Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPNs mit automatischer Erkennung

Auto Discovery VPN (ADVPN) richtet dynamisch VPN-Tunnel zwischen Spokes ein, um zu vermeiden, dass Datenverkehr über den Hub geleitet wird.

Grundlegendes zu VPN für die automatische Erkennung

Auto Discovery VPN (ADVPN) ist eine Technologie, die es dem zentralen Hub ermöglicht, Spokes dynamisch über einen besseren Pfad für den Datenverkehr zwischen zwei Spokes zu informieren. Wenn beide Spokes die Informationen vom Hub bestätigen, richten sie einen Verknüpfungstunnel ein und ändern die Routing-Topologie, damit der Host die andere Seite erreicht, ohne Datenverkehr über den Hub zu senden.

ADVPN-Protokoll

ADVPN verwendet eine Erweiterung des IKEv2-Protokolls, um Nachrichten zwischen zwei Peers auszutauschen, wodurch die Spokes einen Shortcut-Tunnel untereinander aufbauen können. Geräte, die die ADVPN-Erweiterung unterstützen, senden während des ersten IKE-Austauschs eine Benachrichtigung in der IKEv2 Notify-Nutzlast, einschließlich der Funktionsinformationen und der ADVPN-Versionsnummer.ADVPN_SUPPORTED Ein Gerät, das ADVPN unterstützt, kann entweder als Shortcut-Suggestor oder als Shortcut-Partner fungieren, aber nicht als beides.

Einrichten einer Verknüpfung

Ein IPsec-VPN-Gateway kann als Abkürzungsvorschlag fungieren, wenn es feststellt, dass Datenverkehr mit einem seiner Peers einen Tunnel verlässt und mit einem anderen Peer in einen Tunnel eintritt. zeigt den Datenverkehr von Spoke 1 zu Spoke 3 an, der durch die Hub.Abbildung 1

Abbildung 1: Spoke-to-Spoke-Datenverkehr, der durch den Hub geleitet wirdSpoke-to-Spoke-Datenverkehr, der durch den Hub geleitet wird

Wenn ADVPN auf den Geräten konfiguriert ist, werden Informationen zur ADVPN-Verknüpfungsfunktion zwischen dem Hub und den Spokes ausgetauscht. Solange die Spokes 1 und 3 zuvor die ADVPN-Shortcut-Partner-Funktion für den Hub angekündigt haben, kann der Spokes1 und 3 vorschlagen, dass die Spokes 1 und 3 eine Verknüpfung untereinander herstellen.

Der Verknüpfungsvorschlag verwendet seine bereits eingerichteten IKEv2-Sicherheitszuordnungen mit den Peers, um einen Verknüpfungsaustausch mit einem der beiden Peers zu beginnen. Wenn der Peer den Verknüpfungsaustausch akzeptiert, beginnt der Verknüpfungsvorschlag einen Verknüpfungsaustausch mit dem anderen Peer. Der Verknüpfungsaustausch enthält Informationen, die es den Peers (als Verknüpfungspartner bezeichnet) ermöglichen, IKE- und IPsec-Sicherheitszuordnungen miteinander einzurichten. Die Erstellung der Verknüpfung zwischen den Verknüpfungspartnern beginnt erst, nachdem beide Peers den Verknüpfungsaustausch akzeptiert haben.

zeigt den Datenverkehr an, der durch eine Verknüpfung zwischen den Spokes 1 und 3 geleitet wird. Der Datenverkehr von Speiche 1 zu Speiche 3 muss nicht über die Hub geleitet werden.Abbildung 2

Abbildung 2: Spoke-to-Spoke-Datenverkehr, der über Shortcut geleitet wird Spoke-to-Spoke-Datenverkehr, der über Shortcut geleitet wird

Rollen "Shortcut-Initiator" und "Responder"

Der Kurzbefehlsvorschlag wählt einen der Verknüpfungspartner aus, der als Initiator für den Kurzbefehl fungiert. Der andere Partner fungiert als Responder. Wenn sich einer der Partner hinter einem NAT-Gerät befindet, wird der Partner hinter dem NAT-Gerät als Initiator ausgewählt. Wenn keiner der Partner hinter einem NAT-Gerät steht, wählt der Vorschlagende nach dem Zufallsprinzip einen der Partner als Initiator aus. Der andere Partner fungiert als Responder. Wenn sich beide Partner hinter NAT-Geräten befinden, kann keine Verknüpfung zwischen ihnen erstellt werden. Der Vorschlagende sendet keinen Verknüpfungsaustausch an einen der Peers.

