Konfigurieren von Sicherheitszuordnungen
Konfigurieren von Sicherheitszuordnungen
Der erste Schritt der IPsec-Konfiguration besteht darin, einen Sicherheitszuordnungstyp (Security Association, SA) für Ihre IPsec-Verbindung auszuwählen. Sie müssen alle Spezifikationen für manuelle Sicherheitszuordnungen statisch konfigurieren, aber Sie können sich bei der Konfiguration einer dynamischen IKE-Sicherheitszuordnung auf einige Standardeinstellungen verlassen. Informationen zum Konfigurieren einer Sicherheitszuordnung finden Sie in den folgenden Abschnitten.
Konfigurieren manueller Sicherheitszuordnungen
Auf dem ES PIC konfigurieren Sie eine manuelle Sicherheitszuordnung auf Hierarchieebene [edit security ipsec security-association name]
. Geben Sie Ihre Auswahl für Authentifizierung, Verschlüsselung, Richtung, Modus, Protokoll und SPI an. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.
[edit security] ipsec { security-association sa-name { description description; manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi auxiliary-spi; encryption { algorithm (des-cbc | 3des-cbc); key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; } } mode (tunnel | transport); } }
In den AS- und MultiServices-PICs konfigurieren Sie eine manuelle Sicherheitszuordnung auf Hierarchieebene [edit services ipsec-vpn rule rule-name]
. Geben Sie Ihre Auswahl für Authentifizierung, Verschlüsselung, Richtung, Protokoll und SPI an. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.
[edit services ipsec-vpn] rule rule-name { match-direction (input | output); term term-name { from { destination-address address; source-address address; } then { backup-remote-gateway address; clear-dont-fragment-bit; manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi spi-value; encryption { algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc, # aes-256-cbc, des-cbc, or 3des-cbc. key (ascii-text key | hexadecimal key); } protocol (ah | bundle | esp); spi spi-value; } } no-anti-replay; remote-gateway address; syslog; } } } rule-set rule-set-name { [ rule rule-names ]; }
Konfigurieren dynamischer IKE-Sicherheitszuordnungen
Auf dem ES PIC konfigurieren Sie eine dynamische IKE-SA auf der [edit security ike]
Hierarchieebene und [edit security ipsec]
. Geben Sie Ihre Auswahl für IKE-Richtlinien und -Vorschläge an, die Optionen für Authentifizierungsalgorithmen, Authentifizierungsmethoden, Diffie-Hellman-Gruppen, Verschlüsselung, IKE-Modi und vorinstallierte Schlüssel enthalten. Die IKE-Richtlinie muss die IP-Adresse des Remote-Endes des IPsec-Tunnels als Richtliniennamen verwenden. Geben Sie auch Ihre Auswahl für IPsec-Richtlinien und -Vorschläge an, die Optionen für Authentifizierung, Verschlüsselung, Protokolle, Perfect Forward Secrecy (PFS) und IPsec-Modi enthalten. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.
[edit security] ike { proposal ike-proposal-name { authentication-algorithm (md5 | sha1 |sha-256 |sha-384); authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures); description description; dh-group (group1 | group2); encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc); lifetime-seconds seconds; } policy ike-peer-address { description description; encoding (binary | pem); identity identity-name; local-certificate certificate-filename; local-key-pair private-public-key-file; mode (aggressive | main); pre-shared-key (ascii-text key | hexadecimal key); proposals [ proposal-names ]; } } ipsec { proposal ipsec-proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128); description description; encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc); lifetime-seconds seconds; protocol (ah | esp | bundle); } policy ipsec-policy-name { description description; perfect-forward-secrecy { keys (group1 | group2); } proposals [ proposal-names ]; } security-association sa-name { description description; dynamic { ipsec-policy policy-name; replay-window-size (32 | 64); } mode (tunnel | transport); } }
Auf den AS- und MultiServices-PICs konfigurieren Sie eine dynamische IKE-Sicherheitszuordnung auf den [edit services ipsec-vpn ike]
Ebenen , [edit services ipsec-vpn ipsec]
und [edit services ipsec-vpn rule rule-name]
Hierarchie. Geben Sie Ihre Auswahl für IKE-Richtlinien und -Vorschläge an, die Optionen für Authentifizierungsalgorithmen, Authentifizierungsmethoden, Diffie-Hellman-Gruppen, Verschlüsselung, IKE-Modi und vorinstallierte Schlüssel enthalten. Geben Sie auch Ihre Auswahl an IPsec-Richtlinien und -Vorschlägen an, die Optionen für Authentifizierung, Verschlüsselung, Protokolle, PFS und IPsec-Modi enthalten. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.
