VPNs mit automatischer Erkennung
Auto Discovery VPN (ADVPN) richtet dynamisch VPN-Tunnel zwischen Spokes ein, um zu vermeiden, dass Datenverkehr über den Hub geleitet wird.
Grundlegendes zu VPN für die automatische Erkennung
Auto Discovery VPN (ADVPN) ist eine Technologie, die es dem zentralen Hub ermöglicht, Spokes dynamisch über einen besseren Pfad für den Datenverkehr zwischen zwei Spokes zu informieren. Wenn beide Spokes die Informationen vom Hub bestätigen, richten sie einen Verknüpfungstunnel ein und ändern die Routing-Topologie, damit der Host die andere Seite erreicht, ohne Datenverkehr über den Hub zu senden.
- ADVPN-Protokoll
- Einrichten einer Verknüpfung
- Rollen "Shortcut-Initiator" und "Responder"
- Shortcut-Attribute
- Shortcut-Terminierung
- Einschränkungen bei der ADVPN-Konfiguration
ADVPN-Protokoll
ADVPN verwendet eine Erweiterung des IKEv2-Protokolls, um Nachrichten zwischen zwei Peers auszutauschen, wodurch die Spokes einen Shortcut-Tunnel untereinander aufbauen können. Geräte, die die ADVPN-Erweiterung unterstützen, senden während des ersten IKE-Austauschs eine Benachrichtigung in der IKEv2 Notify-Nutzlast, einschließlich der Funktionsinformationen und der ADVPN-Versionsnummer.ADVPN_SUPPORTED
Ein Gerät, das ADVPN unterstützt, kann entweder als Shortcut-Suggestor oder als Shortcut-Partner fungieren, aber nicht als beides.
Einrichten einer Verknüpfung
Ein IPsec-VPN-Gateway kann als Abkürzungsvorschlag fungieren, wenn es feststellt, dass Datenverkehr mit einem seiner Peers einen Tunnel verlässt und mit einem anderen Peer in einen Tunnel eintritt. zeigt den Datenverkehr von Spoke 1 zu Spoke 3 an, der durch die Hub.Abbildung 1
Wenn ADVPN auf den Geräten konfiguriert ist, werden Informationen zur ADVPN-Verknüpfungsfunktion zwischen dem Hub und den Spokes ausgetauscht. Solange die Spokes 1 und 3 zuvor die ADVPN-Shortcut-Partner-Funktion für den Hub angekündigt haben, kann der Spokes1 und 3 vorschlagen, dass die Spokes 1 und 3 eine Verknüpfung untereinander herstellen.
Der Verknüpfungsvorschlag verwendet seine bereits eingerichteten IKEv2-Sicherheitszuordnungen mit den Peers, um einen Verknüpfungsaustausch mit einem der beiden Peers zu beginnen. Wenn der Peer den Verknüpfungsaustausch akzeptiert, beginnt der Verknüpfungsvorschlag einen Verknüpfungsaustausch mit dem anderen Peer. Der Verknüpfungsaustausch enthält Informationen, die es den Peers (als Verknüpfungspartner bezeichnet) ermöglichen, IKE- und IPsec-Sicherheitszuordnungen miteinander einzurichten. Die Erstellung der Verknüpfung zwischen den Verknüpfungspartnern beginnt erst, nachdem beide Peers den Verknüpfungsaustausch akzeptiert haben.
zeigt den Datenverkehr an, der durch eine Verknüpfung zwischen den Spokes 1 und 3 geleitet wird. Der Datenverkehr von Speiche 1 zu Speiche 3 muss nicht über die Hub geleitet werden.Abbildung 2
Rollen "Shortcut-Initiator" und "Responder"
Der Kurzbefehlsvorschlag wählt einen der Verknüpfungspartner aus, der als Initiator für den Kurzbefehl fungiert. Der andere Partner fungiert als Responder. Wenn sich einer der Partner hinter einem NAT-Gerät befindet, wird der Partner hinter dem NAT-Gerät als Initiator ausgewählt. Wenn keiner der Partner hinter einem NAT-Gerät steht, wählt der Vorschlagende nach dem Zufallsprinzip einen der Partner als Initiator aus. Der andere Partner fungiert als Responder. Wenn sich beide Partner hinter NAT-Geräten befinden, kann keine Verknüpfung zwischen ihnen erstellt werden. Der Vorschlagende sendet keinen Verknüpfungsaustausch an einen der Peers.
Der Shortcut-Suggester beginnt zuerst den Shortcut-Austausch mit dem Responder. Wenn der Responder den Verknüpfungsvorschlag akzeptiert, benachrichtigt der Suggester den Initiator.
Anhand der Informationen, die in der Benachrichtigung des Verknüpfungsvorschlagers enthalten sind, stellt der Verknüpfungsinitiator einen IKEv2-Austausch mit dem Responder her, und es wird eine neue IPsec-Sicherheitszuordnung zwischen den beiden Partnern eingerichtet. Bei jedem Partner verweist die Route zum Netzwerk hinter seinem Partner nun auf die Verknüpfung statt auf den Tunnel zwischen dem Partner und dem Vorschlagenden. Datenverkehr, der hinter einem der Partner beginnt und für ein Netzwerk hinter dem anderen Verknüpfungspartner bestimmt ist, fließt über die Verknüpfung.
Wenn die Partner den Verknüpfungsvorschlag ablehnen, benachrichtigen die Partner den Vorschlagenden mit dem Grund für die Ablehnung. In diesem Fall fließt der Datenverkehr zwischen den Partnern weiterhin über den Verknüpfungsvorschlag.
Shortcut-Attribute
Die Verknüpfung erhält einige ihrer Attribute vom Verknüpfungsvorschlag, während andere Attribute von der VPN-Tunnelkonfiguration des Vorschlagspartners geerbt werden. Zeigt die Parameter des Kurzbefehls an.Tabelle 1
Attribute |
Empfangen/geerbt von |
---|---|
ADVPN |
Konfiguration |
Anti-Replay |
Konfiguration |
Authentifizierungsalgorithmus |
Konfiguration |
Erkennung toter Peers |
Konfiguration |
DF-Bit |
Konfiguration |
Verschlüsselungsalgorithmus |
Konfiguration |
Tunnel einrichten |
Anregung |
Externe Schnittstelle |
Konfiguration |
Gateway-Richtlinie |
Konfiguration |
Allgemeine IKE-ID |
Konfiguration |
IKE-Version |
Konfiguration |
Installationsintervall |
Konfiguration |
Lokale Adresse |
Konfiguration |
Lokale Identität |
Anregung |
NAT-Traversal |
Konfiguration |
Absolute Geheimhaltung bei Weiterleitung |
Konfiguration |
Protokoll |
Konfiguration |
Proxy-ID |
Nicht zutreffend |
Remote-Adresse |
Anregung |
Remote-Identität |
Anregung |
Schlechte SPI reagieren |
Konfiguration |
Traffic-Selektor |
Nicht zutreffend |
Shortcut-Terminierung
Standardmäßig ist die Verknüpfung auf unbestimmte Zeit gültig. Verknüpfungspartner beenden die Verknüpfung, wenn der Datenverkehr für eine bestimmte Zeit unter eine bestimmte Rate fällt. Standardmäßig wird die Verknüpfung beendet, wenn der Datenverkehr 3.00Sekunden lang unter 5 Pakete pro Sekunde fällt. Die Werte für Leerlaufzeit und Leerlaufschwellenwert sind für Partner konfigurierbar. Die Verknüpfung kann manuell auf beiden Verknüpfungspartnern mit den Befehlen or gelöscht werden, um die entsprechende IKE- oder IPsec-Sicherheitszuordnung zu löschen.clear security ike security-association
clear security ipsec security-association
Einer der Verknüpfungspartner kann die Verknüpfung jederzeit beenden, indem er eine IKEv2-Löschnutzlast an den anderen Verknüpfungspartner sendet.
Wenn die Verknüpfung beendet wird, werden die entsprechende IKE-Sicherheitszuordnung und alle untergeordneten IPsec-Sicherheitszuordnungen gelöscht. Nachdem die Verknüpfung beendet wurde, wird die entsprechende Route auf beiden Verknüpfungspartnern gelöscht, und der Datenverkehr zwischen den beiden Peers fließt erneut über den Vorschlag. Informationen zur Beendigung der Verknüpfung werden von einem Partner an den Vorschlagenden gesendet.
Die Lebensdauer eines Kurzbefehls ist unabhängig vom Tunnel zwischen dem Kurzbefehlsvorschlag und dem Kurzbefehlspartner. Die Verknüpfung wird nicht beendet, nur weil der Tunnel zwischen dem Vorschlagenden und dem Partner beendet wird.
Einschränkungen bei der ADVPN-Konfiguration
Beachten Sie bei der Konfiguration von ADVPN die folgenden Einschränkungen:
-
ADVPN wird nur für die Kommunikation zwischen Standorten unterstützt. Die Konfiguration eines ADVPN-Vorschlags ist nur auf AutoVPN-Hubs zulässig.
-
Sie können nicht sowohl die Vorschlags- als auch die Partnerrolle konfigurieren. Wenn ADVPN auf einem Gateway aktiviert ist, können Sie nicht sowohl die Vorschlags- als auch die Partnerrolle auf dem Gateway deaktivieren.
-
Wie bereits erwähnt, können Sie keine Verknüpfung zwischen Partnern erstellen, die sich beide hinter NAT-Geräten befinden. Der Vorschlagende kann einen Verknüpfungsaustausch initiieren, wenn sich nur einer der Partner hinter einem NAT-Gerät befindet oder wenn sich keine Partner hinter NAT-Geräten befinden.