Der Shortcut-Suggester beginnt zuerst den Shortcut-Austausch mit dem Responder. Wenn der Responder den Verknüpfungsvorschlag akzeptiert, benachrichtigt der Suggester den Initiator.

Anhand der Informationen, die in der Benachrichtigung des Verknüpfungsvorschlagers enthalten sind, stellt der Verknüpfungsinitiator einen IKEv2-Austausch mit dem Responder her, und es wird eine neue IPsec-Sicherheitszuordnung zwischen den beiden Partnern eingerichtet. Bei jedem Partner verweist die Route zum Netzwerk hinter seinem Partner nun auf die Verknüpfung statt auf den Tunnel zwischen dem Partner und dem Vorschlagenden. Datenverkehr, der hinter einem der Partner beginnt und für ein Netzwerk hinter dem anderen Verknüpfungspartner bestimmt ist, fließt über die Verknüpfung.

Wenn die Partner den Verknüpfungsvorschlag ablehnen, benachrichtigen die Partner den Vorschlagenden mit dem Grund für die Ablehnung. In diesem Fall fließt der Datenverkehr zwischen den Partnern weiterhin über den Verknüpfungsvorschlag.

Shortcut-Attribute

Die Verknüpfung erhält einige ihrer Attribute vom Verknüpfungsvorschlag, während andere Attribute von der VPN-Tunnelkonfiguration des Vorschlagspartners geerbt werden. Zeigt die Parameter des Kurzbefehls an.Tabelle 1

Tabelle 1: Shortcut-Parameter

Attribute

Empfangen/geerbt von

ADVPN

Konfiguration

Anti-Replay

Konfiguration

Authentifizierungsalgorithmus

Konfiguration

Erkennung toter Peers

Konfiguration

DF-Bit

Konfiguration

Verschlüsselungsalgorithmus

Konfiguration

Tunnel einrichten

Anregung

Externe Schnittstelle

Konfiguration

Gateway-Richtlinie

Konfiguration

Allgemeine IKE-ID

Konfiguration

IKE-Version

Konfiguration

Installationsintervall

Konfiguration

Lokale Adresse

Konfiguration

Lokale Identität

Anregung

NAT-Traversal

Konfiguration

Absolute Geheimhaltung bei Weiterleitung

Konfiguration

Protokoll

Konfiguration

Proxy-ID

Nicht zutreffend

Remote-Adresse

Anregung

Remote-Identität

Anregung

Schlechte SPI reagieren

Konfiguration

Traffic-Selektor

Nicht zutreffend

Shortcut-Terminierung

Standardmäßig ist die Verknüpfung auf unbestimmte Zeit gültig. Verknüpfungspartner beenden die Verknüpfung, wenn der Datenverkehr für eine bestimmte Zeit unter eine bestimmte Rate fällt. Standardmäßig wird die Verknüpfung beendet, wenn der Datenverkehr 3.00Sekunden lang unter 5 Pakete pro Sekunde fällt. Die Werte für Leerlaufzeit und Leerlaufschwellenwert sind für Partner konfigurierbar. Die Verknüpfung kann manuell auf beiden Verknüpfungspartnern mit den Befehlen or gelöscht werden, um die entsprechende IKE- oder IPsec-Sicherheitszuordnung zu löschen.clear security ike security-associationclear security ipsec security-association Einer der Verknüpfungspartner kann die Verknüpfung jederzeit beenden, indem er eine IKEv2-Löschnutzlast an den anderen Verknüpfungspartner sendet.

Wenn die Verknüpfung beendet wird, werden die entsprechende IKE-Sicherheitszuordnung und alle untergeordneten IPsec-Sicherheitszuordnungen gelöscht. Nachdem die Verknüpfung beendet wurde, wird die entsprechende Route auf beiden Verknüpfungspartnern gelöscht, und der Datenverkehr zwischen den beiden Peers fließt erneut über den Vorschlag. Informationen zur Beendigung der Verknüpfung werden von einem Partner an den Vorschlagenden gesendet.