Wenn Sie IKE- und IPsec-Richtlinien und -Vorschläge für die AS- und MultiServices-PICs nicht explizit konfigurieren möchten, können bei Ihrer Konfiguration standardmäßig einige voreingestellte Werte verwendet werden. Diese Standardwerte sind in Tabelle 1 dargestellt.
IKE-Grundsatzerklärung |
Standardwert |
---|---|
Modus |
hauptsächlich |
Vorschläge |
Vorgabe |
IKE-Vorschlagserklärung | Standardwert |
Authentifizierungsalgorithmus |
sha1 |
Authentifizierungsmethode |
Pre-Shared Keys |
dh-group |
Gruppe2 |
Verschlüsselungs-Algorithmus |
3DES-CBC |
lifetime-seconds |
3600 (Sekunden) |
IPsec-Richtlinienanweisung | Standardwert |
Perfect-Forward-Secrecy-Schlüssel |
Gruppe2 |
Vorschläge |
Vorgabe |
IPsec-Vorschlagserklärung | Standardwert |
Authentifizierungsalgorithmus |
hmac-sha1-96 |
Verschlüsselungs-Algorithmus |
3DES-CBC |
lifetime-seconds |
28800 (Sekunden) |
Protokoll |
ASW |
Wenn Sie die standardmäßigen IKE- und IPsec-Richtlinien- und Vorschlagswerte verwenden, die in den AS- und MultiServices-PICs voreingestellt sind, müssen Sie explizit eine IKE-Richtlinie konfigurieren und einen vorinstallierten Schlüssel einschließen. Dies liegt daran, dass die Authentifizierungsmethode für vorinstallierte Schlüssel einer der voreingestellten Werte im Standard-IKE-Vorschlag ist.
Ab Junos OS Version 14.2 werden in einer Umgebung, in der Router der MX-Serie von Juniper Networks mit Cisco ASA-Geräten zusammenarbeiten, IKE-Sicherheitszuordnungen (SAs) und IPsec-SAs sofort auf den Cisco ASA-Geräten gelöscht, bleiben aber auf den Routern der MX-Serie erhalten. Infolgedessen tritt ein Datenverkehrsverlust von 100 Prozent auf den MX-Routern auf, wenn der Datenverkehr entweder von den Routern der MX-Serie oder von Cisco ASA-Geräten initiiert wird. Dieses Problem des übermäßigen Datenverkehrsverlusts tritt auf, wenn ein Dienst-PIC auf Routern der MX-Serie neu gestartet wird, wenn eine Linecard auf Routern der MX-Serie neu gestartet wird oder wenn eine Befehlssequenz zum Herunterfahren/Nicht-Herunterfahren oder eine Änderung der Geschwindigkeitseinstellung auf den Cisco ASA-Geräten durchgeführt wird. Um dieses Problem der Beibehaltung von IKE- und IPsec-Sicherheitszuordnungen in einer solchen Bereitstellung zu vermeiden, müssen Sie die IPsec- und IKE-Sicherheitszuordnungen manuell löschen, indem Sie die clear ipsec security-associations
Befehle und clear ike security-associations
bzw. eingeben.
Wenn Sie sich für die manuelle Konfiguration von Werten entscheiden, zeigen die folgenden Informationen die vollständige Anweisungshierarchie und die Optionen für dynamische IKE-Sicherheitszuordnungen in den AS- und MultiServices-PICs:
[edit services ipsec-vpn] ike { proposal proposal-name { authentication-algorithm (md5 | sha1 | sha256); authentication-method (pre-shared-keys | rsa-signatures); description description; dh-group (group1 | group2); encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc, # aes-256-cbc, des-cbc, or 3des-cbc. lifetime-seconds seconds; } policy policy-name { description description; local-id { ipv4_addr [ values ]; key_id [ values ]; } local-certificate certificate-id-name; mode (aggressive | main); pre-shared-key (ascii-text key | hexadecimal key); proposals [ proposal-names ]; remote-id { ipv4_addr [ values ]; key_id [ values ]; } } } ipsec { proposal proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96); description description; encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc, # aes-256-cbc, des-cbc, or 3des-cbc. lifetime-seconds seconds; protocol (ah | esp | bundle); } policy policy-name { description description; perfect-forward-secrecy { keys (group1 | group2); } proposals [ proposal-names ]; } } rule rule-name { match-direction (input | output); term term-name { from { destination-address address; source-address address; } then { backup-remote-gateway address; clear-dont-fragment-bit; dynamic { ike-policy policy-name; ipsec-policy policy-name; } no-anti-replay; remote-gateway address; syslog; } } } rule-set rule-set-name { [ rule rule-names ]; }
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.