Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von IPsec-Sicherheitszuordnungen

Konfigurieren manueller IPsec-Sicherheitszuordnungen für einen ES PIC

Zur Verwendung von IPsec-Sicherheitsservices erstellen Sie Sicherheitszuordnungen (SAs) zwischen Hosts. Eine SA ist eine Simplex-Verbindung, die es zwei Hosts ermöglicht, über IPsec sicher miteinander zu kommunizieren. Es gibt zwei Arten von SAs: manuell und dynamisch.

Manuelle SAs erfordern keine Aushandlung. alle Werte, einschließlich der Schlüssel, sind statisch und in der Konfiguration angegeben. Dadurch können Peers nur kommunizieren, wenn sie alle die gleichen Konfigurationsoptionen nutzen.

Um die manuelle IPsec SA für ein ES PIC zu konfigurieren, fügen Sie die manuelle Anweisung auf der Hierarchieebene "Edit security ipsec security-association sa-name] ein:

Aufgaben zur Konfiguration einer manuellen SA sind:

Konfigurieren der Verarbeitungsrichtung

Die Direction Statement legt die eingehende und ausgehende IPsec-Verarbeitung fest. Wenn Sie für jede Richtung unterschiedliche Algorithmen, Schlüssel oder SPI-Werte (Security Parameter Index) definieren möchten, konfigurieren Sie die Optionen für den Ein- und Ausgehenden . Wenn Sie dieselben Attribute in beiden Richtungen wünschen, verwenden Sie die bidirektionale Option.

Um die Richtung der IPsec-Verarbeitung zu konfigurieren, fügen Sie die Richtungsanweisung ein und geben Sie die Richtung auf der Hierarchieebene [bearbeiten security ipsec security-association sa-name manual] ein:

Das folgende Beispiel zeigt, wie Sie unterschiedliche Algorithmen, Schlüssel und Sicherheitsparameterindexwerte für eingehende und ausgehende Verarbeitungsanweisungen definieren:

Das folgende Beispiel zeigt, wie sie die gleichen Algorithmen, Schlüssel und Sicherheitsparameter-Indexwerte für die bidirektionale Verarbeitung definieren:

Konfigurieren des Protokolls für eine manuelle SA

IPsec verwendet zwei Protokolle zum Schutz des IP-Datenverkehrs: Encapsulating Security Payload (ESP) und Authentifizierungs-Header (AH). Für Übertragungsmodus-SAs werden sowohl ESP als auch AH unterstützt. Das AH-Protokoll wird für eine starke Authentifizierung verwendet. Die Paketoption verwendet AH-Authentifizierung und ESP-Verschlüsselung; es verwendet keine ESP-Authentifizierung, da AH eine stärkere Authentifizierung von IP-Paketen bietet.

Hinweis:

Das AH-Protokoll wird nur auf Routern der M-Serie unterstützt.

Um das IPsec-Protokoll auf einem ES PIC zu konfigurieren, fügen Sie die Protokollanweisung auf der Hierarchieebene für die Bearbeitung der ipsec-Sicherheitszuordnung sa-name (eingehende | ausgehend | bidirektional)] ein und geben Sie die Option ah, bundle oder esp an:

Konfigurieren des Sicherheitsparameterindex

Ein SPI ist ein beliebiger Wert, der eindeutig identifiziert, welche SA auf dem empfangenden Host verwendet werden soll. Der sendenden Host verwendet den SPI, um zu identifizieren und auszuwählen, welche SA zum Schutz jedes Pakets verwendet werden soll. Der empfangende Host verwendet den SPI, um den Verschlüsselungsalgorithmus und den Schlüssel zur Entschlüsselung von Paketen zu identifizieren und auszuwählen.

Hinweis:

Jede manuelle SA muss über eine eindeutige SPI- und Protokollkombination verfügen.

Verwenden Sie den zusätzlichen SPI, wenn Sie die Protokollaussage so konfigurieren, dass die Paketoption verwendet wird.

Um den SPI auf einem ES PIC zu konfigurieren, fügen Sie die SPI-Anweisung ein und geben Sie einen Wert (256 bis 16,639) auf der Hierarchieebene [Security ipsec Security Association sa-name Manual Direction (eingehende | ausgehend | bidirektional) an:

Konfigurieren des Zusätzlichen Sicherheitsparameterindex

Wenn Sie die Protokollaussage für die Verwendung der Paketoption konfigurieren, verwendet Junos OS den zusätzlichen SPI für das ESP und den SPI für die AH.

