Quantum Safe IPsec VPN

Quantensicherheit im Überblick

Der IPsec-Kommunikationskanal basiert auf dem IKE-Protokoll (Internet Key Exchange). Das IKE unterhält Sicherheitsparameter, um den Datenverkehr zu schützen. Zu den Sicherheitsparametern gehören Verschlüsselungs- und Authentifizierungsalgorithmen sowie zugehörige Schlüssel.

Die Sicherheitsprotokolle stützen sich auf asymmetrische kryptografische Algorithmen wie Diffie Hellman (DH) oder Elliptic Curve Diffie Hellman (ECDH), um festzustellen, dass Schlüssel anfällig für Angriffe sind.

Um Sicherheitsangriffe zu vermeiden, führt der RFC8784 eine Out-of-Band-Methode ein. Die Out-of-Band-Methode fügt dem Initiator und dem Responder einen geheimen Schlüssel hinzu. Der geheime Schlüssel ist der Post-Quantum Pre-Shared Key (PPK).

Sie können die PPK zusätzlich zur Authentifizierungsmethode in IKEv2 verwenden.
PPK bietet Quantenwiderstand für alle untergeordneten Sicherheitszuordnungen in anfänglich ausgehandelten IPsec-Sicherheitszuordnungen und allen nachfolgenden IPsec-Sicherheitszuordnungen.
Mit PPK und Peer-Authentifizierungsschlüssel können Initiator und Responder Schlüsselkonflikte erkennen.

Quantensicherheit im Überblick

Der IPsec-Kommunikationskanal basiert auf dem IKE-Protokoll (Internet Key Exchange). Das IKE unterhält Sicherheitsparameter, um den Datenverkehr zu schützen. Zu den Sicherheitsparametern gehören Verschlüsselungs- und Authentifizierungsalgorithmen sowie zugehörige Schlüssel.

Die Sicherheitsprotokolle stützen sich auf asymmetrische kryptografische Algorithmen wie Diffie Hellman (DH) oder Elliptic Curve Diffie Hellman (ECDH), um festzustellen, dass Schlüssel anfällig für Angriffe sind.

Um Sicherheitsangriffe zu vermeiden, führt der RFC8784 eine Out-of-Band-Methode ein. Die Out-of-Band-Methode fügt dem Initiator und dem Responder einen geheimen Schlüssel hinzu. Der geheime Schlüssel ist der Post-Quantum Pre-Shared Key (PPK).

Sie können die PPK zusätzlich zur Authentifizierungsmethode in IKEv2 verwenden.
PPK bietet Quantenwiderstand für alle untergeordneten Sicherheitszuordnungen in anfänglich ausgehandelten IPsec-Sicherheitszuordnungen und allen nachfolgenden IPsec-Sicherheitszuordnungen.
Mit PPK und Peer-Authentifizierungsschlüssel können Initiator und Responder Schlüsselkonflikte erkennen.

Junos Key Manager – Übersicht

Sie können Junos Key Manager (JKM) verwenden, um die statischen Schlüssel oder dynamischen Schlüssel zu konfigurieren, um die Datenebene und die Steuerungsebene zu schützen.

Der JKM-Prozess fungiert als Schlüsselspeicher und Proxy zwischen dem Client oder der Kryptoanwendung. Der Client oder die Kryptoanwendung benötigt einen Schlüssel, um eine verschlüsselte und authentifizierte quantensichere Sitzung mit dem Peer oder der Anwendung einzurichten. Der Quantentresor verwendet den Out-of-Band-Schlüsselabrufmechanismus, der es zwei Peers ermöglicht, den Schlüssel zu erhalten. Unterschiedliche Out-of-Band-Mechanismen haben unterschiedliche Protokolle oder Methoden zur Kommunikation. Das JKM bietet eine gemeinsame, einheitliche Schnittstelle für die Kommunikation von Client- oder Kryptoanwendungen.

Schlüssel-Rückruf-Mechanismus

Zwei Out-of-Band-Schlüsselabrufmechanismen im IKED-Prozess zur Aushandlung mit quantengesicherten IKE- und IPsec-SAs.

Statischer Schlüssel: Bei statischen Schlüsselprofilen können Sie eine statische Schlüssel-ID und einen entsprechenden Schlüssel konfigurieren. Die gleiche statische Schlüssel-ID und der gleiche Schlüssel werden jedes Mal generiert, wenn eine Anforderung an JKM über ein statisches Schlüsselprofil gestellt wird.
Quantenschlüssel-Manager: Mit Quantenschlüssel-Manager-Schlüsselprofilen können Sie auf die Quantenschlüsselverteilungsgeräte (QKD) und das Quantennetzwerk zugreifen. Das Quantennetzwerk generiert und tauscht Quantenschlüssel zwischen Peers aus. Generiert jedes Mal auf Anfrage an JKM über ein Quantenschlüssel-Manager-Schlüsselprofil eine andere Schlüssel-ID und einen anderen Schlüssel.

Junos Key Manager – Übersicht

Sie können Junos Key Manager (JKM) verwenden, um die statischen Schlüssel oder dynamischen Schlüssel zu konfigurieren, um die Datenebene und die Steuerungsebene zu schützen.

Der JKM-Prozess fungiert als Schlüsselspeicher und Proxy zwischen dem Client oder der Kryptoanwendung. Der Client oder die Kryptoanwendung benötigt einen Schlüssel, um eine verschlüsselte und authentifizierte quantensichere Sitzung mit dem Peer oder der Anwendung einzurichten. Der Quantentresor verwendet den Out-of-Band-Schlüsselabrufmechanismus, der es zwei Peers ermöglicht, den Schlüssel zu erhalten. Unterschiedliche Out-of-Band-Mechanismen haben unterschiedliche Protokolle oder Methoden zur Kommunikation. Das JKM bietet eine gemeinsame, einheitliche Schnittstelle für die Kommunikation von Client- oder Kryptoanwendungen.

Schlüssel-Rückruf-Mechanismus

Zwei Out-of-Band-Schlüsselabrufmechanismen im IKED-Prozess zur Aushandlung mit quantengesicherten IKE- und IPsec-SAs.

Statischer Schlüssel: Bei statischen Schlüsselprofilen können Sie eine statische Schlüssel-ID und einen entsprechenden Schlüssel konfigurieren. Die gleiche statische Schlüssel-ID und der gleiche Schlüssel werden jedes Mal generiert, wenn eine Anforderung an JKM über ein statisches Schlüsselprofil gestellt wird.
Quantenschlüssel-Manager: Mit Quantenschlüssel-Manager-Schlüsselprofilen können Sie auf die Quantenschlüsselverteilungsgeräte (QKD) und das Quantennetzwerk zugreifen. Das Quantennetzwerk generiert und tauscht Quantenschlüssel zwischen Peers aus. Generiert jedes Mal auf Anfrage an JKM über ein Quantenschlüssel-Manager-Schlüsselprofil eine andere Schlüssel-ID und einen anderen Schlüssel.

Schlüsselprofil für Quantum Safe IPsec VPN verwenden

Bei statischen Schlüsselprofilen können Sie eine statische Schlüssel-ID und einen entsprechenden Schlüssel konfigurieren. Um die quantensicheren IPsec-Sicherheitszuordnungen einzurichten, verwenden Sie das statische Schlüsselprofil als Post-Quantum Pre-Shared Key (PPK)-Profil in der IPsec-VPN-Konfiguration. Verwendet denselben Schlüssel und dieselbe Schlüssel-ID, um eine vorhandene IKE-SA erneut zu authentifizieren.

Mit den Schlüsselprofilprofilprofilen des Quantenschlüsselmanagers benötigen Sie für den Zugriff auf die Quantennetzwerke Zugriff auf die QKD-Geräte. Das Quantennetzwerk generiert und tauscht Quantenschlüssel zwischen Peers aus. Sie können alle erforderlichen Parameter konfigurieren, wie z. B. die lokale SAE-ID, URL zum QKD-Gerät usw. Verwenden Sie zum Einrichten von IPsec-Sicherheitszuordnungen das Schlüsselprofil des Quantenschlüssel-Managers als PPK-Profil (Post-Quantum Pre-Shared Key) in der IPsec-VPN-Konfiguration. Verwendet einen anderen Schlüssel und eine andere Schlüssel-ID, um eine vorhandene IKE-SA erneut zu authentifizieren.

Schlüsselprofil für Quantum Safe IPsec VPN verwenden

Bei statischen Schlüsselprofilen können Sie eine statische Schlüssel-ID und einen entsprechenden Schlüssel konfigurieren. Um die quantensicheren IPsec-Sicherheitszuordnungen einzurichten, verwenden Sie das statische Schlüsselprofil als Post-Quantum Pre-Shared Key (PPK)-Profil in der IPsec-VPN-Konfiguration. Verwendet denselben Schlüssel und dieselbe Schlüssel-ID, um eine vorhandene IKE-SA erneut zu authentifizieren.

Mit den Schlüsselprofilprofilprofilen des Quantenschlüsselmanagers benötigen Sie für den Zugriff auf die Quantennetzwerke Zugriff auf die QKD-Geräte. Das Quantennetzwerk generiert und tauscht Quantenschlüssel zwischen Peers aus. Sie können alle erforderlichen Parameter konfigurieren, wie z. B. die lokale SAE-ID, URL zum QKD-Gerät usw. Verwenden Sie zum Einrichten von IPsec-Sicherheitszuordnungen das Schlüsselprofil des Quantenschlüssel-Managers als PPK-Profil (Post-Quantum Pre-Shared Key) in der IPsec-VPN-Konfiguration. Verwendet einen anderen Schlüssel und eine andere Schlüssel-ID, um eine vorhandene IKE-SA erneut zu authentifizieren.

Quantenschlüssel-Verteilung

Die Quantenschlüsselverteilung (QKD) ist eine sichere Schlüsselverteilungsmethode, bei der Quanten verwendet werden. Netzwerke verwenden Quantenkanäle, um an beiden Enden denselben Schlüssel zu generieren und den Quantenkanal zwischen den Peers zu überwachen. Diese Schlüssel sind dynamisch und schützen die Datenebene und die Steuerungsebene.

Key Management Entity (KME) ist der Begriff, den wir verwenden, um die QKD-Geräte auf der Verwaltungs- oder Steuerungsebene zu bezeichnen. QKD-Geräte sind über ihr Quanten- oder QKD-Netzwerk miteinander verbunden. Die KMEs verbinden sich über das öffentliche Netzwerk über die sicheren Kanäle zum Austausch von Steuermeldungen. Die Anwendungen, Secure Application Entity (SAEs) und Geräte interagieren mit KMEs über die sicheren Kanäle gemäß der ETSI-Spezifikation. HTTPS wird mit gegenseitiger TLS-Authentifizierung kombiniert und ermöglicht einen sicheren Betrieb über das QKD-Netzwerk.

Abbildung 1: Zwei Geräte interagieren mit ihren entsprechenden QKD-Geräten, um eine quantengesicherte Sitzung aufzubauen

In der Abbildung 1 wird beschrieben, wie die beiden Geräte mit ihren entsprechenden QKD-Geräten interagieren, um eine quantengesicherte Sitzung aufzubauen

Die SAE-A-Rolle ist primär. SAE A fungiert als Initiator, um eine quantengesicherte Sitzung mit SAE B aufzubauen.
Die SAE-B-Rolle ist zweitrangig. SAE B fungiert als Responder.
Die SAE A fordert KME A über die API zum Abrufen des Schlüssels an, um einen neuen Quantenschlüssel zu generieren und für SAE B mit der SAE-Ziel-ID freizugeben.
Der KME A führt den Vorgang aus und antwortet auf SAE A mit der generierten Schlüssel-ID und dem Schlüsselmaterial.
KME B erhält das Schlüsselmaterial und den generierten ID-Schlüssel über das QKD-Netzwerk.
SAE A initiiert eine gesicherte Sitzung mit SAE B direkt unter Verwendung desselben Schlüssels und derselben Schlüssel-ID.
Durch den Austausch von Nachrichten wird eine sichere Sitzung mit SAE B eingerichtet.
SAE A sendet die Schlüssel-ID im Klartext oder verschlüsselt für den entsprechenden Quantenschlüssel, der zur Sicherung der Sitzung mit SAE B verwendet wird.
Sobald SAE B die Schlüssel-ID erhalten hat, kontaktiert SAE B KME B über die API Schlüssel mit IDs abrufen, um den entsprechenden Quantenschlüssel für die angegebene Schlüssel-ID und die Ziel-SAE-ID oder SAE A abzurufen.
Nachdem SAE B den Schlüssel erhalten hat, wird eine vollständig quantengesicherte Sitzung zwischen SAE A und SAE B eingerichtet.

Quantenschlüssel-Verteilung

Die Quantenschlüsselverteilung (QKD) ist eine sichere Schlüsselverteilungsmethode, bei der Quanten verwendet werden. Netzwerke verwenden Quantenkanäle, um an beiden Enden denselben Schlüssel zu generieren und den Quantenkanal zwischen den Peers zu überwachen. Diese Schlüssel sind dynamisch und schützen die Datenebene und die Steuerungsebene.

Key Management Entity (KME) ist der Begriff, den wir verwenden, um die QKD-Geräte auf der Verwaltungs- oder Steuerungsebene zu bezeichnen. QKD-Geräte sind über ihr Quanten- oder QKD-Netzwerk miteinander verbunden. Die KMEs verbinden sich über das öffentliche Netzwerk über die sicheren Kanäle zum Austausch von Steuermeldungen. Die Anwendungen, Secure Application Entity (SAEs) und Geräte interagieren mit KMEs über die sicheren Kanäle gemäß der ETSI-Spezifikation. HTTPS wird mit gegenseitiger TLS-Authentifizierung kombiniert und ermöglicht einen sicheren Betrieb über das QKD-Netzwerk.

Abbildung 2: Zwei Geräte interagieren mit ihren entsprechenden QKD-Geräten, um eine quantengesicherte Sitzung aufzubauen

In der Abbildung 2 wird beschrieben, wie die beiden Geräte mit ihren entsprechenden QKD-Geräten interagieren, um eine quantengesicherte Sitzung aufzubauen

Die SAE-A-Rolle ist primär. SAE A fungiert als Initiator, um eine quantengesicherte Sitzung mit SAE B aufzubauen.
Die SAE-B-Rolle ist zweitrangig. SAE B fungiert als Responder.
Die SAE A fordert KME A über die API zum Abrufen des Schlüssels an, um einen neuen Quantenschlüssel zu generieren und für SAE B mit der SAE-Ziel-ID freizugeben.
Der KME A führt den Vorgang aus und antwortet auf SAE A mit der generierten Schlüssel-ID und dem Schlüsselmaterial.
KME B erhält das Schlüsselmaterial und den generierten ID-Schlüssel über das QKD-Netzwerk.
SAE A initiiert eine gesicherte Sitzung mit SAE B direkt unter Verwendung desselben Schlüssels und derselben Schlüssel-ID.
Durch den Austausch von Nachrichten wird eine sichere Sitzung mit SAE B eingerichtet.
SAE A sendet die Schlüssel-ID im Klartext oder verschlüsselt für den entsprechenden Quantenschlüssel, der zur Sicherung der Sitzung mit SAE B verwendet wird.
Sobald SAE B die Schlüssel-ID erhalten hat, kontaktiert SAE B KME B über die API Schlüssel mit IDs abrufen, um den entsprechenden Quantenschlüssel für die angegebene Schlüssel-ID und die Ziel-SAE-ID oder SAE A abzurufen.
Nachdem SAE B den Schlüssel erhalten hat, wird eine vollständig quantengesicherte Sitzung zwischen SAE A und SAE B eingerichtet.

