Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von Sicherheitszuordnungen

Konfigurieren von Sicherheitszuordnungen

Der erste Schritt der IPsec-Konfiguration besteht darin, einen Sicherheitszuordnungstyp (Security Association, SA) für Ihre IPsec-Verbindung auszuwählen. Sie müssen alle Spezifikationen für manuelle Sicherheitszuordnungen statisch konfigurieren, aber Sie können sich bei der Konfiguration einer dynamischen IKE-Sicherheitszuordnung auf einige Standardeinstellungen verlassen. Informationen zum Konfigurieren einer Sicherheitszuordnung finden Sie in den folgenden Abschnitten.

Konfigurieren manueller Sicherheitszuordnungen

Auf dem ES PIC konfigurieren Sie eine manuelle Sicherheitszuordnung auf Hierarchieebene [edit security ipsec security-association name] . Geben Sie Ihre Auswahl für Authentifizierung, Verschlüsselung, Richtung, Modus, Protokoll und SPI an. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.

In den AS- und MultiServices-PICs konfigurieren Sie eine manuelle Sicherheitszuordnung auf Hierarchieebene [edit services ipsec-vpn rule rule-name] . Geben Sie Ihre Auswahl für Authentifizierung, Verschlüsselung, Richtung, Protokoll und SPI an. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.

Konfigurieren dynamischer IKE-Sicherheitszuordnungen

Auf dem ES PIC konfigurieren Sie eine dynamische IKE-SA auf der [edit security ike] Hierarchieebene und [edit security ipsec] . Geben Sie Ihre Auswahl für IKE-Richtlinien und -Vorschläge an, die Optionen für Authentifizierungsalgorithmen, Authentifizierungsmethoden, Diffie-Hellman-Gruppen, Verschlüsselung, IKE-Modi und vorinstallierte Schlüssel enthalten. Die IKE-Richtlinie muss die IP-Adresse des Remote-Endes des IPsec-Tunnels als Richtliniennamen verwenden. Geben Sie auch Ihre Auswahl für IPsec-Richtlinien und -Vorschläge an, die Optionen für Authentifizierung, Verschlüsselung, Protokolle, Perfect Forward Secrecy (PFS) und IPsec-Modi enthalten. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.

Auf den AS- und MultiServices-PICs konfigurieren Sie eine dynamische IKE-Sicherheitszuordnung auf den [edit services ipsec-vpn ike]Ebenen , [edit services ipsec-vpn ipsec]und [edit services ipsec-vpn rule rule-name] Hierarchie. Geben Sie Ihre Auswahl für IKE-Richtlinien und -Vorschläge an, die Optionen für Authentifizierungsalgorithmen, Authentifizierungsmethoden, Diffie-Hellman-Gruppen, Verschlüsselung, IKE-Modi und vorinstallierte Schlüssel enthalten. Geben Sie auch Ihre Auswahl an IPsec-Richtlinien und -Vorschlägen an, die Optionen für Authentifizierung, Verschlüsselung, Protokolle, PFS und IPsec-Modi enthalten. Stellen Sie sicher, dass diese Optionen auf dem Remote-IPsec-Gateway genau auf die gleiche Weise konfiguriert sind.

Wenn Sie IKE- und IPsec-Richtlinien und -Vorschläge für die AS- und MultiServices-PICs nicht explizit konfigurieren möchten, können bei Ihrer Konfiguration standardmäßig einige voreingestellte Werte verwendet werden. Diese Standardwerte sind in Tabelle 1 dargestellt.

Tabelle 1: IKE- und IPsec-Vorschlags- und Richtlinienstandardwerte für die AS- und MultiServices-PICs

IKE-Grundsatzerklärung

Standardwert

Modus

hauptsächlich

Vorschläge

Vorgabe

IKE-Vorschlagserklärung

Standardwert

Authentifizierungsalgorithmus

sha1

Authentifizierungsmethode

Pre-Shared Keys

dh-group

Gruppe2

Verschlüsselungs-Algorithmus

3DES-CBC

lifetime-seconds

3600 (Sekunden)

IPsec-Richtlinienanweisung

Standardwert

Perfect-Forward-Secrecy-Schlüssel

Gruppe2

Vorschläge

Vorgabe

IPsec-Vorschlagserklärung

Standardwert

Authentifizierungsalgorithmus

hmac-sha1-96

Verschlüsselungs-Algorithmus

3DES-CBC

lifetime-seconds

28800 (Sekunden)

Protokoll

ASW

Anmerkung:

Wenn Sie die standardmäßigen IKE- und IPsec-Richtlinien- und Vorschlagswerte verwenden, die in den AS- und MultiServices-PICs voreingestellt sind, müssen Sie explizit eine IKE-Richtlinie konfigurieren und einen vorinstallierten Schlüssel einschließen. Dies liegt daran, dass die Authentifizierungsmethode für vorinstallierte Schlüssel einer der voreingestellten Werte im Standard-IKE-Vorschlag ist.

Anmerkung:

Ab Junos OS Version 14.2 werden in einer Umgebung, in der Router der MX-Serie von Juniper Networks mit Cisco ASA-Geräten zusammenarbeiten, IKE-Sicherheitszuordnungen (SAs) und IPsec-SAs sofort auf den Cisco ASA-Geräten gelöscht, bleiben aber auf den Routern der MX-Serie erhalten. Infolgedessen tritt ein Datenverkehrsverlust von 100 Prozent auf den MX-Routern auf, wenn der Datenverkehr entweder von den Routern der MX-Serie oder von Cisco ASA-Geräten initiiert wird. Dieses Problem des übermäßigen Datenverkehrsverlusts tritt auf, wenn ein Dienst-PIC auf Routern der MX-Serie neu gestartet wird, wenn eine Linecard auf Routern der MX-Serie neu gestartet wird oder wenn eine Befehlssequenz zum Herunterfahren/Nicht-Herunterfahren oder eine Änderung der Geschwindigkeitseinstellung auf den Cisco ASA-Geräten durchgeführt wird. Um dieses Problem der Beibehaltung von IKE- und IPsec-Sicherheitszuordnungen in einer solchen Bereitstellung zu vermeiden, müssen Sie die IPsec- und IKE-Sicherheitszuordnungen manuell löschen, indem Sie die clear ipsec security-associations Befehle und clear ike security-associations bzw. eingeben.

Wenn Sie sich für die manuelle Konfiguration von Werten entscheiden, zeigen die folgenden Informationen die vollständige Anweisungshierarchie und die Optionen für dynamische IKE-Sicherheitszuordnungen in den AS- und MultiServices-PICs:

Tabelle "Änderungshistorie"

Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
14.2
Ab Junos OS Version 14.2 werden in einer Umgebung, in der Router der MX-Serie von Juniper Networks mit Cisco ASA-Geräten zusammenarbeiten, IKE-Sicherheitszuordnungen (SAs) und IPsec-SAs sofort auf den Cisco ASA-Geräten gelöscht, bleiben aber auf den Routern der MX-Serie erhalten.