-
Multicast-Datenverkehr wird nicht unterstützt.
-
Ab Junos OS Version 19.2R1 auf Geräten der Serien SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, vSRX Virtual Firewall 2.0 (mit 2 vCPUs) und vSRX Virtual Firewall 3.0 (mit 2 vCPUs) unterstützt Protocol Independent Multicast (PIM) im Point-to-Multipoint-Modus (P2MP) Auto Discovery VPN, bei dem ein neuer Schnittstellentyp für PIM eingeführt wird.
p2mp
Die Schnittstelle verfolgt alle PIM-Joins pro Nachbar, um sicherzustellen, dass die Multicast-Weiterleitung oder -Replikation nur für die Nachbarn erfolgt, die sich im beigetretenen Zustand befinden.p2mp
-
-
Ab Junos OS Version 18.1R1 unterstützt ADVPN IPv6 , wobei Ihre Firewall den IPsec-VPN-Dienst mit kmd-Prozess ausführt.
-
Bei Konfigurationsänderungen auf dem Partner, wie z. B. Aktivieren, Deaktivieren oder Rollenänderung, wird die Option iked:
Die statische IKE-Sicherheitszuordnung und die IPsec-Sicherheitszuordnung werden abgerissen und neu verhandelt, um die neue Funktion auszutauschen.
Bereinigt die Verknüpfung IKE SA und IPsec SA sowie die vorhandenen Vorschlagsinformationen.
-
Für Änderungen an der Konfiguration, die nichts mit ADVPN zu tun haben, z. B.:
Die Änderung der statischen Tunnelkonfiguration, die zum Löschen sowohl der statischen IKE-Sicherheitszuordnung als auch der IPsec-Sicherheitszuordnung führt, führt dazu, dass die Verknüpfung IKE-Sicherheitszuordnung und die IPsec-Sicherheitszuordnung gelöscht werden. Der iked bereinigt die Vorschlagsinformationen. Der Verknüpfungstunnel wird erst wieder neu verhandelt, wenn er einen Verknüpfungsvorschlag vom Vorschlager erhält.
Die Änderung der statischen Tunnelkonfiguration, die dazu führt, dass nur die IPsec-Sicherheitszuordnung des statischen Tunnels gelöscht wird, entfernt die Verknüpfung IKE SA und die IPsec-Sicherheitszuordnung. Der iked bereinigt die Vorschlagsinformationen. Der Verknüpfungstunnel wird erst wieder neu verhandelt, wenn er einen Verknüpfungsvorschlag vom Vorschlager erhält.
Die folgenden Konfigurationen werden mit ADVPN sowohl für kmd- als auch für iked-Prozesse nicht unterstützt:
-
IKEv1
-
Richtlinienbasiertes VPN
-
Nutzlast für die IKEv2-Konfiguration
-
Datenverkehrs-Selektoren
-
Sichere Punkt-zu-Punkt-Tunnelschnittstellen
-
Vorinstallierter vorinstallierter Schlüssel
-
Freigegebener vorinstallierter Schlüssel – Keine Unterstützung für den kmd-Prozess
-
IPv6 – Keine Unterstützung für iked-Prozess
Grundlegendes zum Datenverkehrsrouting mit Shortcut-Tunneln
Tunnelklappen oder katastrophale Veränderungen können dazu führen, dass sowohl statische Tunnel als auch Abkürzungstunnel ausfallen. In diesem Fall wird der Datenverkehr zu einem bestimmten Ziel möglicherweise durch einen unerwarteten Verknüpfungstunnel statt durch einen erwarteten statischen Tunnel geleitet.
In Abbildung 3sind statische Tunnel zwischen der Nabe und den einzelnen Speichen vorhanden. OSPF-Nachbarschaften werden zwischen dem Hub und den Spokes hergestellt. Spoke A verfügt außerdem über einen Shortcut-Tunnel mit Spoke B, und es werden OSPF-Nachbarschaften zwischen den Spokes hergestellt. Der Hub (der Shortcut-Vorschlag) erkennt, dass das Netzwerk von Spoke A über den Shortcut-Tunnel zwischen Spoke B und Spoke A erreicht werden kann, wenn die Verbindung zwischen dem Hub und Spoke A unterbrochen wird.
In ist der statische Tunnel zwischen dem Hub und Spoke A ausgefallen.Abbildung 4 Wenn neuer Datenverkehr von Spoke C zu Spoke A vorhanden ist, leitet Spoke C den Datenverkehr an den Hub weiter, da kein Verknüpfungstunnel mit Spoke A vorhanden ist. Der Hub verfügt nicht über einen aktiven statischen Tunnel mit Spoke A, erkennt jedoch, dass es einen Verknüpfungstunnel zwischen Spoke A und Spoke B gibt, und leitet den Datenverkehr von Spoke C zu Spoke B weiter.
Solange sowohl Spoke B als auch Spoke C die ADVPN-Partnerfunktion (Auto Discovery VPN) unterstützen, kann der Hub vorschlagen, dass die Spokes eine direkte Verknüpfung untereinander herstellen. Dies geschieht, obwohl kein direkter Datenverkehr zwischen den beiden Speichen besteht. Der Datenverkehr von Spoke C zu Spoke A fließt durch den Verknüpfungstunnel zwischen Spoke C und Spoke B und dann durch den Shortcut-Tunnel zwischen Spoke B und Spoke A (siehe ).Abbildung 5
Wenn der statische Tunnel zwischen dem Hub und Spoke A wiederhergestellt ist, wird der Tunnel allen Spokes angekündigt. Speiche C erfährt, dass es einen besseren Weg gibt, um Speiche A zu erreichen. Anstatt den Datenverkehr über Spoke B weiterzuleiten, leitet er den Datenverkehr für Spoke A an den Hub weiter. Der Hub schlägt vor, einen Verknüpfungstunnel zwischen Spoke C und Spoke A einzurichten. Wenn der Verknüpfungstunnel zwischen Spoke C und Spoke A eingerichtet wird, fließt der Datenverkehr durch den Shortcut-Tunnel (siehe ).Abbildung 6 Der Datenverkehr zwischen Spoke C und Spoke A läuft nicht mehr über Spoke B, und der Shortcut-Tunnel zwischen Spoke B und Spoke C verschwindet schließlich.
Sie können die Option auf der Hierarchieebene [] verwenden, um die maximale Anzahl von Verknüpfungstunneln festzulegen, die mit verschiedenen Verknüpfungspartnern unter Verwendung eines bestimmten Gateways erstellt werden können.connection-limit
edit security ike gateway gateway-name advpn partner
Die maximale Anzahl, die ebenfalls die Standardeinstellung ist, ist plattformabhängig.
Siehe auch
Beispiel: Verbesserte Auslastung von Netzwerkressourcen mit automatischer Erkennung Dynamische VPN-Tunnel
Wenn Sie ein AutoVPN-Netzwerk bereitstellen, können Sie möglicherweise die Auslastung Ihrer Netzwerkressourcen erhöhen, indem Sie Auto Discovery VPN (ADVPN) konfigurieren. In AutoVPN-Netzwerken fließt der VPN-Datenverkehr durch den Hub, auch wenn der Datenverkehr von einem Spoke zum anderen übertragen wird. ADVPN ermöglicht die dynamische Einrichtung von VPN-Tunneln zwischen Spokes, was zu einer besseren Auslastung der Netzwerkressourcen führen kann. Verwenden Sie dieses Beispiel, um ADVPN so zu konfigurieren, dass dynamische Spoke-to-Spoke-VPN-Tunnel in Ihrem AutoVPN-Netzwerk aktiviert werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei unterstützte Firewalls der SRX-Serie als AutoVPN-Hub und -Spokes.
Junos OS Version 12.3X48-D10 oder höher, die ADVPN unterstützen.
Digitale Zertifikate, die im Hub und in Spokes registriert sind und es den Geräten ermöglichen, sich gegenseitig zu authentifizieren.
Bevor Sie beginnen:
Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern. Weitere Informationen finden Sie unter Grundlegendes zu lokalen Zertifikatanforderungen.
Registrieren Sie die digitalen Zertifikate auf jedem Gerät. Siehe Beispiel: Manuelles Laden von CA- und lokalen Zertifikaten.
In diesem Beispiel werden das dynamische OSPF-Routingprotokoll sowie statische Routenkonfigurationen verwendet, um Pakete über VPN-Tunnel weiterzuleiten. Sie sollten mit dem dynamischen Routing-Protokoll OSPF vertraut sein, das zum Weiterleiten von Paketen über die VPN-Tunnel verwendet wird.