Konfigurieren des statischen Schlüsselprofils für Junos Key Manager

In diesem Beispiel wird gezeigt, wie ein statisches Schlüsselprofil für den Junos Key Manager konfiguriert wird. Konfigurieren Sie die statischen Schlüssel auf den betroffenen Gateways, und teilen Sie keine statischen Schlüssel über das Internet, um den IPsec-Tunnel einzurichten.

Anforderungen
Überblick
Konfiguration
Verifizierung

Anforderungen

Hardwareanforderungen: Juniper Networks® SRX1500 Firewall und höher nummerierte Gerätemodelle oder Juniper Networks® Virtuelle Firewall vSRX (vSRX3.0).
Softwareanforderungen: Junos OS Version 22.4R1 oder höher mit JUNOS ike und JUNOS Key Manager Paketen.

Überblick

Bei statischen Schlüsselprofilen müssen Sie eine statische Schlüssel-ID und einen entsprechenden Schlüssel konfigurieren. Wenn Sie das statische Schlüsselprofil im IPsec-VPN-Objekt verwenden, werden bei der erneuten Authentifizierung für vorhandene IKE-Sicherheitszuordnungen derselbe Schlüssel und dieselbe Schlüssel-ID verwendet.

Konfiguration

Konfigurieren Sie das statische Schlüsselprofil für den Junos Key Manager.

Zweck

Überprüfen Sie das statische Schlüsselprofil und die statischen Schlüssel.

Action!

Rufen Sie im Betriebsmodus die request security key-manager profiles get profile-keys name km_profile_1 auf, um das statische Schlüsselprofil und die Schlüssel anzuzeigen.

Geben Sie im Betriebsmodus die ein show security key-manager profiles name km_profile_1 detail , um die Details des statischen Schlüsselprofils anzuzeigen.

Bedeutung

Zeigt request security key-manager profiles get profile-keys name km_profile_1 den Status, den Namen des statischen Schlüsselprofils, den Typ, die Schlüsselgröße, die Schlüssel-ID und die Schlüssel an.

Zeigt show security key-manager profiles name km_profile_1 detail den Namen, den Typ und den Anforderungsstatus des statischen Schlüsselprofils an.

Beispiel: Konfigurieren des Profils für statische Schlüssel für Site-to-Site-VPN

Verwenden Sie dieses Konfigurationsbeispiel, um das statische Schlüsselprofil zu konfigurieren. Sie können das statische Schlüsselprofil verwenden, um eine IPsec-Site-to-Site-VPN-Infrastruktur zu sichern.

Sie können eine IPsec-Site-to-Site-VPN-Infrastruktur sichern, indem Sie das statische Schlüsselprofil konfigurieren.

In diesem Konfigurationsbeispiel verwenden die SRX1- und SRX2-Geräte das statische Schlüsselprofil, um die QKD-Schlüssel über IPsec-VPN abzurufen. Die QKD-Tasten helfen dabei, Datenverkehr sicher über das Internet zu senden.

Tipp:

Tabelle 1: Geschätzte Timer
Lesezeit	Weniger als eine Stunde
Konfigurationszeit	Weniger als eine Stunde

Beispiele für Voraussetzungen
Vorbereitungen
Funktionsübersicht
Topologieübersicht
Topologie-Illustration
Schritt-für-Schritt-Konfiguration auf Firewall-Geräten der SRX-Serie
Verifizierung
Anlage 1: Festlegen von Befehlen auf allen Geräten
Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Beispiele für Voraussetzungen

Tabelle 2: Anforderungen
Hardwareanforderungen	® Juniper Networks SRX1500 Firewall oder höher Gerätemodelle oder Juniper Networks® Virtuelle Firewall vSRX (vSRX3.0)
Softwareanforderungen	Junos OS Version 22.4R1 oder höher.

Vorbereitungen

Tabelle 3: Vorteile, Ressourcen und zusätzliche Informationen
Vorteile	Identifizierung von Bedrohungen Durch die Konfiguration von Quantenschlüsseln können Sie einen sicheren Quantenkanal zwischen den QKD-Geräten einrichten. Dies verbessert die Identifizierung von Bedrohungen und sichert das Netzwerk. Erweiterung der Sicherheit Sie können die vorhandenen Schlüssel mit Quantenschlüsseln zusammenführen und sie über vorhandene VPN-Tunnel verschlüsseln und entschlüsseln. Dies verbessert die Sicherheit der IPsec-VPN-Infrastruktur. Verbesserte kryptografische Stärke Die Einhaltung von RFC 8784 bietet Ihnen eine einfache Möglichkeit, Angreifer daran zu hindern, die Verbindung zu belauschen und die Schlüssel abzufangen. Dadurch wird auch die Interoperabilität mit anderen Geräten sichergestellt, die dem Standard entsprechen. Unterstützung der Interoperabilität Verwenden Sie ein beliebiges QKD-Gerät, das die ETSI QKD Rest-API unterstützt.
Nützliche Ressourcen
Mehr erfahren	IPsec-VPN Routenbasiertes IPsec-VPN
Praktische Erfahrung	vLABs Sandbox
Mehr erfahren	RFC 8784 – Mischen von vorinstallierten Schlüsseln im Internet Key Exchange Protocol Version 2 (IKEv2) für Post-Quantensicherheit

Funktionsübersicht

Tabelle 4: Funktionsübersicht Static Key Manager
IPsec-VPN	Stellen Sie eine IPsec-VPN-Topologie bereit, bei der Firewall-Geräte der SRX-Serie über VPN-Tunnel verbunden sind, die Datenverkehr durch den IPsec-VPN-Tunnel leiten. Die VPN-Tunnel werden später für die Verwendung von Quantenschlüsseln konfiguriert, was sie zu quantensicheren VPN-Tunneln macht.
IKE-Gateway	Stellen Sie eine sichere Verbindung her, verwendet das IKE-Gateway die IKE-Richtlinie, um sich bei der Überprüfung des Zertifikats auf die konfigurierte Gruppe von Zertifizierungsstellen (CA-Profilen) zu beschränken.
Vorschläge
IKE-Vorschlag	Definieren Sie die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peersicherheitsgateway verwendet werden. IKE erstellt die dynamischen Sicherheitszuordnungen und handelt sie für IPsec aus.
IPsec-Vorschlag	Listen Sie Protokolle, Algorithmen und Sicherheitsdienste auf, die mit dem Remote-IPsec-Peer ausgehandelt werden sollen.
Richtlinien
IKE-Richtlinie	Definieren Sie eine Kombination von Sicherheitsparametern (IKE-Vorschlägen), die während der IKE-Aushandlung verwendet werden sollen.
IPsec-Richtlinie	Sie enthalten Regeln und Sicherheitsrichtlinien, um Gruppen-VPN-Datenverkehr zwischen den angegebenen Zonen zuzulassen.
Sicherheitsrichtlinie	Hier können Sie den Typ des Datenverkehrs auswählen, der über die IPsec-Sicherheitszuordnungen gesichert werden soll. VPN-OUT – Lässt Datenverkehr von der Vertrauenszone zur VPN-Zone zu, wobei die Übereinstimmungskriterien wie folgt lauten: Quelladresse: HOST-1-NET Ziel-Adresse: HOST-2-NET Anwendung: jegliche VPN-IN – Lässt Datenverkehr von der VPN-Zone zur Vertrauenszone zu, wobei die Übereinstimmungskriterien wie folgt lauten: Quelladresse: HOST-2-NET Ziel-Adresse: HOST-1-NET Anwendung: jegliche
Profile
Schlüsselprofil	Definieren Sie, wie die Firewall-Geräte der SRX-Serie das statische Schlüsselprofil verwenden, um die QKD-Schlüssel im IPsec-VPN abzurufen, um Datenverkehr sicher über das Internet zu senden. Schlüsselprofil: Für Anwendungen und Services ist ein statisches Schlüsselprofil `km_profile_1` konfiguriert, um die konfigurierte Schlüssel-ID und den entsprechenden Schlüssel abzurufen. IKE-Vorschlag: Ein IKE-Vorschlag `IKE_PROP` wird mit den erforderlichen Algorithmen konfiguriert, um eine IKE-Sicherheitszuordnung einzurichten. IKE-Richtlinie: Eine IKE-Richtlinie `IKE_POL` ist so konfiguriert, dass sie die Laufzeitaushandlungs- und Authentifizierungsattribute festlegt. IKE-Gateway: Ein IKE-Gateway `IKE_GW` ist für die Verwaltung der IPsec-Tunnel zwischen Endgeräten konfiguriert. A `ppk-profile` gibt an, welches Schlüsselprofil zum Einrichten von Quantum Safe IKE oder IPsec SA verwendet werden soll. IPsec-Vorschlag: Ein IPsec-Vorschlag `IPSEC_PROP` wird mit den erforderlichen Algorithmen konfiguriert, um eine IPsec-Sicherheitszuordnung einzurichten. IPsec-Richtlinie: Eine IPsec-Richtlinie `IPSEC_POL` ist so konfiguriert, dass sie die IPsec-Aushandlungsattribute zur Laufzeit festlegt. IPsec-VPN: Eine IPsec-VPN-Richtlinie `IPSEC_VPN` ist so konfiguriert, dass sie den Bereich der zu sichernden Subnetze festlegt. Sicherheitszone: Drei verschiedene Sicherheitszonen `trust`, `untrustvpn` die für eine bessere Trennung des erwarteten Datenverkehrs innerhalb jeder dieser Zonen konfiguriert sind. Sicherheitsrichtlinie: Sicherheitsrichtlinien `trust to vpn` werden `vpn to trust` zwischen den Sicherheitszonen konfiguriert, um herauszufiltern, welche Art von Datenverkehr durch die IPsec-Sicherheitszuordnungen gesichert wird.
PPK-Profil	Geben Sie an, welches Schlüsselprofil zum Einrichten quantensicherer IKE- oder IPsec-Sicherheitszuordnungen verwendet werden soll, indem Sie auf das Schlüsselprofil unter dem IKE-Gateway verweisen.
Zertifikate
CA-Zertifikat	Überprüfen Sie die Identität von Geräten und authentifizieren Sie die Kommunikationsverbindung zwischen ihnen.
Lokales Zertifikat	Generieren Sie eine PKI, und registrieren Sie sie mit dem CA-Zertifikat zur Überprüfung.
KME-Zertifikat	Vom Anbieter generiertes Drittanbieterzertifikat
Sicherheitszonen
Vertrauen	Netzwerksegment in der Hostzone
Unglaubwürdigkeit	Netzwerksegment in der Zielserverzone
vpn	Netzwerksegment, über das SRX1- und SRX2-Geräte interagieren.
Primäre Verifizierungsaufgaben	Stellen Sie sicher, dass die eingerichteten IKE- und IPsec-Sicherheitszuordnungen quantensicher sind.

Topologieübersicht

In diesem Beispiel initiiert SRX1 die Aushandlung von quantensicheren IPsec-Tunneln mit SRX2 unter Verwendung eines CLI-konfigurierten statischen Schlüssels. SRX2 reagiert auf diese Anfrage, indem es die Identität von SRX1 zusammen mit dem Schlüssel verifiziert und ein quantensicheres IPsec-VPN einrichtet. Sobald der Tunnel eingerichtet ist, wird der Datenverkehr zwischen Host1 und Host2 mit dem eingerichteten IPsec-Tunnel gesichert.

Tabelle 5: Geräte, Rolle und Funktionen, die in dieser Konfiguration verwendet werden
Hostname	Rolle	Funktion
SRX1	Firewall der SRX-Serie in der Lage, IPsec-Tunnel einzurichten	Initiiert die Aushandlung von IKE- oder IPsec-Sicherheitszuordnungen und richtet quantensichere IPsec-Tunnel mit SRX2 ein, wobei ein statischer Schlüssel verwendet wird, der auf dem SRX1 konfiguriert ist.
SRX2	Firewall der SRX-Serie in der Lage, IPsec-Tunnel einzurichten	Reagiert auf die von SRX1 initiierte IKE- oder IPsec-SA-Aushandlung und richtet quantensichere IPsec-Tunnel mit einem statischen Schlüssel ein, der auf dem SRX2 konfiguriert ist.
Gastgeber1	Einen Host innerhalb der vertrauenswürdigen Zone oder LAN-Seite von SRX1	Initiiert clientseitigen Datenverkehr zu Host2
Gastgeber 2	Einen Host innerhalb der vertrauenswürdigen Zone oder LAN-Seite von SRX2	Reagiert auf clientseitigen Datenverkehr von Host1

Topologie-Illustration

Abbildung 3: Site-to-Site-VPN

Schritt-für-Schritt-Konfiguration auf Firewall-Geräten der SRX-Serie

HINWEIS:

Vollständige Beispielkonfigurationen für den Prüfling finden Sie unter:

Set-Befehle auf SRX1
Festlegen von Befehlen auf der SRX2

Diese Konfiguration gilt nur für SRX1- und SRX2-Geräte. Sie müssen die entsprechenden gerätespezifischen Konfigurationsänderungen vornehmen.

Konfigurieren Sie die Schnittstellen.

Konfigurieren Sie ein Schlüsselprofil vom Typ static mit einer Schlüssel-ID und einem entsprechenden Schlüssel.

Konfigurieren Sie die Sicherheitszonen.

Verifizierung

Dieser Abschnitt enthält eine Liste der show-Befehle, mit denen Sie die Funktion in diesem Beispiel überprüfen können.

Tabelle 6: Show-Befehle zur Überprüfung
Befehl	Verifizierungsaufgabe
security ike security-associations detail anzeigen	Stellen Sie sicher, dass die IKE-Sicherheitszuordnungen eingerichtet sind.
Sicherheits-IPsec-Sicherheitszuordnungen anzeigen	Stellen Sie sicher, dass die IPsec-Sicherheitszuordnungen eingerichtet sind.
IPSec-Sicherheitsstatistiken anzeigen	Überprüfen Sie die IPsec-Verschlüsselungs- und -Entschlüsselungsstatistiken.
Details zu Sicherheitsschlüssel-Manager-Profilen anzeigen	Überprüfen Sie die Statistiken der wichtigsten Profile.
ping 192.168.80.20 Quelle 192.168.90.20 Anzahl 4	Ping von HOST1 zu HOST2 oder umgekehrt.

