Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Servicesets für statische Endpunkt-IPsec-Tunnel

Service-Sets

Der PIC für adaptive Dienste unterstützt zwei Arten von Dienstsätzen, wenn Sie IPSec-Tunnel konfigurieren. Da sie für unterschiedliche Zwecke verwendet werden, ist es wichtig, die Unterschiede zwischen diesen Service-Set-Typen zu kennen.

  • Next-Hop-Servicegruppe: Unterstützt dynamische Multicast- und Multicast-Protokolle (wie OSPF) über IPSec. Next-Hop-Servicesets ermöglichen die Verwendung innerhalb und außerhalb logischer Schnittstellen auf dem Adaptive Services PIC, um eine Verbindung mit mehreren Routinginstanzen herzustellen. Sie ermöglichen auch die Verwendung von Network Address Translation (NAT) und Stateful-Firewall-Funktionen. Next-Hop-Servicegruppen überwachen den Routing-Engine-Datenverkehr jedoch nicht standardmäßig und erfordern die Konfiguration mehrerer Servicesätze, um Datenverkehr von mehreren Schnittstellen zu unterstützen.

  • Schnittstellenservice-Set: Wird auf eine physische Schnittstelle angewendet und ähnelt einem zustandslosen Firewall-Filter. Sie sind einfach zu konfigurieren, können Datenverkehr von mehreren Schnittstellen unterstützen und standardmäßig den Routing-Engine-Datenverkehr überwachen. Sie können jedoch keine dynamischen Routing-Protokolle oder Multicast-Datenverkehr über den IPSec-Tunnel unterstützen.

Im Allgemeinen wird die Verwendung von Next-Hop-Servicesets empfohlen, da diese Routingprotokolle und Multicast über den IPSec-Tunnel unterstützen, einfacher zu verstehen sind und die Routing-Tabelle Weiterleitungsentscheidungen ohne administrative Eingriffe trifft.

Siehe auch

Konfigurieren von IPsec-Servicesätzen

IPsec-Dienstsätze erfordern zusätzliche Spezifikationen, die Sie auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] konfigurieren:

Die Konfiguration dieser Anweisungen wird in den folgenden Abschnitten beschrieben:

Konfigurieren der lokalen Gateway-Adresse für IPsec-Servicesätze

Wenn Sie einen IPsec-Dienstsatz konfigurieren, müssen Sie auch eine lokale IPv4- oder IPv6-Adresse konfigurieren, indem Sie die local-gateway folgende Anweisung einfügen:

  • Wenn sich die IP-Adresse des IKE-Gateways (Internet Key Exchange) in inet.0 befindet (Standardsituation), konfigurieren Sie die folgende Anweisung:

  • Wenn sich die IP-Adresse des IKE-Gateways in einer VPN-Routing- und Weiterleitungsinstanz (VRF) befindet, konfigurieren Sie die folgende Anweisung:

Sie können alle Link-Typ-Tunnel, die dieselbe lokale Gateway-Adresse verwenden, in einem einzigen Servicesatz im Next-Hop-Stil konfigurieren. Sie müssen für die Anweisung inside-service-interface auf der Hierarchieebene einen Wert angeben, der [edit services service-set service-set-name] mit dem ipsec-inside-interface Wert übereinstimmt, den Sie auf der [edit services ipsec-vpn rule rule-name term term-name from] Hierarchieebene konfigurieren. Weitere Informationen zur IPsec-Konfiguration finden Sie unter Konfigurieren von IPsec-Regeln.

Anmerkung:

Ab Junos OS Version 16.1 können Sie logische AMS-Schnittstellen mithilfe der ipsec-inside-interface interface-name Anweisung auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name from] als interne IPsec-Schnittstellen konfigurieren, um Link-Typ-Tunnel (d. h. im Next-Hop-Stil) für HA-Zwecke zu konfigurieren.

Ab Junos OS Version 17.1 unterstützt AMS die IPSec-Tunnelverteilung.

IKE-Adressen in VRF-Instanzen

Sie können IKE-Gateway-IP-Adressen (Internet Key Exchange) konfigurieren, die in einer VPN-Routing- und Weiterleiten-Instanz (VRF) vorhanden sind, solange der Peer über die VRF-Instanz erreichbar ist.

Bei Next-Hop-Dienstsätzen platziert der Schlüsselverwaltungsprozess (KMD) die IKE-Pakete in der Routinginstanz, die den outside-service-interface von Ihnen angegebenen Wert enthält, wie im folgenden Beispiel:

Bei Schnittstellendienstsätzen bestimmt die Anweisung service-interface das VRF, wie im folgenden Beispiel:

Löschen von Sicherheitszuordnungen, wenn die lokale Gateway-Adresse oder MS-MPC oder MS-MIC ausfällt

Ab Junos OS Version 17.2R1 können Sie die gw-interface Anweisung verwenden, um die Bereinigung von IKE-Triggern und IKE- und IPsec-SAs zu aktivieren, wenn die IP-Adresse des lokalen IPsec-Gateways eines IPsec-Tunnels ausfällt oder die MS-MIC oder MS-MPC, die im Service-Set des Tunnels verwendet werden, ausfällt.

Das interface-name und logical-unit-number muss mit der Schnittstelle und der logischen Einheit übereinstimmen, auf der die IP-Adresse des lokalen Gateways konfiguriert ist.

Wenn die IP-Adresse des lokalen Gateways für den Servicesatz eines IPsec-Tunnels ausfällt oder die MS-MIC oder MS-MPC, die im Servicesatz verwendet werden, ausfällt, sendet die Dienstgruppe keine IKE-Trigger mehr. Wenn die IP-Adresse des lokalen Gateways ausfällt, werden die IKE- und IPsec-Sicherheitszuordnungen für Next-Hop-Dienstsätze gelöscht und gehen für schnittstellenartige Dienstsätze in den Status "Nicht installiert" über. Die Sicherheitszuordnungen mit dem Status "Nicht installiert" werden gelöscht, wenn die IP-Adresse des lokalen Gateways wieder verfügbar ist.

Wenn die IP-Adresse des lokalen Gateways, die für einen Dienstsatz des nächsten Hops ausfällt, für den Responderpeer bestimmt ist, müssen Sie die IKE- und IPsec-Sicherheitszuordnungen auf dem Initiatorpeer löschen, damit der IPsec-Tunnel wieder hochgefahren wird, sobald die IP-Adresse des lokalen Gateways wieder verfügbar ist. Sie können entweder die IKE- und IPsec-Sicherheitszuordnungen auf dem Initiator-Peer manuell löschen (siehe Clear Services ipsec-vpn, IKE security-associations und clear services ipsec-vpn ipsec security-associations) oder die Erkennung toter Peers auf dem Initiator-Peer aktivieren (siehe Konfigurieren von Stateful Firewall-Regeln).

Konfigurieren von IKE-Zugriffsprofilen für IPsec-Dienstsätze

Nur für dynamisches Endpunkt-Tunneling müssen Sie auf das auf der [edit access] Hierarchieebene konfigurierte IKE-Zugriffsprofil verweisen. Fügen Sie dazu die ike-access-profile Anweisung auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene ein:

Die ike-access-profile Anweisung muss auf denselben Namen verweisen wie die Anweisung, die Sie für den profile IKE-Zugriff auf der [edit access] Hierarchieebene konfiguriert haben. Sie können in jedem Servicesatz nur auf ein Zugriffsprofil verweisen. Dieses Profil wird nur zum Aushandeln von IKE- und IPsec-Sicherheitszuordnungen mit dynamischen Peers verwendet.

Anmerkung:

Wenn Sie ein IKE-Zugriffsprofil in einem Servicesatz konfigurieren, kann kein anderer Servicesatz dieselbe local-gateway Adresse verwenden.

Außerdem müssen Sie für jedes VRF einen separaten Servicesatz konfigurieren. Alle Schnittstellen, auf die von der ipsec-inside-interface Anweisung innerhalb eines Servicesatzes verwiesen wird, müssen demselben VRF angehören.

Konfigurieren von Zertifizierungsstellen für IPsec-Servicegruppen

Sie können eine oder mehrere vertrauenswürdige Zertifizierungsstellen angeben, indem Sie die trusted-ca folgende Anweisung einfügen:

Wenn Sie digitale PKI-Zertifikate (Public Key Infrastructure) in der IPsec-Konfiguration konfigurieren, kann jeder Dienstsatz über einen eigenen Satz vertrauenswürdiger Zertifizierungsstellen verfügen. Die Namen, die Sie für die Anweisung trusted-ca angeben, müssen mit den auf der [edit security pki] Hierarchieebene konfigurierten Profilen übereinstimmen. Weitere Informationen finden Sie in der Junos OS Administration Library for Routing Devices. Weitere Informationen zur Konfiguration digitaler IPsec-Zertifikate finden Sie unter Konfigurieren von IPsec-Regeln.