Hinweis:

Jede manuelle SA muss über eine eindeutige SPI- und Protokollkombination verfügen.

Um den zusätzlichen SPI zu konfigurieren, fügen Sie die auxiliary-spi-Anweisung auf der Hierarchieebene [Security ipsec Security Association sa-name Manual Direction (eingehende | ausgehend | bidirektional)] ein und setzen den Wert auf eine ganze Zahl zwischen 256 und 16,639:

Konfigurieren des Authentifizierungsalgorithmus und -schlüssels

Um einen Authentifizierungsalgorithmus und -schlüssel zu konfigurieren, fügen Sie die Authentifizierungsaussage auf der Hierarchieebene [Security ipsec Security Association sa-name Manual Direction (eingehende | ausgehend | bidirektional)] ein:

Der Algorithmus kann einer der folgenden sein:

  • hmac-md5-96 – Hash-Algorithmus zur Authentifizierung von Paketdaten. Es erzeugt einen 128-Bit-Authentifikatorwert und einen 96-Bit-Digest.

  • hmac-sha1-96 – Hash-Algorithmus zur Authentifizierung von Paketdaten. Es erzeugt einen 160-Bit-Authentifikatorwert und eine 96-Bit-Digest.

Der Schlüssel kann einer der folgenden sein:

  • ASCII-Text key— ASCII-Textschlüssel. Bei der Option hmac-md5-96 enthält der Schlüssel

  • 16 ASCII-Zeichen. Bei der Option hmac-sha1-96 enthält der Schlüssel 20 ASCII-Zeichen.

  • Hexadezimale key— Hexadezimalschlüssel. Bei der Option hmac-md5-96 enthält der Schlüssel 32 Hexadezimalzeichen. Bei der Option hmac-sha1-96 enthält der Schlüssel 40 Hexadezimalzeichen.

Konfigurieren des Verschlüsselungsalgorithmus und -schlüssels

Um die IPsec-Verschlüsselung zu konfigurieren, fügen Sie die Verschlüsselungsaussage ein und geben Sie einen Algorithmus und Schlüssel auf der Hierarchieebene [Security ipsec Security Association sa-name Manual Direction (eingehende | ausgehend | bidirektional)] ein:

Der Algorithmus kann einer der folgenden sein:

  • des-cbc – Verschlüsselungsalgorithmus mit einer Blockgröße von 8 Bytes; seine Schlüsselgröße ist 64 Bit lang.

  • 3des-cbc – Verschlüsselungsalgorithmus mit einer Blockgröße von 24 Bytes; seine Schlüsselgröße ist 192 Bits lang.

    Hinweis:

    Eine Liste der schwachen und semiweak-Verschlüsselungsalgorithmen des Data Encryption Standard (DES) finden Sie unter RFC 2409. Für 3des-cbc empfehlen wir, dass die ersten 8 Bytes nicht mit den zweiten 8 Bytes identisch sind, und dass die zweiten 8 Bytes die gleichen sind wie die dritten 8 Bytes.

Der Schlüssel kann einer der folgenden sein:

  • ascii-text – ASCII-Textschlüssel. Bei der Option des-cbc enthält der Schlüssel 8 ASCII-Zeichen. Bei der Option 3des-cbc enthält der Schlüssel 24 ASCII-Zeichen.

  • hexadezimal – Hexadezimalschlüssel. Bei der Option des-cbc enthält der Schlüssel 16 Hexadezimalzeichen. Bei der Option 3des-cbc enthält der Schlüssel 48 Hexadezimalzeichen.

    Hinweis:

    Wenn Sie das AH-Protokoll verwenden, können Sie die Verschlüsselung nicht konfigurieren.

Konfigurieren dynamischer IPsec-Sicherheitszuordnungen

Sie konfigurieren dynamische Sas mit einer Reihe von Vorschlägen, die von den Sicherheits-Gateways ausgehandelt werden. Die Schlüssel werden im Rahmen der Aushandlung generiert und müssen nicht in der Konfiguration angegeben werden. Die dynamische SA umfasst einen oder mehrere Vorschläge, mit denen Sie eine Liste von Protokollen und Algorithmen priorisieren können, die mit dem Peer ausgehandelt werden sollen.

Um eine dynamische SA zu konfigurieren, fügen Sie die dynamische Anweisung auf der Hierarchieebene [bearbeiten security ipsec security-association sa-name] ein. Geben Sie einen IPsec-Richtliniennamen und optional eine Fenstergröße von 32 Paketen oder 64 Paketen an.