Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Service-Sets für statische Endpunkt-IPsec-Tunnel

Service-Sets

Die PIC für adaptive Dienste unterstützt zwei Arten von Servicesätzen, wenn Sie IPSec-Tunnel konfigurieren. Da sie für unterschiedliche Zwecke verwendet werden, ist es wichtig, die Unterschiede zwischen diesen Service-Set-Typen zu kennen.

  • Next-Hop-Service-Set: Unterstützt dynamische Routing-Protokolle für Multicast und Multicast (wie OSPF) über IPSec. Mit Next-Hop-Service-Sets können Sie interne und externe logische Schnittstellen auf der Adaptive Services-PIC verwenden, um eine Verbindung mit mehreren Routinginstanzen herzustellen. Sie ermöglichen auch die Verwendung von Network Address Translation (NAT) und Stateful-Firewall-Funktionen. Next-Hop-Service-Sets überwachen jedoch standardmäßig nicht den Datenverkehr der Routing-Engine und erfordern die Konfiguration mehrerer Service-Sets, um Datenverkehr von mehreren Schnittstellen zu unterstützen.

  • Schnittstellen-Service-Set: Wird auf eine physische Schnittstelle angewendet und ähnelt einem zustandslosen Firewall-Filter. Sie sind einfach zu konfigurieren, können Datenverkehr von mehreren Schnittstellen unterstützen und den Datenverkehr der Routing-Engine standardmäßig überwachen. Sie können jedoch keine dynamischen Routing-Protokolle oder Multicast-Datenverkehr über den IPSec-Tunnel unterstützen.

Im Allgemeinen wird empfohlen, Next-Hop-Service-Sets zu verwenden, da diese Routing-Protokolle und Multicast über den IPSec-Tunnel unterstützen, leichter verständlich sind und die Routing-Tabelle Weiterleitungsentscheidungen ohne administrativen Eingriff trifft.

Siehe auch

Konfigurieren von IPsec-Service-Sets

Für IPsec-Servicesets sind zusätzliche Spezifikationen erforderlich, die Sie auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] konfigurieren:

Die Konfiguration dieser Anweisungen wird in den folgenden Abschnitten beschrieben:

Konfiguration der lokalen Gatewayadresse für IPsec-Service-Sets

Wenn Sie eine IPsec-Dienstgruppe konfigurieren, müssen Sie auch eine lokale IPv4- oder IPv6-Adresse konfigurieren, indem Sie die local-gateway folgende Anweisung einfügen:

  • Wenn sich die IP-Adresse des Internet Key Exchange (IKE)-Gateways in inet.0 befindet (Standardsituation), konfigurieren Sie die folgende Anweisung:

  • Wenn sich die IP-Adresse des IKE-Gateways in einer VPN-Routing- und Weiterleitungsinstanz (VRF) befindet, konfigurieren Sie die folgende Anweisung:

Sie können alle Link-Tunnel, die dieselbe lokale Gateway-Adresse verwenden, in einem einzigen Servicesatz im Next-Hop-Stil konfigurieren. Sie müssen für die inside-service-interface Anweisung auf der Hierarchieebene einen Wert angeben, der [edit services service-set service-set-name] mit dem ipsec-inside-interface Wert übereinstimmt, den Sie auf der [edit services ipsec-vpn rule rule-name term term-name from] Hierarchieebene konfigurieren. Weitere Informationen zur IPsec-Konfiguration finden Sie unter Konfigurieren von IPsec-Regeln.

Hinweis:

Ab Junos OS Version 16.1 können Sie logische AMS-Schnittstellen als interne IPsec-Schnittstellen konfigurieren, indem Sie die ipsec-inside-interface interface-name Anweisung auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name from] verwenden, um Link-Type-Tunnel (d. h. Next-Hop-Stil) für Zwecke der hohen Verfügbarkeit zu konfigurieren.

Ab Junos OS Version 17.1 unterstützt AMS die IPSec-Tunnel-Verteilung.

IKE-Adressen in VRF-Instanzen

Sie können IP-Adressen des IKE-Gateways (Internet Key Exchange) konfigurieren, die in einer VRF-Instanz (VPN-Routing und -Weiterleitung) vorhanden sind, solange der Peer über die VRF-Instanz erreichbar ist.

Bei Next-Hop-Service-Sets platziert der Schlüsselverwaltungsprozess (Key Management Process, kmd) die IKE-Pakete in der Routing-Instanz, die den outside-service-interface von Ihnen angegebenen Wert enthält, wie in diesem Beispiel:

Bei Schnittstellenservice-Sets bestimmt die service-interface Anweisung das VRF, wie in diesem Beispiel:

Löschen von SAs, wenn die lokale Gateway-Adresse oder MS-MPC oder MS-MIC ausfällt

Ab Junos OS Version 17.2R1 kann tou die gw-interface Anweisung verwenden, um die Bereinigung von IKE-Triggern und IKE- und IPsec-SAs zu aktivieren, wenn die IP-Adresse des lokalen Gateways eines IPsec-Tunnels ausfällt oder die MS-MIC oder MS-MPC, die im Servicesatz des Tunnels verwendet werden, ausfällt.

Der und interface-name logical-unit-number muss mit der Schnittstelle und der logischen Einheit übereinstimmen, auf der die IP-Adresse des lokalen Gateways konfiguriert ist.

Wenn die IP-Adresse des lokalen Gateways für den Servicesatz eines IPsec-Tunnels ausfällt oder das MS-MIC oder MS-MPC, das in dem Serviceset verwendet wird, ausfällt, sendet das Serviceset keine IKE-Trigger mehr. Wenn die IP-Adresse des lokalen Gateways ausfällt, werden die IKE- und IPsec-SAs für Next-Hop-Service-Sets gelöscht und wechseln für Service-Sets im Schnittstellenstil in den Status "Nicht installiert". Die SAs mit dem Status Nicht installiert werden gelöscht, wenn die IP-Adresse des lokalen Gateways wieder verfügbar ist.

Wenn die IP-Adresse des lokalen Gateways, die für einen Next-Hop-Service-Satz ausfällt, für den Responder-Peer bestimmt ist, müssen Sie die IKE- und IPsec-SAs auf dem Initiator-Peer löschen, damit der IPsec-Tunnel wieder hochgefahren wird, sobald die IP-Adresse des lokalen Gateways wieder verfügbar ist. Sie können entweder die IKE- und IPsec-SAs auf dem Initiator-Peer manuell löschen (siehe Services löschen ipsec-vpn ike security-associations und clear services ipsec-vpn ipsec security-associations) oder die Dead Peer Detection auf dem Initiator-Peer aktivieren (siehe Konfigurieren von Stateful Firewall-Regeln).

Konfigurieren von IKE-Zugriffsprofilen für IPsec-Service-Sets

Nur für dynamisches Endgerät-Tunneling müssen Sie auf das auf Hierarchieebene [edit access] konfigurierte IKE-Zugriffsprofil verweisen. Fügen Sie dazu die ike-access-profile Anweisung auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] ein:

Die ike-access-profile Anweisung muss auf denselben Namen verweisen wie die Anweisung, die Sie für den profile IKE-Zugriff auf Hierarchieebene [edit access] konfiguriert haben. Sie können in jedem Servicesatz nur auf ein Zugriffsprofil verweisen. Dieses Profil wird verwendet, um IKE- und IPsec-Sicherheitszuordnungen nur mit dynamischen Peers auszuhandeln.

Hinweis:

Wenn Sie ein IKE-Zugriffsprofil in einem Service-Set konfigurieren, kann kein anderer Service-Satz dieselbe local-gateway Adresse verwenden.

Außerdem müssen Sie für jedes VRF einen separaten Servicesatz konfigurieren. Alle Schnittstellen, auf die die ipsec-inside-interface Anweisung in einem Service-Set verweist, müssen demselben VRF angehören.

Konfigurieren von Zertifizierungsstellen für IPsec-Service-Sets

Sie können eine oder mehrere vertrauenswürdige Zertifizierungsstellen angeben, indem Sie die trusted-ca folgende Anweisung einfügen:

Wenn Sie digitale PKI-Zertifikate (Public Key Infrastructure) in der IPsec-Konfiguration konfigurieren, kann jede Dienstgruppe über einen eigenen Satz vertrauenswürdiger Zertifizierungsstellen verfügen. Die Namen, die Sie für die trusted-ca Anweisung angeben, müssen mit den auf Hierarchieebene [edit security pki] konfigurierten Profilen übereinstimmen. Weitere Informationen finden Sie in der Junos OS-Verwaltungsbibliothek für Routing-Geräte. Weitere Informationen zur Konfiguration des digitalen IPsec-Zertifikats finden Sie unter Konfigurieren von IPsec-Regeln.