Ab Junos OS Version 18.2R1 können Sie den Router der MX-Serie mit MS-MPCs oder MS-MICs so konfigurieren, dass nur das Endentitätszertifikat für die zertifikatbasierte IKE-Authentifizierung statt der vollständigen Zertifikatskette gesendet wird. Dadurch wird eine IKE-Fragmentierung vermieden. Um diese Funktion zu konfigurieren, fügen Sie die no-certificate-chain-in-ike folgende Anweisung ein:

Konfigurieren oder Deaktivieren des Antireplay-Diensts

Sie können die Anweisung anti-replay-window-size auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene einschließen, um die Größe des Antiwiedergabefensters anzugeben.

Diese Anweisung ist nützlich für dynamische Endpunkttunnel, für die Sie die anti-replay-window-size Anweisung nicht auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] konfigurieren können.

Bei statischen IPsec-Tunneln legt diese Anweisung die Größe des Antireplay-Fensters für alle statischen Tunnel innerhalb dieses Dienstsatzes fest. Wenn für einen bestimmten Tunnel ein bestimmter Wert für die Größe des Antireplay-Fensters erforderlich ist, legen Sie die anti-replay-window-size Anweisung auf der [edit services ipsec-vpn rule rule-name term term-name then] Hierarchieebene fest. Wenn die Antireplay-Prüfung für einen bestimmten Tunnel in diesem Service-Set deaktiviert werden muss, setzen Sie die no-anti-replay Anweisung auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] .

Anmerkung:

no-anti-replay Die anti-replay-window-size und-Einstellungen auf der [edit services ipsec-vpn rule rule-name term term-name then] Hierarchieebene überschreiben die auf der Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] angegebenen Einstellungen.

Sie können die Anweisung auch auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene einschließen, um den no-anti-replay IPsec-Antiwiedergabedienst zu deaktivieren. Gelegentlich kommt es zu Interoperabilitätsproblemen bei Sicherheitszuordnungen.

Diese Anweisung ist nützlich für dynamische Endpunkttunnel, für die Sie die no-anti-reply Anweisung nicht auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] konfigurieren können.

Bei statischen IPsec-Tunneln deaktiviert diese Anweisung die Antireplay-Prüfung für alle Tunnel innerhalb dieses Servicesatzes. Wenn die Antireplay-Prüfung für einen bestimmten Tunnel aktiviert werden muss, setzen Sie die Anweisung anti-replay-window-size auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] .

Anmerkung:

Das Festlegen der anti-replay-window-size and-Anweisungen no-anti-replay auf der [edit services ipsec-vpn rule rule-name term term-name then] Hierarchieebene überschreibt die auf der Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] angegebenen Einstellungen.

Löschen des "Nicht fragmentieren"-Bits

Sie können die Anweisung clear-dont-fragment-bit auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene einschließen, um das DF-Bit (nicht fragmentieren) für alle IPv4-Pakete (IP Version 4), die in den IPsec-Tunnel eingehen, zu löschen. Wenn die Größe des gekapselten Pakets die maximale Übertragungseinheit (MTU) des Tunnels überschreitet, wird das Paket vor der Einkapselung fragmentiert.

Diese Anweisung ist nützlich für dynamische Endpunkttunnel, für die Sie die clear-dont-fragment-bit Anweisung nicht auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] konfigurieren können.

Bei statischen IPsec-Tunneln löscht das Festlegen dieser Anweisung das DF-Bit für Pakete, die in alle statischen Tunnel innerhalb dieses Servicesatzes eingehen. Wenn Sie das DF-Bit für Pakete, die in einen bestimmten Tunnel eintreten, löschen möchten, legen Sie die clear-dont-fragment-bit Anweisung auf der [edit services ipsec-vpn rule rule-name term term-name then] Hierarchieebene fest.

Ab Junos OS Version 14.1 können Sie in Paketen, die über IPSec-Tunnel mit dynamischem Endgerät übertragen werden, festlegen, dass der im DF-Bit des Pakets, das in den Tunnel eintritt, festgelegte Wert nur in den äußeren Header des IPsec-Pakets kopiert wird und keine Änderungen am DF-Bit im inneren Header des IPsec-Pakets bewirkt. Wenn die Paketgröße den MTU-Wert (Tunnel Maximum Transmission Unit) überschreitet, wird das Paket vor der Verkapselung fragmentiert. Bei IPsec-Tunneln ist der Standard-MTU-Wert 1500, unabhängig von der MTU-Einstellung der Schnittstelle. Wenn Sie den DF-Bitwert nur in den äußeren Header kopieren und den inneren Header nicht ändern möchten, verwenden Sie die copy-dont-fragment-bit Anweisung auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene. Sie können das DF-Bit auch so konfigurieren, dass es nur im äußeren IPv4-Header des IPsec-Pakets und nicht im inneren IPv4-Header definiert wird. Um das DF-Bit nur im äußeren Header des IPsec-Pakets zu konfigurieren und den inneren Header unverändert zu lassen, schließen Sie die set-dont-fragment-bit Anweisung auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene ein. Diese Einstellungen gelten für dynamische Endpunkttunnel und nicht für statische Tunnel, für die Sie die and-Anweisungen set-dont-fragment-bit auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] einschließen müssen, um das copy-dont-fragment-bit DF-Bit in den IPv4-Paketen zu löschen, die in den statischen Tunnel gelangen. Diese Funktionen werden auf Routern der MX-Serie mit MS-MICs und MS-MPCs unterstützt.

Konfigurieren von Tunneling im passiven Modus

Sie können die passive-mode-tunneling Anweisung auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] einschließen, um den Dienstsatz zum Tunneln fehlerhafter Pakete zu aktivieren.

Diese Funktion umgeht die aktiven IP-Prüfungen, wie Version, TTL, Protokoll, Optionen, Adresse und andere Landangriffsprüfungen, und tunnelt die Pakete unverändert. Wenn diese Anweisung nicht konfiguriert ist, werden Pakete, die die IP-Prüfungen nicht bestehen, im PIC verworfen. Im passiven Modus wird das innere Paket nicht berührt. Wenn die Paketgröße den Tunnel-MTU-Wert überschreitet, wird kein ICMP-Fehler generiert.

Der IPsec-Tunnel wird nicht als nächster Hop behandelt, und die TTL wird nicht dekrementiert. Da kein ICMP-Fehler generiert wird, wenn die Paketgröße den Tunnel-MTU-Wert überschreitet, wird das Paket auch dann getunnelt, wenn es den Tunnel-MTU-Schwellenwert überschreitet.

Anmerkung:

Diese Funktionalität ähnelt der in der Anweisung bereitgestellten Anweisung, die no-ipsec-tunnel-in-traceroute unter Ablaufverfolgung von Junos VPN Site Secure-Vorgängen beschrieben wird. Ab Junos OS Version 14.2 wird Passivmodus-Tunneling auf MS-MICs und MS-MPCs unterstützt.

Anmerkung:

Ab Junos OS Version 14.2 verfügt die header-integrity-check auf MS-MICs und MS-MPCs unterstützte Option, den Paket-Header auf Anomalien in IP-, TCP-, UDP- und ICMP-Informationen zu überprüfen und solche Anomalien und Fehler zu kennzeichnen, über eine Funktionalität, die der durch Passivmodus-Tunneling verursachten Funktionalität entgegengesetzt ist. Wenn Sie sowohl die Anweisung als auch die passive-mode tunneling Anweisung auf MS-MICs und MS-MPCs konfigurieren und versuchen, einen Commit für eine solche Konfiguration auszuführen, wird während des header-integrity-check Commits ein Fehler angezeigt.

Die Tunnelingfunktionalität im passiven Modus (durch Einschließen der passive-mode-tunnelin Anweisung auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] ) ist eine Obermenge der Funktion zum Deaktivieren des IPsec-Tunnelendpunkts in der Traceroute-Ausgabe (durch Einschließen no-ipsec-tunnel-in-traceroute der Anweisung auf Hierarchieebene [edit services ipsec-vpn] ). Beim Tunneling im passiven Modus werden außerdem die aktiven IP-Überprüfungen und die Tunnel-MTU-Prüfung umgangen, zusätzlich wird ein IPsec-Tunnel nicht wie in der no-ipsec-tunnel-in-traceroute Anweisung konfiguriert als nächster Hop behandelt.

Konfigurieren des Tunnel-MTU-Werts

Sie können die tunnel-mtu Anweisung auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] einschließen, um den MTU-Wert (Maximum Transmission Unit) für IPsec-Tunnel festzulegen.

Diese Anweisung ist nützlich für dynamische Endpunkttunnel, für die Sie die tunnel-mtu Anweisung nicht auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] konfigurieren können.

Bei statischen IPsec-Tunneln legt diese Anweisung den Tunnel-MTU-Wert für alle Tunnel innerhalb dieses Servicesatzes fest. Wenn Sie einen bestimmten Wert für einen bestimmten Tunnel benötigen, legen Sie die tunnel-mtu Anweisung auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] fest.

