Konfigurieren von Sicherheitszuordnungen
Konfigurieren von Sicherheitszuordnungen
Der erste Schritt der IPsec-Konfiguration besteht darin, einen Sicherheitszuordnungstyp (Security Association, SA) für Ihre IPsec-Verbindung auszuwählen. Sie müssen alle Spezifikationen für manuelle Sicherheitszuordnungen statisch konfigurieren, aber Sie können sich bei der Konfiguration einer dynamischen IKE-Sicherheitszuordnung auf einige Standardeinstellungen verlassen. Informationen zum Konfigurieren einer Sicherheitszuordnung finden Sie in den folgenden Abschnitten.
Konfigurieren manueller Sicherheitszuordnungen
Auf dem ES PIC konfigurieren Sie eine manuelle Sicherheitszuordnung auf Hierarchieebene [edit security ipsec security-association name] . Geben Sie Ihre Auswahl für Authentifizierung, Verschlüsselung, Richtung, Modus, Protokoll und SPI an. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.
[edit security]
ipsec {
security-association sa-name {
description description;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi auxiliary-spi;
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
protocol (ah | esp | bundle);
spi spi-value;
}
}
mode (tunnel | transport);
}
}
In den AS- und MultiServices-PICs konfigurieren Sie eine manuelle Sicherheitszuordnung auf Hierarchieebene [edit services ipsec-vpn rule rule-name] . Geben Sie Ihre Auswahl für Authentifizierung, Verschlüsselung, Richtung, Protokoll und SPI an. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.
[edit services ipsec-vpn]
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi spi-value;
encryption {
algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
key (ascii-text key | hexadecimal key);
}
protocol (ah | bundle | esp);
spi spi-value;
}
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}
Konfigurieren dynamischer IKE-Sicherheitszuordnungen
Auf dem ES PIC konfigurieren Sie eine dynamische IKE-SA auf der [edit security ike] Hierarchieebene und [edit security ipsec] . Geben Sie Ihre Auswahl für IKE-Richtlinien und -Vorschläge an, die Optionen für Authentifizierungsalgorithmen, Authentifizierungsmethoden, Diffie-Hellman-Gruppen, Verschlüsselung, IKE-Modi und vorinstallierte Schlüssel enthalten. Die IKE-Richtlinie muss die IP-Adresse des Remote-Endes des IPsec-Tunnels als Richtliniennamen verwenden. Geben Sie auch Ihre Auswahl für IPsec-Richtlinien und -Vorschläge an, die Optionen für Authentifizierung, Verschlüsselung, Protokolle, Perfect Forward Secrecy (PFS) und IPsec-Modi enthalten. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.
[edit security]
ike {
proposal ike-proposal-name {
authentication-algorithm (md5 | sha1 |sha-256 |sha-384);
authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
}
policy ike-peer-address {
description description;
encoding (binary | pem);
identity identity-name;
local-certificate certificate-filename;
local-key-pair private-public-key-file;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
}
}
ipsec {
proposal ipsec-proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128);
description description;
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy ipsec-policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
security-association sa-name {
description description;
dynamic {
ipsec-policy policy-name;
replay-window-size (32 | 64);
}
mode (tunnel | transport);
}
}
Auf den AS- und MultiServices-PICs konfigurieren Sie eine dynamische IKE-Sicherheitszuordnung auf den [edit services ipsec-vpn ike]Ebenen , [edit services ipsec-vpn ipsec]und [edit services ipsec-vpn rule rule-name] Hierarchie. Geben Sie Ihre Auswahl für IKE-Richtlinien und -Vorschläge an, die Optionen für Authentifizierungsalgorithmen, Authentifizierungsmethoden, Diffie-Hellman-Gruppen, Verschlüsselung, IKE-Modi und vorinstallierte Schlüssel enthalten. Geben Sie auch Ihre Auswahl an IPsec-Richtlinien und -Vorschlägen an, die Optionen für Authentifizierung, Verschlüsselung, Protokolle, PFS und IPsec-Modi enthalten. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.