Ab Junos OS Version 18.2R1 können Sie den Router der MX-Serie mit MS-MPCs oder MS-MICs so konfigurieren, dass anstelle der vollständigen Zertifikatkette nur das Endentitätszertifikat für die zertifikatbasierte IKE-Authentifizierung gesendet wird. Dadurch wird eine IKE-Fragmentierung vermieden. Um diese Funktion zu konfigurieren, fügen Sie die no-certificate-chain-in-ike folgende Anweisung ein:

Konfigurieren oder Deaktivieren des Antireplay-Diensts

Sie können die anti-replay-window-size Anweisung auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] einschließen, um die Größe des Antireplay-Fensters anzugeben.

Diese Anweisung ist nützlich für dynamische Endgerät-Tunnel, für die Sie die anti-replay-window-size Anweisung nicht auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] konfigurieren können.

Für statische IPsec-Tunnel legt diese Anweisung die Größe des Antireplay-Fensters für alle statischen Tunnel innerhalb dieses Servicesatzes fest. Wenn ein bestimmter Tunnel einen bestimmten Wert für die Größe des Anti-Replay-Fensters benötigt, legen Sie die anti-replay-window-size Anweisung auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] fest. Wenn die Antireplay-Prüfung für einen bestimmten Tunnel in diesem Service-Set deaktiviert werden muss, setzen Sie die no-anti-replay Anweisung auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] .

Hinweis:

Die anti-replay-window-size und-Einstellungen no-anti-replay auf der [edit services ipsec-vpn rule rule-name term term-name then] Hierarchieebene überschreiben die auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene angegebenen Einstellungen.

Sie können die Anweisung auch auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] einschließen, um den no-anti-replay IPsec-Antireplay-Dienst zu deaktivieren. Gelegentlich verursacht dies Interoperabilitätsprobleme für Sicherheitszuordnungen.

Diese Anweisung ist nützlich für dynamische Endgerät-Tunnel, für die Sie die no-anti-reply Anweisung nicht auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] konfigurieren können.

Bei statischen IPsec-Tunneln deaktiviert diese Anweisung die Antireplay-Prüfung für alle Tunnel innerhalb dieses Servicesatzes. Wenn die Antireplay-Prüfung für einen bestimmten Tunnel aktiviert werden muss, setzen Sie die anti-replay-window-size Anweisung auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] .

Hinweis:

Das Festlegen der anti-replay-window-size and-Anweisungen no-anti-replay auf der [edit services ipsec-vpn rule rule-name term term-name then] Hierarchieebene überschreibt die auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene angegebenen Einstellungen.

Löschen des Bits "Nicht fragmentieren"

Sie können die clear-dont-fragment-bit Anweisung auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene einschließen, um das DF-Bit (Nicht fragmentieren) in allen IPv4-Paketen (IP Version 4) zu löschen, die in den IPsec-Tunnel gelangen. Wenn die Größe des eingekapselten Pakets die maximale Übertragungseinheit (MTU des Tunnels) überschreitet, wird das Paket vor der Verkapselung fragmentiert.

Diese Anweisung ist nützlich für dynamische Endgerät-Tunnel, für die Sie die clear-dont-fragment-bit Anweisung nicht auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] konfigurieren können.

Bei statischen IPsec-Tunneln löscht das Festlegen dieser Anweisung das DF-Bit für Pakete, die in alle statischen Tunnel innerhalb dieses Servicesatzes gelangen. Wenn Sie das DF-Bit bei Paketen löschen möchten, die in einen bestimmten Tunnel gelangen, legen Sie die clear-dont-fragment-bit Anweisung auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] fest.

Ab Junos OS Version 14.1 können Sie in Paketen, die über dynamische IPSec-Tunnel mit Endgerät übertragen werden, den im DF-Bit des in den Tunnel eintretenden Pakets festgelegten Wert so einstellen, dass er nur in den äußeren Header des IPsec-Pakets kopiert wird und keine Änderungen am DF-Bit im inneren Header des IPsec-Pakets verursacht. Wenn die Paketgröße den Wert für die maximale Übertragungseinheit (MTU des Tunnels) überschreitet, wird das Paket vor der Verkapselung fragmentiert. Für IPsec-Tunnel ist der Standardwert für MTU 1500, unabhängig von der Einstellung der Schnittstelle MTU. Um den DF-Bitwert nur in den äußeren Header zu kopieren und den inneren Header nicht zu ändern, verwenden Sie die copy-dont-fragment-bit Anweisung auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] . Sie können das DF-Bit auch so konfigurieren, dass es nur im äußeren IPv4-Header des IPsec-Pakets gesetzt wird und nicht im inneren IPv4-Header definiert wird. Um das DF-Bit nur im äußeren Header des IPsec-Pakets zu konfigurieren und den inneren Header unverändert zu lassen, schließen Sie die set-dont-fragment-bit Anweisung auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] ein. Diese Einstellungen gelten für dynamische Endgerät-Tunnel und nicht für statische Tunnel, für die Sie die copy-dont-fragment-bit and-Anweisungen set-dont-fragment-bit auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] einschließen müssen, um das DF-Bit in den IPv4-Paketen zu löschen, die in den statischen Tunnel gelangen. Diese Funktionen werden auf Routern der MX-Serie mit MS-MICs und MS-MPCs unterstützt.

Konfigurieren von Passive-Mode-Tunneling

Sie können die passive-mode-tunneling Anweisung auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene einschließen, damit der Dienstsatz fehlerhafte Pakete per Tunnel tunneln kann.

Diese Funktionalität umgeht die aktiven IP-Prüfungen, wie z. B. Versions-, TTL-, Protokoll-, Optionen-, Adress- und andere Landangriffsprüfungen, und tunnelt die Pakete unverändert. Wenn diese Anweisung nicht konfiguriert ist, werden Pakete, die die IP-Prüfungen nicht bestehen, im PIC gelöscht. Im passiven Modus wird das innere Paket nicht berührt. Ein ICMP-Fehler wird nicht generiert, wenn die Paketgröße den Tunnel-MTU-Wert überschreitet.

Der IPsec-Tunnel wird nicht als Next Hop behandelt und die TTL wird nicht verringert. Da kein ICMP-Fehler generiert wird, wenn die Paketgröße den Tunnel-MTU-Wert überschreitet, wird das Paket getunnelt, auch wenn es den Tunnel-MTU-Schwellenwert überschreitet.

Hinweis:

Diese Funktionalität ähnelt der in der no-ipsec-tunnel-in-traceroute Anweisung bereitgestellten, die unter Ablaufverfolgung Junos VPN Site Secure Vorgänge beschrieben wird. Ab Junos OS Version 14.2 wird passives Tunneling auf MS-MICs und MS-MPCs unterstützt.

Hinweis:

Ab Junos OS Version 14.2 verfügt die header-integrity-check auf MS-MICs und MS-MPCs unterstützte Option zur Überprüfung des Paket-Headers auf Anomalien in IP-, TCP-, UDP- und ICMP-Informationen und zur Kennzeichnung solcher Anomalien und Fehler über eine Funktionalität, die der durch passives Tunneling verursachten Funktionalität entgegengesetzt ist. Wenn Sie sowohl die header-integrity-check Anweisung als auch die passive-mode tunneling Anweisung auf MS-MICs und MS-MPCs konfigurieren und versuchen, eine solche Konfiguration zu bestätigen, wird während des Commits ein Fehler angezeigt.

Die passive Tunneling-Funktionalität (durch Einschließen der passive-mode-tunnelin Anweisung auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene) ist eine Obermenge der Möglichkeit, den IPsec-Tunnel-Endgerät in der Traceroute-Ausgabe zu deaktivieren (durch Einschließen no-ipsec-tunnel-in-traceroute einer Anweisung auf der [edit services ipsec-vpn] Hierarchieebene). Beim passiven Tunneling werden auch die aktiven IP-Prüfungen und die MTU-Prüfung im Tunnel umgangen, und ein IPsec-Tunnel wird nicht als Next-Hop behandelt, wie in der no-ipsec-tunnel-in-traceroute Anweisung konfiguriert.