Die Lebensdauer eines Kurzbefehls ist unabhängig vom Tunnel zwischen dem Kurzbefehlsvorschlag und dem Kurzbefehlspartner. Die Verknüpfung wird nicht beendet, nur weil der Tunnel zwischen dem Vorschlagenden und dem Partner beendet wird.

Einschränkungen bei der ADVPN-Konfiguration

Beachten Sie bei der Konfiguration von ADVPN die folgenden Einschränkungen:

  • ADVPN wird nur für die Kommunikation zwischen Standorten unterstützt. Die Konfiguration eines ADVPN-Vorschlags ist nur auf AutoVPN-Hubs zulässig.

  • Sie können nicht sowohl die Vorschlags- als auch die Partnerrolle konfigurieren. Wenn ADVPN auf einem Gateway aktiviert ist, können Sie nicht sowohl die Vorschlags- als auch die Partnerrolle auf dem Gateway deaktivieren.

  • Wie bereits erwähnt, können Sie keine Verknüpfung zwischen Partnern erstellen, die sich beide hinter NAT-Geräten befinden. Der Vorschlagende kann einen Verknüpfungsaustausch initiieren, wenn sich nur einer der Partner hinter einem NAT-Gerät befindet oder wenn sich keine Partner hinter NAT-Geräten befinden.

  • Multicast-Datenverkehr wird nicht unterstützt.

    1. Ab Junos OS Version 19.2R1 auf Geräten der Serien SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, vSRX Virtual Firewall 2.0 (mit 2 vCPUs) und vSRX Virtual Firewall 3.0 (mit 2 vCPUs) unterstützt Protocol Independent Multicast (PIM) im Point-to-Multipoint-Modus (P2MP) Auto Discovery VPN, bei dem ein neuer Schnittstellentyp für PIM eingeführt wird.p2mp Die Schnittstelle verfolgt alle PIM-Joins pro Nachbar, um sicherzustellen, dass die Multicast-Weiterleitung oder -Replikation nur für die Nachbarn erfolgt, die sich im beigetretenen Zustand befinden.p2mp

  • Ab Junos OS Version 18.1R1 unterstützt ADVPN IPv6 , wobei Ihre Firewall den IPsec-VPN-Dienst mit kmd-Prozess ausführt.

  • Bei Konfigurationsänderungen auf dem Partner, wie z. B. Aktivieren, Deaktivieren oder Rollenänderung, wird die Option iked:

    1. Die statische IKE-Sicherheitszuordnung und die IPsec-Sicherheitszuordnung werden abgerissen und neu verhandelt, um die neue Funktion auszutauschen.

    2. Bereinigt die Verknüpfung IKE SA und IPsec SA sowie die vorhandenen Vorschlagsinformationen.

  • Für Änderungen an der Konfiguration, die nichts mit ADVPN zu tun haben, z. B.:

    1. Die Änderung der statischen Tunnelkonfiguration, die zum Löschen sowohl der statischen IKE-Sicherheitszuordnung als auch der IPsec-Sicherheitszuordnung führt, führt dazu, dass die Verknüpfung IKE-Sicherheitszuordnung und die IPsec-Sicherheitszuordnung gelöscht werden. Der iked bereinigt die Vorschlagsinformationen. Der Verknüpfungstunnel wird erst wieder neu verhandelt, wenn er einen Verknüpfungsvorschlag vom Vorschlager erhält.

    2. Die Änderung der statischen Tunnelkonfiguration, die dazu führt, dass nur die IPsec-Sicherheitszuordnung des statischen Tunnels gelöscht wird, entfernt die Verknüpfung IKE SA und die IPsec-Sicherheitszuordnung. Der iked bereinigt die Vorschlagsinformationen. Der Verknüpfungstunnel wird erst wieder neu verhandelt, wenn er einen Verknüpfungsvorschlag vom Vorschlager erhält.

Die folgenden Konfigurationen werden mit ADVPN sowohl für kmd- als auch für iked-Prozesse nicht unterstützt:

  • IKEv1

  • Richtlinienbasiertes VPN

  • Nutzlast für die IKEv2-Konfiguration

  • Datenverkehrs-Selektoren

  • Sichere Punkt-zu-Punkt-Tunnelschnittstellen

  • Vorinstallierter vorinstallierter Schlüssel

  • Freigegebener vorinstallierter Schlüssel – Keine Unterstützung für den kmd-Prozess

  • IPv6 – Keine Unterstützung für iked-Prozess

Grundlegendes zum Datenverkehrsrouting mit Shortcut-Tunneln

Tunnelklappen oder katastrophale Veränderungen können dazu führen, dass sowohl statische Tunnel als auch Abkürzungstunnel ausfallen. In diesem Fall wird der Datenverkehr zu einem bestimmten Ziel möglicherweise durch einen unerwarteten Verknüpfungstunnel statt durch einen erwarteten statischen Tunnel geleitet.