Überblick
Dieses Beispiel zeigt die Konfigurationen eines AutoVPN-Hubs und zweier Spokes für ADVPN. Die Spokes stellen IPsec-VPN-Verbindungen zum Hub her, wodurch sie sowohl miteinander kommunizieren als auch auf Ressourcen auf dem Hub zugreifen können. Während der Datenverkehr zunächst über den Hub von einem Spoke zum anderen weitergeleitet wird, können die Spokes mit ADVPN eine direkte Sicherheitszuordnung untereinander herstellen. Der Hub fungiert als Verknüpfungsvorschlag. Auf dem Hub wird die Rolle durch die ADVPN-Konfiguration deaktiviert.partner
Auf den Spokes wird die Rolle durch die ADVPN-Konfiguration deaktiviert.suggester
Bestimmte IKE-Tunneloptionen der Phasen 1 und 2, die auf dem AutoVPN-Hub und den Spokes konfiguriert sind, müssen dieselben Werte aufweisen. Zeigt die in diesem Beispiel verwendeten Werte an.Tabelle 2
Option |
Wert |
---|---|
IKE-Vorschlag: |
|
Authentifizierungsmethode |
RSA-Signaturen |
Diffie-Hellman-Gruppe (DH) |
group5 |
Authentifizierungsalgorithmus |
sha1 |
Verschlüsselungsalgorithmus |
AES-256-CBC |
IKE-Richtlinie: |
|
Zertifikat |
lokales-zertifikat |
IKE-Gateway: |
|
Version |
Nur v2 |
IPsec-Vorschlag: |
|
Protokoll |
Esp |
Authentifizierungsalgorithmus |
hmac-sha1-96 |
Verschlüsselungsalgorithmus |
AES-256-CBC |
IPsec-Richtlinie: |
|
Perfect Forward Secrecy (PFS)-Gruppe |
Gruppe5 |
Die IKE-Gateway-Konfiguration auf dem Hub und den Spokes enthält Remote- und lokale Werte, die VPN-Peers identifizieren. zeigt in diesem Beispiel die Konfiguration des IKE-Gateways für den Hub und die Spokes.Tabelle 3
Option |
Hub |
Speichen |
---|---|---|
Remote-IP-Adresse |
Dynamisch |
Speiche 1: 11.1.1.1 Speiche 2: 11.1.1.1 |
Lokale IP-Adresse |
11.1.1.1 |
Speiche 1: 21.1.1.2 Speiche 2: 31.1.1.2 |
Remote-IKE-ID |
Distinguished Name (DN) mit der Zeichenfolge "XYZ" im Feld "Organisation" (O) und "Sales" im Feld "Organisationseinheit" (OU) in den Spokes-Zertifikaten |
DN mit der Zeichenfolge "Sales" im Feld "Organisationseinheit" im Zertifikat des Hubs |
Lokale IKE-ID |
DN auf dem Zertifikat der Hub-Zentrale |
DN auf dem Speichenzertifikat |
Der Hub authentifiziert die IKE-ID der Spokes, wenn die Antragstellerfelder der Spokes-Zertifikate die Zeichenfolge "XYZ" im Feld "O" und "Sales" im Feld "Organisationseinheit" enthalten.
In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.Security Policies Overview
Topologie
Abbildung 7 zeigt die Firewalls der SRX-Serie, die für dieses Beispiel konfiguriert werden sollen.
Konfiguration
- Konfigurieren des Vorschlags (Hub)
- Konfigurieren des Partners (Speiche 1)
- Konfigurieren des Partners (Speiche 2)
Konfigurieren des Vorschlags (Hub)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]
commit
set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-0/0/4 gigether-options redundant-parent reth1 set interfaces ge-7/0/3 gigether-options redundant-parent reth0 set interfaces ge-7/0/4 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 10.1.1.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 11.1.1.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 172.16.1.1/24 set protocols ospf graceful-restart restart-duration 300 set protocols ospf graceful-restart notify-duration 300 set protocols ospf graceful-restart no-strict-lsa-checking set protocols ospf area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.1 metric 10 set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40 set protocols ospf area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf area 0.0.0.0 interface reth0.0 set routing-options graceful-restart set routing-options static route 21.1.1.0/24 next-hop 11.1.1.2 set routing-options static route 31.1.1.0/24 next-hop 11.1.1.2 set routing-options router-id 172.16.1.1 set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate Suggester_Certificate_ID set security ike gateway SUGGESTER_GW ike-policy IKE_POL set security ike gateway SUGGESTER_GW dynamic distinguished-name wildcard O=XYZ, OU=Sales set security ike gateway SUGGESTER_GW dynamic ike-user-type group-ike-id set security ike gateway SUGGESTER_GW dead-peer-detection set security ike gateway SUGGESTER_GW local-identity distinguished-name set security ike gateway SUGGESTER_GW external-interface reth1.0 set security ike gateway SUGGESTER_GW local-address 11.1.1.1 set security ike gateway SUGGESTER_GW advpn partner disable set security ike gateway SUGGESTER_GW advpn suggester set security ike gateway SUGGESTER_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn SUGGESTER_VPN bind-interface st0.1 set security ipsec vpn SUGGESTER_VPN ike gateway SUGGESTER_GW set security ipsec vpn SUGGESTER_VPN ike ipsec-policy IPSEC_POL set security pki ca-profile advpn ca-identity advpn set security pki ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/ set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie den Vorschlag:
Konfigurieren von Schnittstellen.
[edit interfaces] user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-0/0/4 gigether-options redundant-parent reth1 user@host# set ge-7/0/3 gigether-options redundant-parent reth0 user@host# set ge-7/0/4 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 10.1.1.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 11.1.1.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 172.16.1.1/24
Konfigurieren Sie das Routing-Protokoll und die statischen Routen.
[edit protocols ospf] user@host# set graceful-restart restart-duration 300 user@host# set graceful-restart notify-duration 300 user@host# set graceful-restart no-strict-lsa-checking user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 metric 10 user@host# set area 0.0.0.0 interface st0.1 retransmit-interval 1 user@host# set area 0.0.0.0 interface st0.1 dead-interval 40 user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface reth0.0 [edit routing-options] user@host# set graceful-restart user@host# set static route 21.1.1.0/24 next-hop 11.1.1.2 user@host# set static route 31.1.1.0/24 next-hop 11.1.1.2 user@host# set router-id 172.16.1.1
Konfigurieren Sie die Optionen für Phase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate Suggester_Certificate_ID [edit security ike gateway SUGGESTER_GW] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard O=XYZ, OU=Sales user@host# set dynamic ike-user-type group-ike-id user@host# set dead-peer-detection user@host# set local-identity distinguished-name user@host# set external-interface reth1.0 user@host# set local-address 11.1.1.1 user@host# set advpn partner disable user@host# set advpn suggester user@host# set version v2-only
Konfigurieren Sie die Optionen für Phase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security isec vpn SUGGESTER_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway SUGGESTER_GW user@host# set ike ipsec-policy IPSEC_POL
Konfigurieren Sie die Zertifikatinformationen.
[edit security pki] user@host# set ca-profile advpn ca-identity advpn user@host# set ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/
Konfigurieren von Zonen.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth1.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security pki
show security zones
show security policies
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces ge-0/0/3 { gigether-options { redundant-parent reth0; } } ge-0/0/4 { gigether-options { redundant-parent reth1; } } ge-7/0/3 { gigether-options { redundant-parent reth0; } } ge-7/0/4 { gigether-options { redundant-parent reth1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 10.1.1.1/24; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 11.1.1.1/24; } } } st0 { unit 1 { multipoint; family inet { address 172.16.1.1/24; } } } [edit] user@host# show protocols ospf { graceful-restart { restart-duration 300; notify-duration 300; no-strict-lsa-checking; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; metric 10; retransmit-interval 1; dead-interval 40; demand-circuit; dynamic-neighbors; } interface reth0.0; } } [edit] user@host# show routing-options graceful-restart; static { route 21.1.1.0/24 next-hop 11.1.1.2; route 31.1.1.0/24 next-hop 11.1.1.2; } router-id 172.16.1.1; [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; certificate { local-certificate Suggester_Certificate_ID; } } gateway SUGGESTER_GW { ike-policy IKE_POL; dynamic { distinguished-name { wildcard O=XYZ, OU=Sales; } ike-user-type group-ike-id; } dead-peer-detection { } local-identity distinguished-name; external-interface reth1.0 local-address 11.1.1.1; advpn { partner { disable; } suggester { ] } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn SUGGESTER_VPN { bind-interface st0.1; ike { gateway SUGGESTER_GW; ipsec-policy IPSEC_POL; } } [edit] user@host# show security pki ca-profile advpn { ca-identity advpn; enrollment { url http://10.157.92.176:8080/scep/advpn/; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren des Partners (Speiche 1)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]
commit
set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-0/0/4 gigether-options redundant-parent reth1 set interfaces ge-7/0/3 gigether-options redundant-parent reth0 set interfaces ge-7/0/4 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 25.1.1.1/24 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 21.1.1.2/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 172.16.1.2/24 set protocols ospf graceful-restart restart-duration 300 set protocols ospf graceful-restart notify-duration 300 set protocols ospf graceful-restart no-strict-lsa-checking set protocols ospf area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.1 metric 15 set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40 set protocols ospf area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf area 0.0.0.0 interface reth0.0 set routing-options graceful-restart set routing-options static route 11.1.1.0/24 next-hop 21.1.1.1 set routing-options static route 31.1.1.0/24 next-hop 21.1.1.1 set routing-options router-id 172.16.1.2 set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate Partner1_Certificate_ID set security ike gateway PARTNER_GW ike-policy IKE_POL set security ike gateway PARTNER_GW address 11.1.1.1 set security ike gateway PARTNER_GW local-identity distinguished-name set security ike gateway PARTNER_GW remote-identity distinguished-name container OU=Sales set security ike gateway PARTNER_GW external-interface reth1 set security ike gateway PARTNER_GW local-address 21.1.1.2 set security ike gateway PARTNER_GW advpn suggester disable set security ike gateway PARTNER_GW advpn partner set security ike gateway PARTNER_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn PARTNER_VPN bind-interface st0.1 set security ipsec vpn PARTNER_VPN ike gateway PARTNER_GW set security ipsec vpn PARTNER_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn PARTNER_VPN establish-tunnels immediately set security pki ca-profile advpn ca-identity advpn set security pki ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/ set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie Speiche 1:
Konfigurieren von Schnittstellen.