Überprüfen von IKE-SAs
Überprüfen von IPsec-Sicherheitszuordnungen
Überprüfen von IPsec-Statistiken
Schlüssel-Manager-Profil überprüfen
Ping von HOST 1 zu HOST 2

Überprüfen von IKE-SAs

Zweck
Action!
Bedeutung

Zweck

Überprüfen der IKE-Sicherheitszuordnungen

Action!

Geben Sie im Betriebsmodus den show security ike security-associations detail Befehl ein, um die IKE-Sicherheitszuordnungen anzuzeigen.

Bedeutung

Die Role: Initiator, State: UPFelder , PPK-profile: km_profile_1 Optional: No, IPSec security associations: 4 createdund Flags: IKE SA is created zeigen an, dass die IKE-Sicherheitszuordnungen erfolgreich erstellt wurden.

Überprüfen von IPsec-Sicherheitszuordnungen

Zweck
Action!
Bedeutung

Zweck

Überprüfen der IPsec-Sicherheitszuordnungen

Action!

Geben Sie im Betriebsmodus den show security ipsec security-associations detail Befehl ein, um die IPsec-Sicherheitszuordnungen anzuzeigen.

Bedeutung

tunnel-establishment: establish-tunnels-immediately IKE SA Index: 1 Die Version: IKEv2 Quantum Secured: Yes und-Felder zeigen an, dass die IPsec-Sicherheitszuordnungen erfolgreich erstellt wurden.

Die Beispielausgabe bestätigt die IPsec-Sicherheitszuordnungen.

Überprüfen von IPsec-Statistiken

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die IPsec-Statistiken.

Action!

Geben Sie im Betriebsmodus den show security ipsec statistics Befehl ein, um die IPsec-Statistiken anzuzeigen.

Bedeutung

AH Statistics Die ESP Statistics und-Felder zeigen die IPsec-Statistiken an.

Schlüssel-Manager-Profil überprüfen

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie das Profil des Schlüsselmanagers.

Action!

Geben Sie im Betriebsmodus die show security key-manager profiles Details ein, um das Schlüsselmanagerprofil anzuzeigen.

Bedeutung

Type: Static Die Name: km_profile_1 und-Felder zeigen das Profil des Schlüsselmanagers.

Ping von HOST 1 zu HOST 2

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die Konnektivität von HOST 1 zu HOST 2.

Action!

Geben Sie im Betriebsmodus den Ping 192.168.80.20 Quelle 192.168.90.20 Zähler 4 ein, um die Konnektivität von HOST 1 zu HOST 2 anzuzeigen.

Bedeutung

Der PING 192.168.80.20 (192.168.80.20): 56 data bytes bestätigt die Verbindung von HOST 1 zu HOST 2.

Anlage 1: Festlegen von Befehlen auf allen Geräten

Legen Sie die Befehlsausgabe auf allen Geräten fest.

Set-Befehle auf SRX1
Festlegen von Befehlen auf der SRX2

Set-Befehle auf SRX1

Festlegen von Befehlen auf der SRX2

Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

SRX1-KARTON
SRX2-KARTON

SRX1-KARTON

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security key-manager profilesBefehle , show security key-manager, show interfaces, show security zones, show security ike policy IKE_POLshow security ike gateway IKE_GWshow security ike proposal IKE_PROPshow security ipsec proposal IPSEC_PROPshow security policiesshow security ipsec policy IPSEC_POLund show security ipsec vpn IPSEC_VPN eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

SRX2-KARTON

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security key-manager profilesBefehle , show security key-manager, show interfaces, show security zones, show security ike policy IKE_POLshow security ike gateway IKE_GWshow security ike proposal IKE_PROPshow security ipsec proposal IPSEC_PROPshow security policiesshow security ipsec policy IPSEC_POLund show security ipsec vpn IPSEC_VPN eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Beispiel: Konfiguration quantengesicherter IPsec-AutoVPN-Topologie mit dem Quantum Key Manager-Schlüsselprofil

Verwenden Sie dieses Konfigurationsbeispiel, um eine IPsec-AutoVPN-Infrastruktur zu sichern, indem Sie das Quantenschlüssel-Manager-Schlüsselprofil konfigurieren.

Hub, Spoke 1 und Spoke 2 verwenden Quantenschlüssel-Manager-Schlüsselprofile, um mit KME Hub, KME Spoke 1 und KME Spoke 2 zu kommunizieren, um die QKD-Schlüssel abzurufen und dann IPsec-VPN-Tunnel einzurichten.

Tipp:

Tabelle 7: Geschätzte Timer
Lesezeit	Weniger als eine Stunde.
Konfigurationszeit	Weniger als eine Stunde.

Beispiele für Voraussetzungen
Vorbereitungen
Funktionsübersicht
Topologieübersicht
Topologie-Illustration
Schritt-für-Schritt-Konfiguration auf dem Hub
Schritt-für-Schritt-Konfiguration auf Spoke-Geräten
Verifizierung
Anlage 1: Festlegen von Befehlen auf allen Geräten
Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Beispiele für Voraussetzungen

Tabelle 8: Hardware- und Softwareanforderungen
Hardwareanforderungen	® Juniper Networks SRX1500 Firewall oder höher Gerätemodelle oder Juniper Networks® Virtuelle Firewall vSRX (vSRX3.0) KME- (Key Management Entity) oder QKD-Geräte (Quantum Key Distribution) von Drittanbietern. Die KME-Parameter entsprechen der ETSI GS QKD 014-Spezifikation .
Softwareanforderungen	Junos OS Version 22.4R1 oder höher.

Vorbereitungen

Tabelle 9: Vorteile, Ressourcen und zusätzliche Informationen
Vorteile	Identifizierung von Bedrohungen Richten Sie einen sicheren Quantenkanal zwischen den QKD-Geräten ein, der eine Bedrohungserkennung mithilfe von Quantenschlüsseln garantiert. Erweiterung der Sicherheit Vorhandene Schlüssel mit Quantenschlüsseln zusammenführen und diese über vorhandene VPN-Tunnel verschlüsseln und entschlüsseln, wodurch die Sicherheit der IPsec-VPN-Infrastruktur erweitert wird. RFC 8784-konform Erweitern Sie das bereits standardisierte RFC 8784-Verfahren. Unterstützung der Interoperabilität Verwenden Sie ein beliebiges QKD-Gerät, das die ETSI QKD Rest-API unterstützt.
Nützliche Ressourcen
Mehr erfahren	IPsec-VPN AutoVPN auf Hub-and-Spoke-Geräten
Praktische Erfahrung	vLab-Sandbox: IPsec-VPN – richtlinienbasiert
Mehr erfahren	RFC 8784 – Mischen von vorinstallierten Schlüsseln im Internet Key Exchange Protocol Version 2 (IKEv2) für Post-Quantensicherheit ETSI QKD Rest-API

Funktionsübersicht

Tabelle 10 Enthält eine kurze Zusammenfassung der in diesem Beispiel bereitgestellten Konfigurationskomponenten.

Tabelle 10: Funktionsübersicht für Quantum Key Manager
IPsec-VPN	Stellen Sie eine Hub-and-Spoke-IPsec-VPN-Topologie bereit, bei der Spokes durch VPN-Tunnel verbunden sind, die Datenverkehr über den Hub leiten. Diese VPN-Tunnel werden später für die Verwendung von Quantenschlüsseln konfiguriert, was sie zu quantensicheren VPN-Tunneln macht.
IKE-Gateway	Stellen Sie eine sichere Verbindung her, verwendet das IKE-Gateway die IKE-Richtlinie, um sich bei der Überprüfung des Zertifikats auf die konfigurierte Gruppe von Zertifizierungsstellen (CA-Profilen) zu beschränken.
Vorschläge
IKE-Vorschlag	Definieren Sie die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peersicherheitsgateway verwendet werden. IKE erstellt die dynamischen Sicherheitszuordnungen und handelt sie für IPsec aus.
IPsec-Vorschlag	Listen Sie Protokolle, Algorithmen und Sicherheitsdienste auf, die mit dem Remote-IPsec-Peer ausgehandelt werden sollen.
Richtlinien
IKE-Richtlinie	Definieren Sie eine Kombination von Sicherheitsparametern (IKE-Vorschlägen), die während der IKE-Aushandlung verwendet werden sollen.
IPsec-Richtlinie	Sie enthalten Regeln und Sicherheitsrichtlinien, um Gruppen-VPN-Datenverkehr zwischen den angegebenen Zonen zuzulassen.
Sicherheitsrichtlinie	Hier können Sie den Typ des Datenverkehrs auswählen, der über die IPsec-Sicherheitszuordnungen gesichert werden soll. VPN-OUT – Lässt Datenverkehr von der Vertrauenszone zur VPN-Zone zu, wobei die Übereinstimmungskriterien wie folgt lauten: Quelladresse: HOST-1-NET Ziel-Adresse: HOST-2-NET Anwendung: jegliche VPN-IN – Lässt Datenverkehr von der VPN-Zone zur Vertrauenszone zu, wobei die Übereinstimmungskriterien wie folgt lauten: Quelladresse: HOST-2-NET Ziel-Adresse: HOST-1-NET Anwendung: jegliche
Profile
Schlüsselprofil	Definieren Sie, wie die SRX-Geräte mit den KME-Geräten kommunizieren, um QKD-Schlüssel vom externen KME-Server abzurufen. Schlüsselprofile werden auf dem Hub (HUB_KM_PROFILE_1) und den Spokes (SPOKE_1_KM_PROFILE_1 und SPOKE_2_KM_PROFILE_1) separat konfiguriert. Konfigurieren `SPOKE-1` und `SPOKE-2` für Anwendungen und Dienste zum Abrufen von QKD-Schlüsseln von externen Servern. Schlüsselprofil: Konfigurieren Sie die folgenden Quantenschlüssel-Manager-Schlüsselprofile auf dem Hub. `HUB_KM_PROFILE_1` `SPOKE_1_KM_PROFILE_1` `SPOKE_2_KM_PROFILE_1` Konfigurieren `SPOKE-1` und `SPOKE-2` mit den erforderlichen Algorithmen zum Einrichten einer IKE-SAs. IKE-Vorschlag: Konfigurieren Sie die folgenden IKE-Vorschläge im Hub. `HUB_IKE_PROP` `SPOKE_1_IKE_PROP` `SPOKE_2_IKE_PROP` Konfigurieren `SPOKE-1` und `SPOKE-2` Festlegen der Laufzeitaushandlungs- und Authentifizierungsattribute. IKE-Richtlinie: Konfigurieren Sie die folgenden IKE-Richtlinien auf dem Hub. `HUB_IKE_POL` `SPOKE_1_IKE_POL` `SPOKE_3_IKE_POL` Konfigurieren `SPOKE-1` und `SPOKE-2` Festlegen der Endpunkte zwischen den IPsec-Tunneln. IKE-Gateway: Konfigurieren Sie die folgenden IKE-Gateways im Hub. A `ppk-profile` gibt an, welches Schlüsselprofil zum Einrichten einer quantensicheren IKE- oder IPsec-Sicherheitszuordnung verwendet werden soll. `HUB_IKE_GW` `SPOKE_1_IKE_GW` `SPOKE_2_IKE_GW` Konfigurieren `SPOKE-1` und `SPOKE-2` mit den erforderlichen Algorithmen zum Einrichten einer IPsec-Sicherheitszuordnung. IPsec-Vorschlag: Konfigurieren Sie die folgenden IPsec-Vorschläge auf dem Hub. `HUB_IPSEC_PROP` `SPOKE_1_IPSEC_PROP` `SPOKE_2_IPSEC_PROP` Konfigurieren `SPOKE-1` und `SPOKE-2` Festlegen der IPsec-Aushandlungsattribute zur Laufzeit. IPsec-Richtlinie: Konfigurieren Sie die folgenden IPsec-Richtlinien auf dem Hub. `HUB_IPSEC_POL` `SPOKE_1_IPSEC_POL` `SPOKE_2_IPSEC_POL` Konfigurieren `SPOKE-1` und `SPOKE-2` Festlegen des Bereichs der Subnetze, die gesichert werden müssen. IPsec-VPN: Konfigurieren Sie die folgenden IPsec-VPNs auf dem Hub. `HUB_IPSEC_VPN` `SPOKE_1_IPSEC_VPN` `SPOKE_2_IPSEC_VPN` Sicherheitszone: Konfigurieren Sie drei verschiedene Sicherheitszonen, um den Datenverkehr zu trennen. `trust` `untrust` `vpn` Sicherheitsrichtlinie: Konfigurieren Sie die Sicherheitsrichtlinien `trust to vpn` und `vpn to trust` wählen Sie den Datenverkehrstyp aus, der durch die IPsec-Sicherheitszuordnungen gesichert wird.
PPK-Profil	Geben Sie an, welches Schlüsselprofil zum Einrichten quantensicherer IKE- oder IPsec-Sicherheitszuordnungen verwendet werden soll, indem Sie auf das Schlüsselprofil unter dem IKE-Gateway verweisen.
Zertifikate
CA-Zertifikat	Überprüfen Sie die Identität von Geräten und authentifizieren Sie die Kommunikationsverbindung zwischen ihnen.
Lokales Zertifikat	Generieren Sie eine PKI, und registrieren Sie sie mit dem CA-Zertifikat zur Überprüfung.
KME-Zertifikat	Vom Anbieter generiertes Drittanbieterzertifikat.
Sicherheitszonen
Vertrauen	Netzwerksegment in der Host-Zone.
Unglaubwürdigkeit	Netzwerksegment in der Zielserverzone.
vpn	Netzwerksegment, über das der Hub und die Spokes interagieren.
Primäre Verifizierungsaufgaben	Stellen Sie sicher, dass die eingerichteten IKE- und IPsec-Sicherheitszuordnungen quantensicher sind.

Topologieübersicht

In diesem Beispiel sichern wir die Hub-and-Spoke-IPSec-VPN-Tunnel mit Quantenschlüsseln, die von KME-Geräten anderer Anbieter generiert werden. Die KME-Geräte (KME-Hub, KME-Spoke 1 und KME-Spoke 2) sind über einen hochsicheren Quantenkanal miteinander verbunden, der in der Lage ist, Bedrohungen zu identifizieren. Über diesen Kanal rufen die Hub-and-Spoke-Geräte Quantenschlüssel von ihrem entsprechenden KME-Gerät ab und führen sie mit den vorhandenen Schlüsseln zusammen, um die VPN-Tunnel quantensicher zu machen.