Konfigurieren des Tunnel-MTU-Werts

Sie können die tunnel-mtu Anweisung auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene einschließen, um den Wert für die maximale Übertragungseinheit (MTU) für IPsec-Tunnel festzulegen.

Diese Anweisung ist nützlich für dynamische Endgerät-Tunnel, für die Sie die tunnel-mtu Anweisung nicht auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] konfigurieren können.

Für statische IPsec-Tunnel legt diese Anweisung den Tunnel-MTU-Wert für alle Tunnel innerhalb dieses Servicesatzes fest. Wenn Sie einen bestimmten Wert für einen bestimmten Tunnel benötigen, legen Sie die tunnel-mtu Anweisung auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name then] fest.

Hinweis:

Die tunnel-mtu Einstellung auf der [edit services ipsec-vpn rule rule-name term term-name then] Hierarchieebene überschreibt den auf der [edit services service-set service-set-name ipsec-vpn-options] Hierarchieebene angegebenen Wert.

Konfigurieren der IPsec-Multipath-Weiterleitung mit UDP-Kapselung

Ab Junos OS Version 16.1 können Sie die Multipath-Weiterleitung von IPsec-Datenverkehr aktivieren, indem Sie die UDP-Kapselung im Service-Set konfigurieren, wodurch der IPsec-Kapselung von Paketen ein UDP-Header hinzugefügt wird. Dies führt dazu, dass IPsec-Datenverkehr über mehrere Pfade weitergeleitet wird, was den Durchsatz des IPsec-Datenverkehrs erhöht. Wenn Sie die UDP-Kapselung nicht aktivieren, folgt der gesamte IPsec-Datenverkehr einem einzigen Weiterleitungspfad.

Wenn NAT-T erkannt wird, erfolgt nur die NAT-T-UDP-Kapselung, nicht die UDP-Kapselung für IPsec-Pakete.

So aktivieren Sie die UDP-Kapselung:

  1. Aktivieren Sie die UDP-Kapselung.

  2. (Optional) Geben Sie die UDP-Zielportnummer an.

    Verwenden Sie eine Zielportnummer von 1025 bis 65536, aber nicht 4500. Wenn Sie keine Portnummer angeben, ist der Standardzielport 4565.

Siehe auch

Beispiel: Dynamische IKE-SA-Konfiguration mit digitalen Zertifikaten

Dieses Beispiel zeigt, wie die dynamische IKE-Sicherheitszuordnung mit digitalen Zertifikaten konfiguriert wird, und enthält die folgenden Abschnitte.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Vier Router der M Series, MX-Serie oder T-Serie mit installierten Multiservices-Schnittstellen.

  • Junos OS Version 9.4 oder höher.

Bevor Sie dieses Beispiel konfigurieren, müssen Sie ein CA-Zertifikat anfordern, ein lokales Zertifikat erstellen und diese digitalen Zertifikate in den Router laden. Weitere Informationen finden Sie unter Registrieren eines Zertifikats.

Überblick

Eine Sicherheitszuordnung (SA) ist eine Simplex-Verbindung, die es zwei Hosts ermöglicht, über IPsec sicher miteinander zu kommunizieren. In diesem Beispiel wird die dynamische IKE-SA-Konfiguration mit digitalen Zertifikaten erläutert. Die Verwendung digitaler Zertifikate bietet zusätzliche Sicherheit für Ihren IKE-Tunnel. Mit Standardwerten im Services-PIC müssen Sie keinen IPsec-Vorschlag oder keine IPsec-Richtlinie konfigurieren. Sie müssen jedoch einen IKE-Vorschlag konfigurieren, der die Verwendung digitaler Zertifikate angibt, auf den IKE-Vorschlag und das lokale Zertifikat in einer IKE-Richtlinie verweisen und das CA-Profil auf den Dienstsatz anwenden.

Abbildung 1 zeigt eine IPsec-Topologie mit einer Gruppe von vier Routern. Diese Konfiguration erfordert, dass die Router 2 und 3 einen IKE-basierten IPsec-Tunnel einrichten, indem sie digitale Zertifikate anstelle von vorinstallierten Schlüsseln verwenden. Die Router 1 und 4 stellen grundlegende Verbindungen bereit und werden verwendet, um zu überprüfen, ob der IPsec-Tunnel betriebsbereit ist.

Topologie

Abbildung 1: MS PIC IKE Dynamic SA Topology Diagram MS PIC IKE Dynamic SA Topology Diagram

Konfiguration

Führen Sie die folgenden Aufgaben aus, um die dynamische IKE-Sicherheitszuordnung mit digitalen Zertifikaten zu konfigurieren:

Hinweis:

Die in diesem Beispiel gezeigten Schnittstellentypen dienen nur zu Richtzwecken. Sie können so- z. B. Schnittstellen anstelle von ge- und sp- anstelle von ms-verwenden.

Router 1 konfigurieren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] von Router 1 ein.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Router 1 für die OSPF-Konnektivität mit Router 2:

  1. Konfigurieren Sie eine Ethernet-Schnittstelle und die Loopback-Schnittstelle.

  2. Geben Sie den OSPF-Bereich an und ordnen Sie die Schnittstellen dem OSPF-Bereich zu.

  3. Konfigurieren Sie die Router-ID.

  4. Bestätigen Sie die Konfiguration.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , show protocols ospfund show routing-options . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Konfiguration von Router 2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] von Router 2 ein.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie die OSPF-Konnektivität und die IPsec-Tunnel-Parameter auf Router 2:

  1. Konfigurieren Sie Schnittstelleneigenschaften. In diesem Schritt konfigurieren Sie zwei Ethernet-Schnittstellen (ge-1/0/0 und ge-1/0/1), die Loopback-Schnittstelle und eine Multiservices-Schnittstelle (ms-1/2/0).

  2. Geben Sie den OSPF-Bereich an und ordnen Sie die Schnittstellen dem OSPF-Bereich zu.

  3. Konfigurieren Sie die Router-ID.

  4. Konfigurieren Sie einen IKE-Vorschlag und eine Richtlinie. Um einen IKE-Vorschlag für digitale Zertifikate zu aktivieren, schließen Sie die rsa-signatures Anweisung auf Hierarchieebene [edit services ipsec-vpn ike proposal proposal-name authentication-method] ein. Um in der IKE-Richtlinie auf das lokale Zertifikat zu verweisen, schließen Sie die local-certificate Anweisung auf Hierarchieebene [edit services ipsec-vpn ike policy policy-name] ein. Um die CA oder Registrierungsstelle im Service-Set zu identifizieren, schließen Sie die trusted-ca Anweisung auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] ein.

    Hinweis:

    Informationen zum Erstellen und Installieren digitaler Zertifikate finden Sie unter Registrieren eines Zertifikats.

  5. Konfigurieren Sie einen IPsec-Vorschlag und eine IPsec-Richtlinie. Stellen Sie außerdem den established-tunnels Knopf auf immediately.

  6. Konfigurieren Sie eine IPsec-Regel.

  7. Konfigurieren Sie eine Servicegruppe im Next-Hop-Stil, geben Sie die lokale Gatewayadresse an, und ordnen Sie die IPsec-VPN-Regel der Servicegruppe zu.

  8. Bestätigen Sie die Konfiguration.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , show protocols ospf, show routing-optionsund show services . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren

Konfiguration von Router 3

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [bearbeiten] von Router 3 ein.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

Hinweis:

Wenn die IPsec-Peers nicht über eine symmetrische Konfiguration mit allen erforderlichen Komponenten verfügen, können sie keine Peering-Beziehung herstellen. Sie müssen ein CA-Zertifikat anfordern, ein lokales Zertifikat erstellen, diese digitalen Zertifikate in den Router laden und in Ihrer IPsec-Konfiguration darauf verweisen. Informationen zur digitalen Zertifizierung finden Sie unter Registrieren eines Zertifikats.

So konfigurieren Sie die OSPF-Konnektivität und die IPsec-Tunnel-Parameter auf Router 3:

  1. Konfigurieren Sie Schnittstelleneigenschaften. In diesem Schritt konfigurieren Sie zwei Ethernet-Schnittstellen (ge-1/0/0 und ge-1/0/1), die Loopback-Schnittstelle und eine Multiservices-Schnittstelle (ms-1/2/0).

