Konfigurieren von Sicherheitszuordnungen
Konfigurieren von Sicherheitszuordnungen
Der erste IPsec-Konfigurationsschritt besteht darin, einen Typ von Security Association (SA) für Ihre IPsec-Verbindung auszuwählen. Sie müssen statisch alle Spezifikationen für manuelle SAs konfigurieren, aber Sie können sich bei der Konfiguration einer dynamischen IKE-SA auf einige Standardeinstellungen verlassen. Informationen zur Konfiguration einer Sicherheitszuordnung finden Sie in den folgenden Abschnitten.
Konfiguration manueller SAs
Auf dem ES PIC konfigurieren Sie eine manuelle Sicherheitszuordnung auf [edit security ipsec security-association name] Hierarchieebene. Schließen Sie Ihre Auswahl für Authentifizierung, Verschlüsselung, Richtung, Modus, Protokoll und SPI ein. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genauso konfiguriert sind.
[edit security]
ipsec {
security-association sa-name {
description description;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi auxiliary-spi;
encryption {
algorithm (des-cbc | 3des-cbc);
key (ascii-text key | hexadecimal key);
}
protocol (ah | esp | bundle);
spi spi-value;
}
}
mode (tunnel | transport);
}
}
Auf den AS- und MultiServices-PICs konfigurieren Sie eine manuelle Sicherheitszuordnung auf [edit services ipsec-vpn rule rule-name] Hierarchieebene. Schließen Sie Ihre Auswahl für Authentifizierung, Verschlüsselung, Richtung, Protokoll und SPI ein. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genauso konfiguriert sind.
[edit services ipsec-vpn]
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
manual {
direction (inbound | outbound | bidirectional) {
authentication {
algorithm (hmac-md5-96 | hmac-sha1-96);
key (ascii-text key | hexadecimal key);
}
auxiliary-spi spi-value;
encryption {
algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
key (ascii-text key | hexadecimal key);
}
protocol (ah | bundle | esp);
spi spi-value;
}
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}
Konfiguration dynamischer IKE-SAs
Auf dem ES PIC konfigurieren Sie eine dynamische IKE-SA auf der [edit security ike] Hierarchie- und [edit security ipsec] Hierarchieebene. Schließen Sie Ihre Auswahl für IKE-Richtlinien und -Vorschläge ein, einschließlich Optionen für Authentifizierungsalgorithmen, Authentifizierungsmethoden, Diffie-Hellman-Gruppen, Verschlüsselung, IKE-Modi und preshared Schlüssel. Die IKE-Richtlinie muss die IP-Adresse des Remote-Endes des IPsec-Tunnels als Richtlinienname verwenden. Schließen Sie auch Ihre Auswahl für IPsec-Richtlinien und -Vorschläge ein, einschließlich Optionen für Authentifizierung, Verschlüsselung, Protokolle, Perfect Forward Secrecy (PFS) und IPsec-Modi. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genauso konfiguriert sind.
[edit security]
ike {
proposal ike-proposal-name {
authentication-algorithm (md5 | sha1 |sha-256 |sha-384);
authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
}
policy ike-peer-address {
description description;
encoding (binary | pem);
identity identity-name;
local-certificate certificate-filename;
local-key-pair private-public-key-file;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
}
}
ipsec {
proposal ipsec-proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128);
description description;
encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc);
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy ipsec-policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
security-association sa-name {
description description;
dynamic {
ipsec-policy policy-name;
replay-window-size (32 | 64);
}
mode (tunnel | transport);
}
}
Auf den AS- und Multiservices-PICs konfigurieren Sie eine dynamische IKE-Sicherheitszuordnung auf [edit services ipsec-vpn ike], und [edit services ipsec-vpn ipsec][edit services ipsec-vpn rule rule-name] Hierarchieebene. Schließen Sie Ihre Auswahl für IKE-Richtlinien und -Vorschläge ein, einschließlich Optionen für Authentifizierungsalgorithmen, Authentifizierungsmethoden, Diffie-Hellman-Gruppen, Verschlüsselung, IKE-Modi und preshared Schlüssel. Schließen Sie auch Ihre Auswahl für IPsec-Richtlinien und -Vorschläge ein, einschließlich Optionen für Authentifizierung, Verschlüsselung, Protokolle, PFS und IPsec-Modi. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genauso konfiguriert sind.
Wenn Sie nicht explizit IKE- und IPsec-Richtlinien und -Vorschläge auf den AS- und MultiServices-PICs konfigurieren, kann ihre Konfiguration einige voreingestellte Werte standardmäßig festlegen. Diese Standardwerte sind in Tabelle 1 dargestellt.