[edit interfaces] user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-0/0/4 gigether-options redundant-parent reth1 user@host# set ge-7/0/3 gigether-options redundant-parent reth0 user@host# set ge-7/0/4 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 25.1.1.1/24 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 21.1.1.2/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 172.16.1.2/24
Konfigurieren Sie das Routing-Protokoll und die statischen Routen.
[edit protocols ospf] user@host# set graceful-restart restart-duration 300 user@host# set graceful-restart notify-duration 300 user@host# set graceful-restart no-strict-lsa-checking user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 metric 15 user@host# set area 0.0.0.0 interface st0.1 retransmit-interval 1 user@host# set area 0.0.0.0 interface st0.1 dead-interval 40 user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set protocols ospf area 0.0.0.0 interface reth0.0 [edit routing-options] user@host# set graceful-restart user@host# set static route 11.1.1.0/24 next-hop 21.1.1.1 user@host# set static route 31.1.1.0/24 next-hop 21.1.1.1 user@host# set router-id 172.16.1.2
Konfigurieren Sie die Optionen für Phase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate Partner1_Certificate_ID [edit security ike gateway PARTNER_GW] user@host# set ike-policy IKE_POL user@host# set address 11.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=Sales user@host# set external-interface reth1 user@host# set local-address 21.1.1.2 user@host# set advpn suggester disable user@host# set advpn partner user@host# set version v2-only
Konfigurieren Sie die Optionen für Phase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security isec vpn PARTNER_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway PARTNER_GW user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
Konfigurieren Sie die Zertifikatinformationen.
[edit security pki] user@host# set ca-profile advpn ca-identity advpn user@host# set ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/
Konfigurieren von Zonen.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces reth1.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security pki
show security zones
show security policies
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces ge-0/0/3 { gigether-options { redundant-parent reth0; } } ge-0/0/4 { gigether-options { redundant-parent reth1; } } ge-7/0/3 { gigether-options { redundant-parent reth0; } } ge-7/0/4 { gigether-options { redundant-parent reth1; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 25.1.1.1/24; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet { address 21.1.1.2/24; } } } st0 { unit 1 { multipoint; family inet { address 172.16.1.2/24; } } } [edit] user@host# show protocols ospf { graceful-restart { restart-duration 300; notify-duration 300; no-strict-lsa-checking; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; metric 15; retransmit-interval 1; dead-interval 40; demand-circuit; dynamic-neighbors; } interface reth0.0; } } [edit] user@host# show routing-options graceful-restart; static { route 11.1.1.0/24 next-hop 21.1.1.1; route 31.1.1.0/24 next-hop 21.1.1.1; } router-id 172.16.1.2; [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; certificate { local-certificate Partner1_Certificate_ID; } } gateway PARTNER_GW { ike-policy IKE_POL; address 11.1.1.1; local-identity distinguished-name; remote-identity distinguished-name container OU=Sales; external-interface reth1; local-address 21.1.1.2; advpn { suggester { disable; } partner { } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn PARTNER_VPN { bind-interface st0.1; ike { gateway PARTNER_GW; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security pki ca-profile advpn { ca-identity advpn; enrollment { url http://10.157.92.176:8080/scep/advpn/; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { st0.1; reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren des Partners (Speiche 2)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]
commit
set interfaces ge-0/0/2 unit 0 family inet address 31.1.1.2/24 set interfaces ge-0/0/4 unit 0 family inet address 36.1.1.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 172.16.1.3/24 set protocols ospf graceful-restart restart-duration 300 set protocols ospf graceful-restart notify-duration 300 set protocols ospf graceful-restart no-strict-lsa-checking set protocols ospf area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.1 metric 15 set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40 set protocols ospf area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf area 0.0.0.0 interface ge-0/0/4.0 set routing-options graceful-restart set routing-options static route 11.1.1.0/24 next-hop 31.1.1.1 set routing-options static route 21.1.1.0/24 next-hop 31.1.1.1 set routing-options router-id 172.16.1.3 set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group5 set security ike proposal IKE_PROP authentication-algorithm sha1 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate Partner2_Certificate_ID set security ike gateway PARTNER_GW ike-policy IKE_POL set security ike gateway PARTNER_GW address 11.1.1.1 set security ike gateway PARTNER_GW dead-peer-detection set security ike gateway PARTNER_GW local-identity distinguished-name set security ike gateway PARTNER_GW remote-identity distinguished-name container OU=Sales set security ike gateway PARTNER_GW external-interface ge-0/0/2.0 set security ike gateway PARTNER_GW local-address 31.1.1.2 set security ike gateway PARTNER_GW advpn suggester disable set security ike gateway PARTNER_GW advpn partner set security ike gateway PARTNER_GW version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP authentication-algorithm hmac-sha1-96 set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-cbc set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group5 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn PARTNER_VPN bind-interface st0.1 set security ipsec vpn PARTNER_VPN ike gateway PARTNER_GW set security ipsec vpn PARTNER_VPN ike ipsec-policy IPSEC_POL set security ipsec vpn PARTNER_VPN establish-tunnels immediately set security pki ca-profile advpn ca-identity advpn set security pki ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/ set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/4.0 set security zones security-zone trust interfaces st0.1 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/2.0 set security policies default-policy permit-all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie Speiche 2:
Konfigurieren von Schnittstellen.
[edit interfaces] user@host# set ge-0/0/2 unit 0 family inet address 31.1.1.2/24 user@host# set ge-0/0/4 unit 0 family inet address 36.1.1.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 172.16.1.3/24
Konfigurieren Sie das Routing-Protokoll und die statischen Routen.
[edit protocols ospf user@host# set graceful-restart restart-duration 300 user@host# set graceful-restart notify-duration 300 user@host# set graceful-restart no-strict-lsa-checking user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 metric 15 user@host# set area 0.0.0.0 interface st0.1 retransmit-interval 1 user@host# set area 0.0.0.0 interface st0.1 dead-interval 40 user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/4.0 [edit routing-options] user@host# set graceful-restart user@host# set static route 11.1.1.0/24 next-hop 31.1.1.1 user@host# set static route 21.1.1.0/24 next-hop 31.1.1.1 user@host# set router-id 172.16.1.3
Konfigurieren Sie die Optionen für Phase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy IKE_POL] user@host# set proposals IKE_PROP user@host# set certificate local-certificate Partner2_Certificate_ID [edit security ike gateway PARTNER_GW] user@host# set ike-policy IKE_POL user@host# set address 11.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=Sales user@host# set external-interface ge-0/0/2.0 user@host# set local-address 31.1.1.2 user@host# set advpn suggester disable user@host# set advpn partner user@host# set version v2-only
Konfigurieren Sie die Optionen für Phase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals IPSEC_PROP [edit security isec vpn PARTNER_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway PARTNER_GW user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
Konfigurieren Sie die Zertifikatinformationen.
[edit security pki] user@host# set ca-profile advpn ca-identity advpn user@host# set ca-profile advpn enrollment url http://10.157.92.176:8080/scep/advpn/
Konfigurieren von Zonen.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/4.0 user@host# set interfaces st0.1 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/2.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security pki
show security zones
show security policies
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces ge-0/0/2 { unit 0 { family inet { address 31.1.1.2/24; } } } ge-0/0/4{ unit 0 { family inet { address 36.1.1.1/24; } } } st0 { unit 1 { multipoint; family inet { address 172.16.1.3/24; } } } [edit] user@host# show protocols ospf { graceful-restart { restart-duration 300; notify-duration 300; no-strict-lsa-checking; } area 0.0.0.0 { interface st0.1 { interface-type p2mp; metric 15; retransmit-interval 1; dead-interval 40; demand-circuit; dynamic-neighbors; } interface ge-0/0/4.0; } } [edit] user@host# show routing-options graceful-restart; static { route 11.1.1.0/24 next-hop 31.1.1.1; route 21.1.1.0/24 next-hop 31.1.1.1; } router-id 172.16.1.3; [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group5; authentication-algorithm sha1; encryption-algorithm aes-256-cbc; } policy IKE_POL { proposals IKE_PROP; certificate { local-certificate Partner2_Certificate_ID } } gateway PARTNER_GW { ike-policy IKE_POL; address 11.1.1.1; local-identity distinguished-name; remote-identity distinguished-name container OU=Sales; external-interface ge-0/0/2.0; local-address 31.1.1.2; advpn { suggester{ disable; } partner { } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm aes-256-cbc; } policy IPSEC_POL { perfect-forward-secrecy { keys group5; } proposals IPSEC_PROP; } vpn PARTNER_VPN { bind-interface st0.1; ike { gateway PARTNER_GW; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security pki ca-profile advpn { ca-identity advpn; enrollment { url http://10.157.92.176:8080/scep/advpn/; } } [edit] user@host# show security zones security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/4.0; st0.1; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; } } [edit] user@host# show security policies default-policy { permit-all; }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert. Stellen Sie zunächst sicher, dass Tunnel zwischen dem AutoVPN-Hub und den Spokes eingerichtet sind. Wenn Datenverkehr über den Hub von einem Spoke zu einem anderen geleitet wird, kann eine Verknüpfung zwischen den Spokes hergestellt werden. Stellen Sie sicher, dass zwischen den Verknüpfungspartnern ein Tunnel aufgebaut wurde und ob auf den Partnern eine Route zum Peer installiert ist.
Überprüfen von Tunneln zwischen Hub und Spokes
Zweck
Stellen Sie sicher, dass Tunnel zwischen dem AutoVPN-Hub und den Spokes eingerichtet sind. Der anfängliche Datenverkehr von einem Spoke zum anderen muss über den Hub geleitet werden.