  2. Geben Sie den OSPF-Bereich an und ordnen Sie die Schnittstellen dem OSPF-Bereich zu.

  3. Konfigurieren Sie eine Router-ID.

  4. Konfigurieren Sie einen IKE-Vorschlag und eine Richtlinie. Um einen IKE-Vorschlag für digitale Zertifikate zu aktivieren, schließen Sie die rsa-signatures Anweisung auf Hierarchieebene [edit services ipsec-vpn ike proposal proposal-name authentication-method] ein. Um in der IKE-Richtlinie auf das lokale Zertifikat zu verweisen, schließen Sie die local-certificate Anweisung auf Hierarchieebene [edit services ipsec-vpn ike policy policy-name] ein. Um die CA oder Registrierungsstelle im Service-Set zu identifizieren, schließen Sie die trusted-ca Anweisung auf Hierarchieebene [edit services service-set service-set-name ipsec-vpn-options] ein.

    Hinweis:

    Informationen zum Erstellen und Installieren digitaler Zertifikate finden Sie unter Registrieren eines Zertifikats.

  5. Konfigurieren Sie einen IPsec-Vorschlag. Stellen Sie außerdem den established-tunnels Knopf auf immediately.

  6. Konfigurieren Sie eine IPsec-Regel.

  7. Konfigurieren Sie eine Servicegruppe im Next-Hop-Stil, geben Sie die lokale Gatewayadresse an, und ordnen Sie die IPsec-VPN-Regel der Servicegruppe zu.

  8. Bestätigen Sie die Konfiguration.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , show protocols ospf, show routing-optionsund show services . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren

Konfiguration von Router 4

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie dann in die CLI auf der Hierarchieebene [bearbeiten] von Router 4 ein.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So richten Sie die OSPF-Konnektivität mit Router 4 ein

  1. Konfigurieren Sie die Schnittstellen. In diesem Schritt konfigurieren Sie eine Ethernet-Schnittstelle (ge-1/0/1) und die Loopback-Schnittstelle.

  2. Geben Sie den OSPF-Bereich an und ordnen Sie die Schnittstellen dem OSPF-Bereich zu.

  3. Konfigurieren Sie die Router-ID.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , show protocols ospfund show routing-options . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren

Verifizierung

Überprüfen Ihrer Arbeit an Router 1

Zweck

Überprüfen Sie auf Router 1 den Ping-Befehl an die SO-0/0/0-Schnittstelle von Router 4, um Datenverkehr über den IPsec-Tunnel zu senden.

Aktion

Geben Sie ping 10.1.56.2im Betriebsmodus ein.

Wenn Sie die Loopback-Adresse von Router 4 pingen, ist der Vorgang erfolgreich, da die Adresse Teil des auf Router 4 konfigurierten OSPF-Netzwerks ist.

Überprüfen Ihrer Arbeit an Router 2

Zweck

Um zu überprüfen, ob übereinstimmender Datenverkehr in den bidirektionalen IPsec-Tunnel umgeleitet wird, sehen Sie sich die IPsec-Statistiken an:

Aktion

Geben Sie im Betriebsmodus die Eingabetaste show services ipsec-vpn ipsec statisticsein.

Um zu überprüfen, ob die Aushandlung der IKE-Sicherheitszuordnung erfolgreich ist, geben Sie den show services ipsec-vpn ike security-associations folgenden Befehl ein:

Geben Sie im Betriebsmodus das Symbol show services ipsec-vpn ike security-associations

Um zu überprüfen, ob die IPsec-Sicherheitszuordnung aktiv ist, geben Sie den show services ipsec-vpn ipsec security-associations detail Befehl ein. Beachten Sie, dass die SA die Standardeinstellungen enthält, die dem Services PIC inhärent sind, z. B. ESP für das Protokoll und HMAC-SHA1-96 für den Authentifizierungs-Algorithmus.

Geben Sie im Betriebsmodus das Symbol show services ipsec-vpn ipsec security-associations detail

Um die digitalen Zertifikate anzuzeigen, die zum Einrichten des IPsec-Tunnels verwendet werden, geben Sie den Befehl show services ipsec-vpn certificates ein:

Geben Sie im Betriebsmodus das Symbol show services ipsec-vpn certificates

Um das CA-Zertifikat anzuzeigen, geben Sie den Befehl show security pki ca-certificate detail ein. Beachten Sie, dass es drei separate Zertifikate gibt: eines für die Zertifikatsignierung, eines für die Schlüsselverschlüsselung und eines für die digitale Signatur der CA.

Geben Sie im Betriebsmodus das Symbol show security pki ca-certificate detail

Um die lokale Zertifikatsanforderung anzuzeigen, geben Sie den Befehl show security pki certificate-request ein:

Geben Sie im Betriebsmodus das Symbol show security pki certificate-request

Um das lokale Zertifikat anzuzeigen, geben Sie den Befehl show security pki local-certificate ein:

Geben Sie im Betriebsmodus das Symbol show security pki local-certificate

Überprüfen Ihrer Arbeit an Router 3

Zweck

Um zu überprüfen, ob übereinstimmender Datenverkehr in den bidirektionalen IPsec-Tunnel umgeleitet wird, sehen Sie sich die IPsec-Statistiken an:

Aktion

Geben Sie im Betriebsmodus die Eingabetaste show services ipsec-vpn ipsec statisticsein.

Um zu überprüfen, ob die IKE-SA-Aushandlung erfolgreich ist, geben Sie den Befehl show services ipsec-vpn ike security-associations ein. Um erfolgreich zu sein, muss die SA auf Router 3 die gleichen Einstellungen enthalten, die Sie auf Router 2 angegeben haben.

Geben Sie im Betriebsmodus die Eingabetaste show services ipsec-vpn ike security-associationsein.

Um zu überprüfen, ob die IPsec-Sicherheitszuordnung aktiv ist, geben Sie den Befehl show services ipsec-vpn ipsec security-associations detail ein. Um erfolgreich zu sein, muss die SA auf Router 3 die gleichen Einstellungen enthalten, die Sie auf Router 2 angegeben haben.

Geben Sie im Betriebsmodus die Eingabetaste show services ipsec-vpn ipsec security-associations detailein.

Um die digitalen Zertifikate anzuzeigen, die zum Einrichten des IPsec-Tunnels verwendet werden, geben Sie den Befehl show services ipsec-vpn certificates ein:

Geben Sie im Betriebsmodus die Eingabetaste show services ipsec-vpn certificatesein.

Um das CA-Zertifikat anzuzeigen, geben Sie den Befehl show security pki ca-certificate detail ein. Beachten Sie, dass es drei separate Zertifikate gibt: eines für die Zertifikatsignierung, eines für die Schlüsselverschlüsselung und eines für die digitale Signatur der CA.

Geben Sie im Betriebsmodus die Eingabetaste show security pki ca-certificate detailein.

Um die lokale Zertifikatsanforderung anzuzeigen, geben Sie den Befehl show security pki certificate-request ein:

Geben Sie im Betriebsmodus die Eingabetaste show security pki certificate-requestein.

Um das lokale Zertifikat anzuzeigen, geben Sie den Befehl show security pki local-certificate ein:

Geben Sie im Betriebsmodus die Eingabetaste show security pki local-certificateein.

Überprüfen Ihrer Arbeit an Router 4

Zweck

Geben Sie auf Router 4 einen Ping-Befehl an die SOO-0/0/0-Schnittstelle von Router 1 aus, um Datenverkehr über den IPsec-Tunnel zu senden.

Aktion

Geben Sie ping 10.1.12.2im Betriebsmodus ein.

Sie können die letzte Möglichkeit, zu bestätigen, dass der Datenverkehr über den IPsec-Tunnel übertragen wird, indem Sie den Befehl traceroute an die Schnittstelle so-0/0/0 auf Router 1 ausgeben. Beachten Sie, dass die physische Schnittstelle zwischen den Routern 2 und 3 nicht im Pfad referenziert wird. Der Datenverkehr gelangt über die interne Schnittstelle von Adaptive Services IPsec auf Router 3 in den IPsec-Tunnel, passiert die Loopback-Schnittstelle von Router 2 und endet an der SOO-0/0/0-Schnittstelle von Router 1.

