Konfigurieren von Verschlüsselungsschnittstellen
Konfigurieren von Verschlüsselungsschnittstellen
Wenn Sie die Verschlüsselungsschnittstelle konfigurieren, ordnen Sie die konfigurierte Sicherheitszuordnung einer logischen Schnittstelle zu. Diese Konfiguration definiert den Tunnel, einschließlich der logischen Einheit, der Tunneladressen, der maximalen Übertragungseinheit (Maximum Transmission Unit, MTU), optionaler Schnittstellenadressen und des Namens der IPsec-Sicherheitszuordnung, die für den Datenverkehr gelten soll. Um eine Verschlüsselungsschnittstelle zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit interfaces es-fpc/pic/port unit logical-unit-number] ein:
family inet { ipsec-sa ipsec-sa; # name of security association to apply to packet address address; # local interface address inside local VPN destination address; # destination address inside remote VPN } tunnel { source source-address; destination destination-address; }
Die Adressen, die als Tunnelquelle und -ziel konfiguriert sind, sind die Adressen im äußeren IP-Header des Tunnels.
Sie müssen die Tunnelquelladresse lokal auf dem Router konfigurieren, und die Tunnelzieladresse muss eine gültige Adresse für das Sicherheits-Gateway sein, das den Tunnel beendet.
Die ES Physical Interface Card (PIC) wird von Routern der M- und T-Serie unterstützt.
Bei der Sicherheitszuordnung muss es sich um eine gültige Tunnelmodus-Sicherheitszuordnung handeln. Die angegebene Schnittstellenadresse und Zieladresse sind optional. Die Zieladresse ermöglicht es dem Benutzer, eine statische Route zur Verschlüsselung des Datenverkehrs zu konfigurieren. Wenn eine statische Route diese Zieladresse als nächsten Hop verwendet, wird der Datenverkehr über den Teil des Tunnels weitergeleitet, in dem die Verschlüsselung stattfindet.
- Angeben des Sicherheitszuordnungsnamens für Verschlüsselungsschnittstellen
- MTU für Verschlüsselungsschnittstellen konfigurieren
- Beispiel: Konfigurieren einer Verschlüsselungsschnittstelle
Angeben des Sicherheitszuordnungsnamens für Verschlüsselungsschnittstellen
Bei der Sicherheitszuordnung handelt es sich um den Satz von Eigenschaften, die die Protokolle für die Verschlüsselung des Internetdatenverkehrs definieren. Um Verschlüsselungsschnittstellen zu konfigurieren, geben Sie den SA-Namen an, der der Schnittstelle zugeordnet ist, indem Sie die ipsec-sa Anweisung auf Hierarchieebene [edit interfaces es-fpc/pic/port unit logical-unit-number family inet] einfügen:
ipsec-sa sa-name;
Weitere Informationen zum Konfigurieren der Sicherheitszuordnung finden Sie unter Konfigurieren von Filtern für den Datenverkehr, der den ES PIC durchquert.
MTU für Verschlüsselungsschnittstellen konfigurieren
Der Protokoll-MTU-Wert für Verschlüsselungsschnittstellen muss immer kleiner als der Standard-Schnittstellen-MTU-Wert von 3900 Byte sein. Die Konfiguration kann nicht festgeschrieben werden, wenn Sie einen höheren Wert auswählen. Um den MTU-Wert festzulegen, fügen Sie die mtu Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet] ein:
mtu bytes;
Weitere Informationen finden Sie in der Junos OS Network Interfaces Library for Routing Devices.
Beispiel: Konfigurieren einer Verschlüsselungsschnittstelle
Konfigurieren Sie einen IPsec-Tunnel als logische Schnittstelle auf dem ES PIC. Die logische Schnittstelle gibt den Tunnel an, durch den der verschlüsselte Datenverkehr geleitet wird. Die ipsec-sa Anweisung ordnet das Sicherheitsprofil der Schnittstelle zu.