Tabelle 11: Komponenten der Quantum Key Manager-Topologie
Topologiekomponenten	Rolle	Funktion
`Hub`	Firewall der SRX-Serie in der Lage, IPsec-Tunnel einzurichten	Reagiert auf IKE- oder IPsec-SA-Aushandlung und richtet quantensichere IPsec-Tunnel mit QKD-Schlüssel vom KME-HUB QKD-Gerät auf `SPOKE-1` und `SPOKE-2`ein.
`SPOKE-1`	Firewall der SRX-Serie in der Lage, IPsec-Tunnel einzurichten	Initiiert die Aushandlung von IKE- oder IPsec-Sicherheitszuordnungen und richtet quantensichere IPsec-Tunnel mit Hub ein, die den QKD-Schlüssel vom `KME-SPOKE-1` QKD-Gerät verwenden.
`SPOKE-2`	Firewall der SRX-Serie in der Lage, IPsec-Tunnel einzurichten	Initiiert die Aushandlung von IKE- oder IPsec-Sicherheitszuordnungen und richtet quantensichere IPsec-Tunnel mit Hub ein, die den QKD-Schlüssel vom `KME-SPOKE-2` QKD-Gerät verwenden.
`HOST-1`	Der Host innerhalb der vertrauenswürdigen Zone oder LAN-Seite von ist `SPOKE 1Host 1` gesichert durch `SPOKE 1`.	Initiiert clientseitigen Datenverkehr in Richtung `HOST-3`
`HOST-2`	Der Host innerhalb der vertrauenswürdigen Zone oder LAN-Seite von ist `SPOKE 2Host 2` gesichert durch `SPOKE 2`.	Initiiert clientseitigen Datenverkehr in Richtung `HOST-3`
`HOST- 3`	Hosten Sie innerhalb der vertrauenswürdigen Zone oder LAN-Seite des Hubs. `Host 3` wird gesichert durch `Hub`.	Reagiert auf clientseitigen Datenverkehr von `HOST-1` und `HOST-2`
`KME-HUB`	QKD-Gerät eines Drittanbieters	Stellt QKD-Schlüssel als Antwort auf Schlüsselanforderungen von `HUB`
`KME-SPOKE-1`	QKD-Gerät eines Drittanbieters	Stellt QKD-Schlüssel als Antwort auf Schlüsselanforderungen von `SPOKE-1`
`KME-SPOKE-2`	QKD-Gerät eines Drittanbieters	Stellt QKD-Schlüssel als Antwort auf Schlüsselanforderungen von `SPOKE-2`

Topologie-Illustration

Abbildung 4: Quantum Key Manager mit AutoVPN

Schritt-für-Schritt-Konfiguration auf dem Hub

HINWEIS:

Vollständige Beispielkonfigurationen für Hub-and-Spoke-Geräte finden Sie unter:

Anlage 1: Festlegen von Befehlen auf allen Geräten
Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Konfigurieren Sie die Hub-Schnittstellen.

Konfigurieren Sie Hub-Spoke für das IPsec-VPN. Dazu gehört die Konfiguration der Sicherheitszonen, Sicherheitsrichtlinien und relevanten Zertifikate für die Authentifizierung von Geräteidentitäten und deren Kommunikationsverbindungen.

Konfigurieren Sie den Hub so, dass das Zertifizierungsstellenzertifikat vom Zertifizierungsstellenserver abgerufen wird, oder laden Sie ein lokal verfügbares Zertifizierungsstellenzertifikat vom Gerät.

HINWEIS:

Die KME-Zertifikate müssen gemäß den Anweisungen des Drittanbieters konfiguriert werden.

Konfigurieren Sie den IPsec-Vorschlag und die Richtlinie. Konfigurieren Sie die IKE-Richtlinie, den Vorschlag und das Gateway für das IPsec-VPN.

Konfigurieren Sie das Quantenschlüssel-Manager-Schlüsselprofil, um Quantenschlüssel vom entsprechenden KME-Hub-Gerät abzurufen.

Binden Sie das Quantum Key Manager-Schlüsselprofil als IKE-Gateway ppk-profile, um die VPN-Tunnel quantensicher zu machen.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Schritt-für-Schritt-Konfiguration auf Spoke-Geräten

HINWEIS:

Vollständige Beispielkonfigurationen auf den Geräten finden Sie unter:

Anlage 1: Festlegen von Befehlen auf allen Geräten
Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Diese Konfiguration gilt für Spoke 1- und Spoke 2-Geräte, Sie müssen die entsprechenden gerätespezifischen Konfigurationsänderungen vornehmen.

Konfigurieren Sie die Spoke-Schnittstellen.

Konfigurieren Sie Hub-Spoke für das IPsec-VPN. Dazu gehört die Konfiguration der Sicherheitszonen, Sicherheitsrichtlinien und relevanten Zertifikate für die Authentifizierung von Geräteidentitäten und deren Kommunikationsverbindungen.

Konfigurieren Sie den Hub so, dass das Zertifizierungsstellenzertifikat vom Zertifizierungsstellenserver abgerufen wird, oder laden Sie ein lokal verfügbares Zertifizierungsstellenzertifikat vom Gerät.

HINWEIS:

Die KME-Zertifikate müssen gemäß den Anweisungen des Drittanbieters konfiguriert werden.

Konfigurieren Sie den IPsec-Vorschlag und die Richtlinie. Konfigurieren Sie die IKE-Richtlinie, den Vorschlag und das Gateway für das IPsec-VPN.

Konfigurieren Sie das Schlüsselprofil des Quantenschlüssel-Managers, um Quantenschlüssel vom entsprechenden Spoke-Gerät abzurufen.

Binden Sie das Quantum Key Manager-Schlüsselprofil als IKE-Gateway ppk-profile, um die VPN-Tunnel quantensicher zu machen.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Dieser Abschnitt enthält eine Liste der show-Befehle, mit denen Sie die Funktion in diesem Beispiel überprüfen können.

Tabelle 12: Aufgaben zur Verifizierung
Befehl	Verifizierungsaufgabe
security ike security-associations detail anzeigen	Überprüfen Sie die IKE-Sicherheitszuordnungen.
Sicherheits-IPsec-Sicherheitszuordnungen anzeigen	Überprüfen Sie die IPsec-Sicherheitszuordnungen.
IPSec-Sicherheitsstatistiken anzeigen	Überprüfen Sie die IPsec-Verschlüsselungs- und -Entschlüsselungsstatistiken.
Details zu Sicherheitsschlüssel-Manager-Profilen anzeigen	Überprüfen Sie die Statistiken der wichtigsten Profile.
ping 192.168.90.20 Quelle 192.168.80.20 Anzahl 4	Ping von Host 1 zu Host 3.
ping 192.168.90.20 Quelle 192.168.70.20 Anzahl 4	Ping von Host 2 zu Host 3.

Überprüfen von IKE-SAs
Überprüfen von IPsec-Sicherheitszuordnungen
Überprüfen von IPsec-Statistiken
Schlüssel-Manager-Profil überprüfen
Ping von Host 1 zu Host 3
Ping von Host 2 zu Host 3

Überprüfen von IKE-SAs

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die IKE-Sicherheitszuordnungen.

Action!

Geben Sie im Betriebsmodus den show security ike security-associations detail Befehl ein, um die IKE-Sicherheitszuordnungen anzuzeigen.

Bedeutung

Die Beispielausgabe bestätigt die IKE-SAs.

Überprüfen von IPsec-Sicherheitszuordnungen

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die IPsec-Sicherheitszuordnungen.

Action!

Geben Sie im Betriebsmodus den show security ipsec security-associations detail Befehl ein, um die IPsec-Sicherheitszuordnungen anzuzeigen.

Bedeutung

Die Beispielausgabe bestätigt die IPsec-Sicherheitszuordnungen.

Überprüfen von IPsec-Statistiken

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die IPsec-Statistiken.

Action!

Geben Sie im Betriebsmodus den show security ipsec statistics Befehl ein, um die IPsec-Statistiken anzuzeigen.

Bedeutung

Die Beispielausgabe bestätigt die IPsec-Statistik.

Schlüssel-Manager-Profil überprüfen

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie das Profil des Schlüsselmanagers.

Action!

Geben Sie im Betriebsmodus den show security key-manager profiles detail Befehl ein und überprüfen Sie das Success Feld in der Request stats Option.

Bedeutung

Die Beispielausgabe bestätigt das Quantum Key Manager-Profil.

Ping von Host 1 zu Host 3

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die Konnektivität von Host 1 zu Host 3.

Action!

Geben Sie im Betriebsmodus den ping 192.168.90.20 source 192.168.80.20 count 5 Befehl ein, um die Konnektivität von Host 1 zu Host 3 anzuzeigen.

Bedeutung

Die Beispielausgabe bestätigt die Konnektivität von Host 1 zu Host 3.

Ping von Host 2 zu Host 3

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die Konnektivität von Host 2 zu Host 3.

Action!

Geben Sie im Betriebsmodus den ping 192.168.90.20 source 192.168.80.20 count 5 Befehl ein, um die Konnektivität von Host 2 zu Host 3 anzuzeigen.

Bedeutung

Die Beispielausgabe bestätigt die Konnektivität von Host 2 zu Host 3.

Anlage 1: Festlegen von Befehlen auf allen Geräten

Legen Sie die Befehlsausgabe auf allen Geräten fest.

Festlegen von Befehlen auf dem Hub
Festlegen von Befehlen auf Spoke 1
Festlegen von Befehlen auf Spoke 2

Festlegen von Befehlen auf dem Hub

Festlegen von Befehlen auf Spoke 1

Festlegen von Befehlen auf Spoke 2

Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Zeigen Sie die Befehlsausgabe auf dem Prüfling an.

Nabe
Speiche 1
Speiche 2

Nabe

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , show security ipsec proposal HUB_IPSEC_PROPshow security policies from-zone vpn to-zone trustshow security ipsec vpn HUB_IPSEC_VPNshow security zones security-zone untrustshow security policies from-zone trust to-zone vpnshow interfacesshow security ike gateway HUB_IKE_GWshow security zones security-zone trustshow security ike policy HUB_IKE_POLshow security ipsec policy HUB_IPSEC_POLshow security ike proposal HUB_IKE_PROPshow security key-managershow security pki ca-profile Root-CA Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Speiche 1

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , show security ipsec proposal SPOKE_1_IPSEC_PROPshow security policies from-zone trust to-zone vpnshow security ipsec vpn SPOKE_1_IPSEC_VPNshow interfacesshow security zones security-zone trustshow security policies from-zone vpn to-zone trustshow security ike gateway SPOKE_1_IKE_GWshow security zones security-zone untrustshow security ike policy SPOKE_1_IKE_POLshow security ipsec policy SPOKE_1_IPSEC_POLshow security ike proposal SPOKE_1_IKE_PROPshow security key-manager profiles SPOKE_1_KM_PROFILE_1show security pki ca-profile Root-CA Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Speiche 2

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , show security ipsec proposal SPOKE_1_IPSEC_PROPshow security policies from-zone trust to-zone vpnshow security ipsec vpn SPOKE_1_IPSEC_VPNshow interfacesshow security zones security-zone trustshow security policies from-zone vpn to-zone trustshow security ike gateway SPOKE_1_IKE_GWshow security zones security-zone untrustshow security ike policy SPOKE_1_IKE_POLshow security ipsec policy SPOKE_1_IPSEC_POLshow security ike proposal SPOKE_1_IKE_PROPshow security key-manager profiles SPOKE_1_KM_PROFILE_1show security pki ca-profile Root-CA Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Beispiel: Konfigurieren des statischen Schlüsselprofils für AutoVPN

Verwenden Sie dieses Konfigurationsbeispiel, um eine IPsec-AutoVPN-Infrastruktur zu sichern, indem Sie das statische Schlüsselprofil konfigurieren.

Sie können eine IPsec-AutoVPN-Infrastruktur sichern, indem Sie das statische Schlüsselprofil konfigurieren.

In diesem Konfigurationsbeispiel verwenden Hub, Spoke 1 und Spoke 2 statische Schlüsselprofile, um die QKD-Schlüssel über IPsec-VPN abzurufen. Die QKD-Tasten helfen dabei, Datenverkehr sicher über das Internet zu senden.

Tipp:

Tabelle 13: Geschätzte Timer
Lesezeit	Weniger als eine Stunde
Konfigurationszeit	Weniger als eine Stunde

Beispiele für Voraussetzungen
Vorbereitungen
Funktionsübersicht
Topologieübersicht
Topologie-Illustration
Schritt-für-Schritt-Konfiguration auf dem Hub
Schritt-für-Schritt-Konfiguration auf Spoke-Geräten
Verifizierung
Anlage 1: Festlegen von Befehlen auf allen Geräten
Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Beispiele für Voraussetzungen

Tabelle 14: Anforderungen
Hardwareanforderungen	® Juniper Networks SRX1500 Firewall oder höher Gerätemodelle oder Juniper Networks® Virtuelle Firewall vSRX (vSRX3.0) KME- (Key Management Entity) oder QKD-Geräte (Quantum Key Distribution) von Drittanbietern. Die KME-Parameter entsprechen der ETSI GS QKD 014-Spezifikation .
Softwareanforderungen	Junos OS Version 22.4R1 oder höher.

Vorbereitungen

Tabelle 15: Vorteile, Ressourcen und zusätzliche Informationen
Vorteile	Identifizierung von Bedrohungen Durch die Konfiguration von Quantenschlüsseln können Sie einen sicheren Quantenkanal zwischen den QKD-Geräten einrichten. Dies verbessert die Identifizierung von Bedrohungen und sichert das Netzwerk. Erweiterung der Sicherheit Sie können die vorhandenen Schlüssel mit Quantenschlüsseln zusammenführen und sie über vorhandene VPN-Tunnel verschlüsseln und entschlüsseln. Dies verbessert die Sicherheit der IPsec-VPN-Infrastruktur. Verbesserte kryptografische Stärke Die Einhaltung von RFC 8784 bietet Ihnen eine einfache Möglichkeit, Angreifer daran zu hindern, die Verbindung zu belauschen und die Schlüssel abzufangen. Dadurch wird auch die Interoperabilität mit anderen Geräten sichergestellt, die dem Standard entsprechen. Unterstützung der Interoperabilität Verwenden Sie ein beliebiges QKD-Gerät, das die ETSI QKD Rest-API unterstützt.
Nützliche Ressourcen
Mehr erfahren	IPsec-VPN AutoVPN auf Hub-and-Spoke-Geräten
Praktische Erfahrung	vLABs Sandbox
Mehr erfahren	RFC 8784 – Mischen von vorinstallierten Schlüsseln im Internet Key Exchange Protocol Version 2 (IKEv2) für Post-Quantensicherheit Rufen Sie die Adresse der Zertifizierungsstelle (CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, und senden Sie dann Anforderungen für lokale Zertifikate. Weitere Informationen finden Sie unter Grundlegendes zu lokalen Zertifikatanforderungen. Registrieren Sie die digitalen Zertifikate auf jedem Gerät. Siehe Beispiel: ManuellesLaden von CA- und lokalen Zertifikaten.