Wenn Sie IKE- und IPsec-Richtlinien und -Vorschläge für die AS- und MultiServices-PICs nicht explizit konfigurieren möchten, können bei Ihrer Konfiguration standardmäßig einige voreingestellte Werte verwendet werden. Diese Standardwerte sind in Tabelle 1 dargestellt.
IKE-Grundsatzerklärung |
Standardwert |
|---|---|
Modus |
hauptsächlich |
Vorschläge |
Vorgabe |
| IKE-Vorschlagserklärung | Standardwert |
Authentifizierungsalgorithmus |
sha1 |
Authentifizierungsmethode |
Pre-Shared Keys |
dh-group |
Gruppe2 |
Verschlüsselungs-Algorithmus |
3DES-CBC |
lifetime-seconds |
3600 (Sekunden) |
| IPsec-Richtlinienanweisung | Standardwert |
Perfect-Forward-Secrecy-Schlüssel |
Gruppe2 |
Vorschläge |
Vorgabe |
| IPsec-Vorschlagserklärung | Standardwert |
Authentifizierungsalgorithmus |
hmac-sha1-96 |
Verschlüsselungs-Algorithmus |
3DES-CBC |
lifetime-seconds |
28800 (Sekunden) |
Protokoll |
ASW |
Wenn Sie die standardmäßigen IKE- und IPsec-Richtlinien- und Vorschlagswerte verwenden, die in den AS- und MultiServices-PICs voreingestellt sind, müssen Sie explizit eine IKE-Richtlinie konfigurieren und einen vorinstallierten Schlüssel einschließen. Dies liegt daran, dass die Authentifizierungsmethode für vorinstallierte Schlüssel einer der voreingestellten Werte im Standard-IKE-Vorschlag ist.
Ab Junos OS Version 14.2 werden in einer Umgebung, in der Router der MX-Serie von Juniper Networks mit Cisco ASA-Geräten zusammenarbeiten, IKE-Sicherheitszuordnungen (SAs) und IPsec-SAs sofort auf den Cisco ASA-Geräten gelöscht, bleiben aber auf den Routern der MX-Serie erhalten. Infolgedessen tritt ein Datenverkehrsverlust von 100 Prozent auf den MX-Routern auf, wenn der Datenverkehr entweder von den Routern der MX-Serie oder von Cisco ASA-Geräten initiiert wird. Dieses Problem des übermäßigen Datenverkehrsverlusts tritt auf, wenn ein Dienst-PIC auf Routern der MX-Serie neu gestartet wird, wenn eine Linecard auf Routern der MX-Serie neu gestartet wird oder wenn eine Befehlssequenz zum Herunterfahren/Nicht-Herunterfahren oder eine Änderung der Geschwindigkeitseinstellung auf den Cisco ASA-Geräten durchgeführt wird. Um dieses Problem der Beibehaltung von IKE- und IPsec-Sicherheitszuordnungen in einer solchen Bereitstellung zu vermeiden, müssen Sie die IPsec- und IKE-Sicherheitszuordnungen manuell löschen, indem Sie die clear ipsec security-associations Befehle und clear ike security-associations bzw. eingeben.
Wenn Sie sich für die manuelle Konfiguration von Werten entscheiden, zeigen die folgenden Informationen die vollständige Anweisungshierarchie und die Optionen für dynamische IKE-Sicherheitszuordnungen in den AS- und MultiServices-PICs:
[edit services ipsec-vpn]
ike {
proposal proposal-name {
authentication-algorithm (md5 | sha1 | sha256);
authentication-method (pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
}
policy policy-name {
description description;
local-id {
ipv4_addr [ values ];
key_id [ values ];
}
local-certificate certificate-id-name;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
remote-id {
ipv4_addr [ values ];
key_id [ values ];
}
}
}
ipsec {
proposal proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96);
description description;
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
}
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
dynamic {
ike-policy policy-name;
ipsec-policy policy-name;
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.