Konfigurieren von Sicherheitszuordnungen
Konfigurieren von Sicherheitszuordnungen
Der erste IPsec-Konfigurationsschritt besteht darin, einen Typ von Security Association (SA) für Ihre IPsec-Verbindung auszuwählen. Sie müssen statisch alle Spezifikationen für manuelle SAs konfigurieren, aber Sie können sich bei der Konfiguration einer dynamischen IKE-SA auf einige Standardeinstellungen verlassen. Informationen zur Konfiguration einer Sicherheitszuordnung finden Sie in den folgenden Abschnitten.
Konfiguration manueller SAs
Auf dem ES PIC konfigurieren Sie eine manuelle Sicherheitszuordnung auf [edit security ipsec security-association name]
Hierarchieebene. Schließen Sie Ihre Auswahl für Authentifizierung, Verschlüsselung, Richtung, Modus, Protokoll und SPI ein. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genauso konfiguriert sind.
[edit security] ipsec { security-association sa-name { description description; manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi auxiliary-spi; encryption { algorithm (des-cbc | 3des-cbc); key (ascii-text key | hexadecimal key); } protocol (ah | esp | bundle); spi spi-value; } } mode (tunnel | transport); } }
Auf den AS- und MultiServices-PICs konfigurieren Sie eine manuelle Sicherheitszuordnung auf [edit services ipsec-vpn rule rule-name]
Hierarchieebene. Schließen Sie Ihre Auswahl für Authentifizierung, Verschlüsselung, Richtung, Protokoll und SPI ein. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genauso konfiguriert sind.
[edit services ipsec-vpn] rule rule-name { match-direction (input | output); term term-name { from { destination-address address; source-address address; } then { backup-remote-gateway address; clear-dont-fragment-bit; manual { direction (inbound | outbound | bidirectional) { authentication { algorithm (hmac-md5-96 | hmac-sha1-96); key (ascii-text key | hexadecimal key); } auxiliary-spi spi-value; encryption { algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc, # aes-256-cbc, des-cbc, or 3des-cbc. key (ascii-text key | hexadecimal key); } protocol (ah | bundle | esp); spi spi-value; } } no-anti-replay; remote-gateway address; syslog; } } } rule-set rule-set-name { [ rule rule-names ]; }
Konfiguration dynamischer IKE-SAs
Auf dem ES PIC konfigurieren Sie eine dynamische IKE-SA auf der [edit security ike]
Hierarchie- und [edit security ipsec]
Hierarchieebene. Schließen Sie Ihre Auswahl für IKE-Richtlinien und -Vorschläge ein, einschließlich Optionen für Authentifizierungsalgorithmen, Authentifizierungsmethoden, Diffie-Hellman-Gruppen, Verschlüsselung, IKE-Modi und preshared Schlüssel. Die IKE-Richtlinie muss die IP-Adresse des Remote-Endes des IPsec-Tunnels als Richtlinienname verwenden. Schließen Sie auch Ihre Auswahl für IPsec-Richtlinien und -Vorschläge ein, einschließlich Optionen für Authentifizierung, Verschlüsselung, Protokolle, Perfect Forward Secrecy (PFS) und IPsec-Modi. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genauso konfiguriert sind.
[edit security] ike { proposal ike-proposal-name { authentication-algorithm (md5 | sha1 |sha-256 |sha-384); authentication-method (dsa-signatures | pre-shared-keys | rsa-signatures); description description; dh-group (group1 | group2); encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc); lifetime-seconds seconds; } policy ike-peer-address { description description; encoding (binary | pem); identity identity-name; local-certificate certificate-filename; local-key-pair private-public-key-file; mode (aggressive | main); pre-shared-key (ascii-text key | hexadecimal key); proposals [ proposal-names ]; } } ipsec { proposal ipsec-proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96 | hmac-sha-256-128); description description; encryption-algorithm (3des-cbc | aes-128-cbc | aes-192-cbc | aes-256-cbc | des-cbc); lifetime-seconds seconds; protocol (ah | esp | bundle); } policy ipsec-policy-name { description description; perfect-forward-secrecy { keys (group1 | group2); } proposals [ proposal-names ]; } security-association sa-name { description description; dynamic { ipsec-policy policy-name; replay-window-size (32 | 64); } mode (tunnel | transport); } }
Auf den AS- und Multiservices-PICs konfigurieren Sie eine dynamische IKE-Sicherheitszuordnung auf [edit services ipsec-vpn ike]
, und [edit services ipsec-vpn ipsec]
[edit services ipsec-vpn rule rule-name]
Hierarchieebene. Schließen Sie Ihre Auswahl für IKE-Richtlinien und -Vorschläge ein, einschließlich Optionen für Authentifizierungsalgorithmen, Authentifizierungsmethoden, Diffie-Hellman-Gruppen, Verschlüsselung, IKE-Modi und preshared Schlüssel. Schließen Sie auch Ihre Auswahl für IPsec-Richtlinien und -Vorschläge ein, einschließlich Optionen für Authentifizierung, Verschlüsselung, Protokolle, PFS und IPsec-Modi. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genauso konfiguriert sind.