[edit interfaces]
es-0/0/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
ipsec-sa manual-sa1; # name of security association to apply to packet
mtu 3800;
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
Konfigurieren von Filtern für den Datenverkehr, der den ES PIC durchquert
Dieser Abschnitt enthält die folgenden Themen:
- Überblick über den Datenverkehr
- Konfigurieren der Sicherheitszuordnung
- Konfigurieren eines Filters für ausgehenden Datenverkehr
- Anwenden des Filters für ausgehenden Datenverkehr
- Konfigurieren eines Filters für eingehenden Datenverkehr
- Anwenden des Filters für eingehenden Datenverkehr auf die Verschlüsselungsschnittstelle
Überblick über den Datenverkehr
Die Datenverkehrskonfiguration definiert den Datenverkehr, der durch den Tunnel fließen muss. Sie konfigurieren ausgehende und eingehende Firewall-Filter, die den zu verschlüsselnden Datenverkehr identifizieren und leiten und bestätigen, dass die Parameter für den entschlüsselten Datenverkehr mit denen übereinstimmen, die für den jeweiligen Tunnel definiert sind. Der ausgehende Filter wird auf die LAN- oder WAN-Schnittstelle für den eingehenden Datenverkehr angewendet, den Sie verschlüsseln möchten. Der eingehende Filter wird auf den ES PIC angewendet, um die Richtlinie auf Datenverkehr zu überprüfen, der vom Remote-Host eingeht. Aufgrund der Komplexität der Konfiguration eines Routers für die Weiterleitung von Paketen wird keine automatische Überprüfung durchgeführt, um sicherzustellen, dass die Konfiguration korrekt ist.
Die gültigen Firewallfilteranweisungen für IPsec sind destination-port, source-port, protocol, destination-addressund source-address.
In Abbildung 1 schützt Gateway A das Netzwerk 10.1.1.0/24und Gateway B das Netzwerk 10.2.2.0/24. Die Gateways sind über einen IPsec-Tunnel miteinander verbunden. Weitere Informationen zu Firewalls finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.
Die SA- und ES-Schnittstelle für Sicherheits-Gateway A sind wie folgt konfiguriert:
[edit security ipsec]
security-association manual-sa1 {
manual {
direction bidirectional {
protocol esp;
spi 2312;
authentication {
algorithm hmac-md5-96;
key ascii-text 1234123412341234;
}
encryption {
algorithm 3des-cbc;
key ascii-text 123456789009876543211234;
}
}
}
}
[edit interfaces es-0/1/0]
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
address 10.1.1.8/32 {
destination 10.2.2.254;
}
}
}
Konfigurieren der Sicherheitszuordnung
Um die Sicherheitszuordnung zu konfigurieren, fügen Sie die security-association Anweisung auf Hierarchieebene [edit security] ein:
security-association name {
mode (tunnel | transport);
manual {
direction (inbound | outbound | bi-directional) {
auxiliary-spi auxiliary-spi-value;
spi spi-value;
protocol (ah | esp | bundle);
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
}
dynamic {
replay-window-size (32 | 64);
ipsec-policy policy-name;
}
}
}
Weitere Informationen zum Konfigurieren einer Sicherheitszuordnung finden Sie in der Junos OS-Administrationsbibliothek für Routing-Geräte. Informationen zum Anwenden der Sicherheitszuordnung auf eine Schnittstelle finden Sie unter 147531Angeben des Sicherheitszuordnungsnamens für Verschlüsselungsschnittstellen.
Konfigurieren eines Filters für ausgehenden Datenverkehr
Um den Filter für ausgehenden Datenverkehr zu konfigurieren, fügen Sie die filter Anweisung auf Hierarchieebene [edit firewall] ein:
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
Weitere Informationen finden Sie im Benutzerhandbuch zu Routing-Richtlinien, Firewall-Filtern und Traffic Policers.