In Abbildung 3sind statische Tunnel zwischen der Nabe und den einzelnen Speichen vorhanden. OSPF-Nachbarschaften werden zwischen dem Hub und den Spokes hergestellt. Spoke A verfügt außerdem über einen Shortcut-Tunnel mit Spoke B, und es werden OSPF-Nachbarschaften zwischen den Spokes hergestellt. Der Hub (der Shortcut-Vorschlag) erkennt, dass das Netzwerk von Spoke A über den Shortcut-Tunnel zwischen Spoke B und Spoke A erreicht werden kann, wenn die Verbindung zwischen dem Hub und Spoke A unterbrochen wird.

Abbildung 3: Einrichtung von statischen Tunneln und Shortcut-Tunneln im Hub-and-Spoke-NetzwerkEinrichtung von statischen Tunneln und Shortcut-Tunneln im Hub-and-Spoke-Netzwerk

In ist der statische Tunnel zwischen dem Hub und Spoke A ausgefallen.Abbildung 4 Wenn neuer Datenverkehr von Spoke C zu Spoke A vorhanden ist, leitet Spoke C den Datenverkehr an den Hub weiter, da kein Verknüpfungstunnel mit Spoke A vorhanden ist. Der Hub verfügt nicht über einen aktiven statischen Tunnel mit Spoke A, erkennt jedoch, dass es einen Verknüpfungstunnel zwischen Spoke A und Spoke B gibt, und leitet den Datenverkehr von Spoke C zu Spoke B weiter.

Abbildung 4: Datenverkehrspfad von Spoke C zu Spoke ADatenverkehrspfad von Spoke C zu Spoke A

Solange sowohl Spoke B als auch Spoke C die ADVPN-Partnerfunktion (Auto Discovery VPN) unterstützen, kann der Hub vorschlagen, dass die Spokes eine direkte Verknüpfung untereinander herstellen. Dies geschieht, obwohl kein direkter Datenverkehr zwischen den beiden Speichen besteht. Der Datenverkehr von Spoke C zu Spoke A fließt durch den Verknüpfungstunnel zwischen Spoke C und Spoke B und dann durch den Shortcut-Tunnel zwischen Spoke B und Spoke A (siehe ).Abbildung 5

Abbildung 5: Datenverkehrspfad von Spoke C zu Spoke A durch Shortcut-TunnelDatenverkehrspfad von Spoke C zu Spoke A durch Shortcut-Tunnel

Wenn der statische Tunnel zwischen dem Hub und Spoke A wiederhergestellt ist, wird der Tunnel allen Spokes angekündigt. Speiche C erfährt, dass es einen besseren Weg gibt, um Speiche A zu erreichen. Anstatt den Datenverkehr über Spoke B weiterzuleiten, leitet er den Datenverkehr für Spoke A an den Hub weiter. Der Hub schlägt vor, einen Verknüpfungstunnel zwischen Spoke C und Spoke A einzurichten. Wenn der Verknüpfungstunnel zwischen Spoke C und Spoke A eingerichtet wird, fließt der Datenverkehr durch den Shortcut-Tunnel (siehe ).Abbildung 6 Der Datenverkehr zwischen Spoke C und Spoke A läuft nicht mehr über Spoke B, und der Shortcut-Tunnel zwischen Spoke B und Spoke C verschwindet schließlich.

Abbildung 6: Datenverkehrspfad von Spoke C zu Spoke A durch Shortcut TunnelDatenverkehrspfad von Spoke C zu Spoke A durch Shortcut Tunnel

Sie können die Option auf der Hierarchieebene [] verwenden, um die maximale Anzahl von Verknüpfungstunneln festzulegen, die mit verschiedenen Verknüpfungspartnern unter Verwendung eines bestimmten Gateways erstellt werden können.connection-limitedit security ike gateway gateway-name advpn partner Die maximale Anzahl, die ebenfalls die Standardeinstellung ist, ist plattformabhängig.