Anmerkung:

Die tunnel-mtu Einstellung auf der Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] überschreibt den auf der Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] angegebenen Wert.

Konfigurieren der IPsec-Multipath-Weiterleitung mit UDP-Kapselung

Ab Junos OS Version 16.1 können Sie die Multipath-Weiterleitung von IPsec-Datenverkehr aktivieren, indem Sie die UDP-Kapselung im Service-Set konfigurieren, die der IPsec-Kapselung von Paketen einen UDP-Header hinzufügt. Dies führt dazu, dass IPsec-Datenverkehr über mehrere Pfade weitergeleitet wird, wodurch der Durchsatz von IPsec-Datenverkehr erhöht wird. Wenn Sie die UDP-Kapselung nicht aktivieren, folgt der gesamte IPsec-Datenverkehr einem einzigen Weiterleitungspfad.

Wenn NAT-T erkannt wird, findet nur die NAT-T-UDP-Kapselung statt, nicht die UDP-Kapselung für IPsec-Pakete.

So aktivieren Sie die UDP-Kapselung:

  1. Aktivieren Sie die UDP-Kapselung.

  2. (Optional) Geben Sie die Nummer des UDP-Zielports an.

    Verwenden Sie eine Zielportnummer zwischen 1025 und 65536, aber nicht 4500. Wenn Sie keine Portnummer angeben, ist der Standardzielport 4565.

Siehe auch

Anfordern und Installieren von digitalen Zertifikaten auf Ihrem Router

Ein digitales Zertifikat ist ein elektronisches Mittel zur Überprüfung Ihrer Identität durch einen vertrauenswürdigen Dritten, der als Zertifizierungsstelle (CA) bezeichnet wird. Alternativ können Sie ein selbstsigniertes Zertifikat verwenden, um Ihre Identität zu bestätigen. Der von Ihnen verwendete Zertifizierungsstellenserver kann im Besitz einer unabhängigen Zertifizierungsstelle oder Ihrer eigenen Organisation sein und von dieser betrieben werden. In diesem Fall werden Sie zu Ihrer eigenen Zertifizierungsstelle. Wenn Sie eine unabhängige Zertifizierungsstelle verwenden, müssen Sie sich an diese wenden, um die Adressen ihrer Zertifizierungsstelle und der Zertifikatsperrlistenserver (zum Abrufen von Zertifikaten und CRLs) sowie die Informationen zu erhalten, die sie beim Übermitteln persönlicher Zertifikatanforderungen benötigen. Wenn Sie Ihre eigene Zertifizierungsstelle sind, bestimmen Sie diese Informationen selbst. Die Public Key Infrastructure (PKI) stellt eine Infrastruktur für die Verwaltung digitaler Zertifikate bereit.

Anfordern eines digitalen Zertifikats – manueller Prozess

Um digitale Zertifikate manuell zu erhalten, müssen Sie ein Zertifizierungsstellenprofil konfigurieren, ein privates und öffentliches Schlüsselpaar generieren, ein lokales Zertifikat erstellen und die Zertifikate auf den Router laden. Nach dem Laden der Zertifikate können diese in Ihrer IPsec-VPN-Konfiguration referenziert werden.

In diesem Verfahren wird gezeigt, wie Sie ein CA-Profil konfigurieren können:

  1. Konfigurieren eines Zertifizierungsstellenprofils:

    Nachdem Sie diese Konfiguration bestätigt haben. Die Konfiguration auf Router 2 muss Folgendes enthalten:

  2. Die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) ist standardmäßig aktiviert. Optional können Sie den LDAP-Server (Lightweight Access Directory) angeben, auf dem die Zertifizierungsstelle die Zertifikatsperrliste speichert. Das Zertifikat enthält in der Regel einen Zertifikatverteilungspunkt (Certificate Distribution Point, CDP), der Informationen zum Abrufen der Zertifikatsperrliste für das Zertifikat enthält. Der Router verwendet diese Informationen, um die Zertifikatsperrliste automatisch herunterzuladen. In diesem Beispiel wird die LDAP-URL angegeben, die den im Zertifikat angegebenen Speicherort überschreibt:

    Nachdem Sie diese Konfiguration bestätigt haben. Die Konfiguration auf Router 2 muss Folgendes enthalten:

  3. Nachdem Sie das Zertifizierungsstellenprofil konfiguriert haben, fordern Sie ein Zertifizierungsstellenzertifikat von der vertrauenswürdigen Zertifizierungsstelle an. In diesem Beispiel wird das Zertifikat online registriert und automatisch auf dem Router installiert.
    Anmerkung:

    Wenn Sie das Zertifizierungsstellenzertifikat direkt von der Zertifizierungsstelle abrufen (z. B. als E-Mail-Anlage oder Website-Download), können Sie es mit dem request security pki ca-certificate load Befehl installieren.
  4. Als Nächstes müssen Sie ein privates und öffentliches Schlüsselpaar generieren, bevor Sie ein lokales Zertifikat erstellen können.

    Wenn das Schlüsselpaar verfügbar ist, generieren Sie eine lokale Zertifikatanforderung, und senden Sie sie zur Verarbeitung an die Zertifizierungsstelle.

    Anmerkung:

    Mit dem request security pki local-certificate enroll Befehl können Sie die Erstellung und Installation eines lokalen Zertifikats online anfordern.

  5. Die vertrauenswürdige Zertifizierungsstelle signiert das lokale Zertifikat digital und sendet es an Sie zurück. Kopieren Sie die Zertifikatsdatei in den Router, und laden Sie das Zertifikat.
    Anmerkung:

    Der Name der Datei, die Ihnen von der Zertifizierungsstelle gesendet wird, stimmt möglicherweise nicht mit dem Namen der Zertifikats-ID überein. Der certificate-id Name muss jedoch immer mit dem Namen des Schlüsselpaars übereinstimmen, das Sie für den Router generiert haben.

Beispiel: IKE Dynamic SA Configuration mit digitalen Zertifikaten

Dieses Beispiel zeigt, wie die dynamische IKE-Sicherheitszuordnung mit digitalen Zertifikaten konfiguriert wird, und enthält die folgenden Abschnitte.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Vier Router der M Series, MX-Serie oder T-Serie mit installierten Multiservices-Schnittstellen.

  • Junos OS Version 9.4 oder höher.

Bevor Sie dieses Beispiel konfigurieren, müssen Sie ein CA-Zertifikat anfordern, ein lokales Zertifikat erstellen und diese digitalen Zertifikate in den Router laden. Weitere Informationen finden Sie unter Anfordern und Installieren von digitalen Zertifikaten auf Ihrem Router

Überblick

Eine Sicherheitszuordnung (SA) ist eine Simplex-Verbindung, die es zwei Hosts ermöglicht, sicher über IPsec miteinander zu kommunizieren. In diesem Beispiel wird die Konfiguration dynamischer IKE-Sicherheitszuordnungen mit digitalen Zertifikaten erläutert. Die Verwendung von digitalen Zertifikaten bietet zusätzliche Sicherheit für Ihren IKE-Tunnel. Wenn Sie die Standardwerte im Services PIC verwenden, müssen Sie keinen IPsec-Vorschlag oder keine IPsec-Richtlinie konfigurieren. Sie müssen jedoch einen IKE-Vorschlag konfigurieren, der die Verwendung digitaler Zertifikate angibt, auf den IKE-Vorschlag und das lokale Zertifikat in einer IKE-Richtlinie verweisen und das Zertifizierungsstellenprofil auf den Dienstsatz anwenden.

Abbildung 1 zeigt eine IPsec-Topologie mit einer Gruppe von vier Routern. Diese Konfiguration erfordert, dass die Router 2 und 3 einen IKE-basierten IPsec-Tunnel einrichten, indem sie digitale Zertifikate anstelle von vorinstallierten Schlüsseln verwenden. Die Router 1 und 4 stellen die grundlegende Konnektivität bereit und werden verwendet, um zu überprüfen, ob der IPsec-Tunnel betriebsbereit ist.

Topologie

Abbildung 1: MS PIC IKE Dynamisches SA-Topologiediagramm MS PIC IKE Dynamic SA Topology Diagram

Konfiguration

Führen Sie die folgenden Aufgaben aus, um die dynamische IKE-Sicherheitszuordnung mit digitalen Zertifikaten zu konfigurieren:

Anmerkung:

Die in diesem Beispiel gezeigten Schnittstellentypen dienen nur zu Richtzwecken. Sie können z. B. Schnittstellen anstelle so- von ge- und sp- anstelle von verwenden.ms-

Konfigurieren von Router 1

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] von Router 1 ein.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Router 1 für OSPF-Konnektivität mit Router 2:

  1. Konfigurieren Sie eine Ethernet-Schnittstelle und die Loopback-Schnittstelle.

  2. Geben Sie den OSPF-Bereich an, und ordnen Sie die Schnittstellen dem OSPF-Bereich zu.

  3. Konfigurieren Sie die Router-ID.

  4. Bestätigen Sie die Konfiguration.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, show protocols ospfindem Sie die show interfacesBefehle , und show routing-options eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Konfigurieren von Router 2

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] von Router 2 ein.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie OSPF-Konnektivität und IPsec-Tunnelparameter auf Router 2:

  1. Konfigurieren Sie die Eigenschaften der Schnittstelle. In diesem Schritt konfigurieren Sie zwei Ethernet-Schnittstellen (ge-1/0/0 und ge-1/0/1), die Loopback-Schnittstelle und eine Multiservices-Schnittstelle (ms-1/2/0).