IKE-Richtlinienerklärung |
Standardwert |
|---|---|
Modus |
Wichtigsten |
Vorschläge |
Standard |
| IKE-Vorschlagserklärung | Standardwert |
Authentifizierungsalgorithmus |
sha1 |
Authentifizierungsmethode |
Pre-Shared-Keys |
dh-gruppe |
gruppe2 |
Verschlüsselungsalgorithmus |
3des-cBC |
Lebensdauer von Sekunden |
3600 (Sekunden) |
| IPsec-Richtlinienerklärung | Standardwert |
Schlüssel zur Geheimhaltung der perfekten Weiterleitung |
gruppe2 |
Vorschläge |
Standard |
| IPsec-Vorschlagserklärung | Standardwert |
Authentifizierungsalgorithmus |
hmac-sha1-96 |
Verschlüsselungsalgorithmus |
3des-cBC |
Lebensdauer von Sekunden |
28800 (Sekunden) |
Protokoll |
Esp |
Wenn Sie die standardmäßigen IKE- und IPsec-Richtlinien- und Vorschlagswerte verwenden, die in den AS- und MultiServices-PICs voreingestellt sind, müssen Sie explizit eine IKE-Richtlinie konfigurieren und einen preshared Schlüssel einschließen. Dies liegt daran, dass die Pre-Shared-Keys-Authentifizierungsmethode einer der voreingestellten Werte im Standard-IKE-Vorschlag ist.
Ab Junos OS Version 14.2 werden in einer Umgebung, in der Router der MX-Serie von Juniper Networks mit Cisco ASA-Geräten zusammenarbeiten, IKE Security Associations (SAs) und IPsec-SAs sofort auf den Cisco ASA-Geräten gelöscht, aber sie werden auf den Routern der MX-Serie beibehalten. Infolgedessen tritt ein 100-prozentiges Datenverkehrsverlust auf den MX-Routern auf, wenn Datenverkehr von den Routern der MX-Serie oder von Cisco ASA-Geräten initiiert wird. Dieses Problem des übermäßigen Datenverkehrsverlusts tritt auf, wenn ein Service-PIC auf routern der MX-Serie neu gestartet wird, eine Linecard auf den Routern der MX-Serie neu gestartet wird oder wenn eine Befehlsreihenfolge "Shutdown/No Shutdown" oder eine Änderung der Geschwindigkeitseinstellung auf den Cisco ASA-Geräten durchgeführt wird. Um dieses Problem der Erhaltung von IKE- und IPsec-SAs in einer solchen Bereitstellung zu verhindern, müssen Sie die IPsec- und IKE-SAs manuell löschen, indem Sie die Befehle und clear ike security-associations die clear ipsec security-associations entsprechenden Befehle eingeben.
Wenn Sie sich für die manuelle Konfiguration von Werten entscheiden, zeigen die folgenden Informationen die vollständige Anweisungshierarchie und Optionen für dynamische IKE-SAs auf den AS- und Multiservices-PICs:
[edit services ipsec-vpn]
ike {
proposal proposal-name {
authentication-algorithm (md5 | sha1 | sha256);
authentication-method (pre-shared-keys | rsa-signatures);
description description;
dh-group (group1 | group2);
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
}
policy policy-name {
description description;
local-id {
ipv4_addr [ values ];
key_id [ values ];
}
local-certificate certificate-id-name;
mode (aggressive | main);
pre-shared-key (ascii-text key | hexadecimal key);
proposals [ proposal-names ];
remote-id {
ipv4_addr [ values ];
key_id [ values ];
}
}
}
ipsec {
proposal proposal-name {
authentication-algorithm (hmac-md5-96 | hmac-sha1-96);
description description;
encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc,
# aes-256-cbc, des-cbc, or 3des-cbc.
lifetime-seconds seconds;
protocol (ah | esp | bundle);
}
policy policy-name {
description description;
perfect-forward-secrecy {
keys (group1 | group2);
}
proposals [ proposal-names ];
}
}
rule rule-name {
match-direction (input | output);
term term-name {
from {
destination-address address;
source-address address;
}
then {
backup-remote-gateway address;
clear-dont-fragment-bit;
dynamic {
ike-policy policy-name;
ipsec-policy policy-name;
}
no-anti-replay;
remote-gateway address;
syslog;
}
}
}
rule-set rule-set-name {
[ rule rule-names ];
}