Was
Geben Sie im Betriebsmodus die Befehle und auf dem Hub und den Spokes ein.show security ike security-associations
show security ipsec security-associations
Die folgenden Befehle werden auf der Hub-Zentrale eingegeben:
user@host> show security ike security-associations node1: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 10957048 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 31.1.1.2 10957049 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 21.1.1.2
user@host> show security ike security-associations detail node1: -------------------------------------------------------------------------- IKE peer 31.1.1.2, Index 10957048, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Lifetime: Expires in 28196 seconds Peer ike-id: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2030 Output bytes : 2023 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created IKE peer 21.1.1.2, Index 10957049, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Lifetime: Expires in 28219 seconds Peer ike-id: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2030 Output bytes : 2023 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node1: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <201326593 ESP:aes-cbc-256/sha1 44ccf265 2999/ unlim - root 500 31.1.1.2 >201326593 ESP:aes-cbc-256/sha1 a9d301b0 2999/ unlim - root 500 31.1.1.2 <201326594 ESP:aes-cbc-256/sha1 98a2b155 3022/ unlim - root 500 21.1.1.2 >201326594 ESP:aes-cbc-256/sha1 de912bcd 3022/ unlim - root 500 21.1.1.2
user@host> show security ipsec security-associations detail node1: -------------------------------------------------------------------------- ID: 201326593 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 31.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 2, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 12:57:48 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:57:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:57:48 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2991 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2414 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2991 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2414 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 201326594 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 21.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 3, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 12:58:11 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:58:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:58:11 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 3014 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2436 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 3014 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2436 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 28 destinations, 28 routes (27 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 25.1.1.0/24 *[OSPF/10] 00:00:27, metric 11 > to 172.16.1.2 via st0.1 36.1.1.0/24 *[OSPF/10] 00:00:27, metric 11 > to 172.16.1.3 via st0.1 172.16.1.2/32 *[OSPF/10] 00:00:27, metric 10 > to 172.16.1.2 via st0.1 172.16.1.3/32 *[OSPF/10] 00:00:27, metric 10 > to 172.16.1.3 via st0.1 224.0.0.5/32 *[OSPF/10] 00:00:48, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.3 st0.1 Full 172.16.1.3 128 - 172.16.1.2 st0.1 Full 172.16.1.2 128 -
Die folgenden Befehle werden auf Speiche 1 eingegeben:
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 578872 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 11.1.1.1
user@host> show security ike security-associations detail node0: -------------------------------------------------------------------------- IKE peer 11.1.1.1, Index 578872, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 28183 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2023 Output bytes : 2030 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 de912bcd 2985/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 98a2b155 2985/ unlim - root 500 11.1.1.1
user@host> show security ipsec security-associations detail node0: -------------------------------------------------------------------------- ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 21.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:58:11 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:58:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:58:11 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 2980 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2358 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 2980 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2358 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 29 destinations, 29 routes (28 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:11:46, metric 16 > to 172.16.1.1 via st0.1 36.1.1.0/24 *[OSPF/10] 00:11:46, metric 26 > to 172.16.1.1 via st0.1 172.16.1.1/32 *[OSPF/10] 00:11:46, metric 15 > to 172.16.1.1 via st0.1 172.16.1.3/32 *[OSPF/10] 00:11:46, metric 25 > to 172.16.1.1 via st0.1 224.0.0.5/32 *[OSPF/10] 00:16:52, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.1 st0.1 Full 172.16.1.1 128 -
Die folgenden Befehle werden auf Speiche 2 eingegeben:
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2299162 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 11.1.1.1
user@host> show security ike security-associations detail IKE peer 11.1.1.1, Index 2299162, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 0 Suggestions accepted: 0 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 28135 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2023 Output bytes : 2030 Input packets: 4 Output packets: 4 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 a9d301b0 2936/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 44ccf265 2936/ unlim - root 500 11.1.1.1
user@host> show security ipsec security-associations detail ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 31.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:57:48 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:57:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:57:48 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2933 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2311 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2933 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2311 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 36 destinations, 36 routes (35 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:00:09, metric 16 > to 172.16.1.1 via st0.1 25.1.1.0/24 *[OSPF/10] 00:00:09, metric 26 > to 172.16.1.1 via st0.1 172.16.1.1/32 *[OSPF/10] 00:00:09, metric 15 > to 172.16.1.1 via st0.1 172.16.1.2/32 *[OSPF/10] 00:00:09, metric 25 > to 172.16.1.1 via st0.1 224.0.0.5/32 *[OSPF/10] 00:17:52, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.1 st0.1 Full 172.16.1.1 128 -
Bedeutung
Der Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf.show security ike security-associations
Der Befehl listet alle aktiven IKE Phase 2 SAs auf.show security ipsec security-associations
Der Hub zeigt zwei aktive Tunnel an, einen für jeden Spoke. Jeder Spoke zeigt einen aktiven Tunnel zum Hub an.
Wenn für IKE Phase 1 keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 1 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.
Wenn keine Sicherheitszuordnungen für IKE Phase 2 aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.
Der Befehl zeigt Einträge in der Routing-Tabelle an, die aus dem OSPF-Protokoll gelernt wurden.show route protocol ospf
Der Befehl zeigt Informationen zu OSPF-Nachbarn an.show ospf neighbor
Verifizieren des Shortcut-Tunnels zwischen Partnern
Zweck
Der AutoVPN-Hub kann als Abkürzungsvorschlag fungieren, wenn er bemerkt, dass der Datenverkehr mit einer seiner Speichen einen Tunnel verlässt und mit einer anderen Speiche in einen Tunnel eintritt. Eine neue IPsec-Sicherheitszuordnung oder Verknüpfung wird zwischen den beiden Verknüpfungspartnern eingerichtet. Bei jedem Partner verweist die Route zum Netzwerk hinter seinem Partner nun auf den Shortcut-Tunnel statt auf den Tunnel zwischen dem Partner und dem Suggester (Hub).
Was
Geben Sie im Betriebsmodus die Befehle , , und auf den Spokes ein.show security ike security-associations
show security ipsec security-associations
show route protocol ospf
show ospf neighbor
Die folgenden Befehle werden auf der Hub-Zentrale eingegeben:
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 10957048 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 31.1.1.2 10957049 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 21.1.1.2
user@host> show security ike security-associations detail node0: -------------------------------------------------------------------------- IKE peer 31.1.1.2, Index 10957048, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Lifetime: Expires in 27781 seconds Peer ike-id: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 260 Output bytes : 548 Input packets: 3 Output packets: 3 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 31.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created IKE peer 21.1.1.2, Index 10957049, Gateway Name: SUGGESTER_GW Auto Discovery VPN: Type: Static, Local Capability: Suggester, Peer Capability: Partner Suggester Shortcut Suggestions Statistics: Suggestions sent : 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Responder, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Lifetime: Expires in 27804 seconds Peer ike-id: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 244 Output bytes : 548 Input packets: 3 Output packets: 3 IPSec security associations: 0 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 11.1.1.1:500, Remote: 21.1.1.2:500 Local identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Remote identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- s Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <201326593 ESP:aes-cbc-256/sha1 44ccf265 2584/ unlim - root 500 31.1.1.2 >201326593 ESP:aes-cbc-256/sha1 a9d301b0 2584/ unlim - root 500 31.1.1.2 <201326594 ESP:aes-cbc-256/sha1 98a2b155 2607/ unlim - root 500 21.1.1.2 >201326594 ESP:aes-cbc-256/sha1 de912bcd 2607/ unlim - root 500 21.1.1.2
user@host> show security ipsec security-associations detail node0: -------------------------------------------------------------------------- ID: 201326593 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 31.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 13:09:48 -0800: Bind-interface's address received. Information updated (1 times) Tue Jan 13 2015 13:09:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Direction: inbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2578 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2001 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2578 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2001 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 201326594 Virtual-system: root, VPN Name: SUGGESTER_VPN Local Gateway: 11.1.1.1, Remote Gateway: 21.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x608a29 Tunnel events: Tue Jan 13 2015 13:09:48 -0800: Bind-interface's address received. Information updated (1 times) Tue Jan 13 2015 13:09:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Direction: inbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 2601 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2023 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 2601 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2023 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 28 destinations, 28 routes (27 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 25.1.1.0/24 *[OSPF/10] 00:04:49, metric 11 > to 172.16.1.2 via st0.1 36.1.1.0/24 *[OSPF/10] 00:04:49, metric 11 > to 172.16.1.3 via st0.1 172.16.1.2/32 *[OSPF/10] 00:04:49, metric 10 > to 172.16.1.2 via st0.1 172.16.1.3/32 *[OSPF/10] 00:04:49, metric 10 > to 172.16.1.3 via st0.1 224.0.0.5/32 *[OSPF/10] 00:05:10, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.3 st0.1 Full 172.16.1.3 128 - 172.16.1.2 st0.1 Full 172.16.1.2 128 -