Geben Sie im Betriebsmodus die Eingabetaste traceroute 10.1.12.2ein.

Siehe auch

Konfigurieren von Junos VPN Site Secure oder IPSec-VPN

IPsec VPN wird auf allen Routern der MX-Serie mit MS-MICs, MS-MPCs oder MS-DPCs unterstützt.

Auf Routern der M Series und T-Serie wird IPsec VPN mit Multiservices 100 PICs, Multiservices 400 PIC und Multiservices 500 PIC unterstützt.

MS-MICs und MS-MPCs werden ab Junos OS Version 13.2 und höher unterstützt. MS-MICs und MS-MPCs unterstützen alle Funktionen, die von MS-DPCs und MS-PICs unterstützt werden, mit Ausnahme des Authentifizierung-Header-Protokolls (AH), des Encapsulating Security Payload Protocol (ESP) und des Bundle-Protokolls (AH- und ESP-Protokoll) für eine dynamische oder manuelle Sicherheitszuordnung und einen Flowless-IPsec-Dienst.

NAT Traversal (NAT-T) wird für IKEv1 und IKEv2 ab Junos OS Version 17.4R1 unterstützt. NAT-T ist standardmäßig aktiviert. Sie können die UDP-Kapselung und -Entkapselung für IKE- und ESP-Pakete über die Konfiguration disable-natt auf den [edit services ipsec-vpn] Hierarchieebenen festlegen.

Siehe auch

Beispiel: Konfiguration von Junos VPN Site Secure auf MS-MIC und MS-MPC

Hinweis:

Sie können das gleiche Verfahren befolgen und die gleiche Konfiguration wie in diesem Beispiel verwenden, um Junos VPN Site Secure (früher als IPsec-Funktionen bezeichnet) auf MS-MPCs zu konfigurieren.

Dieses Beispiel enthält die folgenden Abschnitte:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Router der MX-Serie mit MS-MICs

  • Junos OS Version 13.2 oder höher

Überblick

Junos OS Version 13.2 erweitert die Unterstützung für Junos VPN Site Secure (früher bekannt als IPsec-Funktionen) auf die neu eingeführten Multiservices MIC und MPC (MS-MIC und MS-MPC) auf Routern der MX-Serie. Die Junos OS Erweiterungsanbieterpakete sind auf MS-MIC und MS-MPC vorinstalliert und vorkonfiguriert.

Die folgenden Funktionen von Junos VPN Site Secure werden auf MS-MIC und MS-MPC in Version 13.2 unterstützt:

  • Dynamische Endpunkte (DEP)

  • Encapsulating Sicherheit Payload (ESP) Protocol

  • Dead Peer Detection (DPD) Trigger-Meldungen

  • Benachrichtigungen über den Rollover der Sequenznummer

  • Statische IPsec-Tunnel mit Servicesätzen im Next-Hop- und Interface-Stil

In Junos OS Version 13.2 ist die Unterstützung von Junos VPN Site Secure auf MS-MIC und MS-MPC jedoch auf IPv4-Datenverkehr beschränkt. Passives Modul-Tunneling wird auf MS-MICs und MS-MPCs nicht unterstützt.

Abbildung 2 zeigt die IPsec-VPN-Tunnel-Topologie.

Abbildung 2: IPsec-VPN-Tunneltopologie Network diagram showing IPSec tunnel configuration between two routers labeled 1 and 2. Router 1 connects to 172.16.0.0/16 and 10.0.1.0/30 networks. Router 2 connects to 192.168.0.0/16 and 10.0.1.0/30 networks. The tunnel uses ms-4/0/0 on Router 1 and ms-1/0/0 on Router 2.

Dieses Beispiel zeigt die Konfiguration von zwei Routern, Router 1 und Router 2, zwischen denen ein IPsec-VPN-Tunnel konfiguriert ist.

Beachten Sie bei der Konfiguration der Router die folgenden Punkte:

  • Die IP-Adresse, die Sie unter source-address der [edit services ipsec-vpn rule name term term from] Hierarchieebene auf Router 1 konfigurieren, muss mit der IP-Adresse übereinstimmen, die Sie unter destination-address derselben Hierarchie auf Router 2 konfigurieren, und umgekehrt.

  • Die IP-Adresse des remote-gateway von Ihnen unter der [edit services ipsec-vpn rule name term term then] Hierarchieebene konfigurierten sollte mit der IP-Adresse des local-gateway Geräts übereinstimmen, das Sie unter der [edit services service-set name ipsec-vpn-options] Hierarchieebene von Router 2 konfigurieren und umgekehrt.

Konfiguration

Dieser Abschnitt enthält:

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie dann in die CLI auf der Hierarchieebene [edit] ein.

Konfigurieren von Schnittstellen auf Router 1

Konfiguration des IPsec-VPN-Dienstes auf Router 1

Konfigurieren eines Service-Sets auf Router 1

Konfigurieren von Routing-Optionen auf Router 1

Konfigurieren von Schnittstellen auf Router 2

Konfigurieren des IPsec-VPN-Dienstes auf Router 2

Konfigurieren eines Service-Sets auf Router 2

Konfigurieren von Routing-Optionen auf Router 2

Router 1 konfigurieren

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

Hinweis:

Ab Version 13.2 sind die Junos OS Erweiterungsanbieterpakete auf Multiservice-MICs und MPCs (MS-MICs und MS-MPCs) vorinstalliert. Die adaptive-services Konfiguration auf Hierarchieebene [edit chassis fpc number pic number] ist auf diesen Karten vorkonfiguriert.

  1. Konfigurieren Sie die Schnittstelleneigenschaften wie Familie, Service-Domain und Einheit.

  2. Konfigurieren Sie IPsec-Eigenschaften wie Adresse, Remotegateway, Richtlinien, Übereinstimmungsrichtung, Protokoll, Größe des Wiedergabefensters, Algorithmusdetails, Geheimhaltungsschlüssel, Vorschlag, Authentifizierungsmethode, Gruppen und Version.

  3. Konfigurieren Sie eine Servicegruppe, die IPsec-VPN-Optionen und -Regeln.

  4. Konfigurieren Sie Routing-Optionen, statisches Route und Next Hop.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus von Router 1 Ihre Konfiguration durch Eingabe der show interfacesBefehle , show services ipsec-vpnund show services service-set . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Konfiguration von Router 2

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie die Schnittstelleneigenschaften wie Familie, Service-Domain und Einheit.

  2. Konfigurieren Sie IPsec-Eigenschaften wie Adresse, Remotegateway, Richtlinien, Übereinstimmungsrichtung, Protokoll, Größe des Wiedergabefensters, Algorithmusdetails, Geheimhaltungsschlüssel, Vorschlag, Authentifizierungsmethode, Gruppen und Version.

  3. Konfigurieren Sie eine Dienstgruppe wie next-hop-service und die ipsec-vpn-options.

  4. Konfigurieren Sie die Routing-Optionen, die statische Route und den nächsten Hop.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus von Router 2 Ihre Konfiguration durch Eingabe der show interfacesBefehle , show services ipsec-vpnund show services service-set . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Verifizierung

Überprüfen der Tunnelerstellung

Zweck

Stellen Sie sicher, dass dynamische Endpunkte erstellt wurden.

Aktion

Führen Sie den folgenden Befehl auf Router 1 aus:

Bedeutung

Die Ausgabe zeigt, dass die IPSec-SAs auf dem Router mit dem Status Installiert sind. Der IPSec-Tunnel ist eingerichtet und bereit, Datenverkehr über den Tunnel zu senden.

Überprüfen des Datenverkehrsflusses durch den DEP-Tunnel

Zweck

Überprüfen Sie den Datenverkehrsfluss durch den neu erstellten DEP-Tunnel.

Aktion

Führen Sie den folgenden Befehl auf Router 2 aus:

Überprüfen der IPsec-Sicherheitszuordnungen für das Service Set

Zweck

Stellen Sie sicher, dass die für die Servicegruppe konfigurierten Sicherheitszuordnungen ordnungsgemäß funktionieren.

Aktion

Führen Sie den folgenden Befehl auf Router 2 aus:

Beispiel: Konfigurieren von statisch zugewiesenen IPsec-Tunneln über eine VRF-Instanz

Dieses Beispiel zeigt, wie ein statisch zugewiesener IPsec-Tunnel über eine VRF-Instanz konfiguriert wird, und enthält die folgenden Abschnitte:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • M Series, MX-Serie oder T-Serie Router, die als Provider-Edge-Router konfiguriert ist.