Beispiel: Konfigurieren eines Filters für ausgehenden Datenverkehr
Firewallfilter für ausgehenden Datenverkehr leiten den Datenverkehr durch den gewünschten IPsec-Tunnel und stellen sicher, dass der getunnelte Datenverkehr über die entsprechende Schnittstelle geleitet wird (siehe Abbildung 1). Hier wird ein ausgehender Firewall-Filter auf dem Sicherheits-Gateway A erstellt. Es identifiziert den zu verschlüsselnden Datenverkehr und fügt ihn der Eingabeseite der Schnittstelle hinzu, die den internen VPN-Datenverkehr (Virtual Private Network) überträgt:
[edit firewall]
filter ipsec-encrypt-policy-filter {
term term1 {
from {
source-address { # local network
10.1.1.0/24;
}
destination-address { # remote network
10.2.2.0/24;
}
}
then ipsec-sa manual-sa1; # apply SA name to packet
term default {
then accept;
}
Die Quelladresse, der Port und das Protokoll des Filters für ausgehenden Datenverkehr müssen mit der Zieladresse, dem Port und dem Protokoll des Filters für eingehenden Datenverkehr übereinstimmen. Die Zieladresse, der Port und das Protokoll des Filters für ausgehenden Datenverkehr müssen mit der Quelladresse, dem Port und dem Protokoll des Filters für eingehenden Datenverkehr übereinstimmen.
Anwenden des Filters für ausgehenden Datenverkehr
Nachdem Sie den ausgehenden Firewallfilter konfiguriert haben, wenden Sie ihn an, indem Sie die filter Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet] einfügen:
filter { input filter-name; }
Beispiel: Anwenden des Filters für ausgehenden Datenverkehr
Wenden Sie den Filter für ausgehenden Datenverkehr an. Der Ausgangsfilter wird auf der Fast-Ethernet-Schnittstelle auf Hierarchieebene [edit interfaces fe-0/0/1 unit 0 family inet] angewendet. Jedes Paket, das mit dem IPsec-Aktionsterm (term 1) im Eingabefilter (ipsec-encrypt-policy-filter) übereinstimmt, der auf der Fast Ethernet-Schnittstelle konfiguriert ist, wird auf Hierarchieebene [edit interfaces es-0/1/0 unit 0 family inet] an die ES PIC-Schnittstelle weitergeleitet. Wenn also ein Paket von der Quelladresse 10.1.1.0/24 an die Zieladresse 10.2.2.0/24geht, leitet die Packet Forwarding Engine das Paket an die ES PIC-Schnittstelle weiter, die mit der manual-sa1 SA konfiguriert ist. Der ES PIC empfängt das Paket, wendet die manual-sa1 SA an und sendet das Paket durch den Tunnel.
Der Router muss über eine Route zum Tunnelendpunkt verfügen. Fügen Sie bei Bedarf eine statische Route hinzu.
[edit interfaces]
fe-0/0/1 {
unit 0 {
family inet {
filter {
input ipsec-encrypt-policy-filter;
}
address 10.1.1.254/24;
}
}
}
Konfigurieren eines Filters für eingehenden Datenverkehr
Um einen Filter für eingehenden Datenverkehr zu konfigurieren, fügen Sie die filter Anweisung auf Hierarchieebene [edit firewall] ein:
filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
Weitere Informationen finden Sie im Benutzerhandbuch zu Routing-Richtlinien, Firewall-Filtern und Traffic Policers.
Beispiel: Konfigurieren eines Filters für eingehenden Datenverkehr
Konfigurieren Sie einen eingehenden Firewallfilter. Dieser Filter führt die abschließende IPsec-Richtlinienprüfung durch und wird auf Sicherheitsgateway A erstellt. Die Richtlinienprüfung stellt sicher, dass nur Pakete akzeptiert werden, die dem für diesen Tunnel konfigurierten Datenverkehr entsprechen.