Funktionsübersicht

Tabelle 16: Funktionsübersicht Static Key Manager
IPsec-VPN	Stellt eine Hub-and-Spoke-IPsec-VPN-Topologie bereit, bei der Spokes durch VPN-Tunnel verbunden sind, die Datenverkehr über den Hub leiten. Diese VPN-Tunnel werden später für die Verwendung von Quantenschlüsseln konfiguriert, was sie zu quantensicheren VPN-Tunneln macht.
IKE-Gateway	Wenn eine sichere Verbindung hergestellt wird, verwendet das IKE-Gateway die IKE-Richtlinie, um sich bei der Überprüfung des Zertifikats auf die konfigurierte Gruppe von Zertifizierungsstellen (CA-Profilen) zu beschränken.
Vorschläge
IKE-Vorschlag	Definiert die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peersicherheitsgateway verwendet werden. IKE erstellt die dynamischen Sicherheitszuordnungen und handelt sie für IPsec aus.
IPsec-Vorschlag	Listet Protokolle, Algorithmen und Sicherheitsdienste auf, die mit dem Remote-IPsec-Peer ausgehandelt werden sollen.
Richtlinien
IKE-Richtlinie	Definiert eine Kombination von Sicherheitsparametern (IKE-Vorschlägen), die während der IKE-Aushandlung verwendet werden sollen.
IPsec-Richtlinie	Enthält Regeln und Sicherheitsrichtlinien, um Gruppen-VPN-Datenverkehr zwischen den angegebenen Zonen zuzulassen.
Sicherheitsrichtlinie	Hier können Sie den Typ des Datenverkehrs auswählen, der über die IPsec-Sicherheitszuordnungen gesichert werden soll. VPN-OUT: Lässt Datenverkehr von der Vertrauenszone zur VPN-Zone zu, wobei die Übereinstimmungskriterien wie folgt lauten: Quelladresse: HOST-1-NET Ziel-Adresse: HOST-2-NET Anwendung: jegliche VPN-IN: Lässt Datenverkehr von der VPN-Zone zur Vertrauenszone zu, wobei die Übereinstimmungskriterien wie folgt lauten: Quelladresse: HOST-2-NET Ziel-Adresse: HOST-1-NET Anwendung: jegliche
Profile
Schlüsselprofil	Definieren Sie, wie die Firewall-Geräte der SRX-Serie mit den KME-Geräten kommunizieren, um QKD-Schlüssel vom externen KME-Server abzurufen. Schlüsselprofile werden auf dem Hub (HUB_KM_PROFILE_1) und den Spokes (SPOKE_1_KM_PROFILE_1 und SPOKE_2_KM_PROFILE_1) separat konfiguriert. Schlüsselprofil: Statische Schlüsselprofile `HUB_KM_PROFILE_1`und `SPOKE_1_KM_PROFILE_1SPOKE_2_KM_PROFILE_1` werden auf dem HUB, SPOKE-1 bzw. SPOKE-2 konfiguriert, damit Anwendungen/Services eine CLI-konfigurierte Schlüssel-ID und den entsprechenden Schlüssel abrufen können. IKE-Vorschlag: IKE-Vorschläge `HUB_IKE_PROP`und `SPOKE_1_IKE_PROPSPOKE_2_IKE_PROP` werden auf dem HUB, SPOKE-1 bzw. SPOKE-2 mit den erforderlichen Algorithmen zum Einrichten einer IKE-Sicherheitszuordnung konfiguriert. IKE-Richtlinie: IKE-Richtlinien `HUB_IKE_POL`und `SPOKE_1_IKE_POLSPOKE_3_IKE_POL` werden auf HUB, SPOKE-1 bzw. SPOKE-2 konfiguriert, um die Laufzeitaushandlungs-/Authentifizierungsattribute festzulegen. IKE-Gateway – IKE-Gateways `HUB_IKE_GWSPOKE_1_IKE_GW` und `SPOKE_2_IKE_GW` werden auf dem HUB, SPOKE-1 bzw. SPOKE-2 konfiguriert, um die Endpunkte festzulegen, zwischen denen die IPsec-Tunnel eingerichtet werden müssen, verweisen auf die konfigurierte IKE-Richtlinie, die zu verwendende IKE-Version und ein ppk-Profil, um anzugeben, welches Schlüsselprofil zum Einrichten quantensicherer IKE/IPsec-Sicherheitszuordnungen verwendet werden muss. IPsec-Vorschlag: IPSEC-Vorschläge `HUB_IPSEC_PROPSPOKE_1_IPSEC_PROPSPOKE_2_IPSEC_PROP` und werden auf dem HUB, SPOKE-1 bzw. SPOKE-2 mit den erforderlichen Algorithmen zum Herstellen einer IPSEC-Sicherheitszuordnung konfiguriert. IPsec-Richtlinie: IPSEC-Richtlinien `HUB_IPSEC_POL`und `SPOKE_1_IPSEC_POLSPOKE_2_IPSEC_POL` werden auf HUB, SPOKE-1 bzw. SPOKE-2 konfiguriert, um die IPsec-Aushandlungsattribute zur Laufzeit festzulegen. IPsec-VPN: IPSEC-VPNs `HUB_IPSEC_VPN`, und `SPOKE_2_IPSEC_VPN` die auf dem HUB, SPOKE-1 bzw. SPOKE-2 konfiguriert sind, `SPOKE_1_IPSEC_VPN` um den Bereich der zu sichernden Subnetze festzulegen, verweisen Sie auf die konfigurierte IPsec-Richtlinie und das IKE-Gateway. Sicherheitszone: Es gibt 3 verschiedene Sicherheitszonen `trust`, `untrust` die `vpn` für eine bessere Trennung des erwarteten Datenverkehrs innerhalb jeder dieser Zonen konfiguriert sind. Sicherheitsrichtlinie: Sicherheitsrichtlinien `trust to vpn` werden `vpn to trust` zwischen den Sicherheitszonen konfiguriert, um herauszufiltern, welche Art von Datenverkehr durch die IPsec-Sicherheitszuordnungen gesichert wird.
PPK-Profil	Gibt an, welches Schlüsselprofil verwendet werden soll, um quantensichere IKE- oder IPsec-Sicherheitszuordnungen einzurichten, indem auf das Schlüsselprofil unter dem IKE-Gateway verwiesen wird.
Zertifikate
CA-Zertifikat	Überprüft die Identität von Geräten und authentifiziert die Kommunikationsverbindung zwischen ihnen.
Lokales Zertifikat	Generiert PKI, und registriert sie mit dem CA-Zertifikat zur Überprüfung.
KME-Zertifikat	Vom Anbieter generiertes Drittanbieterzertifikat.
Sicherheitszonen
Vertrauen	Netzwerksegment in der Host-Zone.
Unglaubwürdigkeit	Netzwerksegment in der Zielserverzone.
vpn	Netzwerksegment, über das der Hub-and-Spoke interagiert.
Primäre Verifizierungsaufgaben	Stellen Sie sicher, dass die eingerichteten IKE- und IPsec-Sicherheitszuordnungen quantensicher sind.

Topologieübersicht

In diesem Beispiel initiieren SPOKE 1 und SPOKE 2 die Aushandlung quantensicherer IPsec-Tunnel mit dem Hub unter Verwendung eines CLI-konfigurierten statischen Schlüssels. Der Hub reagiert auf die Anfragen, indem er die Identität von Spoke 1 und Spoke 2 zusammen mit ihren jeweiligen Schlüsseln verifiziert und mit beiden Spokes ein quantensicheres IPsec-VPN aufbaut. Sobald die Tunnel eingerichtet sind, wird der Datenverkehr zwischen Host 1 und Host 3 sowie zwischen Host 2 und Host 3 mit den eingerichteten IPsec-Tunneln gesichert.

Tabelle 17: Geräte, Rolle und Funktionen, die in dieser Konfiguration verwendet werden
Hostname	Rolle	Funktion
Nabe	Firewall der SRX-Serie in der Lage, IPsec-Tunnel einzurichten	Reagiert auf die Aushandlung von IKE- oder IPsec-Sicherheitszuordnung, die von SPOKE 1 und SPOKE 2 initiiert wird, und richtet quantensichere IPsec-Tunnel mit einem statischen Schlüssel ein, der auf dem Hub-Gerät konfiguriert ist.
Speiche 1	Firewall der SRX-Serie in der Lage, IPsec-Tunnel einzurichten	Initiiert die Aushandlung der IKE/IPsec-Sicherheitszuordnung und richtet quantensichere IPsec-Tunnel mit dem Hub ein, indem ein statischer Schlüssel verwendet wird, der auf Spoke 1 konfiguriert ist.
Speiche 2	Firewall der SRX-Serie in der Lage, IPsec-Tunnel einzurichten	Initiiert die Aushandlung von IKE- oder IPsec-Sicherheitszuordnung und richtet quantensichere IPsec-Tunnel mit dem Hub ein, indem ein statischer Schlüssel verwendet wird, der auf Spoke 2 konfiguriert ist.
Gastgeber 1	Host innerhalb der vertrauenswürdigen Zone oder LAN-Seite von Spoke 1	Initiiert clientseitigen Datenverkehr zu Host 3.
Gastgeber 2	Host innerhalb der vertrauenswürdigen Zone oder LAN-Seite von Spoke 2	Initiiert clientseitigen Datenverkehr zu Host 3.
Gastgeber 3	Host innerhalb der vertrauenswürdigen Zone oder LAN-Seite von HUB	Reagiert auf clientseitigen Datenverkehr von Host 1 und Host 2.

Topologie-Illustration

Abbildung 5: Statischer Schlüssel mit Auto-VPN

Schritt-für-Schritt-Konfiguration auf dem Hub

HINWEIS:

Vollständige Beispielkonfigurationen für den Prüfling finden Sie unter:

Festlegen von Befehlen auf dem Hub

Diese Konfiguration gilt nur für die Hub-Geräte. Sie müssen die entsprechenden gerätespezifischen Konfigurationsänderungen vornehmen.

Konfigurieren Sie die Hub-Schnittstellen.

Konfigurieren Sie das Zertifizierungsstellenprofil und das Zertifizierungsstellenzertifikat.

Binden Sie im Betriebsmodus das Zertifizierungsstellenzertifikat an das Zertifizierungsstellenprofil.

Konfigurieren Sie das statische Schlüsselmanagerprofil.

Konfigurieren Sie den Hub-Spoke im IPsec-VPN. Dazu gehört die Konfiguration der Sicherheitszonen, Sicherheitsrichtlinien und relevanten Zertifikate für die Authentifizierung von Geräteidentitäten und deren Kommunikationsverbindungen.

Schritt-für-Schritt-Konfiguration auf Spoke-Geräten

HINWEIS:

Vollständige Beispielkonfigurationen für den Prüfling finden Sie unter:

Festlegen von Befehlen auf Spoke 1
Festlegen von Befehlen auf Spoke 2

Diese Konfiguration gilt für Spoke 1- und Spoke 2-Geräte. Für andere Geräte müssen Sie entsprechende gerätespezifische Konfigurationsänderungen vornehmen.

Konfigurieren Sie die Spoke-Schnittstellen.

Konfigurieren Sie Hub-Spoke im IPsec-VPN. Dazu gehört die Konfiguration der Sicherheitszonen, Sicherheitsrichtlinien und relevanten Zertifikate für die Authentifizierung von Geräteidentitäten und deren Kommunikationsverbindungen.

Konfigurieren Sie das statische Schlüsselmanagerprofil.

Verifizierung

Dieser Abschnitt enthält eine Liste der show-Befehle, mit denen Sie die Funktion in diesem Beispiel überprüfen können.

Befehl	Verifizierungsaufgabe
security ike security-associations detail anzeigen	Stellen Sie sicher, dass die IKE-Sicherheitszuordnungen eingerichtet sind.
Sicherheits-IPsec-Sicherheitszuordnungen anzeigen	ZweckStellen Sie sicher, dass die IPsec-Sicherheitszuordnungen eingerichtet sind.
IPSec-Sicherheitsstatistiken anzeigen	ZweckÜberprüfen Sie die IPsec-Verschlüsselungs- und -Entschlüsselungsstatistiken.
Details zu Sicherheitsschlüssel-Manager-Profilen anzeigen	Überprüfen Sie die Statistiken der wichtigsten Profile.
ping 192.168.90.20 Quelle 192.168.80.20 Anzahl 4	Ping von Host 1 zu Host 3 oder umgekehrt.

Überprüfen von IKE-SAs
Überprüfen von IPsec-Sicherheitszuordnungen
Überprüfen von IPsec-Statistiken
Schlüssel-Manager-Profil überprüfen
Ping von Host 1 zu Host 3 oder umgekehrt
Ping von Host 2 zu Host 3 oder umgekehrt

Überprüfen von IKE-SAs

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die IKE-Sicherheitszuordnungen.

Action!

Geben Sie im Betriebsmodus den show security ike security-associations detail Befehl ein, um die IKE-Sicherheitszuordnungen anzuzeigen.

Bedeutung

Die Role: Responder, State: UPFelder , PPK-profile: HUB_KM_PROFILE_1, IPSec security associations: 2 created, 0 deletedund Flags: IKE SA is created zeigen an, dass die IKE-Sicherheitszuordnungen erfolgreich erstellt wurden.

Überprüfen von IPsec-Sicherheitszuordnungen

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die IPsec-Sicherheitszuordnungen.

Action!

Geben Sie im Betriebsmodus den show security ipsec security-associations detail Befehl ein, um die IPsec-Sicherheitszuordnungen anzuzeigen.

Bedeutung

Die Quantum Secured: YesFelder , Passive mode tunneling: Disabled, Policy-name: HUB_IPSEC_POLund IPsec SA negotiation succeeds (1 times) und zeigen, dass die IPsec-Sicherheitszuordnungen erfolgreich erstellt wurden.

Überprüfen von IPsec-Statistiken

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die IPsec-Statistiken.

Action!

Geben Sie im Betriebsmodus den show security ipsec statistics Befehl ein, um die IPsec-Statistiken anzuzeigen.

Bedeutung

AH Statistics Die ESP Statistics und-Felder zeigen die IPsec-Statistiken an.

Schlüssel-Manager-Profil überprüfen

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie das Profil des Schlüsselmanagers.

Action!

Geben Sie im Betriebsmodus den show security key-manager profiles detail Befehl ein, um das Profil des Schlüsselmanagers anzuzeigen.

Bedeutung

Type: Static Die Name: HUB_KM_PROFILE_1 und-Felder zeigen das Profil des Schlüsselmanagers

Ping von Host 1 zu Host 3 oder umgekehrt

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die Konnektivität von Host 1 zu Host 3.

Action!

Geben Sie im Betriebsmodus den ping 192.168.90.20 source 192.168.80.20 count 4 Befehl ein, um die Konnektivität von Host 1 zu Host 3 anzuzeigen.

Bedeutung

Das PING 192.168.80.20 (192.168.80.20): 56 data bytes bestätigt die Verbindung von HOST 1 zu HOST 3.

Ping von Host 2 zu Host 3 oder umgekehrt

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die Konnektivität von Host 2 zu Host 3.

Action!