  • Junos OS Version 9.4 und höher.

Bevor Sie diese Funktion konfigurieren können, ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

Mit Junos OS können Sie statisch zugewiesene IPsec-Tunnel auf virtuellen Routing- und Weiterleitungsinstanzen (VRF) konfigurieren. Die Möglichkeit, IPsec-Tunnel auf VRF-Instanzen zu konfigurieren, verbessert die Netzwerksegmentierung und Sicherheit. Sie können mehrere Kundentunnel auf demselben PE-Router über VRF-Instanzen konfigurieren lassen. Jede VRF-Instanz fungiert als logischer Router mit einer exklusiven Routing-Tabelle.

Konfiguration

Dieses Beispiel zeigt die Konfiguration eines IPsec-Tunnels über eine VRF-Instanz auf einem Provider-Edge-Router und enthält schrittweise Anweisungen zum Abschließen der erforderlichen Konfiguration.

Dieser Abschnitt enthält:

Konfiguration des Provider-Edge-Routers

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, und kopieren Sie dann die Befehle und fügen Sie sie dann in die CLI auf der Hierarchieebene [edit] ein.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie einen statisch zugewiesenen IPsec-Tunnel auf einer VRF-Instanz:

  1. Konfigurieren Sie die Schnittstellen. In diesem Schritt konfigurieren Sie zwei Ethernet-Schnittstellen (ge), eine Serviceschnittstelle (ms-) und auch die Servicedomäneneigenschaften für die logischen Schnittstellen der Services-Schnittstelle. Beachten Sie, dass die logische Schnittstelle, die als interne Schnittstelle gekennzeichnet ist, den konfigurierten Service auf den Datenverkehr anwendet, während die logische Schnittstelle, die als externe Schnittstelle markiert ist, als Ausgangspunkt für den Datenverkehr fungiert, auf den die interne Schnittstelle den Service angewendet hat.

  2. Konfigurieren Sie eine Routing-Richtlinie, um Routenimport- und -exportkriterien für die VRF-Instanz anzugeben. Auf die in diesem Schritt definierten Import- und Exportrichtlinien wird im nächsten Schritt von der Konfiguration der Routing-Instanz verwiesen.

  3. Konfigurieren Sie eine Routing-Instanz, und geben Sie den Routing-Instanztyp als vrfan. Wenden Sie die im vorherigen Schritt definierten Import- und Exportrichtlinien auf die Routinginstanz an, und geben Sie eine statische Route an, um den IPsec-Datenverkehr an die im ersten Schritt konfigurierte interne Schnittstelle (ms-1/2/0.1) zu senden.

  4. Konfigurieren Sie IKE- und IPsec-Vorschläge und -Richtlinien sowie eine Regel zum Anwenden der IKE-Richtlinie auf den eingehenden Datenverkehr.

    Hinweis:

    Standardmäßig verwendet Junos OS die IKE-Richtlinienversion 1.0. Junos OS Version 11.4 und höher unterstützen auch die IKE-Richtlinienversion 2.0, die Sie unter [edit services ipsec-vpn ike policy policy-name pre-shared]konfigurieren müssen.

  5. Konfigurieren Sie eine Servicegruppe im Next-Hop-Stil. Beachten Sie, dass Sie die internen und externen Schnittstellen, die Sie im ersten Schritt konfiguriert haben, als inside-service-interface bzw outside-service-interface . konfigurieren müssen.

  6. Bestätigen Sie die Konfiguration.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus von Router 1 Ihre Konfiguration durch Eingabe der show interfacesBefehle , show policy-options, show routing-instances, show services ipsec-vpnund show services service-set . Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Siehe auch

Multitasking-Beispiel: Konfigurieren von IPsec-Diensten

Die folgenden beispielbasierten Anweisungen zeigen, wie IPsec-Dienste konfiguriert werden. Die Konfiguration umfasst das Definieren einer IKE-Richtlinie, einer IPsec-Richtlinie, von IPsec-Regeln, Ablaufverfolgungsoptionen und Servicesätzen.

Dieses Thema umfasst die folgenden Aufgaben:

Konfigurieren des IKE-Angebots

Die IKE-Vorschlagskonfiguration definiert die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peer-Sicherheitsgateway verwendet werden. Weitere Informationen zu IKE-Vorschlägen finden Sie unter Konfigurieren von IKE-Vorschlägen.

So definieren Sie den IKE-Vorschlag:

  1. Wechseln Sie im Konfigurationsmodus auf folgende Hierarchieebene:
  2. Konfigurieren Sie die Authentifizierungsmethode, die in diesem Beispiel enthalten ist pre-shared keys :
  3. Konfigurieren Sie die Diffie-Hellman-Gruppe und geben Sie einen Namen an, z. B.: group1
  4. Konfigurieren Sie den Authentifizierungsalgorithmus, der in diesem Beispiel ist sha1 :
  5. Konfigurieren Sie den Verschlüsselungsalgorithmus, der in diesem Beispiel vorhanden ist aes-256-cbc :

Die folgende Beispielausgabe zeigt die Konfiguration des IKE-Vorschlags:

Siehe auch

Konfigurieren der IKE-Richtlinie (und Verweisen auf den IKE-Vorschlag)

Die IKE-Richtlinienkonfiguration definiert den Vorschlag, den Modus, die Adressen und andere Sicherheitsparameter, die während der IKE-Aushandlung verwendet werden. Weitere Informationen zu IKE-Richtlinien finden Sie unter Konfigurieren von IKE-Richtlinien.

So definieren Sie die IKE-Richtlinie und verweisen auf den IKE-Vorschlag:

  1. Wechseln Sie im Konfigurationsmodus auf folgende Hierarchieebene:
  2. Konfigurieren Sie den IKE-Modus für die erste Phase, z. B.: main
  3. Konfigurieren Sie den Vorschlag, der sich in diesem Beispiel befindet test-IKE-proposal :
  4. Konfigurieren Sie die lokale Identifizierung mit einer IPv4-Adresse, z. B.: 192.168.255.2
  5. Konfigurieren Sie den vorinstallierten Schlüssel im ASCII-Textformat, wie TEST in diesem Beispiel:

Die folgende Beispielausgabe zeigt die Konfiguration der IKE-Richtlinie:

Konfigurieren des IPsec-Vorschlags

Die IPsec-Vorschlagskonfiguration definiert die Protokolle und Algorithmen (Sicherheitsdienste), die für die Aushandlung mit dem entfernten IPsec-Peer erforderlich sind. Weitere Informationen zu IPsec-Vorschlägen finden Sie unter Konfigurieren von IPsec-Vorschlägen.

So definieren Sie den IPsec-Vorschlag:

  1. Wechseln Sie im Konfigurationsmodus auf folgende Hierarchieebene:
  2. Konfigurieren Sie das IPsec-Protokoll für den Vorschlag, z. B.: esp
  3. Konfigurieren Sie den Authentifizierungsalgorithmus für den Vorschlag, der in diesem Beispiel zu sehen ist hmac-sha1-96 :
  4. Konfigurieren Sie den Verschlüsselungsalgorithmus für den Vorschlag, der sich in diesem Beispiel befindet aes-256-cbc :

Die folgende Beispielausgabe zeigt die Konfiguration des IPsec-Vorschlags:

Siehe auch

Konfigurieren der IPsec-Richtlinie (und Verweisen auf den IPsec-Vorschlag)

Die IPsec-Richtlinienkonfiguration definiert eine Kombination von Sicherheitsparametern (IPsec-Vorschlägen), die während der IPsec-Aushandlung verwendet werden. Es definiert PFS und die für die Verbindung erforderlichen Vorschläge. Weitere Informationen zu IPsec-Richtlinien finden Sie unter Konfigurieren von IPsec-Richtlinien.