  2. Geben Sie den OSPF-Bereich an, und ordnen Sie die Schnittstellen dem OSPF-Bereich zu.

  3. Konfigurieren Sie die Router-ID.

  4. Konfigurieren Sie einen IKE-Vorschlag und eine IKE-Richtlinie. Um einen IKE-Vorschlag für digitale Zertifikate zu aktivieren, schließen Sie die rsa-signatures Anweisung auf der [edit services ipsec-vpn ike proposal proposal-name authentication-method] Hierarchieebene ein. Um in der IKE-Richtlinie auf das lokale Zertifikat zu verweisen, schließen Sie die local-certificate Anweisung auf der [edit services ipsec-vpn ike policy policy-name] Hierarchieebene ein. Um die Zertifizierungsstelle oder RA im Servicesatz zu identifizieren, schließen Sie die trusted-ca Anweisung auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene ein.

    Anmerkung:

    Informationen zum Erstellen und Installieren digitaler Zertifikate finden Sie unter Anfordern und Installieren von digitalen Zertifikaten auf Ihrem Router

  5. Konfigurieren eines IPsec-Vorschlags und einer IPsec-Richtlinie. Stellen Sie außerdem den established-tunnels Knopf auf immediately.

  6. Konfigurieren Sie eine IPsec-Regel.

  7. Konfigurieren Sie einen Servicesatz im Stil eines nächsten Hops, geben Sie die Adresse des lokalen Gateways an, und ordnen Sie die IPsec-VPN-Regel dem Servicesatz zu.

  8. Bestätigen Sie die Konfiguration.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show routing-optionsshow protocols ospf, und show services eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren

Konfigurieren von Router 3

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] von Router 3 ein.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

Anmerkung:

Wenn die IPsec-Peers nicht über eine symmetrische Konfiguration verfügen, die alle erforderlichen Komponenten enthält, können sie keine Peering-Beziehung herstellen. Sie müssen ein CA-Zertifikat anfordern, ein lokales Zertifikat erstellen, diese digitalen Zertifikate in den Router laden und in Ihrer IPsec-Konfiguration darauf verweisen. Informationen zur digitalen Zertifizierung finden Sie unter Anfordern und Installieren von digitalen Zertifikaten auf Ihrem Router

So konfigurieren Sie OSPF-Konnektivität und IPsec-Tunnelparameter auf Router 3:

  1. Konfigurieren Sie die Eigenschaften der Schnittstelle. In diesem Schritt konfigurieren Sie zwei Ethernet-Schnittstellen (ge-1/0/0 und ge-1/0/1), die Loopback-Schnittstelle und eine Multiservices-Schnittstelle (ms-1/2/0).

  2. Geben Sie den OSPF-Bereich an, und ordnen Sie die Schnittstellen dem OSPF-Bereich zu.

  3. Konfigurieren Sie eine Router-ID.

  4. Konfigurieren Sie einen IKE-Vorschlag und eine IKE-Richtlinie. Um einen IKE-Vorschlag für digitale Zertifikate zu aktivieren, schließen Sie die rsa-signatures Anweisung auf der [edit services ipsec-vpn ike proposal proposal-name authentication-method] Hierarchieebene ein. Um in der IKE-Richtlinie auf das lokale Zertifikat zu verweisen, schließen Sie die local-certificate Anweisung auf der [edit services ipsec-vpn ike policy policy-name] Hierarchieebene ein. Um die Zertifizierungsstelle oder RA im Servicesatz zu identifizieren, schließen Sie die trusted-ca Anweisung auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene ein.

    Anmerkung:

    Informationen zum Erstellen und Installieren digitaler Zertifikate finden Sie unter Anfordern und Installieren von digitalen Zertifikaten auf Ihrem Router

  5. Konfigurieren Sie einen IPsec-Vorschlag. Stellen Sie außerdem den established-tunnels Knopf auf immediately.

  6. Konfigurieren Sie eine IPsec-Regel.

  7. Konfigurieren Sie einen Servicesatz im Stil eines nächsten Hops, geben Sie die Adresse des lokalen Gateways an, und ordnen Sie die IPsec-VPN-Regel dem Servicesatz zu.

  8. Bestätigen Sie die Konfiguration.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show routing-optionsshow protocols ospf, und show services eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren

Konfigurieren von Router 4

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] von Router 4 ein.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So richten Sie die OSPF-Konnektivität mit Router 4 ein

  1. Konfigurieren Sie die Schnittstellen. In diesem Schritt konfigurieren Sie eine Ethernet-Schnittstelle (ge-1/0/1) und die Loopback-Schnittstelle.

  2. Geben Sie den OSPF-Bereich an, und ordnen Sie die Schnittstellen dem OSPF-Bereich zu.

  3. Konfigurieren Sie die Router-ID.

Befund

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, show protocols ospfindem Sie die show interfacesBefehle , und show routing-options eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren

Verifizierung

Überprüfen Ihrer Arbeit an Router 1

Zweck

Überprüfen Sie auf Router 1 den Ping-Befehl an die so-0/0/0-Schnittstelle von Router 4, um Datenverkehr über den IPsec-Tunnel zu senden.

Aktion

Geben Sie im Betriebsmodus ein ping 10.1.56.2.

Wenn Sie die Loopback-Adresse von Router 4 pingen, ist der Vorgang erfolgreich, da die Adresse Teil des OSPF-Netzwerks ist, das auf Router 4 konfiguriert ist.

Überprüfen Ihrer Arbeit auf Router 2

Zweck

Um zu überprüfen, ob der übereinstimmende Datenverkehr an den bidirektionalen IPsec-Tunnel umgeleitet wird, zeigen Sie die IPsec-Statistiken an:

Aktion

Geben Sie im Betriebsmodus die .show services ipsec-vpn ipsec statistics

Um zu überprüfen, ob die Aushandlung der IKE-Sicherheitszuordnung erfolgreich ist, geben Sie den folgenden show services ipsec-vpn ike security-associations Befehl ein:

Wechseln Sie im Betriebsmodus in das Symbol show services ipsec-vpn ike security-associations

Um zu überprüfen, ob die IPsec-Sicherheitszuordnung aktiv ist, geben Sie den Befehl show services ipsec-vpn ipsec security-associations detail ein. Beachten Sie, dass die SA die Standardeinstellungen enthält, die im Services PIC enthalten sind, z. B. ESP für das Protokoll und HMAC-SHA1-96 für den Authentifizierungsalgorithmus.

Wechseln Sie im Betriebsmodus in das Symbol show services ipsec-vpn ipsec security-associations detail

Um die digitalen Zertifikate anzuzeigen, die zum Einrichten des IPsec-Tunnels verwendet werden, geben Sie den Befehl show services ipsec-vpn certificates ein:

Wechseln Sie im Betriebsmodus in das Symbol show services ipsec-vpn certificates

Um das CA-Zertifikat anzuzeigen, geben Sie den Befehl show security pki ca-certificate detail ein. Beachten Sie, dass es drei separate Zertifikate gibt: eines für die Zertifikatsignierung, eines für die Schlüsselverschlüsselung und eines für die digitale Signatur der Zertifizierungsstelle.

Wechseln Sie im Betriebsmodus in das Symbol show security pki ca-certificate detail

Um die lokale Zertifikatsanforderung anzuzeigen, geben Sie den Befehl show security pki certificate-request ein:

Wechseln Sie im Betriebsmodus in das Symbol show security pki certificate-request

Um das lokale Zertifikat anzuzeigen, geben Sie den Befehl show security pki local-certificate ein:

Wechseln Sie im Betriebsmodus in das Symbol show security pki local-certificate

Überprüfen Ihrer Arbeit an Router 3

Zweck

Um zu überprüfen, ob der übereinstimmende Datenverkehr an den bidirektionalen IPsec-Tunnel umgeleitet wird, zeigen Sie die IPsec-Statistiken an:

Aktion

Geben Sie im Betriebsmodus die .show services ipsec-vpn ipsec statistics

Um zu überprüfen, ob die Aushandlung der IKE-Sicherheitszuordnung erfolgreich ist, geben Sie den Befehl show services ipsec-vpn ike security-associations ein. Um erfolgreich zu sein, muss die SA auf Router 3 die gleichen Einstellungen enthalten, die Sie auf Router 2 angegeben haben.