[edit firewall]
filter ipsec-decrypt-policy-filter {
term term1 { # perform policy check
from {
source-address { # remote network
10.2.2.0/24;
}
destination-address { # local network
10.1.1.0/24;
}
then accept;
Anwenden des Filters für eingehenden Datenverkehr auf die Verschlüsselungsschnittstelle
Nachdem Sie den eingehenden Firewallfilter erstellt haben, können Sie ihn auf den ES PIC anwenden. Um den Filter auf den ES PIC anzuwenden, fügen Sie die filter Anweisung auf Hierarchieebene [edit interfaces es-fpc/pic/port unit logical-unit-number family inet filter] ein:
filter {
input filter;
}
Der Eingabefilter ist der Name des Filters, der auf den empfangenen Datenverkehr angewendet wird. Ein Konfigurationsbeispiel finden Sie unter Beispiel: Konfigurieren eines Filters für eingehenden Datenverkehr. Weitere Informationen zu Firewallfiltern finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.
Beispiel: Anwenden des Filters für eingehenden Datenverkehr auf die Verschlüsselungsschnittstelle
Wenden Sie den eingehenden Firewall-Filter (ipsec-decrypt-policy-filter) auf das entschlüsselte Paket an, um die abschließende Richtlinienprüfung durchzuführen. Auf die IPsec-Sicherheitszuordnung manual-sa1 wird auf Hierarchieebene [edit interfaces es-1/2/0 unit 0 family inet] verwiesen und sie entschlüsselt das eingehende Paket.
Die Packet Forwarding Engine leitet IPsec-Pakete an den ES PIC weiter. Es verwendet den Sicherheitsparameterindex (SPI), das Protokoll und die Zieladresse des Pakets, um die auf einer der ES-Schnittstellen konfigurierte SA nachzuschlagen. Auf die IPsec-Sicherheitszuordnung manual-sa1 wird auf Hierarchieebene [edit interfaces es-1/2/0 unit 0 family inet] verwiesen und sie wird verwendet, um das eingehende Paket zu entschlüsseln. Wenn die Pakete verarbeitet werden (entschlüsselt, authentifiziert oder beides), wird der Eingabe-Firewall-Filter (ipsec-decrypt-policy-filter) auf das entschlüsselte Paket angewendet, um die abschließende Richtlinienprüfung durchzuführen. term1 Definiert den entschlüsselten (und verifizierten) Datenverkehr und führt die erforderliche Richtlinienprüfung durch. Weitere Informationen hierzu term1finden Sie unter Beispiel: Konfigurieren eines Filters für eingehenden Datenverkehr.
Der Filter für eingehenden Datenverkehr wird angewendet, nachdem der ES PIC das Paket verarbeitet hat, sodass der entschlüsselte Datenverkehr als jeglicher Datenverkehr definiert wird, den das Remote-Gateway verschlüsselt und an diesen Router sendet. IKE verwendet diesen Filter, um die für einen Tunnel erforderliche Richtlinie zu bestimmen. Diese Richtlinie wird während der Aushandlung mit dem Remote-Gateway verwendet, um die passende SA-Konfiguration zu finden.
[edit interfaces]
es-1/2/0 {
unit 0 {
tunnel {
source 10.5.5.5; # tunnel source address
destination 10.6.6.6; # tunnel destination address
}
family inet {
filter {
input ipsec-decrypt-policy-filter;
}
ipsec-sa manual-sa1; # SA name applied to packet
address 10.1.1.8/32 { # local interface address inside local VPN
destination 10.2.2.254; # destination address inside remote VPN
}
}
}
Konfigurieren einer ES-Tunnelschnittstelle für ein Layer-3-VPN
Um eine ES-Tunnelschnittstelle für ein Layer-3-VPN zu konfigurieren, müssen Sie eine ES-Tunnelschnittstelle auf dem Provider-Edge-Router (PE) und auf dem Kunden-Edge-Router (CE) konfigurieren. Außerdem müssen Sie IPsec auf den PE- und CE-Routern konfigurieren. Weitere Informationen zum Konfigurieren eines ES-Tunnels für ein Layer-3-VPN finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.