So definieren Sie die IPsec-Richtlinie und verweisen auf den IPsec-Vorschlag:

  1. Wechseln Sie im Konfigurationsmodus auf folgende Hierarchieebene:
  2. Konfigurieren Sie die Schlüssel für Perfect Forward Secrecy in der IPsec-Richtlinie, z. B.: group1
  3. Konfigurieren Sie eine Reihe von IPsec-Vorschlägen in der IPsec-Richtlinie, z. B.: test-IPsec-proposal

Die folgende Beispielausgabe zeigt die Konfiguration der IPsec-Richtlinie:

Siehe auch

Konfigurieren der IPsec-Regel (und Verweisen auf die IKE- und IPsec-Richtlinien)

Die IPsec-Regelkonfiguration definiert die Richtung, die angibt, ob die Übereinstimmung auf der Eingabe- oder Ausgabeseite der Schnittstelle angewendet wird. Die Konfiguration besteht auch aus einer Reihe von Begriffen, die die Übereinstimmungsbedingungen und Anwendungen angeben, die eingeschlossen und ausgeschlossen werden, sowie die Aktionen und Aktionsmodifizierer, die von der Router-Software ausgeführt werden sollen. Weitere Informationen zu IPsec-Regeln finden Sie unter Konfigurieren von IPsec-Regeln.

So definieren Sie die IPsec-Regel und verweisen auf die IKE- und IPsec-Richtlinien:

  1. Wechseln Sie im Konfigurationsmodus auf folgende Hierarchieebene:
  2. Konfigurieren Sie die IP-Zieladresse für den IPsec-Begriff in der IPsec-Regel, z. B.: 192.168.255.2/32
  3. Konfigurieren Sie die Remotegatewayadresse für den IPsec-Begriff in der IPsec-Regel, 0.0.0.0z. B.:
  4. Konfigurieren Sie eine dynamische Sicherheitszuordnung für die IKE-Richtlinie für den IPsec-Begriff in der IPsec-Regel, wie test-IKE-policy in diesem Beispiel:
  5. Konfigurieren Sie einen Vorschlag für eine dynamische Sicherheitszuordnung für IKE für den IPsec-Begriff in der IPsec-Regel, der in diesem Beispiel enthalten ist test-IPsec-proposal :
  6. Konfigurieren Sie eine Richtung, für die die Regelübereinstimmung in der IPsec-Regel angewendet wird, z. B.: input

Die folgende Beispielausgabe zeigt die Konfiguration der IPsec-Regel:

Konfigurieren von IPsec-Ablaufverfolgungsoptionen

Die Konfiguration der IPsec-Ablaufverfolgungsoptionen verfolgt IPsec-Ereignisse und zeichnet sie in einer Protokolldatei im Verzeichnis /var/log auf. Standardmäßig heißt diese Datei /var/log/kmd. Weitere Informationen zu IPsec-Regeln finden Sie unter Ablaufverfolgung von Junos VPN Site Secure-Vorgängen.

So definieren Sie die IPsec-Ablaufverfolgungsoptionen:

  1. Wechseln Sie im Konfigurationsmodus auf folgende Hierarchieebene:
  2. Konfigurieren Sie die Ablaufverfolgungsdatei, die sich in diesem Beispiel befindet ipsec.log :
  3. Konfigurieren Sie alle Ablaufverfolgungsparameter mit der Option all in diesem Beispiel:

Die folgende Beispielausgabe zeigt die Konfiguration der IPsec-Ablaufverfolgungsoptionen:

Konfigurieren des Zugriffsprofils (und Verweisen auf die IKE- und IPsec-Richtlinien)

Die Zugriffsprofilkonfiguration definiert das Zugriffsprofil und verweist auf die IKE- und IPsec-Richtlinien. Weitere Informationen zum Zugriffsprofil finden Sie unter Konfigurieren eines IKE-Zugriffsprofils.

So definieren Sie das Zugriffsprofil und verweisen auf die IKE- und IPsec-Richtlinien:

  1. Wechseln Sie im Konfigurationsmodus auf folgende Hierarchieebene:
  2. Konfigurieren Sie die Liste der lokalen und Remote-Proxyidentitätspaare mit dieser allowed-proxy-pair Option. In diesem Beispiel 10.0.0.0/24 ist die IP-Adresse für die lokale Proxyidentität und 10.0.1.0/24 die IP-Adresse für die Remoteproxyidentität:
  3. Konfigurieren Sie die IKE-Richtlinie, z. B.: test-IKE-policy
  4. Konfigurieren Sie die IPsec-Richtlinie, z. B.: test-IPsec-policy
  5. Konfigurieren Sie die Identität des Pools der logischen Dienstschnittstelle, wie TEST-intf in diesem Beispiel:

Die folgende Beispielausgabe zeigt die Konfiguration des Zugriffsprofils:

Siehe auch

Konfigurieren des Service-Sets (und Verweisen auf das IKE-Profil und die IPsec-Regel)

Die Service-Set-Konfiguration definiert IPsec-Service-Sets, die zusätzliche Spezifikationen erfordern, und verweist auf das IKE-Profil und die IPsec-Regel. Weitere Informationen zu IPsec-Service-Sets finden Sie unter Konfigurieren von IPsec-Service-Sets.

So definieren Sie die Service-Set-Konfiguration mit den Next-Hop-Service-Sets und IPsec-VPN-Optionen:

  1. Wechseln Sie im Konfigurationsmodus auf folgende Hierarchieebene:
  2. Konfigurieren Sie einen Servicesatz mit Parametern für Next-Hop-Serviceschnittstellen für das interne Netzwerk, z. B.: sp-1/2/0.1
  3. Konfigurieren Sie einen Servicesatz mit Parametern für Next-Hop-Serviceschnittstellen für das externe Netzwerk, z. B.: sp-1/2/0.2
  4. Konfigurieren Sie die IPsec-VPN-Optionen mit der Adresse und der Routing-Instanz für das lokale Gateway, z. B.: 192.168.255.2
  5. Konfigurieren Sie die IPsec-VPN-Optionen mit dem IKE-Zugriffsprofil für dynamische Peers, das in diesem Beispiel zu sehen ist IKE-profile-TEST :
  6. Konfigurieren Sie eine Dienstgruppe mit IPsec-VPN-Regeln, wie test-IPsec-rule in diesem Beispiel:

Die folgende Beispielausgabe zeigt die Konfiguration der Service-Set-Konfiguration, die auf das IKE-Profil und die IPsec-Regel verweist:

Siehe auch

Deaktivierung von NAT-T auf Routern der MX-Serie für die Verarbeitung von NAT mit IPsec-geschützten Paketen

Vor Junos OS Version 17.4R1 wird Network Address Translation-Traversal (NAT-T) für die Junos VPN Site Secure Suite von IPsec-Funktionen auf den MX-Serie-Routern nicht unterstützt. Standardmäßig erkennt Junos OS, ob sich einer der IPsec-Tunnel hinter einem NAT-Gerät befindet, und schaltet automatisch auf die Verwendung von NAT-T für den geschützten Datenverkehr um. Um zu vermeiden, dass nicht unterstütztes NAT-T in Junos OS-Versionen vor 17.4R1 ausgeführt wird, müssen Sie NAT-T deaktivieren, indem Sie die disable-natt Anweisung auf Hierarchieebene [edit services ipsec-vpn] einschließen. Wenn Sie NAT-T deaktivieren, wird die NAT-T-Funktionalität global deaktiviert. Wenn Sie NAT-T deaktivieren und ein NAT-Gerät zwischen den beiden IPsec-Gateways vorhanden ist, werden ISAKMP-Nachrichten über den UDP-Port 500 ausgehandelt, und Datenpakete werden mit Encapsulating Sicherheit Payload (ESP) gekapselt.

Network Address Translation-Traversal (NAT-T) ist eine Methode zur Umgehung von Problemen bei der IP-Adressübersetzung, die auftreten, wenn durch IPsec geschützte Daten zur Adressübersetzung durch ein NAT-Gerät geleitet werden. Jede Änderung an der IP-Adressierung, die die Funktion von NAT ist, führt dazu, dass IKE Pakete verwirft. Nach der Erkennung eines oder mehrerer NAT-Geräte entlang des Datenpfads während des Phase-1-Austauschs fügt NAT-T IPsec-Paketen eine UDP-Kapselungsschicht (User Datagram Protocol) hinzu, damit sie nach der Adressübersetzung nicht verworfen werden. NAT-T kapselt sowohl IKE- als auch ESP-Datenverkehr innerhalb von UDP, wobei Port 4500 sowohl als Quell- als auch als Zielport verwendet wird. Da die veralteten UDP-Übersetzungen auf NAT-Geräten veraltet sind, sind Keepalive-Nachrichten zwischen den Peers erforderlich.