Geben Sie im Betriebsmodus die .show services ipsec-vpn ike security-associations

Um zu überprüfen, ob die IPsec-Sicherheitszuordnung aktiv ist, geben Sie den Befehl show services ipsec-vpn ipsec security-associations detail ein. Um erfolgreich zu sein, muss die SA auf Router 3 die gleichen Einstellungen enthalten, die Sie auf Router 2 angegeben haben.

Geben Sie im Betriebsmodus die .show services ipsec-vpn ipsec security-associations detail

Um die digitalen Zertifikate anzuzeigen, die zum Einrichten des IPsec-Tunnels verwendet werden, geben Sie den Befehl show services ipsec-vpn certificates ein:

Geben Sie im Betriebsmodus die .show services ipsec-vpn certificates

Um das CA-Zertifikat anzuzeigen, geben Sie den Befehl show security pki ca-certificate detail ein. Beachten Sie, dass es drei separate Zertifikate gibt: eines für die Zertifikatsignierung, eines für die Schlüsselverschlüsselung und eines für die digitale Signatur der Zertifizierungsstelle.

Geben Sie im Betriebsmodus die .show security pki ca-certificate detail

Um die lokale Zertifikatsanforderung anzuzeigen, geben Sie den Befehl show security pki certificate-request ein:

Geben Sie im Betriebsmodus die .show security pki certificate-request

Um das lokale Zertifikat anzuzeigen, geben Sie den Befehl show security pki local-certificate ein:

Geben Sie im Betriebsmodus die .show security pki local-certificate

Überprüfen Ihrer Arbeit auf Router 4

Zweck

Geben Sie auf Router 4 einen Ping-Befehl an die so-0/0/0-Schnittstelle von Router 1 aus, um Datenverkehr über den IPsec-Tunnel zu senden.

Aktion

Geben Sie im Betriebsmodus ein ping 10.1.12.2.

Sie können abschließend überprüfen, ob der Datenverkehr über den IPsec-Tunnel geleitet wird, indem Sie den Befehl traceroute an die Schnittstelle so-0/0/0 auf Router 1 senden. Beachten Sie, dass die physische Schnittstelle zwischen den Routern 2 und 3 im Pfad nicht referenziert wird. Der Datenverkehr gelangt über die interne Schnittstelle für adaptive Services in den IPsec-Tunnel auf Router 3, durchläuft die Loopback-Schnittstelle von Router 2 und endet an der SOO-0/0/0-Schnittstelle auf Router 1.

Geben Sie im Betriebsmodus die .traceroute 10.1.12.2

Siehe auch

Konfigurieren von Junos VPN Site Secure oder IPSec-VPN

IPsec-VPN wird von allen Routern der MX-Serie mit MS-MICs, MS-MPCs oder MS-DPCs unterstützt.

Auf Routern der M Series und der T-Serie wird IPsec VPN mit Multiservices 100 PICs, Multiservices 400 PICs und Multiservices 500 PICs unterstützt.

MS-MICs und MS-MPCs werden ab Junos OS Version 13.2 und höher unterstützt. MS-MICs und MS-MPCs unterstützen alle Funktionen, die von MS-DPCs und MS-PICs unterstützt werden, mit Ausnahme des Authentifizierungs-Header-Protokolls (ah), des Kapselungs-Sicherheits-Payload-Protokolls (ESP) und des Paketprotokolls (ah- und ESP-Protokoll) für eine dynamische oder manuelle Sicherheitszuordnung und einen flussfreien IPsec-Dienst.

NAT-Traversal (NAT-T) wird für IKEv1 und IKEv2 ab Junos OS Version 17.4R1 unterstützt. NAT-T ist standardmäßig aktiviert. Sie können die UDP-Kapselung und -Entkapselung für IKE- und ESP-Pakete über die Konfiguration disable-natt auf den [edit services ipsec-vpn] Hierarchieebenen festlegen.

Siehe auch

Beispiel: Konfigurieren von Junos VPN Site Secure auf MS-MIC und MS-MPC

Anmerkung:

Sie können das gleiche Verfahren und die gleiche Konfiguration wie in diesem Beispiel verwenden, um Junos VPN Site Secure (früher bekannt als IPsec-Funktionen) auf MS-MPCs zu konfigurieren.

Dieses Beispiel enthält die folgenden Abschnitte:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Router der MX-Serie mit MS-MICs

  • Junos OS Version 13.2 oder höher

Überblick

Junos OS Version 13.2 erweitert die Unterstützung für Junos VPN Site Secure (früher bekannt als IPsec-Funktionen) auf die neu eingeführten Multiservices MIC und MPC (MS-MIC und MS-MPC) auf Routern der MX-Serie. Die Junos OS Extension-Provider-Pakete sind auf MS-MIC und MS-MPC vorinstalliert und vorkonfiguriert.

Die folgenden Funktionen von Junos VPN Site Secure werden in Version 13.2 auf MS-MIC und MS-MPC unterstützt:

  • Dynamische Endpunkte (DEP)

  • Kapselung des ESP-Protokolls (Security Payload)

  • Dead Peer Detection (DPD) Trigger-Meldungen

  • Rollover-Benachrichtigungen mit Sequenznummer

  • Statische IPsec-Tunnel mit Servicesätzen im Stil des nächsten Hops und der Benutzeroberfläche

In Junos OS Version 13.2 ist die Unterstützung von Junos VPN Site Secure auf MS-MIC und MS-MPC jedoch auf IPv4-Datenverkehr beschränkt. Passives Modul-Tunneling wird auf MS-MICs und MS-MPCs nicht unterstützt.

Abbildung 2 zeigt die IPsec-VPN-Tunneltopologie.

Abbildung 2: IPsec-VPN-Tunneltopologie IPsec VPN Tunnel Topology

Dieses Beispiel zeigt die Konfiguration von zwei Routern, Router 1 und Router 2, zwischen denen ein IPsec-VPN-Tunnel konfiguriert ist.

Beachten Sie bei der Konfiguration der Router die folgenden Punkte:

  • Die IP-Adresse, für die Sie unter der [edit services ipsec-vpn rule name term term from] Hierarchieebene auf Router 1 konfigurierensource-address, muss mit der IP-Adresse übereinstimmen, die Sie unter destination-address derselben Hierarchie auf Router 2 konfigurieren, und umgekehrt.

  • Die IP-Adresse der Person, die remote-gateway Sie unter der [edit services ipsec-vpn rule name term term then] Hierarchieebene konfigurieren, sollte mit der IP-Adresse der local-gateway unter der [edit services service-set name ipsec-vpn-options] Hierarchieebene von Router 2 konfigurierten Person übereinstimmen und umgekehrt.

Konfiguration

Dieser Abschnitt enthält:

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] ein.

Konfigurieren von Schnittstellen auf Router 1

Konfigurieren des IPsec-VPN-Dienstes auf Router 1

Konfigurieren eines Servicesatzes auf Router 1

Konfigurieren von Routing-Optionen auf Router 1

Konfigurieren von Schnittstellen auf Router 2

Konfigurieren des IPsec-VPN-Dienstes auf Router 2

Konfigurieren eines Servicesatzes auf Router 2

Konfigurieren von Routing-Optionen auf Router 2

Konfigurieren von Router 1

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

Anmerkung:

Ab Version 13.2 sind die Junos OS Extension-Provider-Pakete auf Multiservices-MICs und MPCs (MS-MICs und MS-MPCs) vorinstalliert. Auf diesen Karten ist die adaptive-services Konfiguration auf Hierarchieebene [edit chassis fpc number pic number] vorkonfiguriert.

  1. Konfigurieren Sie die Schnittstelleneigenschaften wie Familie, Dienstdomäne und Einheit.

  2. Konfigurieren Sie IPsec-Eigenschaften wie Adresse, Remote-Gateway, Richtlinien, Übereinstimmungsrichtung, Protokoll, Größe des Wiedergabefensters, Algorithmusdetails, Geheimhaltungsschlüssel, Vorschlag, Authentifizierungsmethode, Gruppen und Version.

  3. Konfigurieren Sie einen Servicesatz, die ipsec-vpn-Optionen und Regeln.

  4. Konfigurieren Sie Routing-Optionen, statische Route und nächsten Hop.

Befund

Bestätigen Sie im Konfigurationsmodus von Router 1 Ihre Konfiguration, show services ipsec-vpnindem Sie die show interfacesBefehle , und show services service-set eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Konfigurieren von Router 2

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie die Schnittstelleneigenschaften wie Familie, Dienstdomäne und Einheit.

  2. Konfigurieren Sie IPsec-Eigenschaften wie Adresse, Remote-Gateway, Richtlinien, Übereinstimmungsrichtung, Protokoll, Größe des Wiedergabefensters, Algorithmusdetails, Geheimhaltungsschlüssel, Vorschlag, Authentifizierungsmethode, Gruppen und Version.