Wenn Sie nicht explizit IKE- und IPsec-Richtlinien und -Vorschläge auf den AS- und MultiServices-PICs konfigurieren, kann ihre Konfiguration einige voreingestellte Werte standardmäßig festlegen. Diese Standardwerte sind in Tabelle 1 dargestellt.
IKE-Richtlinienerklärung |
Standardwert |
---|---|
Modus |
Wichtigsten |
Vorschläge |
Standard |
IKE-Vorschlagserklärung | Standardwert |
Authentifizierungsalgorithmus |
sha1 |
Authentifizierungsmethode |
Pre-Shared-Keys |
dh-gruppe |
gruppe2 |
Verschlüsselungsalgorithmus |
3des-cBC |
Lebensdauer von Sekunden |
3600 (Sekunden) |
IPsec-Richtlinienerklärung | Standardwert |
Schlüssel zur Geheimhaltung der perfekten Weiterleitung |
gruppe2 |
Vorschläge |
Standard |
IPsec-Vorschlagserklärung | Standardwert |
Authentifizierungsalgorithmus |
hmac-sha1-96 |
Verschlüsselungsalgorithmus |
3des-cBC |
Lebensdauer von Sekunden |
28800 (Sekunden) |
Protokoll |
Esp |
Wenn Sie die standardmäßigen IKE- und IPsec-Richtlinien- und Vorschlagswerte verwenden, die in den AS- und MultiServices-PICs voreingestellt sind, müssen Sie explizit eine IKE-Richtlinie konfigurieren und einen preshared Schlüssel einschließen. Dies liegt daran, dass die Pre-Shared-Keys-Authentifizierungsmethode einer der voreingestellten Werte im Standard-IKE-Vorschlag ist.
Ab Junos OS Version 14.2 werden in einer Umgebung, in der Router der MX-Serie von Juniper Networks mit Cisco ASA-Geräten zusammenarbeiten, IKE Security Associations (SAs) und IPsec-SAs sofort auf den Cisco ASA-Geräten gelöscht, aber sie werden auf den Routern der MX-Serie beibehalten. Infolgedessen tritt ein 100-prozentiges Datenverkehrsverlust auf den MX-Routern auf, wenn Datenverkehr von den Routern der MX-Serie oder von Cisco ASA-Geräten initiiert wird. Dieses Problem des übermäßigen Datenverkehrsverlusts tritt auf, wenn ein Service-PIC auf routern der MX-Serie neu gestartet wird, eine Linecard auf den Routern der MX-Serie neu gestartet wird oder wenn eine Befehlsreihenfolge "Shutdown/No Shutdown" oder eine Änderung der Geschwindigkeitseinstellung auf den Cisco ASA-Geräten durchgeführt wird. Um dieses Problem der Erhaltung von IKE- und IPsec-SAs in einer solchen Bereitstellung zu verhindern, müssen Sie die IPsec- und IKE-SAs manuell löschen, indem Sie die Befehle und clear ike security-associations
die clear ipsec security-associations
entsprechenden Befehle eingeben.
Wenn Sie sich für die manuelle Konfiguration von Werten entscheiden, zeigen die folgenden Informationen die vollständige Anweisungshierarchie und Optionen für dynamische IKE-SAs auf den AS- und Multiservices-PICs:
[edit services ipsec-vpn] ike { proposal proposal-name { authentication-algorithm (md5 | sha1 | sha256); authentication-method (pre-shared-keys | rsa-signatures); description description; dh-group (group1 | group2); encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc, # aes-256-cbc, des-cbc, or 3des-cbc. lifetime-seconds seconds; } policy policy-name { description description; local-id { ipv4_addr [ values ]; key_id [ values ]; } local-certificate certificate-id-name; mode (aggressive | main); pre-shared-key (ascii-text key | hexadecimal key); proposals [ proposal-names ]; remote-id { ipv4_addr [ values ]; key_id [ values ]; } } } ipsec { proposal proposal-name { authentication-algorithm (hmac-md5-96 | hmac-sha1-96); description description; encryption-algorithm algorithm; # This can be aes-128-cbc, aes-192-cbc, # aes-256-cbc, des-cbc, or 3des-cbc. lifetime-seconds seconds; protocol (ah | esp | bundle); } policy policy-name { description description; perfect-forward-secrecy { keys (group1 | group2); } proposals [ proposal-names ]; } } rule rule-name { match-direction (input | output); term term-name { from { destination-address address; source-address address; } then { backup-remote-gateway address; clear-dont-fragment-bit; dynamic { ike-policy policy-name; ipsec-policy policy-name; } no-anti-replay; remote-gateway address; syslog; } } } rule-set rule-set-name { [ rule rule-names ]; }