Der Standort eines NAT-Geräts kann so sein, dass:

  • Nur der IKEv1- oder IKEv2-Initiator befindet sich hinter einem NAT-Gerät. Hinter separaten NAT-Geräten können sich mehrere Initiatoren befinden. Initiatoren können auch über mehrere NAT-Geräte eine Verbindung mit dem Responder herstellen.

  • Nur der IKEv1- oder IKEv2-Responder befindet sich hinter einem NAT-Gerät.

  • Sowohl der IKEv1- oder IKEv2-Initiator als auch der Responder befinden sich hinter einem NAT-Gerät.

Dynamisches Endgerät-VPN deckt die Situation ab, in der die externe IKE-Adresse des Initiators nicht festgelegt ist und daher dem Responder nicht bekannt ist. Dies kann auftreten, wenn die Adresse des Initiators dynamisch von einem ISP zugewiesen wird oder wenn die Verbindung des Initiators ein dynamisches NAT-Gerät kreuzt, das Adressen aus einem dynamischen Adresspool zuweist.

Konfigurationsbeispiele für NAT-T werden für die Topologie bereitgestellt, in der sich nur der Responder hinter einem NAT-Gerät befindet, und für die Topologie, in der sich sowohl der Initiator als auch der Responder hinter einem NAT-Gerät befinden. Die Site-to-Site-IKE-Gatewaykonfiguration für NAT-T wird sowohl auf dem Initiator als auch auf dem Responder unterstützt. Eine Remote-IKE-ID wird verwendet, um die lokale IKE-ID eines Peers während Phase 1 der IKE-Tunnel-Aushandlung zu überprüfen. Sowohl der Initiator als auch der Responder benötigen eine Zeichenfolge für die lokale Identifizierung und die Remoteidentität.

Siehe auch

Nachverfolgung von Vorgängen von Junos VPN Site Secure

Hinweis:

Junos VPN Site Secure ist eine Suite von IPsec-Funktionen, die auf Multiservice-Linecards (MS-DPC, MS-MPC und MS-MIC) unterstützt werden und früher als IPsec-Services bezeichnet wurden.

Ablaufverfolgungsvorgänge verfolgen IPsec-Ereignisse und zeichnen sie in einer Protokolldatei im /var/log Verzeichnis auf. Standardmäßig heißt /var/log/kmddiese Datei .

Um IPsec-Vorgänge zu verfolgen, schließen Sie die traceoptions Anweisung auf Hierarchieebene [edit services ipsec-vpn] ein:

Sie können die folgenden IPsec-Ablaufverfolgungsflags angeben:

  • all– Verfolgen Sie alles.

  • certificates– Trace-Zertifikatereignisse

  • database– Verfolgung von Datenbankereignissen für Sicherheitszuordnungen.

  • general— Verfolgen Sie allgemeine Ereignisse.

  • ike– Verfolgen Sie die Verarbeitung des IKE-Moduls.

  • parse– Verarbeitung der Trace-Konfiguration.

  • policy-manager– Verarbeitung des Trace-Richtlinien-Managers.

  • routing-socket– Verfolgen Sie Routing-Socket-Nachrichten.

  • snmp– SNMP-Vorgänge verfolgen.

  • timer– Verfolgen Sie interne Timer-Ereignisse.

Die level Anweisung legt die Ablaufverfolgungsstufe des Key Management Process (KMD) fest. Die folgenden Werte werden unterstützt:

  • all– Passend für alle Niveaus.

  • error– Übereinstimmungsfehlerbedingungen.

  • info–Informationsmeldungen abgleichen.

  • notice- Passen Sie Bedingungen an, die besonders behandelt werden sollten.

  • verbose– Entspricht ausführlichen Meldungen.

  • warning– Gleiche Warnmeldungen.

Dieser Abschnitt enthält die folgenden Themen:

Deaktivieren des IPsec-Tunnelendpunkts in Traceroute

Wenn Sie die no-ipsec-tunnel-in-traceroute Anweisung auf Hierarchieebene [edit services ipsec-vpn] einschließen, wird der IPsec-Tunnel nicht als Next Hop behandelt, und die Gültigkeitsdauer (Time to Live, TTL) wird nicht verringert. Wenn die TTL Null erreicht, wird keine ICMP-Meldung generiert.

Hinweis:

Diese Funktionalität wird auch von der passive-mode-tunneling Anweisung bereitgestellt. Sie können die no-ipsec-tunnel-in-traceroute Anweisung in bestimmten Szenarien verwenden, in denen der IPsec-Tunnel nicht als Next Hop behandelt werden soll und der passive Modus nicht erwünscht ist.

Nachverfolgung von IPsec PKI-Vorgängen

Tracevorgänge verfolgen IPsec-PKI-Ereignisse und zeichnen sie in einer Protokolldatei im /var/log Verzeichnis auf. Standardmäßig heißt /var/log/pkiddiese Datei .

Um IPsec-PKI-Vorgänge nachzuverfolgen, schließen Sie die traceoptions Anweisung auf Hierarchieebene [edit security pki] ein:

Sie können die folgenden PKI-Ablaufverfolgungsflags angeben:

  • all– Verfolgen Sie alles.

  • certificates– Trace-Zertifikatereignisse

  • database– Verfolgung von Datenbankereignissen für Sicherheitszuordnungen.

  • general— Verfolgen Sie allgemeine Ereignisse.

  • ike– Verfolgen Sie die Verarbeitung des IKE-Moduls.

  • parse– Verarbeitung der Trace-Konfiguration.

  • policy-manager– Verarbeitung des Trace-Richtlinien-Managers.

  • routing-socket– Verfolgen Sie Routing-Socket-Nachrichten.

  • snmp– SNMP-Vorgänge verfolgen.

  • timer– Verfolgen Sie interne Timer-Ereignisse.

Siehe auch

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
18.2R1
Ab Junos OS Version 18.2R1 können Sie den Router der MX-Serie mit MS-MPCs oder MS-MICs so konfigurieren, dass anstelle der vollständigen Zertifikatkette nur das Endentitätszertifikat für die zertifikatbasierte IKE-Authentifizierung gesendet wird.
17.2R1
Ab Junos OS Version 17.2R1 kann tou die gw-interface Anweisung verwenden, um die Bereinigung von IKE-Triggern und IKE- und IPsec-SAs zu aktivieren, wenn die IP-Adresse des lokalen Gateways eines IPsec-Tunnels ausfällt oder die MS-MIC oder MS-MPC, die im Servicesatz des Tunnels verwendet werden, ausfällt.
17.1
Ab Junos OS Version 17.1 unterstützt AMS die IPSec-Tunnel-Verteilung
16.1
Ab Junos OS Version 16.1 können Sie logische AMS-Schnittstellen als interne IPsec-Schnittstellen konfigurieren, indem Sie die ipsec-inside-interface interface-name Anweisung auf Hierarchieebene [edit services ipsec-vpn rule rule-name term term-name from] verwenden, um Link-Type-Tunnel (d. h. Next-Hop-Stil) für Zwecke der hohen Verfügbarkeit zu konfigurieren.
16.1
Ab Junos OS Version 16.1 können Sie die Multipath-Weiterleitung von IPsec-Datenverkehr aktivieren, indem Sie die UDP-Kapselung im Service-Set konfigurieren, wodurch der IPsec-Kapselung von Paketen ein UDP-Header hinzugefügt wird.
14.2
Ab Junos OS Version 14.2 wird passives Tunneling auf MS-MICs und MS-MPCs unterstützt.
14.2
Ab Junos OS Version 14.2 verfügt die header-integrity-check auf MS-MICs und MS-MPCs unterstützte Option zur Überprüfung des Paket-Headers auf Anomalien in IP-, TCP-, UDP- und ICMP-Informationen und zur Kennzeichnung solcher Anomalien und Fehler über eine Funktionalität, die der durch passives Tunneling verursachten Funktionalität entgegengesetzt ist.
14.1
Ab Junos OS Version 14.1 können Sie in Paketen, die über dynamische IPSec-Tunnel mit Endgerät übertragen werden, den im DF-Bit des in den Tunnel eintretenden Pakets festgelegten Wert so einstellen, dass er nur in den äußeren Header des IPsec-Pakets kopiert wird und keine Änderungen am DF-Bit im inneren Header des IPsec-Pakets verursacht.