  3. Konfigurieren Sie einen Dienstsatz, z. B. next-hop-service und die ipsec-vpn-options.

  4. Konfigurieren Sie Routing-Optionen, statische Route und den nächsten Hop.

Befund

Bestätigen Sie im Konfigurationsmodus von Router 2 Ihre Konfiguration, indem Sie die show interfacesshow services ipsec-vpnBefehle , und show services service-set eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Verifizierung

Überprüfen der Tunnelerstellung

Zweck

Vergewissern Sie sich, dass dynamische Endpunkte erstellt wurden.

Aktion

Führen Sie den folgenden Befehl auf Router 1 aus:

Bedeutung

Die Ausgabe zeigt, dass sich die IPSec-Sicherheitszuordnungen auf dem Router mit dem Status Installiert befinden. Der IPSec-Tunnel ist eingerichtet und bereit, Datenverkehr über den Tunnel zu senden.

Überprüfen des Datenverkehrsflusses durch den DEP-Tunnel

Zweck

Überprüfen Sie den Datenverkehrsfluss über den neu erstellten DEP-Tunnel.

Aktion

Führen Sie den folgenden Befehl auf Router 2 aus:

Überprüfen von IPsec-Sicherheitszuordnungen für den Servicesatz

Zweck

Stellen Sie sicher, dass die für den Servicesatz konfigurierten Sicherheitszuordnungen ordnungsgemäß funktionieren.

Aktion

Führen Sie den folgenden Befehl auf Router 2 aus:

Beispiel: Konfigurieren von statisch zugewiesenen IPsec-Tunneln über eine VRF-Instanz

Dieses Beispiel zeigt, wie ein statisch zugewiesener IPsec-Tunnel über eine VRF-Instanz konfiguriert wird, und enthält die folgenden Abschnitte:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Router der M Series, MX-Serie oder T-Serie, der als Provider-Edge-Router konfiguriert ist.

  • Junos OS Version 9.4 und höher.

Es ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich, bevor Sie diese Funktion konfigurieren können.

Überblick

Mit Junos OS können Sie statisch zugewiesene IPsec-Tunnel auf VRF-Instanzen (Virtual Routing and Forwarding) konfigurieren. Die Möglichkeit, IPsec-Tunnel auf VRF-Instanzen zu konfigurieren, verbessert die Netzwerksegmentierung und -sicherheit. Sie können mehrere Kundentunnel auf demselben PE-Router über VRF-Instanzen konfigurieren. Jede VRF-Instanz fungiert als logischer Router mit einer exklusiven Routing-Tabelle.

Konfiguration

Dieses Beispiel zeigt die Konfiguration eines IPsec-Tunnels über eine VRF-Instanz auf einem Provider-Edge-Router und enthält Schritt-für-Schritt-Anleitungen zum Abschließen der erforderlichen Konfiguration.

Dieser Abschnitt enthält:

Konfigurieren des Anbieter-Edge-Routers

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [Bearbeiten] ein.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie einen statisch zugewiesenen IPsec-Tunnel auf einer VRF-Instanz:

  1. Konfigurieren Sie die Schnittstellen. In diesem Schritt konfigurieren Sie zwei Ethernetge()-Schnittstellen, eine Services-Schnittstelle (ms-) sowie die Service-Domain-Eigenschaften für die logischen Schnittstellen der Services-Schnittstelle. Beachten Sie, dass die logische Schnittstelle, die als interne Schnittstelle gekennzeichnet ist, den konfigurierten Dienst auf den Datenverkehr anwendet, während die als externe Schnittstelle markierte Schnittstelle als Ausgangspunkt für den Datenverkehr fungiert, auf den die interne Schnittstelle den Dienst angewendet hat.

  2. Konfigurieren Sie eine Routing-Richtlinie, um Routenimport- und -exportkriterien für die VRF-Instanz anzugeben. Auf die in diesem Schritt definierten Import- und Exportrichtlinien wird im nächsten Schritt von der Routing-Instance-Konfiguration verwiesen.

  3. Konfigurieren Sie eine Routing-Instanz, und geben Sie den Routing-Instance-Typ als vrfan. Wenden Sie die im vorherigen Schritt definierten Import- und Exportrichtlinien auf die Routing-Instanz an, und geben Sie eine statische Route an, um den IPsec-Datenverkehr an die im ersten Schritt konfigurierte interne Schnittstelle (ms-1/2/0.1) zu senden.

  4. Konfigurieren von IKE- und IPsec-Vorschlägen und -Richtlinien sowie einer Regel zum Anwenden der IKE-Richtlinie auf den eingehenden Datenverkehr.

    Anmerkung:

    Standardmäßig verwendet Junos OS die IKE-Richtlinie Version 1.0. Junos OS Version 11.4 und höher unterstützen auch die IKE-Richtlinienversion 2.0, die Sie unter [edit services ipsec-vpn ike policy policy-name pre-shared]konfigurieren müssen.

  5. Konfigurieren Sie eine Servicegruppe im Stil eines nächsten Hops. Beachten Sie, dass Sie die internen und äußeren Schnittstellen, die Sie im ersten Schritt konfiguriert haben, jeweils als und inside-service-interface outside-service-interface konfigurieren müssen.

  6. Bestätigen Sie die Konfiguration.

Befund

Bestätigen Sie im Konfigurationsmodus von Router 1 Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show routing-instancesshow services ipsec-vpn, und show services service-set eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Siehe auch

Multitasking-Beispiel: Konfigurieren von IPsec-Services

Die folgenden beispielbasierten Anweisungen zeigen, wie IPsec-Dienste konfiguriert werden. Die Konfiguration umfasst die Definition einer IKE-Richtlinie, einer IPsec-Richtlinie, IPsec-Regeln, Ablaufverfolgungsoptionen und Dienstsätzen.

Dieses Thema umfasst die folgenden Aufgaben:

Konfigurieren des IKE-Vorschlags

Die IKE-Vorschlagskonfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peersicherheitsgateway verwendet werden. Weitere Informationen zu IKE-Vorschlägen finden Sie unter Konfigurieren von IKE-Vorschlägen.

So definieren Sie den IKE-Vorschlag:

  1. Wechseln Sie im Konfigurationsmodus in die folgende Hierarchieebene:
  2. Konfigurieren Sie die Authentifizierungsmethode, die in diesem Beispiel wie folgt aussieht pre-shared keys :
  3. Konfigurieren Sie die Diffie-Hellman-Gruppe, group1und geben Sie einen Namen an, z. B. :
  4. Konfigurieren Sie den Authentifizierungsalgorithmus, der in diesem Beispiel wie folgt aussieht sha1 :
  5. Konfigurieren Sie den Verschlüsselungsalgorithmus, der in diesem Beispiel wie folgt aussieht aes-256-cbc :

Die folgende Beispielausgabe zeigt die Konfiguration des IKE-Vorschlags:

Siehe auch

Konfigurieren der IKE-Richtlinie (und Verweisen auf den IKE-Vorschlag)

Die IKE-Richtlinienkonfiguration definiert den Vorschlag, den Modus, die Adressen und andere Sicherheitsparameter, die während der IKE-Aushandlung verwendet werden. Weitere Informationen zu IKE-Richtlinien finden Sie unter Konfigurieren von IKE-Richtlinien.

So definieren Sie die IKE-Richtlinie und verweisen auf den IKE-Vorschlag:

  1. Wechseln Sie im Konfigurationsmodus in die folgende Hierarchieebene:
  2. Konfigurieren Sie den IKE-Modus für die erste Phase, z. B main. :
  3. Konfigurieren Sie den Vorschlag, der in diesem Beispiel wie folgt aussieht test-IKE-proposal :
  4. Konfigurieren Sie die lokale Identifizierung mit einer IPv4-Adresse, z. B 192.168.255.2. :
  5. Konfigurieren Sie den vorinstallierten Schlüssel im ASCII-Textformat, der in diesem Beispiel angezeigt wird TEST :

Die folgende Beispielausgabe zeigt die Konfiguration der IKE-Richtlinie:

Konfigurieren des IPsec-Vorschlags

Die IPsec-Vorschlagskonfiguration definiert die Protokolle und Algorithmen (Sicherheitsdienste), die für die Aushandlung mit dem Remote-IPsec-Peer erforderlich sind. Weitere Informationen zu IPsec-Vorschlägen finden Sie unter Konfigurieren von IPsec-Vorschlägen.