Die folgenden Befehle werden auf Speiche 1 eingegeben:
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 578872 UP fa05ee6d0f2cfb22 16f5ca836b118c0e IKEv2 11.1.1.1 578873 UP 895e4d9c7c5da7a4 17de7f18b45139b4 IKEv2 31.1.1.2
user@host> show security ike security-associations detail node0: -------------------------------------------------------------------------- IKE peer 11.1.1.1, Index 578872, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: fa05ee6d0f2cfb22, Responder cookie: 16f5ca836b118c0e Exchange type: IKEv2, Authentication method: RSA-signatures Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 27906 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2495 Output bytes : 2274 Input packets: 6 Output packets: 7 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 21.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created IKE peer 31.1.1.2, Index 578873, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Shortcut, Local Capability: Partner, Peer Capability: Partner Role: Initiator, State: UP Initiator cookie: 895e4d9c7c5da7a4, Responder cookie: 17de7f18b45139b4 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 21.1.1.2:500, Remote: 31.1.1.2:500 Lifetime: Expires in 28787 seconds Peer ike-id: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 1855 Output bytes : 1990 Input packets: 2 Output packets: 2 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 21.1.1.2:500, Remote: 31.1.1.2:500 Local identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 de912bcd 2709/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 98a2b155 2709/ unlim - root 500 11.1.1.1 <67108868 ESP:aes-cbc-256/sha1 75d0177b 3590/ unlim - root 500 31.1.1.2 >67108868 ESP:aes-cbc-256/sha1 e4919d73 3590/ unlim - root 500 31.1.1.2
user@host> show security ipsec security-associations detail node0: -------------------------------------------------------------------------- ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 21.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:58:11 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:58:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:58:11 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: de912bcd, AUX-SPI: 0 Hard lifetime: Expires in 2701 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2079 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 98a2b155, AUX-SPI: 0 Hard lifetime: Expires in 2701 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2079 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 67108868 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 21.1.1.2, Remote Gateway: 31.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Auto Discovery VPN: Type: Shortcut, Shortcut Role: Initiator Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x40608a29 Tunnel events: Tue Jan 13 2015 13:12:52 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 13:12:52 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 13:12:52 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: 75d0177b, AUX-SPI: 0 Hard lifetime: Expires in 3582 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2959 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: e4919d73, AUX-SPI: 0 Hard lifetime: Expires in 3582 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2959 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 29 destinations, 29 routes (28 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:03:29, metric 16 > to 172.16.1.1 via st0.1 36.1.1.0/24 *[OSPF/10] 00:00:35, metric 16 > to 172.16.1.3 via st0.1 172.16.1.1/32 *[OSPF/10] 00:03:29, metric 15 > to 172.16.1.1 via st0.1 172.16.1.3/32 *[OSPF/10] 00:00:35, metric 15 > to 172.16.1.3 via st0.1 224.0.0.5/32 *[OSPF/10] 00:20:22, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.3 st0.1 Full 172.16.1.3 128 - 172.16.1.1 st0.1 Full 172.16.1.1 128
Die folgenden Befehle werden auf Speiche 2 eingegeben:
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2299162 UP 2d58d8fbc396762d 46145be580c68be0 IKEv2 11.1.1.1 2299163 UP 895e4d9c7c5da7a4 17de7f18b45139b4 IKEv2 21.1.1.2
user@host> show security ike security-associations detail IKE peer 11.1.1.1, Index 2299162, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Static, Local Capability: Partner, Peer Capability: Suggester Partner Shortcut Suggestions Statistics: Suggestions received: 1 Suggestions accepted: 1 Suggestions declined: 0 Role: Initiator, State: UP Initiator cookie: 2d58d8fbc396762d, Responder cookie: 46145be580c68be0 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Lifetime: Expires in 27835 seconds Peer ike-id: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2571 Output bytes : 2290 Input packets: 7 Output packets: 7 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Initiator, Message ID: 0 Local: 31.1.1.2:500, Remote: 11.1.1.1:500 Local identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=suggester, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US Flags: IKE SA is created IKE peer 21.1.1.2, Index 2299163, Gateway Name: PARTNER_GW Auto Discovery VPN: Type: Shortcut, Local Capability: Partner, Peer Capability: Partner Role: Responder, State: UP Initiator cookie: 895e4d9c7c5da7a4, Responder cookie: 17de7f18b45139b4 Exchange type: IKEv2, Authentication method: RSA-signatures Local: 31.1.1.2:500, Remote: 21.1.1.2:500 Lifetime: Expires in 28739 seconds Peer ike-id: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Xauth user-name: not available Xauth assigned IP: 0.0.0.0 Algorithms: Authentication : hmac-sha1-96 Encryption : aes256-cbc Pseudo random function: hmac-sha1 Diffie-Hellman group : DH-group-5 Traffic statistics: Input bytes : 2066 Output bytes : 1931 Input packets: 3 Output packets: 3 IPSec security associations: 2 created, 0 deleted Phase 2 negotiations in progress: 1 Negotiation type: Quick mode, Role: Responder, Message ID: 0 Local: 31.1.1.2:500, Remote: 21.1.1.2:500 Local identity: DC=XYZ, CN=partner2, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Remote identity: DC=XYZ, CN=partner1, OU=Sales, O=XYZ, L=NewYork, ST=NY, C=US Flags: IKE SA is created
user@host> show security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108866 ESP:aes-cbc-256/sha1 a9d301b0 2638/ unlim - root 500 11.1.1.1 >67108866 ESP:aes-cbc-256/sha1 44ccf265 2638/ unlim - root 500 11.1.1.1 <67108868 ESP:aes-cbc-256/sha1 e4919d73 3542/ unlim - root 500 21.1.1.2 >67108868 ESP:aes-cbc-256/sha1 75d0177b 3542/ unlim - root 500 21.1.1.2
user@host> show security ipsec security-associations detail ID: 67108866 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 31.1.1.2, Remote Gateway: 11.1.1.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x8608a29 Tunnel events: Tue Jan 13 2015 12:57:48 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 12:57:48 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 12:57:48 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: a9d301b0, AUX-SPI: 0 Hard lifetime: Expires in 2632 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2010 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 44ccf265, AUX-SPI: 0 Hard lifetime: Expires in 2632 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2010 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 ID: 67108868 Virtual-system: root, VPN Name: PARTNER_VPN Local Gateway: 31.1.1.2, Remote Gateway: 21.1.1.2 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Auto Discovery VPN: Type: Shortcut, Shortcut Role: Responder Version: IKEv2 DF-bit: clear, Bind-interface: st0.1 Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x40608aa9 Tunnel events: Tue Jan 13 2015 13:12:52 -0800: IPSec SA negotiation successfully completed (1 times) Tue Jan 13 2015 13:12:52 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Tue Jan 13 2015 13:12:52 -0800: IKE SA negotiation successfully completed (1 times) Direction: inbound, SPI: e4919d73, AUX-SPI: 0 Hard lifetime: Expires in 3536 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2958 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64 Direction: outbound, SPI: 75d0177b, AUX-SPI: 0 Hard lifetime: Expires in 3536 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 2958 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (256 bits) Anti-replay service: counter-based enabled, Replay window size: 64
user@host> show route protocol ospf inet.0: 36 destinations, 36 routes (35 active, 0 holddown, 1 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 10.1.1.0/24 *[OSPF/10] 00:03:55, metric 16 > to 172.16.1.1 via st0.1 25.1.1.0/24 *[OSPF/10] 00:01:02, metric 16 > to 172.16.1.2 via st0.1 172.16.1.1/32 *[OSPF/10] 00:03:55, metric 15 > to 172.16.1.1 via st0.1 172.16.1.2/32 *[OSPF/10] 00:01:02, metric 15 > to 172.16.1.2 via st0.1 224.0.0.5/32 *[OSPF/10] 00:21:38, metric 1 MultiRecv
user@host> show ospf neighbor Address Interface State ID Pri Dead 172.16.1.2 st0.1 Full 172.16.1.2 128 - 172.16.1.1 st0.1 Full 172.16.1.1 128 -
Bedeutung
Der Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf.show security ike security-associations
Der Befehl listet alle aktiven IKE Phase 2 SAs auf.show security ipsec security-associations
Der Hub zeigt weiterhin zwei aktive Tunnel an, einen für jede Speiche. Jeder Spoke zeigt zwei aktive Tunnel an, einen zum Hub und einen zum Shortcut-Partner.
Der Befehl zeigt das Hinzufügen von Routen zum Partner und zum Hub an.show route protocol ospf
Beispiel: Konfigurieren von ADVPN mit OSPFv3 für IPv6-Datenverkehr
In diesem Beispiel wird gezeigt, wie ein ADVPN-Hub und zwei Spokes konfiguriert werden, um einen Verknüpfungstunnel zu erstellen und die Routingtopologie zu ändern, damit der Host die andere Seite erreicht, ohne Datenverkehr über den Hub zu senden. In diesem Beispiel wird ADVPN für IPv6-Umgebungen mit OSPFv3 konfiguriert, um Pakete über die VPN-Tunnel weiterzuleiten.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Drei unterstützte Firewalls der SRX-Serie als ADVPN-Hub und -Spokes
-
Junos OS Version 18.1R1 und höhere Versionen.
Bevor Sie beginnen:
-
Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern.
Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zum Weiterleiten von Paketen durch die VPN-Tunnel verwendet wird.
Überblick
Dieses Beispiel zeigt die Konfiguration eines ADVPN-Hubs und die nachfolgenden Konfigurationen von zwei Spokes.
In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät mithilfe des Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate für die Spokes enthalten im Betrefffeld den Wert der Organisationseinheit (OU) "SLT". Der Hub ist mit einer Gruppen-IKE-ID konfiguriert, die mit dem Wert "SLT" im Feld "Organisationseinheit" übereinstimmt.
Die Spokes stellen IPsec-VPN-Verbindungen zum Hub her, wodurch sie miteinander kommunizieren und auf Ressourcen auf dem Hub zugreifen können. Die IKE-Tunneloptionen der Phasen 1 und 2, die auf dem ADVPN-Hub und allen Spokes konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 4 Zeigt die in diesem Beispiel verwendeten Optionen.
