ESP-Gates fest, die nach Abschluss eines IKE-Phase-2-Austauschs erstellt wurden.
[edit security alg ike-esp-nat] user@host# set esp-gate-timeout 20
Legen Sie das Leerlauf-Timeout für die ESP-Sitzungen fest, die aus den IPsec-Gattern erstellt wurden.
[edit security alg ike-esp-nat] user@host# set esp-session-timeout 2400
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security alg Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security alg
ike-esp-nat {
enable;
state-timeout 360;
esp-gate-timeout 20;
esp-session-timeout 2400;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Plattformspezifisches IKE ALG-Verhalten
Verwenden Sie Funktionen entdecken, um die Plattform- und Releaseunterstützung für bestimmte Funktionen zu bestätigen.
Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen:
| Bahnsteig |
Unterschied |
|---|---|
| SRX-Serie |
|