So definieren Sie den IPsec-Vorschlag:

  1. Wechseln Sie im Konfigurationsmodus in die folgende Hierarchieebene:
  2. Konfigurieren Sie das IPsec-Protokoll für den Vorschlag, espz. B. :
  3. Konfigurieren Sie den Authentifizierungsalgorithmus für den Vorschlag, der in diesem Beispiel wie folgt aussieht hmac-sha1-96 :
  4. Konfigurieren Sie den Verschlüsselungsalgorithmus für den Vorschlag, der in diesem Beispiel wie folgt aussieht aes-256-cbc :

Die folgende Beispielausgabe zeigt die Konfiguration des IPsec-Vorschlags:

Siehe auch

Konfigurieren der IPsec-Richtlinie (und Verweisen auf den IPsec-Vorschlag)

Die IPsec-Richtlinienkonfiguration definiert eine Kombination von Sicherheitsparametern (IPsec-Vorschlägen), die während der IPsec-Aushandlung verwendet werden. Er definiert die PFS und die Vorschläge, die für den Anschluss erforderlich sind. Weitere Informationen zu IPsec-Richtlinien finden Sie unter Konfigurieren von IPsec-Richtlinien.

So definieren Sie die IPsec-Richtlinie und verweisen auf den IPsec-Vorschlag:

  1. Wechseln Sie im Konfigurationsmodus in die folgende Hierarchieebene:
  2. Konfigurieren Sie die Schlüssel für Perfect Forward Secrecy in der IPsec-Richtlinie, group1z. B. :
  3. Konfigurieren Sie eine Reihe von IPsec-Vorschlägen in der IPsec-Richtlinie, test-IPsec-proposalz. B. :

Die folgende Beispielausgabe zeigt die Konfiguration der IPsec-Richtlinie:

Siehe auch

Konfigurieren der IPsec-Regel (und Verweisen auf die IKE- und IPsec-Richtlinien)

Die Konfiguration der IPsec-Regel definiert die Richtung, die angibt, ob die Übereinstimmung auf der Eingabe- oder Ausgabeseite der Schnittstelle angewendet wird. Die Konfiguration besteht auch aus einer Reihe von Begriffen, die die Übereinstimmungsbedingungen und Anwendungen angeben, die ein- und ausgeschlossen werden, sowie die Aktionen und Aktionsmodifikatoren, die von der Routersoftware ausgeführt werden sollen. Weitere Informationen zu IPsec-Regeln finden Sie unter Konfigurieren von IPsec-Regeln.

So definieren Sie die IPsec-Regel und verweisen auf die IKE- und IPsec-Richtlinien:

  1. Wechseln Sie im Konfigurationsmodus in die folgende Hierarchieebene:
  2. Konfigurieren Sie die IP-Zieladresse für den IPsec-Begriff in der IPsec-Regel, z. B. 192.168.255.2/32:
  3. Konfigurieren Sie die Adresse des Remote-Gateways für den IPsec-Begriff in der IPsec-Regel, z. B 0.0.0.0. :
  4. Konfigurieren Sie eine dynamische Sicherheitszuordnung für die IKE-Richtlinie für den IPsec-Begriff in der IPsec-Regel, die in diesem Beispiel zu sehen ist test-IKE-policy :
  5. Konfigurieren Sie einen Vorschlag für eine dynamische Sicherheitszuordnung für IKE für den IPsec-Begriff in der IPsec-Regel, der in diesem Beispiel zu sehen ist test-IPsec-proposal :
  6. Konfigurieren Sie eine Richtung, für die die Regelübereinstimmung in der IPsec-Regel angewendet wird, inputz. B. :

Die folgende Beispielausgabe zeigt die Konfiguration der IPsec-Regel:

Konfigurieren von IPsec-Trace-Optionen

Mit der Konfiguration der IPsec-Trace-Optionen werden IPsec-Ereignisse nachverfolgt und in einer Protokolldatei im Verzeichnis /var/log aufgezeichnet. Standardmäßig heißt diese Datei /var/log/kmd. Weitere Hinweise zu IPsec-Regeln finden Sie unter Ablaufverfolgung von Junos VPN Site Secure-Vorgängen.

So definieren Sie die IPsec-Ablaufverfolgungsoptionen:

  1. Wechseln Sie im Konfigurationsmodus in die folgende Hierarchieebene:
  2. Konfigurieren Sie die Ablaufverfolgungsdatei ipsec.log in diesem Beispiel:
  3. Konfigurieren Sie alle Ablaufverfolgungsparameter mit der Option all in diesem Beispiel:

Die folgende Beispielausgabe zeigt die Konfiguration der IPsec-Ablaufverfolgungsoptionen:

Konfigurieren des Zugriffsprofils (und Verweisen auf die IKE- und IPsec-Richtlinien)

Die Konfiguration des Zugriffsprofils definiert das Zugriffsprofil und verweist auf die IKE- und IPsec-Richtlinien. Weitere Informationen zum Zugriffsprofil finden Sie unter Konfigurieren eines IKE-Zugriffsprofils.

So definieren Sie das Zugriffsprofil und verweisen auf die IKE- und IPsec-Richtlinien:

  1. Wechseln Sie im Konfigurationsmodus in die folgende Hierarchieebene:
  2. Konfigurieren Sie die Liste der lokalen und Remote-Proxyidentitätspaare mit der allowed-proxy-pair Option. In diesem Beispiel 10.0.0.0/24 ist die IP-Adresse für die lokale Proxyidentität und 10.0.1.0/24 die IP-Adresse für die Remote-Proxyidentität:
  3. Konfigurieren Sie die IKE-Richtlinie, test-IKE-policyz. B.:
  4. Konfigurieren Sie die IPsec-Richtlinie, test-IPsec-policyz. B. :
  5. Konfigurieren Sie die Identität des logischen Dienstschnittstellenpools, der in diesem Beispiel angezeigt wird TEST-intf :

Die folgende Beispielausgabe zeigt die Konfiguration des Zugriffsprofils:

Siehe auch

Konfigurieren des Dienstsatzes (und Verweisen auf das IKE-Profil und die IPsec-Regel)

Die Service-Set-Konfiguration definiert IPsec-Service-Sets, für die zusätzliche Spezifikationen erforderlich sind, und verweist auf das IKE-Profil und die IPsec-Regel. Weitere Informationen zu IPsec-Servicesätzen finden Sie unter Konfigurieren von IPsec-Servicesets.

So definieren Sie die Service-Set-Konfiguration mit den Next-Hop-Service-Sets und IPsec-VPN-Optionen:

  1. Wechseln Sie im Konfigurationsmodus in die folgende Hierarchieebene:
  2. Konfigurieren Sie einen Servicesatz mit Parametern für Next-Hop-Serviceschnittstellen für das interne Netzwerk, z. B. sp-1/2/0.1:
  3. Konfigurieren Sie einen Servicesatz mit Parametern für Next-Hop-Serviceschnittstellen für das externe Netzwerk, sp-1/2/0.2z. B. :
  4. Konfigurieren Sie die IPsec-VPN-Optionen mit der Adresse und der Routing-Instanz für das lokale Gateway, 192.168.255.2z. B. :
  5. Konfigurieren Sie die IPsec-VPN-Optionen mit dem IKE-Zugriffsprofil für dynamische Peers, das in diesem Beispiel zu sehen ist IKE-profile-TEST :
  6. Konfigurieren Sie einen Dienstsatz mit IPsec-VPN-Regeln, wie in test-IPsec-rule diesem Beispiel:

Die folgende Beispielausgabe zeigt die Konfiguration der Dienstsatzkonfiguration, die auf das IKE-Profil und die IPsec-Regel verweist:

Siehe auch

Deaktivieren von NAT-T auf Routern der MX-Serie für die Verarbeitung von NAT mit IPsec-geschützten Paketen

Vor Junos OS-Version 17.4R1 wurde Network Address Translation-Traversal (NAT-T) für die IPsec-Funktionen der Junos VPN Site Secure-Suite auf den Routern der MX-Serie nicht unterstützt. Standardmäßig erkennt Junos OS, ob sich einer der IPsec-Tunnel hinter einem NAT-Gerät befindet, und wechselt automatisch zur Verwendung von NAT-T für den geschützten Datenverkehr. Um zu vermeiden, dass nicht unterstütztes NAT-T in Junos OS-Versionen vor 17.4R1 ausgeführt wird, müssen Sie NAT-T deaktivieren, indem Sie die disable-natt Anweisung auf der [edit services ipsec-vpn] Hierarchieebene einschließen. Wenn Sie NAT-T deaktivieren, wird die NAT-T-Funktionalität global ausgeschaltet. Wenn Sie NAT-T deaktivieren und ein NAT-Gerät zwischen den beiden IPsec-Gateways vorhanden ist, werden ISAKMP-Nachrichten über den UDP-Port 500 ausgehandelt, und Datenpakete werden mit Encapsulating Security Payload (ESP) eingekapselt.