Option |
Wert |
---|---|
IKE-Vorschlag: |
|
Authentifizierungsmethode |
Digitale RSA-Zertifikate |
Diffie-Hellman-Gruppe (DH) |
19 |
Authentifizierungsalgorithmus |
SHA-384 |
Verschlüsselungsalgorithmus |
AES 256 CBC |
IKE-Richtlinie: |
|
Modus |
Wichtigsten |
IPsec-Vorschlag: |
|
Protokoll |
ESP |
Sekunden auf Lebenszeit |
3000 |
Verschlüsselungsalgorithmus |
AES 256 GCM |
IPsec-Richtlinie: |
|
Perfect Forward Secrecy (PFS)-Gruppe |
19 |
Auf allen Geräten ist dieselbe Zertifizierungsstelle (Certificate Authority, CA) konfiguriert.
Tabelle 5 Zeigt die Optionen an, die auf dem Hub und auf allen Spokes konfiguriert sind.
Option |
Hub |
Alle Speichen |
---|---|---|
IKE-Gateway: |
||
Remote-IP-Adresse |
Dynamisch |
2001:db8:2000::1 |
Remote-IKE-ID |
DN (Distinguished Name) auf dem Zertifikat des Spoke mit der Zeichenfolge im Feld für die Organisationseinheit (OU) |
DN auf dem Zertifikat der Hub-Zentrale |
Lokale IKE-ID |
DN auf dem Zertifikat der Hub-Zentrale |
DN auf dem Speichenzertifikat |
Externe Schnittstelle |
reth1 |
Speiche 1: GE-0/0/0.0 Speiche 2: GE-0/0/0.0 |
VPN: |
||
Bind-Schnittstelle |
st0.1 |
ST0.1 |
Tunnel einrichten |
(nicht konfiguriert) |
Tunnel sofort einrichten |
Tabelle 6 Zeigt die Konfigurationsoptionen an, die für jeden Spoke unterschiedlich sind.
Option |
Speiche 1 |
Speiche 2 |
---|---|---|
ST0.1-Schnittstelle |
2001:db8:9000::2/64 |
2001:db8:9000::3/64 |
Schnittstelle zum internen Netzwerk |
(GE-0/0/1.0) 2001:DB8:4000::1/64 |
(ge-0/0/1.0) 2001:db8:6000::1/64 |
Schnittstelle zum Internet |
(ge-0/0/0.0) 2001:db8:3000::2/64 |
(ge-0/0/0.0) 2001:db8:5000::2/64 |
Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.
In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.Security Policies Overview
Topologie
Abbildung 8 zeigt die Firewalls der SRX-Serie, die in diesem Beispiel für ADVPN konfiguriert werden sollen.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um ADVPN zu konfigurieren:
Im ersten Abschnitt wird beschrieben, wie Sie Zertifizierungsstellen- und lokale Zertifikate online mithilfe des Simple Certificate Enrollment Protocol (SCEP) auf den Hub-and-Spoke-Geräten abrufen.
- Registrieren von Gerätezertifikaten bei SCEP
- Konfigurieren des Hubs
- Konfigurieren von Spoke 1
- Konfigurieren von Spoke 2
Registrieren von Gerätezertifikaten bei SCEP
Schritt-für-Schritt-Anleitung
So registrieren Sie digitale Zertifikate bei SCEP auf dem Hub:
-
Konfigurieren Sie die Zertifizierungsstelle.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Registrieren Sie das CA-Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben Sie an der Eingabeaufforderung ein , um das CA-Zertifikat zu laden.yes
-
Generieren Sie ein Schlüsselpaar.
user@host> request security pki generate-key-pair certificate-id Local1
-
Registrieren Sie das lokale Zertifikat.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 10.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bengaluru,ST=KA,C=IN challenge-password <password>
-
Überprüfen Sie das lokale Zertifikat.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bengaluru, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bengaluru, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 10.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Schritt-für-Schritt-Anleitung
So registrieren Sie digitale Zertifikate bei SCEP auf Spekult 1:
-
Konfigurieren Sie die Zertifizierungsstelle.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Registrieren Sie das CA-Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben Sie an der Eingabeaufforderung ein , um das CA-Zertifikat zu laden.yes
-
Generieren Sie ein Schlüsselpaar.
user@host> request security pki generate-key-pair certificate-id Local1
-
Registrieren Sie das lokale Zertifikat.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 10.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
-
Überprüfen Sie das lokale Zertifikat.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 10.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Die im Betrefffeld angezeigte Organisationseinheit (OU) ist .
SLT
Die IKE-Konfiguration auf der Hub-Zentrale umfasst die Identifizierung des Spoke.ou=SLT
Schritt-für-Schritt-Anleitung
So registrieren Sie digitale Zertifikate bei SCEP auf Spoke 2:
-
Konfigurieren Sie die Zertifizierungsstelle.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
-
Registrieren Sie das CA-Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben Sie an der Eingabeaufforderung ein , um das CA-Zertifikat zu laden.yes
-
Generieren Sie ein Schlüsselpaar.
user@host> request security pki generate-key-pair certificate-id Local1
-
Registrieren Sie das lokale Zertifikat.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 10.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
-
Überprüfen Sie das lokale Zertifikat.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 10.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Die im Betrefffeld angezeigte Organisationseinheit (OU) ist .
SLT
Die IKE-Konfiguration auf der Hub-Zentrale umfasst die Identifizierung des Spoke.ou=SLT
Konfigurieren des Hubs
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]
commit
set chassis cluster reth-count 2 set chassis cluster node 0 set chassis cluster node 1 set chassis cluster redundancy-group 0 node 0 priority 254 set chassis cluster redundancy-group 0 node 1 priority 1 set chassis cluster redundancy-group 1 node 0 priority 254 set chassis cluster redundancy-group 1 node 1 priority 1 set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate HUB set security ike gateway IKE_GWA_1 ike-policy IKE_POL set security ike gateway IKE_GWA_1 dynamic distinguished-name wildcard OU=SLT set security ike gateway IKE_GWA_1 dynamic ike-user-type group-ike-id set security ike gateway IKE_GWA_1 dead-peer-detection always-send set security ike gateway IKE_GWA_1 dead-peer-detection interval 10 set security ike gateway IKE_GWA_1 dead-peer-detection threshold 3 set security ike gateway IKE_GWA_1 local-identity distinguished-name set security ike gateway IKE_GWA_1 external-interface reth1 set security ike gateway IKE_GWA_1 advpn partner disable set security ike gateway IKE_GWA_1 version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPNA_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPNA_1 ike gateway IKE_GWA_1 set security ipsec vpn IPSEC_VPNA_1 ike ipsec-policy IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces reth0.0 set interfaces ge-0/0/0 gigether-options redundant-parent reth1 set interfaces ge-0/0/1 gigether-options redundant-parent reth0 set interfaces ge-7/0/0 gigether-options redundant-parent reth1 set interfaces ge-7/0/1 gigether-options redundant-parent reth0 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet set interfaces reth0 unit 0 family inet6 address 2001:db8:1000::1/64 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet set interfaces reth1 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:9000::1/64 set routing-options rib inet6.0 static route 2001:db8:3000::0/64 next-hop 2001:db8:2000::2 set routing-options rib inet6.0 static route 2001:db8:5000::0/64 next-hop 2001:db8:2000::2 set protocols ospf3 area 0.0.0.0 interface reth0.0 set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus
So konfigurieren Sie den Hub:
-
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth1 user@host# set ge-0/0/1 gigether-options redundant-parent reth0 user@host# set ge-7/0/0 gigether-options redundant-parent reth1 user@host# set ge-7/0/1 gigether-options redundant-parent reth0 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet user@host# set reth0 unit 0 family inet6 address 2001:db8:1000::1/64 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet user@host# set reth1 unit 0 family inet6 address 2001:db8:2000::1/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:9000::1/64
-
Konfigurieren Sie das Routing-Protokoll.
[edit protocols ospf3] user@host# set ospf3 area 0.0.0.0 interface reth0.0 user@host# set ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:3000::0/64 next-hop 2001:db8:2000::2 user@host# set rib inet6.0 static route 2001:db8:5000::0/64 next-hop 2001:db8:2000::2
-
Konfigurieren Sie die Optionen für Phase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate HUB [edit security ike gateway IKE_GWA_1] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set ike-user-type group-ike-id user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set external-interface reth1 user@host# set version v2-only
-
Konfigurieren Sie die Optionen für Phase 2.
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_1 user@host# set ike ipsec-policy IPSEC_POL
-
Konfigurieren von Zonen.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces reth1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces reth0.0
-
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
-
Konfigurieren Sie das CA-Profil.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set pki ca-profile ROOT-CA revocation-check disable
-
Konfigurieren des Chassis-Clusters
[edit chassis cluster] set reth-count 2 set node 0 set node 1 set redundancy-group 0 node 0 priority 254 set redundancy-group 0 node 1 priority 1 set redundancy-group 1 node 0 priority 254 set redundancy-group 1 node 1 priority 1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security zones
show security policies
show security pki
show chassis cluster
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show interfaces ge-0/0/0 { gigether-options { redundant-parent reth1; } } ge-0/0/1 { gigether-options { redundant-parent reth0; } } reth0 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet; family inet6 { address 2001:db8:1000::1/64; } } } reth1 { redundant-ether-options { redundancy-group 1; } unit 0 { family inet; family inet6 { address 2001:db8:2000::1/64; } } } st0 { unit 1 { multipoint; family inet6 { address 2001:db8:9000::1/64 { primary; } } } } [edit] user@host# show protocols ospf3 { area 0.0.0.0 { interface st0.1 { interface-type p2mp; demand-circuit; dynamic-neighbors; } interface ge-0/0/1.0; interface reth0.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:3000::/64 next-hop 2001:db8:2000::2; route 2001:db8:5000::/64 next-hop 2001:db8:2000::2; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate HUB; } } gateway IKE_GWA_1 { ike-policy IKE_POL; dynamic { distinguished-name { wildcard OU=SLT; } ike-user-type group-ike-id; } dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; external-interface reth1; advpn { partner { disable; } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPNA_1 { bind-interface st0.1; ike { gateway IKE_GWA_1; ipsec-policy IPSEC_POL; } } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { st0.1; reth1.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { reth0.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren von Spoke 1
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]
commit
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE1 set security ike gateway IKE_GW_SPOKE_1 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_1 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_1 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_1 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_1 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_1 advpn suggester disable set security ike gateway IKE_GW_SPOKE_1 version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike gateway IKE_GW_SPOKE_1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_1 establish-tunnels immediately set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:9000::2/64 set routing-options rib inet6.0 static route 2001:db8:2000::0/64 next-hop 2001:db8:3000::1 set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus
So konfigurieren Sie Speiche 1:
-
Konfigurieren von Schnittstellen.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:9000::2/64
-
Konfigurieren Sie das Routing-Protokoll.