Konfigurieren der ES PIC-Redundanz
Sie können die ES-PIC-Redundanz auf Routern der M- und T-Serie konfigurieren, die über mehrere ES-PICs verfügen. Bei der ES PIC-Redundanz ist ein ES PIC aktiv und ein anderer ES PIC befindet sich im Standby-Modus. Wenn der primäre ES PIC einen Wartungsfehler aufweist, wird die Sicherung aktiv, erbt alle Tunnel und Sicherheitszuordnungen und fungiert als neuer nächster Hop für IPsec-Datenverkehr. Für die Wiederherstellung von Tunneln auf dem Backup-ES PIC sind keine neuen IKE-Aushandlungen (Internet Key Exchange) erforderlich. Wenn der primäre ES PIC online geht, bleibt er im Standby-Modus und greift der Sicherung nicht vor. Um festzustellen, welcher PIC gerade aktiv ist, verwenden Sie den show ipsec redundancy Befehl.
Die ES-PIC-Redundanz wird von Routern der M- und T-Serie unterstützt.
Um einen ES PIC als Sicherung zu konfigurieren, fügen Sie die backup-interface Anweisung auf Hierarchieebene [edit interfaces fpc/pic/port es-options] ein:
backup-interface es-fpc/pic/port;
Beispiel: Konfigurieren der ES PIC-Redundanz
Nachdem Sie den eingehenden Firewallfilter erstellt haben, wenden Sie ihn auf den primären ES PIC an. Hier wird der eingehende Firewall-Filter (ipsec-decrypt-policy-filter) auf das entschlüsselte Paket angewendet, um die abschließende Richtlinienprüfung durchzuführen. Auf die IPsec-Sicherheitszuordnung manual-sa1 wird auf Hierarchieebene [edit interfaces es-1/2/0 unit 0 family inet] verwiesen und sie entschlüsselt das eingehende Paket. In diesem Beispiel werden die Sicherheitszuordnung und die Filterkonfiguration nicht angezeigt. Weitere Informationen zur SA- und Filterkonfiguration finden Sie in der Junos OS-Administrationsbibliothek für Routing-Geräte, im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policers und im Beispiel: Konfigurieren eines Filters für eingehenden Datenverkehr.
[edit interfaces]
es-1/2/0 {
es-options {
backup-interface es-1/0/0;
}
unit 0 {
tunnel {
source 10.5.5.5;
destination 10.6.6.6;
}
family inet {
ipsec-sa manual-sa1;
filter {
input ipsec-decrypt-policy-filter;
}
address 10.1.1.8/32 {
destination 10.2.2.254;
}
}
}
}
Konfigurieren der IPsec-Tunnelredundanz
Sie können die IPsec-Tunnelredundanz konfigurieren, indem Sie eine Backup-Zieladresse angeben. Der lokale Router sendet Keepalives, um die Erreichbarkeit des Remote-Standorts zu ermitteln. Wenn der Peer nicht mehr erreichbar ist, wird ein neuer Tunnel eingerichtet. Während des Failovers wird der Datenverkehr bis zu 60 Sekunden lang verworfen, ohne dass eine Benachrichtigung gesendet wird. Abbildung 2 zeigt die primären IPsec- und Backup-Tunnel.
Um die IPsec-Tunnelredundanz zu konfigurieren, fügen Sie die backup-destination Anweisung auf Hierarchieebene [edit interfaces unit logical-unit-number tunnel] ein:
backup-destinationaddress; destination address; source address;
Tunnelredundanz wird auf Routern der M- und T-Serie unterstützt.
Das primäre Ziel und das Sicherungsziel müssen sich auf unterschiedlichen Routern befinden.
Die Tunnel müssen sich voneinander unterscheiden und die Richtlinien müssen übereinstimmen.
Weitere Informationen zu Tunneln finden Sie unter Übersicht über die Tunnelschnittstellenkonfiguration bei Routern der MX-Serie.