Network Address Translation-Traversal (NAT-T) ist eine Methode zur Umgehung von IP-Adressübersetzungsproblemen, die auftreten, wenn durch IPsec geschützte Daten zur Adressübersetzung durch ein NAT-Gerät geleitet werden. Jede Änderung an der IP-Adressierung, die die Funktion von NAT ist, führt dazu, dass IKE Pakete verwirft. Nach der Erkennung eines oder mehrerer NAT-Geräte entlang des Datenpfads während des Phase-1-Austauschs fügt NAT-T IPsec-Paketen eine Ebene der UDP-Kapselung (User Datagram Protocol) hinzu, damit sie nach der Adressübersetzung nicht verworfen werden. NAT-T kapselt sowohl IKE- als auch ESP-Datenverkehr in UDP ein, wobei Port 4500 sowohl als Quell- als auch als Zielport verwendet wird. Da veraltete UDP-Übersetzungen auf NAT-Geräten veraltet sind, sind Keepalive-Nachrichten zwischen den Peers erforderlich.

Der Standort eines NAT-Geräts kann wie folgt aussehen:

  • Nur der IKEv1- oder IKEv2-Initiator befindet sich hinter einem NAT-Gerät. Mehrere Initiatoren können sich hinter separaten NAT-Geräten befinden. Initiatoren können sich auch über mehrere NAT-Geräte mit dem Responder verbinden.

  • Nur der IKEv1- oder IKEv2-Responder befindet sich hinter einem NAT-Gerät.

  • Sowohl der IKEv1- oder IKEv2-Initiator als auch der Responder befinden sich hinter einem NAT-Gerät.

Dynamisches Endpunkt-VPN deckt die Situation ab, in der die externe IKE-Adresse des Initiators nicht festgelegt ist und daher dem Responder nicht bekannt ist. Dies kann der Fall sein, wenn die Adresse des Initiators dynamisch von einem ISP zugewiesen wird oder wenn die Verbindung des Initiators über ein dynamisches NAT-Gerät läuft, das Adressen aus einem dynamischen Adresspool zuweist.

Konfigurationsbeispiele für NAT-T werden für die Topologie bereitgestellt, in der sich nur der Responder hinter einem NAT-Gerät befindet, und für die Topologie, in der sich sowohl der Initiator als auch der Responder hinter einem NAT-Gerät befinden. Die Site-to-Site-IKE-Gatewaykonfiguration für NAT-T wird sowohl auf dem Initiator als auch auf dem Responder unterstützt. Eine Remote-IKE-ID wird verwendet, um die lokale IKE-ID eines Peers während Phase 1 der IKE-Tunnelaushandlung zu überprüfen. Sowohl der Initiator als auch der Responder benötigen eine lokale Identitäts- und Remoteidentitätszeichenfolge.

Siehe auch

Ablaufverfolgung von Junos VPN Site Secure-Abläufen

Anmerkung:

Junos VPN Site Secure ist eine Suite von IPsec-Funktionen, die auf Multiservices-Linecards (MS-DPC, MS-MPC und MS-MIC) unterstützt werden und früher als IPsec-Services bezeichnet wurden.

Ablaufverfolgungsvorgänge verfolgen IPsec-Ereignisse und zeichnen sie in einer Protokolldatei im /var/log Verzeichnis auf. Standardmäßig hat diese Datei den Namen /var/log/kmd.

Um IPsec-Vorgänge zu verfolgen, schließen Sie die traceoptions Anweisung auf der [edit services ipsec-vpn] Hierarchieebene ein:

Sie können die folgenden IPsec-Ablaufverfolgungsflags angeben:

  • all—Alles nachvollziehen.

  • certificates– Ereignisse für Trace-Zertifikate.

  • database– Verfolgen Sie Datenbankereignisse für Sicherheitszuordnungen.

  • general– Allgemeine Ereignisse nachverfolgen.

  • ike– Verfolgen Sie die Verarbeitung des IKE-Moduls.

  • parse– Verarbeitung der Trace-Konfiguration.

  • policy-manager– Verarbeitung des Trace-Richtlinien-Managers.

  • routing-socket– Verfolgen Sie Routing-Socket-Nachrichten.

  • snmp– SNMP-Vorgänge verfolgen.

  • timer– Interne Timer-Ereignisse verfolgen.

Die level Anweisung legt die Ablaufverfolgungsebene des Schlüsselverwaltungsprozesses (Key Management Process, kmd) fest. Die folgenden Werte werden unterstützt:

  • all– Übereinstimmung mit allen Ebenen.

  • error: Entspricht Fehlerbedingungen.

  • info–Passen Sie Informationsmeldungen an.

  • notice– Übereinstimmungsbedingungen, die besonders behandelt werden sollten.

  • verbose– Übereinstimmung mit ausführlichen Meldungen.

  • warning– Übereinstimmung mit Warnmeldungen.

Dieser Abschnitt enthält die folgenden Themen:

Deaktivieren des IPsec-Tunnelendpunkts in Traceroute

Wenn Sie die no-ipsec-tunnel-in-traceroute Anweisung auf Hierarchieebene [edit services ipsec-vpn] einschließen, wird der IPsec-Tunnel nicht als nächster Hop behandelt, und die Gültigkeitsdauer (Time to Live, TTL) wird nicht verringert. Wenn die TTL Null erreicht, wird keine ICMP-Meldung über Zeitüberschreitung generiert.

Anmerkung:

Diese Funktionalität wird auch von der Anweisung passive-mode-tunneling bereitgestellt. Sie können die no-ipsec-tunnel-in-traceroute Anweisung in bestimmten Szenarien verwenden, in denen der IPsec-Tunnel nicht als nächster Hop behandelt werden soll und der passive Modus nicht erwünscht ist.

Ablaufverfolgung von IPsec-PKI-Vorgängen

Ablaufverfolgungsvorgänge verfolgen IPsec-PKI-Ereignisse und zeichnen sie in einer Protokolldatei im /var/log Verzeichnis auf. Standardmäßig hat diese Datei den Namen /var/log/pkid.

Um IPsec-PKI-Vorgänge zu verfolgen, schließen Sie die traceoptions Anweisung auf der [edit security pki] Hierarchieebene ein:

Sie können die folgenden PKI-Ablaufverfolgungsflags angeben:

  • all—Alles nachvollziehen.

  • certificates– Ereignisse für Trace-Zertifikate.

  • database– Verfolgen Sie Datenbankereignisse für Sicherheitszuordnungen.

  • general– Allgemeine Ereignisse nachverfolgen.

  • ike– Verfolgen Sie die Verarbeitung des IKE-Moduls.

  • parse– Verarbeitung der Trace-Konfiguration.

  • policy-manager– Verarbeitung des Trace-Richtlinien-Managers.

  • routing-socket– Verfolgen Sie Routing-Socket-Nachrichten.

  • snmp– SNMP-Vorgänge verfolgen.

  • timer– Interne Timer-Ereignisse verfolgen.

Siehe auch

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
18.2R1
Ab Junos OS Version 18.2R1 können Sie den Router der MX-Serie mit MS-MPCs oder MS-MICs so konfigurieren, dass nur das Endentitätszertifikat für die zertifikatbasierte IKE-Authentifizierung statt der vollständigen Zertifikatskette gesendet wird.
17.2R1
Ab Junos OS Version 17.2R1 können Sie die gw-interface Anweisung verwenden, um die Bereinigung von IKE-Triggern und IKE- und IPsec-SAs zu aktivieren, wenn die IP-Adresse des lokalen IPsec-Gateways eines IPsec-Tunnels ausfällt oder die MS-MIC oder MS-MPC, die im Service-Set des Tunnels verwendet werden, ausfällt.
17.1
Ab Junos OS Version 17.1 unterstützt AMS die IPSec-Tunnelverteilung
16.1
Ab Junos OS Version 16.1 können Sie logische AMS-Schnittstellen mithilfe der ipsec-inside-interface interface-name Anweisung auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name from] als interne IPsec-Schnittstellen konfigurieren, um Link-Typ-Tunnel (d. h. im Next-Hop-Stil) für HA-Zwecke zu konfigurieren.
16.1
Ab Junos OS Version 16.1 können Sie die Multipath-Weiterleitung von IPsec-Datenverkehr aktivieren, indem Sie die UDP-Kapselung im Service-Set konfigurieren, die der IPsec-Kapselung von Paketen einen UDP-Header hinzufügt.
14.2
Ab Junos OS Version 14.2 wird Passivmodus-Tunneling auf MS-MICs und MS-MPCs unterstützt.
14.2
Ab Junos OS Version 14.2 verfügt die header-integrity-check auf MS-MICs und MS-MPCs unterstützte Option, den Paket-Header auf Anomalien in IP-, TCP-, UDP- und ICMP-Informationen zu überprüfen und solche Anomalien und Fehler zu kennzeichnen, über eine Funktionalität, die der durch Passivmodus-Tunneling verursachten Funktionalität entgegengesetzt ist.
14.1
Ab Junos OS Version 14.1 können Sie in Paketen, die über IPSec-Tunnel mit dynamischem Endgerät übertragen werden, festlegen, dass der im DF-Bit des Pakets, das in den Tunnel eintritt, festgelegte Wert nur in den äußeren Header des IPsec-Pakets kopiert wird und keine Änderungen am DF-Bit im inneren Header des IPsec-Pakets bewirkt.