Rufen Sie im Betriebsmodus die auf ping 192.168.90.20 source 192.168.80.20 count 4 , um die Konnektivität von Host 2 zu Host 3 anzuzeigen.

Bedeutung

Das PING 192.168.80.20 (192.168.80.20): 56 data bytes bestätigt die Verbindung von HOST 2 zu HOST 3.

Anlage 1: Festlegen von Befehlen auf allen Geräten

Legen Sie die Befehlsausgabe auf allen Geräten fest.

Festlegen von Befehlen auf dem Hub
Festlegen von Befehlen auf Spoke 1
Festlegen von Befehlen auf Spoke 2

Festlegen von Befehlen auf dem Hub

Festlegen von Befehlen auf Spoke 1

Festlegen von Befehlen auf Spoke 2

Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Nabe
Speiche 1
Speiche 2

Nabe

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security ike proposal HUB_IKE_PROPBefehle , show security ike policy HUB_IKE_POL, show security ike gateway HUB_IKE_GW, show security ipsec proposal HUB_IPSEC_PROP, show interfacesshow security zonesshow security ipsec policy HUB_IPSEC_POLshow security ipsec vpn HUB_IPSEC_VPNund show security policies eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Speiche 1

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security pki ca-profile Root-CABefehle , show security key-manager profiles SPOKE_1_KM_PROFILE_1, show security ike proposal SPOKE_1_IKE_PROP, show security ipsec proposal SPOKE_1_IPSEC_PROPshow security ipsec vpn SPOKE_1_IPSEC_VPNshow security ike gateway SPOKE_1_IKE_GWshow security ike policy SPOKE_1_IKE_POLshow interfacesshow security zonesshow security ipsec policy SPOKE_1_IPSEC_POLshow security policiesund show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Speiche 2

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security pkiBefehle , show security key-manager, show security ike proposal SPOKE_2_IKE_PROP, show security ipsec proposal SPOKE_2_IPSEC_PROPshow security ipsec vpn SPOKE_2_IPSEC_VPNshow security ike gateway SPOKE_2_IKE_GWshow interfacesshow security ike policy SPOKE_2_IKE_POLshow security zonesund show security policies eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Konfigurieren des Quantum Key Manager-Schlüsselprofils für Junos Key Manager

Dieses Beispiel zeigt, wie das Quantenschlüsselprofil für den Junos Key Manager konfiguriert wird. Konfigurieren Sie das Schlüsselprofil des Quantenschlüssel-Managers, um die generierten Schlüssel zu generieren und zu senden, um einen quantensicheren IPsec-VPN-Tunnel einzurichten.

Anforderungen
Überblick
Konfiguration
Verifizierung

Anforderungen

Hardwareanforderungen: Juniper Networks® SRX1500 Firewall und höher nummerierte Gerätemodelle oder Juniper Networks® Virtuelle Firewall vSRX (vSRX3.0).
Softwareanforderungen: Junos OS Version 22.4R1 oder höher mit JUNOS ike und JUNOS Key Manager Paketen.
Verwenden Sie für die Kommunikation ein beliebiges QKD-Gerät, das den ETSI Quantum Key Distribution (QKD) Rest API-Standard unterstützt.
Laden Sie die lokalen Zertifikate auf das Gerät. Es wird empfohlen, den vollständigen Pfad zum Zertifikat anzugeben.

Überblick

Die Firewall-Geräte der SRX-Serie verwenden IPsec-VPN, um Datenverkehr sicher über das Internet zu senden. Konfigurieren Sie das Schlüsselprofil des Quantenschlüssel-Managers im IPsec-VPN, um die vorhandene IKE-Sicherheitszuordnung und einen neuen Schlüssel und Schlüssel erneut zu authentifizieren.

Das Quantenschlüssel-Manager-Schlüsselprofil verwendet eine sichere Schlüsselverteilungsmethode auf der Grundlage von QKD, um Schlüssel zu generieren und zu verteilen, die quantensicher sind. Diese Schlüssel sind dynamisch.

Konfiguration

Konfigurieren Sie das CA-Zertifikat.

Laden Sie das CA-Zertifikat.

Registrieren Sie das CA-Zertifikat.

Konfigurieren Sie das Quantum Key Manager-Profil.

Verifizierung

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie das Schlüsselprofil und die Schlüssel des Quantenschlüssel-Managers.

Action!

Geben Sie im Betriebsmodus die show security pki ca-certificate ca-profile Root-CA ein, um das CA-Profil und die CA-Zertifikate anzuzeigen.

Geben Sie im Betriebsmodus die show security pki local-certificate certificate-id SAE_A_CERT ein, um die lokalen PKI-Zertifikate anzuzeigen.

Geben Sie im Betriebsmodus das Profil und die request security key-manager profiles get profile-keys name km_profile_1 peer-sae-id SAE_B Schlüssel des Peer-Geräteschlüssel-Managers ein.

Geben Sie im Betriebsmodus die ein, um die show security key-manager profiles name KM_PROFILE_1 detail Details des Key Manager-Profils anzuzeigen.

Bedeutung

Angezeigt werden der Name des PKI-Zertifizierungsstellenprofils, die Zertifikats-ID, die Gültigkeit, der show security pki ca-certificate ca-profile Root-CA Algorithmus für den öffentlichen Schlüssel usw.

Zeigt show security pki local-certificate certificate-id SAE_A_CERT den Profilnamen der lokalen Zertifizierungsstelle, die Zertifikats-ID, die Gültigkeit, den Algorithmus für den öffentlichen Schlüssel usw. an.

Angezeigt werden das Profil und die request security key-manager profiles get profile-keys name km_profile_1 peer-sae-id SAE_B Schlüssel des Peer-Geräteschlüssel-Managers.

Angezeigt show security key-manager profiles name KM_PROFILE_1 detail werden der Profilname, die URL, die Anforderungen usw. des Sicherheitsschlüssel-Managers.

Beispiel: Konfigurieren des Quantum Key Manager-Schlüsselprofils für Site-to-Site-IPsec-VPN

Verwenden Sie dieses Konfigurationsbeispiel, um eine IPsec-Site-to-Site-VPN-Infrastruktur zu sichern, indem Sie das Quantenschlüssel-Manager-Schlüsselprofil konfigurieren.

Sie können eine IPsec-Site-to-Site-VPN-Infrastruktur sichern, indem Sie das Quantum Key Manager-Schlüsselprofil konfigurieren.

In diesem Konfigurationsbeispiel Die Geräte SRX1 und SRX2 verwenden das Quantenschlüssel-Manager-Profil, um die QKD-Schlüssel über IPsec-VPN abzurufen. Die QKD-Tasten helfen dabei, Datenverkehr sicher über das Internet zu senden.

Tipp:

Tabelle 18: Geschätzte Timer
Lesezeit	Weniger als eine Stunde
Konfigurationszeit	Weniger als eine Stunde

Beispiele für Voraussetzungen
Vorbereitungen
Funktionsübersicht
Topologieübersicht
Topologie-Illustration
Schritt-für-Schritt-Konfiguration auf Firewall-Geräten der SRX-Serie
Verifizierung
Anlage 1: Festlegen von Befehlen auf allen Geräten
Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Beispiele für Voraussetzungen

Tabelle 19: Hardware- und Softwareanforderungen
Hardwareanforderungen	® Juniper Networks SRX1500 Firewall oder höher Gerätemodelle oder Juniper Networks® Virtuelle Firewall vSRX (vSRX3.0)
Softwareanforderungen	Junos OS Version 22.4R1 oder höher.

Vorbereitungen

Tabelle 20: Vorteile, Ressourcen und zusätzliche Informationen
Vorteile	Identifizierung von Bedrohungen Durch die Konfiguration von Quantenschlüsseln können Sie einen sicheren Quantenkanal zwischen den QKD-Geräten einrichten. Dies verbessert die Identifizierung von Bedrohungen und sichert das Netzwerk. Erweiterte Sicherheit Sie können die vorhandenen Schlüssel mit Quantenschlüsseln zusammenführen und sie über vorhandene VPN-Tunnel verschlüsseln und entschlüsseln. Dies verbessert die Sicherheit der IPsec-VPN-Infrastruktur. Verbesserte kryptografische Stärke Die Einhaltung von RFC 8784 bietet Ihnen eine einfache Möglichkeit, Angreifer daran zu hindern, die Verbindung zu belauschen und die Schlüssel abzufangen. Dadurch wird auch die Interoperabilität mit anderen Geräten sichergestellt, die dem Standard entsprechen. Unterstützung der Interoperabilität Sie können jedes QKD-Gerät verwenden, das die ETSI QKD Rest-API unterstützt.
Nützliche Ressourcen
Mehr erfahren	IPsec-VPN Routenbasiertes IPsec-VPN Grundlegendes zu lokalen Zertifikatsanforderungen Beispiel: Manuelles Laden von CA- und lokalen Zertifikaten
Praktische Erfahrung	vLABs Sandbox
Mehr erfahren	RFC 8784 – Mischen von vorinstallierten Schlüsseln im Internet Key Exchange Protocol Version 2 (IKEv2) für Post-Quantensicherheit ETSI QKD Rest-API

Funktionsübersicht

Tabelle 21: Quantum Key Manager Key Profile Funktionsübersicht
IPsec-VPN	Stellt eine Hub-and-Spoke-IPsec-VPN-Topologie bereit, bei der Spokes durch VPN-Tunnel verbunden sind, die Datenverkehr über den Hub leiten. Diese VPN-Tunnel werden später für die Verwendung von Quantenschlüsseln konfiguriert, was sie zu quantensicheren VPN-Tunneln macht.
IKE-Gateway	Stellt eine sichere Verbindung her. Das IKE-Gateway verwendet die IKE-Richtlinie, um sich bei der Überprüfung des Zertifikats auf die konfigurierte Gruppe von Zertifizierungsstellenprofilen (Certificate Authority, CA) zu beschränken.
Vorschläge
IKE-Vorschlag	Definiert die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peersicherheitsgateway verwendet werden. IKE erstellt die dynamischen Sicherheitszuordnungen (SAs) und handelt sie für IPsec aus.
IPsec-Vorschlag	Listet Protokolle, Algorithmen und Sicherheitsdienste auf, die mit dem Remote-IPsec-Peer ausgehandelt werden sollen.
Richtlinien
IKE-Richtlinie	Definiert eine Kombination von Sicherheitsparametern (IKE-Vorschlägen), die während der IKE-Aushandlung verwendet werden sollen.
IPsec-Richtlinie	Enthält Regeln und Sicherheitsrichtlinien, um Gruppen-VPN-Datenverkehr zwischen den angegebenen Zonen zuzulassen.
Sicherheitsrichtlinie	Hier können Sie den Typ des Datenverkehrs auswählen, der über die IPsec-Sicherheitszuordnungen gesichert werden soll. VPN-OUT: Lässt Datenverkehr von der Vertrauenszone zur VPN-Zone zu, wobei die Übereinstimmungskriterien wie folgt lauten: Quelladresse: HOST-1-NET Ziel-Adresse: HOST-2-NET Anwendung: jegliche VPN-IN: Lässt Datenverkehr von der VPN-Zone zur Vertrauenszone zu, wobei die Übereinstimmungskriterien wie folgt lauten: Quelladresse: HOST-2-NET Ziel-Adresse: HOST-1-NET Anwendung: jegliche
Profile
Schlüsselprofil	Definiert, wie die Firewall-Geräte der SRX-Serie mit den KME-Geräten kommunizieren, um QKD-Schlüssel vom externen KME-Server abzurufen. Schlüsselprofile werden auf dem Hub (HUB_KM_PROFILE_1) und den Spokes (SPOKE_1_KM_PROFILE_1 und SPOKE_2_KM_PROFILE_1) separat konfiguriert. Schlüsselprofil: Ein Quantenschlüssel-Manager-Profil `km_profile_1` ist für Anwendungen und Services konfiguriert, um QKD-Schlüssel von einem externen Server abzurufen. IKE-Vorschlag: Ein IKE-Vorschlag `IKE_PROP` wird mit den erforderlichen Algorithmen konfiguriert, um eine IKE-Sicherheitszuordnung einzurichten. IKE-Richtlinie: Eine IKE-Richtlinie `IKE_POL` ist so konfiguriert, dass sie die Laufzeitaushandlungs- und Authentifizierungsattribute festlegt. IKE-Gateway: Ein IKE-Gateway `IKE_GW` ist für die Verwaltung der IPsec-Tunnel zwischen Endgeräten konfiguriert. A `ppk-profile` gibt an, welches Schlüsselprofil zum Einrichten von Quantum Safe IKE oder IPsec SA verwendet werden soll. IPsec-Vorschlag: Ein IPsec-Vorschlag `IPSEC_PROP` wird mit den erforderlichen Algorithmen konfiguriert, um eine IPsec-Sicherheitszuordnung einzurichten. IPsec-Richtlinie: Eine IPsec-Richtlinie `IPSEC_POL` ist so konfiguriert, dass sie die IPsec-Aushandlungsattribute zur Laufzeit festlegt. IPsec-VPN: Eine IPsec-VPN-Richtlinie `IPSEC_VPN` ist so konfiguriert, dass sie den Bereich der zu sichernden Subnetze festlegt. Sicherheitszone: Drei verschiedene Sicherheitszonen `trust`, `untrustvpn` die für eine bessere Trennung des erwarteten Datenverkehrs innerhalb jeder dieser Zonen konfiguriert sind. Sicherheitsrichtlinie: Sicherheitsrichtlinien `trust to vpn` werden `vpn to trust` zwischen den Sicherheitszonen konfiguriert, um herauszufiltern, welche Art von Datenverkehr durch die IPsec-Sicherheitszuordnungen gesichert wird.
PPK-Profil	Gibt an, welches Schlüsselprofil verwendet werden soll, um quantensichere IKE- oder IPsec-Sicherheitszuordnungen einzurichten, indem auf das Schlüsselprofil unter dem IKE-Gateway verwiesen wird.
Zertifikate
CA-Zertifikat	Überprüft die Identität von Geräten und authentifiziert die Kommunikationsverbindung.
Lokales Zertifikat	Generiert PKI, und registriert sie mit dem CA-Zertifikat zur Überprüfung.
KME-Zertifikat	Vom Anbieter generiertes Drittanbieterzertifikat.
Sicherheitszonen
Vertrauen	Netzwerksegment in der Host-Zone.
Unglaubwürdigkeit	Netzwerksegment in der Zielserverzone.
vpn	Netzwerksegment, über das der Hub und die Spokes interagieren.
Primäre Verifizierungsaufgaben	Stellen Sie sicher, dass die eingerichteten IKE- und IPsec-Sicherheitszuordnungen quantensicher sind.