[edit protocols ospf3] set area 0.0.0.0 interface ge-0/0/1.0 set area 0.0.0.0 interface st0.1 interface-type p2mp set area 0.0.0.0 interface st0.1 dynamic-neighbors [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1
-
Konfigurieren Sie die Optionen für Phase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE1 [edit security ike gateway IKE_GW_SPOKE_1] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set advpn suggester disable user@host# set version v2-only
-
Konfigurieren Sie die Optionen für Phase 2.
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_1 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
-
Konfigurieren von Zonen.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0
-
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
-
Konfigurieren Sie das CA-Profil.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security zones
show security policies
show security pki
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:3000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:4000::1/64; } } } st0 { unit 1 { multipoint; family inet6 { address 2001:db8:9000::2/64; } } } [edit] user@host# show protocols ospf3 { area 0.0.0.0 { interface st0.1 { interface-type p2mp; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ]; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE1; } } gateway IKE_GW_SPOKE_1 { ike-policy IKE_POL; address 2001:db8:2000::1; dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; remote-identity distinguished-name container OU=SLT; external-interface ge-0/0/0.0; advpn { suggester { disable; } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPN_SPOKE_1 { bind-interface st0.1; ike { gateway IKE_GW_SPOKE_1; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { st0.1; ge-0/0/0.0; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren von Spoke 2
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]
commit
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE2 set security ike gateway IKE_GW_SPOKE_2 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_2 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_2 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_2 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_2 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_2 advpn suggester disable set security ike gateway IKE_GW_SPOKE_2 version v2-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_2 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike gateway IKE_GW_SPOKE_2 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_2 establish-tunnels immediately set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:9000::3/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus
So konfigurieren Sie Speiche 2:
-
Konfigurieren von Schnittstellen.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:9000::3/64
-
Konfigurieren Sie das Routing-Protokoll.
[edit protocols ospf3] user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1
-
Konfigurieren Sie die Optionen für Phase 1.
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE2 [edit security ike gateway IKE_GW_SPOKE_2] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set advpn suggester disable user@host# set version v2-only
-
Konfigurieren Sie die Optionen für Phase 2.
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_2] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_2 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
-
Konfigurieren von Zonen.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0
-
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
-
Konfigurieren Sie das CA-Profil.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfaces
show protocols
show routing-options
show security ike
show security ipsec
show security zones
show security policies
show security pki
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { address 2001:db8:5000::2/64; } } } ge-0/0/1 { unit 0 { family inet6 { address 2001:db8:6000::1/64; } } } st0 { unit 1 { family inet6 { address 2001:db8:9000::3/64; } } } [edit] user@host# show protocols ospf3 { area 0.0.0.0 { interface st0.1 { interface-type p2mp; dynamic-neighbors; } interface ge-0/0/1.0; } } [edit] user@host# show routing-options rib inet6.0 { static { route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ]; } } [edit] user@host# show security ike proposal IKE_PROP { authentication-method rsa-signatures; dh-group group19; authentication-algorithm sha-384; encryption-algorithm aes-256-cbc; lifetime-seconds 6000; } policy IKE_POL { mode main; proposals IKE_PROP; certificate { local-certificate SPOKE2; } } gateway IKE_GW_SPOKE_2 { ike-policy IKE_POL; address 2001:db8:2000::1; dead-peer-detection { always-send; interval 10; threshold 3; } local-identity distinguished-name; remote-identity distinguished-name container OU=SLT; external-interface ge-0/0/0.0; advpn { suggester { disable } } version v2-only; } [edit] user@host# show security ipsec proposal IPSEC_PROP { protocol esp; encryption-algorithm aes-256-gcm; lifetime-seconds 3000; } policy IPSEC_POL { perfect-forward-secrecy { keys group19; } proposals IPSEC_PROP; } vpn IPSEC_VPN_SPOKE_2 { bind-interface st0.1; ike { gateway IKE_GW_SPOKE_2; ipsec-policy IPSEC_POL; } establish-tunnels immediately; } [edit] user@host# show security zones security-zone untrust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/0.0; st0.1; } } security-zone trust { host-inbound-traffic { system-services { all; } protocols { ospf3; } } interfaces { ge-0/0/1.0; } } [edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security pki ca-profile ROOT-CA { ca-identity ROOT-CA; enrollment { url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll; retry 5; retry-interval 0; } revocation-check { disable; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des IKE-Status
- Überprüfen des IPsec-Status
- Überprüfen von IPsec-Next-Hop-Tunneln
- OSPFv3 verifizieren
Überprüfen des IKE-Status
Zweck
Überprüfen Sie den IKE-Status.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ike sa
user@host> show security ike sa Index State Initiator cookie Responder cookie Mode Remote Address 4295070 UP 2001:db8:1ad4ba7a115fa229 2001:db8:32e6382a058bb296 Main 2001:db8:3000::2 295069 UP 2001:db8:88a1520c20cbbe04 2001:db8:7fa4c8e365393c48 Main 2001:db8:5000::2
Bedeutung
Der Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf.show security ike sa
Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.
Überprüfen des IPsec-Status
Zweck
Überprüfen Sie den IPsec-Status.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ipsec sa
user@host> show security ipsec sa Total active tunnels: 2 Total Ipsec sas: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <67108881 ESP:aes-gcm-256/None 3dba3f80 2979/ unlim - root 500 2001:db8:5000::2 >67108881 ESP:aes-gcm-256/None 46746d5d 2979/ unlim - root 500 2001:db8:5000::2 <67108882 ESP:aes-gcm-256/None 16dceb60 2992/ unlim - root 500 2001:db8:3000::2 >67108882 ESP:aes-gcm-256/None 681209c2 2992/ unlim - root 500 2001:db8:3000::2
Bedeutung
Der Befehl listet alle aktiven IKE Phase 2 SAs auf.show security ipsec sa
Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.
Überprüfen von IPsec-Next-Hop-Tunneln
Zweck
Überprüfen Sie die IPsec-Next-Hop-Tunnel.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ipsec next-hop-tunnels
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 2001:db8:9000::2 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8:9000::3 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:10c8 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:112f st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available
Bedeutung
Bei den Next-Hop-Gateways handelt es sich um die IP-Adressen für die Schnittstellen der Spokes.st0
Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.
OSPFv3 verifizieren
Zweck
Stellen Sie sicher, dass OSPFv3 auf die IP-Adressen für die Schnittstellen der Spokes verweist.st0
Was
Geben Sie im Betriebsmodus den Befehl ein.show ospf3 neighbor interface
user@host> show ospf3 neighbor interface ID Interface State Pri Dead 2001:db8:9000:2 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:110e 2001:db8:20:54:49.693 INFO ${ret} = ID Interface State Pri Dead 2001:db8:9000:3 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:110e
Aktivieren von OSPF für die schnelle Aktualisierung von Routen nach dem Einrichten von ADVPN-Verknüpfungstunneln
Problem
Beschreibung
OSPF kann bis zu 9 Sekunden dauern, um eine Verknüpfungsroute in der Routing-Tabelle zu aktualisieren. Es kann bis zu 10 Sekunden dauern, bis der Datenverkehr an den Shortcut-Tunnel weitergeleitet wird.
Symptome
Wenn ein Verknüpfungstunnel zwischen zwei Verknüpfungspartnern eingerichtet wird, initiiert OSPF ein OSPF-Hello-Paket. Aufgrund des Zeitpunkts der Einrichtung des Verknüpfungstunnels und der OSPF-Nachbarinstallation kann das erste Paket im Tunnel verworfen werden. Dies kann dazu führen, dass OSPF erneut versucht, eine OSPF-Nachbarschaft herzustellen.
Standardmäßig beträgt das Intervall, in dem der OSPF versucht, eine Nachbarschaft herzustellen, 10 Sekunden. Nachdem ein Verknüpfungstunnel eingerichtet wurde, kann es mehr als 10 Sekunden dauern, bis OSPF eine Nachbarschaft zwischen den Partnern herstellt.
Lösung
Durch die Konfiguration eines kleineren Wiederholungsintervalls, z. B. 1 oder 2 Sekunden, kann OSPF schneller Nachbarschaften über den Verknüpfungstunnel einrichten. Verwenden Sie z. B. die folgenden Konfigurationen:
[edit] set protocols ospf area 0.0.0.0 interface st0.1 retransmit-interval 1 set protocols ospf area 0.0.0.0 interface st0.1 dead-interval 40
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
p2mp