Topologieübersicht

In diesem Beispiel sichern wir die IPsec-VPN-Tunnel SRX1 und SRX2 mit Quantenschlüsseln, die von KME-Geräten anderer Anbieter generiert werden. Die KME-Geräte (KME-A und KME-B) sind über einen hochsicheren Quantenkanal miteinander verbunden, der in der Lage ist, Bedrohungen zu identifizieren. Über diesen Kanal rufen die SRX1- und SRX2-Geräte Quantenschlüssel von ihrem entsprechenden KME-Gerät ab und führen sie mit den vorhandenen Schlüsseln zusammen, um die VPN-Tunnel quantensicher zu machen.

Tabelle 22: Geräte, Rolle und Funktionen, die in dieser Konfiguration verwendet werden
Hostname	Rolle	Funktion
SRX1	Firewall-Gerät der SRX-Serie, das IPsec-Tunnel aufbauen kann	Initiiert die Aushandlung von IKE- oder IPsec-Sicherheitszuordnungen und richtet quantensichere IPsec-Tunnel mit SRX2 ein, wobei der QKD-Schlüssel vom KME-A-QKD-Gerät abgerufen wird.
SRX2	Firewall-Gerät der SRX-Serie, das IPsec-Tunnel aufbauen kann	Reagiert auf IKE- oder IPsec-SA-Aushandlung und richtet quantensichere IPsec-Tunnel mit QKD-Schlüssel vom KME-B QKD-Gerät ein.
HOST1	Host innerhalb der vertrauenswürdigen Zone oder LAN-Seite von SRX1	Initiiert clientseitigen Datenverkehr in Richtung HOST 2
HOST2	Host innerhalb der vertrauenswürdigen Zone oder LAN-Seite der SRX2	Antwortet auf clientseitigen Datenverkehr von HOST 1.
KME-A	QKD-Gerät eines Drittanbieters	Stellt QKD-Schlüssel als Antwort auf Schlüsselanforderungen von SRX1 bereit.
KME-B	QKD-Gerät eines Drittanbieters	Stellt QKD-Schlüssel als Antwort auf Schlüsselanforderungen von SRX2 bereit.

Topologie-Illustration

Abbildung 6: Site-to-Site-VPN

Schritt-für-Schritt-Konfiguration auf Firewall-Geräten der SRX-Serie

HINWEIS:

Vollständige Beispielkonfigurationen für den Prüfling finden Sie unter:

Set-Befehle auf SRX1
Festlegen von Befehlen auf der SRX2

Diese Konfiguration gilt für SRX1- und SRX2-Geräte. Für andere Geräte müssen Sie die entsprechenden gerätespezifischen Konfigurationsänderungen vornehmen.

Konfigurieren Sie die Schnittstellen.

Konfigurieren Sie ein Schlüsselprofil vom Typ quantum-key-manager mit den Parametern must oder recommended.

Definieren Sie das CA-Zertifikat, konfigurieren Sie die URL des KME-Servers, konfigurieren Sie die SAE-ID, die vom lokalen Ende verwendet werden soll, konfigurieren Sie das entsprechende Zertifikat für die lokale SAE-ID und konfigurieren Sie das zuvor definierte CA-Zertifikat.

Konfigurieren Sie Site-to-Site-IPsec-VPN. Dazu gehört die Konfiguration der Sicherheitszonen, Sicherheitsrichtlinien und relevanten Zertifikate für die Authentifizierung von Geräteidentitäten und deren Kommunikationsverbindungen.

Verifizierung

Dieser Abschnitt enthält eine Liste der show-Befehle, mit denen Sie die Funktion in diesem Beispiel überprüfen können.

Befehl	Verifizierungsaufgabe
security ike security-associations detail anzeigen	ZweckStellen Sie sicher, dass die IKE-Sicherheitszuordnungen eingerichtet sind.
Sicherheits-IPsec-Sicherheitszuordnungen anzeigen	Stellen Sie sicher, dass die IPsec-Sicherheitszuordnungen eingerichtet sind.
IPSec-Sicherheitsstatistiken anzeigen	Überprüfen Sie die IPsec-Verschlüsselungs- und -Entschlüsselungsstatistiken.
Details zu Sicherheitsschlüssel-Manager-Profilen anzeigen	Überprüfen Sie die Statistiken der wichtigsten Profile.
ping 192.168.80.20 Quelle 192.168.90.20 Anzahl 5	Ping von HOST 1 zu HOST 2 oder umgekehrt.

Überprüfen von IKE-SAs
Überprüfen von IPsec-Sicherheitszuordnungen
Überprüfen von IPsec-Statistiken
Schlüssel-Manager-Profil überprüfen
Ping von HOST 1 zu HOST 2 oder umgekehrt

Überprüfen von IKE-SAs

Zweck
Action!
Bedeutung

Bedeutung

Der PING 192.168.80.20 (192.168.80.20): 56 data bytes count 5 bestätigt die Verbindung von HOST 1 zu HOST 2.

Anlage 1: Festlegen von Befehlen auf allen Geräten

Legen Sie die Befehlsausgabe auf allen Geräten fest.

Set-Befehle auf SRX1
Festlegen von Befehlen auf der SRX2

Set-Befehle auf SRX1

Festlegen von Befehlen auf der SRX2

Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Zeigen Sie die Befehlsausgabe auf dem Prüfling an.

SRX1-KARTON
SRX 2

SRX1-KARTON

SRX 2

Beispiel: Konfiguration quantengesicherter IPsec-AutoVPN-Topologie mit dem Quantum Key Manager-Schlüsselprofil

Verwenden Sie dieses Konfigurationsbeispiel, um eine IPsec-AutoVPN-Infrastruktur zu sichern, indem Sie das Quantenschlüssel-Manager-Schlüsselprofil konfigurieren.

Hub, Spoke 1 und Spoke 2 verwenden Quantenschlüssel-Manager-Schlüsselprofile, um mit KME Hub, KME Spoke 1 und KME Spoke 2 zu kommunizieren, um die QKD-Schlüssel abzurufen und dann IPsec-VPN-Tunnel einzurichten.

Tipp:

Tabelle 23: Geschätzte Timer
Lesezeit	Weniger als eine Stunde.
Konfigurationszeit	Weniger als eine Stunde.

Beispiele für Voraussetzungen
Vorbereitungen
Funktionsübersicht
Topologieübersicht
Topologie-Illustration
Schritt-für-Schritt-Konfiguration auf dem Hub
Schritt-für-Schritt-Konfiguration auf Spoke-Geräten
Verifizierung
Anlage 1: Festlegen von Befehlen auf allen Geräten
Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Beispiele für Voraussetzungen

Tabelle 24: Hardware- und Softwareanforderungen
Hardwareanforderungen	® Juniper Networks SRX1500 Firewall oder höher Gerätemodelle oder Juniper Networks® Virtuelle Firewall vSRX (vSRX3.0) KME- (Key Management Entity) oder QKD-Geräte (Quantum Key Distribution) von Drittanbietern. Die KME-Parameter entsprechen der ETSI GS QKD 014-Spezifikation .
Softwareanforderungen	Junos OS Version 22.4R1 oder höher.

Vorbereitungen

Tabelle 25: Vorteile, Ressourcen und zusätzliche Informationen
Vorteile	Identifizierung von Bedrohungen Richten Sie einen sicheren Quantenkanal zwischen den QKD-Geräten ein, der eine Bedrohungserkennung mithilfe von Quantenschlüsseln garantiert. Erweiterung der Sicherheit Vorhandene Schlüssel mit Quantenschlüsseln zusammenführen und diese über vorhandene VPN-Tunnel verschlüsseln und entschlüsseln, wodurch die Sicherheit der IPsec-VPN-Infrastruktur erweitert wird. RFC 8784-konform Erweitern Sie das bereits standardisierte RFC 8784-Verfahren. Unterstützung der Interoperabilität Verwenden Sie ein beliebiges QKD-Gerät, das die ETSI QKD Rest-API unterstützt.
Nützliche Ressourcen
Mehr erfahren	IPsec-VPN AutoVPN auf Hub-and-Spoke-Geräten
Praktische Erfahrung	vLab-Sandbox: IPsec-VPN – richtlinienbasiert
Mehr erfahren	RFC 8784 – Mischen von vorinstallierten Schlüsseln im Internet Key Exchange Protocol Version 2 (IKEv2) für Post-Quantensicherheit ETSI QKD Rest-API

Funktionsübersicht

Tabelle 10 Enthält eine kurze Zusammenfassung der in diesem Beispiel bereitgestellten Konfigurationskomponenten.

Tabelle 26: Funktionsübersicht für Quantum Key Manager
IPsec-VPN	Stellen Sie eine Hub-and-Spoke-IPsec-VPN-Topologie bereit, bei der Spokes durch VPN-Tunnel verbunden sind, die Datenverkehr über den Hub leiten. Diese VPN-Tunnel werden später für die Verwendung von Quantenschlüsseln konfiguriert, was sie zu quantensicheren VPN-Tunneln macht.
IKE-Gateway	Stellen Sie eine sichere Verbindung her, verwendet das IKE-Gateway die IKE-Richtlinie, um sich bei der Überprüfung des Zertifikats auf die konfigurierte Gruppe von Zertifizierungsstellen (CA-Profilen) zu beschränken.
Vorschläge
IKE-Vorschlag	Definieren Sie die Algorithmen und Schlüssel, die zum Herstellen der sicheren IKE-Verbindung mit dem Peersicherheitsgateway verwendet werden. IKE erstellt die dynamischen Sicherheitszuordnungen und handelt sie für IPsec aus.
IPsec-Vorschlag	Listen Sie Protokolle, Algorithmen und Sicherheitsdienste auf, die mit dem Remote-IPsec-Peer ausgehandelt werden sollen.
Richtlinien
IKE-Richtlinie	Definieren Sie eine Kombination von Sicherheitsparametern (IKE-Vorschlägen), die während der IKE-Aushandlung verwendet werden sollen.
IPsec-Richtlinie	Sie enthalten Regeln und Sicherheitsrichtlinien, um Gruppen-VPN-Datenverkehr zwischen den angegebenen Zonen zuzulassen.
Sicherheitsrichtlinie	Hier können Sie den Typ des Datenverkehrs auswählen, der über die IPsec-Sicherheitszuordnungen gesichert werden soll. VPN-OUT – Lässt Datenverkehr von der Vertrauenszone zur VPN-Zone zu, wobei die Übereinstimmungskriterien wie folgt lauten: Quelladresse: HOST-1-NET Ziel-Adresse: HOST-2-NET Anwendung: jegliche VPN-IN – Lässt Datenverkehr von der VPN-Zone zur Vertrauenszone zu, wobei die Übereinstimmungskriterien wie folgt lauten: Quelladresse: HOST-2-NET Ziel-Adresse: HOST-1-NET Anwendung: jegliche
Profile
Schlüsselprofil	Definieren Sie, wie die SRX-Geräte mit den KME-Geräten kommunizieren, um QKD-Schlüssel vom externen KME-Server abzurufen. Schlüsselprofile werden auf dem Hub (HUB_KM_PROFILE_1) und den Spokes (SPOKE_1_KM_PROFILE_1 und SPOKE_2_KM_PROFILE_1) separat konfiguriert. Konfigurieren `SPOKE-1` und `SPOKE-2` für Anwendungen und Dienste zum Abrufen von QKD-Schlüsseln von externen Servern. Schlüsselprofil: Konfigurieren Sie die folgenden Quantenschlüssel-Manager-Schlüsselprofile auf dem Hub. `HUB_KM_PROFILE_1` `SPOKE_1_KM_PROFILE_1` `SPOKE_2_KM_PROFILE_1` Konfigurieren `SPOKE-1` und `SPOKE-2` mit den erforderlichen Algorithmen zum Einrichten einer IKE-SAs. IKE-Vorschlag: Konfigurieren Sie die folgenden IKE-Vorschläge im Hub. `HUB_IKE_PROP` `SPOKE_1_IKE_PROP` `SPOKE_2_IKE_PROP` Konfigurieren `SPOKE-1` und `SPOKE-2` Festlegen der Laufzeitaushandlungs- und Authentifizierungsattribute. IKE-Richtlinie: Konfigurieren Sie die folgenden IKE-Richtlinien auf dem Hub. `HUB_IKE_POL` `SPOKE_1_IKE_POL` `SPOKE_3_IKE_POL` Konfigurieren `SPOKE-1` und `SPOKE-2` Festlegen der Endpunkte zwischen den IPsec-Tunneln. IKE-Gateway: Konfigurieren Sie die folgenden IKE-Gateways im Hub. A `ppk-profile` gibt an, welches Schlüsselprofil zum Einrichten einer quantensicheren IKE- oder IPsec-Sicherheitszuordnung verwendet werden soll. `HUB_IKE_GW` `SPOKE_1_IKE_GW` `SPOKE_2_IKE_GW` Konfigurieren `SPOKE-1` und `SPOKE-2` mit den erforderlichen Algorithmen zum Einrichten einer IPsec-Sicherheitszuordnung. IPsec-Vorschlag: Konfigurieren Sie die folgenden IPsec-Vorschläge auf dem Hub. `HUB_IPSEC_PROP` `SPOKE_1_IPSEC_PROP` `SPOKE_2_IPSEC_PROP` Konfigurieren `SPOKE-1` und `SPOKE-2` Festlegen der IPsec-Aushandlungsattribute zur Laufzeit. IPsec-Richtlinie: Konfigurieren Sie die folgenden IPsec-Richtlinien auf dem Hub. `HUB_IPSEC_POL` `SPOKE_1_IPSEC_POL` `SPOKE_2_IPSEC_POL` Konfigurieren `SPOKE-1` und `SPOKE-2` Festlegen des Bereichs der Subnetze, die gesichert werden müssen. IPsec-VPN: Konfigurieren Sie die folgenden IPsec-VPNs auf dem Hub. `HUB_IPSEC_VPN` `SPOKE_1_IPSEC_VPN` `SPOKE_2_IPSEC_VPN` Sicherheitszone: Konfigurieren Sie drei verschiedene Sicherheitszonen, um den Datenverkehr zu trennen. `trust` `untrust` `vpn` Sicherheitsrichtlinie: Konfigurieren Sie die Sicherheitsrichtlinien `trust to vpn` und `vpn to trust` wählen Sie den Datenverkehrstyp aus, der durch die IPsec-Sicherheitszuordnungen gesichert wird.
PPK-Profil	Geben Sie an, welches Schlüsselprofil zum Einrichten quantensicherer IKE- oder IPsec-Sicherheitszuordnungen verwendet werden soll, indem Sie auf das Schlüsselprofil unter dem IKE-Gateway verweisen.
Zertifikate
CA-Zertifikat	Überprüfen Sie die Identität von Geräten und authentifizieren Sie die Kommunikationsverbindung zwischen ihnen.
Lokales Zertifikat	Generieren Sie eine PKI, und registrieren Sie sie mit dem CA-Zertifikat zur Überprüfung.
KME-Zertifikat	Vom Anbieter generiertes Drittanbieterzertifikat.
Sicherheitszonen
Vertrauen	Netzwerksegment in der Host-Zone.
Unglaubwürdigkeit	Netzwerksegment in der Zielserverzone.
vpn	Netzwerksegment, über das der Hub und die Spokes interagieren.
Primäre Verifizierungsaufgaben	Stellen Sie sicher, dass die eingerichteten IKE- und IPsec-Sicherheitszuordnungen quantensicher sind.

Topologieübersicht

In diesem Beispiel sichern wir die Hub-and-Spoke-IPSec-VPN-Tunnel mit Quantenschlüsseln, die von KME-Geräten anderer Anbieter generiert werden. Die KME-Geräte (KME-Hub, KME-Spoke 1 und KME-Spoke 2) sind über einen hochsicheren Quantenkanal miteinander verbunden, der in der Lage ist, Bedrohungen zu identifizieren. Über diesen Kanal rufen die Hub-and-Spoke-Geräte Quantenschlüssel von ihrem entsprechenden KME-Gerät ab und führen sie mit den vorhandenen Schlüsseln zusammen, um die VPN-Tunnel quantensicher zu machen.

Tabelle 27: Komponenten der Quantum Key Manager-Topologie
Topologiekomponenten	Rolle	Funktion
`Hub`	Firewall der SRX-Serie in der Lage, IPsec-Tunnel einzurichten	Reagiert auf IKE- oder IPsec-SA-Aushandlung und richtet quantensichere IPsec-Tunnel mit QKD-Schlüssel vom KME-HUB QKD-Gerät auf `SPOKE-1` und `SPOKE-2`ein.
`SPOKE-1`	Firewall der SRX-Serie in der Lage, IPsec-Tunnel einzurichten	Initiiert die Aushandlung von IKE- oder IPsec-Sicherheitszuordnungen und richtet quantensichere IPsec-Tunnel mit Hub ein, die den QKD-Schlüssel vom `KME-SPOKE-1` QKD-Gerät verwenden.
`SPOKE-2`	Firewall der SRX-Serie in der Lage, IPsec-Tunnel einzurichten	Initiiert die Aushandlung von IKE- oder IPsec-Sicherheitszuordnungen und richtet quantensichere IPsec-Tunnel mit Hub ein, die den QKD-Schlüssel vom `KME-SPOKE-2` QKD-Gerät verwenden.
`HOST-1`	Der Host innerhalb der vertrauenswürdigen Zone oder LAN-Seite von ist `SPOKE 1Host 1` gesichert durch `SPOKE 1`.	Initiiert clientseitigen Datenverkehr in Richtung `HOST-3`
`HOST-2`	Der Host innerhalb der vertrauenswürdigen Zone oder LAN-Seite von ist `SPOKE 2Host 2` gesichert durch `SPOKE 2`.	Initiiert clientseitigen Datenverkehr in Richtung `HOST-3`
`HOST- 3`	Hosten Sie innerhalb der vertrauenswürdigen Zone oder LAN-Seite des Hubs. `Host 3` wird gesichert durch `Hub`.	Reagiert auf clientseitigen Datenverkehr von `HOST-1` und `HOST-2`
`KME-HUB`	QKD-Gerät eines Drittanbieters	Stellt QKD-Schlüssel als Antwort auf Schlüsselanforderungen von `HUB`
`KME-SPOKE-1`	QKD-Gerät eines Drittanbieters	Stellt QKD-Schlüssel als Antwort auf Schlüsselanforderungen von `SPOKE-1`
`KME-SPOKE-2`	QKD-Gerät eines Drittanbieters	Stellt QKD-Schlüssel als Antwort auf Schlüsselanforderungen von `SPOKE-2`

Topologie-Illustration

Abbildung 7: Quantum Key Manager mit AutoVPN

Schritt-für-Schritt-Konfiguration auf dem Hub

HINWEIS:

Vollständige Beispielkonfigurationen für Hub-and-Spoke-Geräte finden Sie unter:

Anlage 1: Festlegen von Befehlen auf allen Geräten
Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Konfigurieren Sie die Hub-Schnittstellen.

Konfigurieren Sie Hub-Spoke für das IPsec-VPN. Dazu gehört die Konfiguration der Sicherheitszonen, Sicherheitsrichtlinien und relevanten Zertifikate für die Authentifizierung von Geräteidentitäten und deren Kommunikationsverbindungen.

Konfigurieren Sie den Hub so, dass das Zertifizierungsstellenzertifikat vom Zertifizierungsstellenserver abgerufen wird, oder laden Sie ein lokal verfügbares Zertifizierungsstellenzertifikat vom Gerät.

HINWEIS:

Die KME-Zertifikate müssen gemäß den Anweisungen des Drittanbieters konfiguriert werden.

Konfigurieren Sie den IPsec-Vorschlag und die Richtlinie. Konfigurieren Sie die IKE-Richtlinie, den Vorschlag und das Gateway für das IPsec-VPN.

Konfigurieren Sie das Quantenschlüssel-Manager-Schlüsselprofil, um Quantenschlüssel vom entsprechenden KME-Hub-Gerät abzurufen.

Binden Sie das Quantum Key Manager-Schlüsselprofil als IKE-Gateway ppk-profile, um die VPN-Tunnel quantensicher zu machen.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Schritt-für-Schritt-Konfiguration auf Spoke-Geräten

HINWEIS:

Vollständige Beispielkonfigurationen auf den Geräten finden Sie unter:

Anlage 1: Festlegen von Befehlen auf allen Geräten
Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Diese Konfiguration gilt für Spoke 1- und Spoke 2-Geräte, Sie müssen die entsprechenden gerätespezifischen Konfigurationsänderungen vornehmen.

Konfigurieren Sie die Spoke-Schnittstellen.

Konfigurieren Sie Hub-Spoke für das IPsec-VPN. Dazu gehört die Konfiguration der Sicherheitszonen, Sicherheitsrichtlinien und relevanten Zertifikate für die Authentifizierung von Geräteidentitäten und deren Kommunikationsverbindungen.

Konfigurieren Sie den Hub so, dass das Zertifizierungsstellenzertifikat vom Zertifizierungsstellenserver abgerufen wird, oder laden Sie ein lokal verfügbares Zertifizierungsstellenzertifikat vom Gerät.

HINWEIS:

Die KME-Zertifikate müssen gemäß den Anweisungen des Drittanbieters konfiguriert werden.

Konfigurieren Sie den IPsec-Vorschlag und die Richtlinie. Konfigurieren Sie die IKE-Richtlinie, den Vorschlag und das Gateway für das IPsec-VPN.

Konfigurieren Sie das Schlüsselprofil des Quantenschlüssel-Managers, um Quantenschlüssel vom entsprechenden Spoke-Gerät abzurufen.

Binden Sie das Quantum Key Manager-Schlüsselprofil als IKE-Gateway ppk-profile, um die VPN-Tunnel quantensicher zu machen.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Dieser Abschnitt enthält eine Liste der show-Befehle, mit denen Sie die Funktion in diesem Beispiel überprüfen können.

Tabelle 28: Aufgaben zur Verifizierung
Befehl	Verifizierungsaufgabe
security ike security-associations detail anzeigen	Überprüfen Sie die IKE-Sicherheitszuordnungen.
Sicherheits-IPsec-Sicherheitszuordnungen anzeigen	Überprüfen Sie die IPsec-Sicherheitszuordnungen.
IPSec-Sicherheitsstatistiken anzeigen	Überprüfen Sie die IPsec-Verschlüsselungs- und -Entschlüsselungsstatistiken.
Details zu Sicherheitsschlüssel-Manager-Profilen anzeigen	Überprüfen Sie die Statistiken der wichtigsten Profile.
ping 192.168.90.20 Quelle 192.168.80.20 Anzahl 4	Ping von Host 1 zu Host 3.
ping 192.168.90.20 Quelle 192.168.70.20 Anzahl 4	Ping von Host 2 zu Host 3.

Überprüfen von IKE-SAs
Überprüfen von IPsec-Sicherheitszuordnungen
Überprüfen von IPsec-Statistiken
Schlüssel-Manager-Profil überprüfen
Ping von Host 1 zu Host 3
Ping von Host 2 zu Host 3

Überprüfen von IKE-SAs

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die IKE-Sicherheitszuordnungen.

Action!

Geben Sie im Betriebsmodus den show security ike security-associations detail Befehl ein, um die IKE-Sicherheitszuordnungen anzuzeigen.

Bedeutung

Die Beispielausgabe bestätigt die IKE-SAs.

Überprüfen von IPsec-Sicherheitszuordnungen

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die IPsec-Sicherheitszuordnungen.

Action!

Geben Sie im Betriebsmodus den show security ipsec security-associations detail Befehl ein, um die IPsec-Sicherheitszuordnungen anzuzeigen.

Bedeutung

Die Beispielausgabe bestätigt die IPsec-Sicherheitszuordnungen.

Überprüfen von IPsec-Statistiken

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die IPsec-Statistiken.

Action!

Geben Sie im Betriebsmodus den show security ipsec statistics Befehl ein, um die IPsec-Statistiken anzuzeigen.

Bedeutung

Die Beispielausgabe bestätigt die IPsec-Statistik.

Schlüssel-Manager-Profil überprüfen

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie das Profil des Schlüsselmanagers.

Action!

Geben Sie im Betriebsmodus den show security key-manager profiles detail Befehl ein und überprüfen Sie das Success Feld in der Request stats Option.

Bedeutung

Die Beispielausgabe bestätigt das Quantum Key Manager-Profil.

Ping von Host 1 zu Host 3

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die Konnektivität von Host 1 zu Host 3.

Action!

Geben Sie im Betriebsmodus den ping 192.168.90.20 source 192.168.80.20 count 5 Befehl ein, um die Konnektivität von Host 1 zu Host 3 anzuzeigen.

Bedeutung

Die Beispielausgabe bestätigt die Konnektivität von Host 1 zu Host 3.

Ping von Host 2 zu Host 3

Zweck
Action!
Bedeutung

Zweck

Überprüfen Sie die Konnektivität von Host 2 zu Host 3.

Action!

Geben Sie im Betriebsmodus den ping 192.168.90.20 source 192.168.80.20 count 5 Befehl ein, um die Konnektivität von Host 2 zu Host 3 anzuzeigen.

Bedeutung

Die Beispielausgabe bestätigt die Konnektivität von Host 2 zu Host 3.

Anlage 1: Festlegen von Befehlen auf allen Geräten

Legen Sie die Befehlsausgabe auf allen Geräten fest.

Festlegen von Befehlen auf dem Hub
Festlegen von Befehlen auf Spoke 1
Festlegen von Befehlen auf Spoke 2

Festlegen von Befehlen auf dem Hub

Festlegen von Befehlen auf Spoke 1

Festlegen von Befehlen auf Spoke 2

Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

Zeigen Sie die Befehlsausgabe auf dem Prüfling an.

Nabe
Speiche 1
Speiche 2

Nabe

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , show security ipsec proposal HUB_IPSEC_PROPshow security policies from-zone vpn to-zone trustshow security ipsec vpn HUB_IPSEC_VPNshow security zones security-zone untrustshow security policies from-zone trust to-zone vpnshow interfacesshow security ike gateway HUB_IKE_GWshow security zones security-zone trustshow security ike policy HUB_IKE_POLshow security ipsec policy HUB_IPSEC_POLshow security ike proposal HUB_IKE_PROPshow security key-managershow security pki ca-profile Root-CA Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Speiche 1

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , show security ipsec proposal SPOKE_1_IPSEC_PROPshow security policies from-zone trust to-zone vpnshow security ipsec vpn SPOKE_1_IPSEC_VPNshow interfacesshow security zones security-zone trustshow security policies from-zone vpn to-zone trustshow security ike gateway SPOKE_1_IKE_GWshow security zones security-zone untrustshow security ike policy SPOKE_1_IKE_POLshow security ipsec policy SPOKE_1_IPSEC_POLshow security ike proposal SPOKE_1_IKE_PROPshow security key-manager profiles SPOKE_1_KM_PROFILE_1show security pki ca-profile Root-CA Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Speiche 2

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , show security ipsec proposal SPOKE_1_IPSEC_PROPshow security policies from-zone trust to-zone vpnshow security ipsec vpn SPOKE_1_IPSEC_VPNshow interfacesshow security zones security-zone trustshow security policies from-zone vpn to-zone trustshow security ike gateway SPOKE_1_IKE_GWshow security zones security-zone untrustshow security ike policy SPOKE_1_IKE_POLshow security ipsec policy SPOKE_1_IPSEC_POLshow security ike proposal SPOKE_1_IKE_PROPshow security key-manager profiles SPOKE_1_KM_PROFILE_1show security pki ca-profile Root-CA Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Auf dieser Seite

Quantensicherheit im Überblick

Quantensicherheit im Überblick

Junos Key Manager – Übersicht

Junos Key Manager – Übersicht

Schlüsselprofil für Quantum Safe IPsec VPN verwenden

Schlüsselprofil für Quantum Safe IPsec VPN verwenden

Quantenschlüssel-Verteilung

Quantenschlüssel-Verteilung

Konfigurieren des statischen Schlüsselprofils für Junos Key Manager

Anforderungen

Überblick

Konfiguration

Verifizierung

Zweck

Action!

Bedeutung

Beispiel: Konfigurieren des Profils für statische Schlüssel für Site-to-Site-VPN

Beispiele für Voraussetzungen

Vorbereitungen

Funktionsübersicht

Topologieübersicht

Topologie-Illustration

Schritt-für-Schritt-Konfiguration auf Firewall-Geräten der SRX-Serie

Verifizierung

Überprüfen von IKE-SAs

Zweck

Action!

Bedeutung

Überprüfen von IPsec-Sicherheitszuordnungen

Zweck

Action!

Bedeutung

Überprüfen von IPsec-Statistiken

Zweck

Action!

Bedeutung

Schlüssel-Manager-Profil überprüfen

Zweck

Action!

Bedeutung

Ping von HOST 1 zu HOST 2

Zweck

Action!

Bedeutung

Anlage 1: Festlegen von Befehlen auf allen Geräten

Set-Befehle auf SRX1

Festlegen von Befehlen auf der SRX2

Anlage 2: Konfigurationsausgabe am Prüfling anzeigen

SRX1-KARTON

SRX2-KARTON

Beispiel: Konfiguration quantengesicherter IPsec-AutoVPN-Topologie mit dem Quantum Key Manager-Schlüsselprofil

Beispiele für Voraussetzungen

Vorbereitungen

Funktionsübersicht

Topologieübersicht

Topologie-Illustration

Schritt-für-Schritt-Konfiguration auf dem Hub

Schritt-für-Schritt-Konfiguration auf Spoke-Geräten

Verifizierung

Überprüfen von IKE-SAs

Zweck

Action!

Bedeutung

Überprüfen von IPsec-Sicherheitszuordnungen

Zweck

Action!

Bedeutung

Überprüfen von IPsec-Statistiken

Zweck

Action!

Bedeutung

Schlüssel-Manager-Profil überprüfen

Zweck

Action!

Bedeutung

Ping von Host 1 zu Host 3

Zweck

Action!