Beispiel: Verbesserte Auslastung von Netzwerkressourcen mit automatischer Erkennung Dynamische VPN-Tunnel

Wenn Sie ein AutoVPN-Netzwerk bereitstellen, können Sie möglicherweise die Auslastung Ihrer Netzwerkressourcen erhöhen, indem Sie Auto Discovery VPN (ADVPN) konfigurieren. In AutoVPN-Netzwerken fließt der VPN-Datenverkehr durch den Hub, auch wenn der Datenverkehr von einem Spoke zum anderen übertragen wird. ADVPN ermöglicht die dynamische Einrichtung von VPN-Tunneln zwischen Spokes, was zu einer besseren Auslastung der Netzwerkressourcen führen kann. Verwenden Sie dieses Beispiel, um ADVPN so zu konfigurieren, dass dynamische Spoke-to-Spoke-VPN-Tunnel in Ihrem AutoVPN-Netzwerk aktiviert werden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Firewalls der SRX-Serie als AutoVPN-Hub und -Spokes.

  • Junos OS Version 12.3X48-D10 oder höher, die ADVPN unterstützen.

  • Digitale Zertifikate, die im Hub und in Spokes registriert sind und es den Geräten ermöglichen, sich gegenseitig zu authentifizieren.

Bevor Sie beginnen:

  1. Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern. Weitere Informationen finden Sie unter Grundlegendes zu lokalen Zertifikatanforderungen.

  2. Registrieren Sie die digitalen Zertifikate auf jedem Gerät. Siehe Beispiel: Manuelles Laden von CA- und lokalen Zertifikaten.

In diesem Beispiel werden das dynamische OSPF-Routingprotokoll sowie statische Routenkonfigurationen verwendet, um Pakete über VPN-Tunnel weiterzuleiten. Sie sollten mit dem dynamischen Routing-Protokoll OSPF vertraut sein, das zum Weiterleiten von Paketen über die VPN-Tunnel verwendet wird.

Überblick

Dieses Beispiel zeigt die Konfigurationen eines AutoVPN-Hubs und zweier Spokes für ADVPN. Die Spokes stellen IPsec-VPN-Verbindungen zum Hub her, wodurch sie sowohl miteinander kommunizieren als auch auf Ressourcen auf dem Hub zugreifen können. Während der Datenverkehr zunächst über den Hub von einem Spoke zum anderen weitergeleitet wird, können die Spokes mit ADVPN eine direkte Sicherheitszuordnung untereinander herstellen. Der Hub fungiert als Verknüpfungsvorschlag. Auf dem Hub wird die Rolle durch die ADVPN-Konfiguration deaktiviert.partner Auf den Spokes wird die Rolle durch die ADVPN-Konfiguration deaktiviert.suggester

Bestimmte IKE-Tunneloptionen der Phasen 1 und 2, die auf dem AutoVPN-Hub und den Spokes konfiguriert sind, müssen dieselben Werte aufweisen. Zeigt die in diesem Beispiel verwendeten Werte an.Tabelle 2

Tabelle 2: Phase-1- und Phase-2-Optionen für AutoVPN Hub und Spokes für ADVPN-Beispiel

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

RSA-Signaturen

Diffie-Hellman-Gruppe (DH)

group5

Authentifizierungsalgorithmus

sha1

Verschlüsselungsalgorithmus

AES-256-CBC

IKE-Richtlinie:

Zertifikat

lokales-zertifikat

IKE-Gateway:

Version

Nur v2

IPsec-Vorschlag:

Protokoll

Esp

Authentifizierungsalgorithmus

hmac-sha1-96

Verschlüsselungsalgorithmus

AES-256-CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

Gruppe5

Die IKE-Gateway-Konfiguration auf dem Hub und den Spokes enthält Remote- und lokale Werte, die VPN-Peers identifizieren. zeigt in diesem Beispiel die Konfiguration des IKE-Gateways für den Hub und die Spokes.Tabelle 3

Tabelle 3: Beispiel für eine IKE-Gateway-Konfiguration für ADVPN

Option

Hub

Speichen

Remote-IP-Adresse

Dynamisch

Speiche 1: 11.1.1.1

Speiche 2: 11.1.1.1

Lokale IP-Adresse

11.1.1.1

Speiche 1: 21.1.1.2

Speiche 2: 31.1.1.2

Remote-IKE-ID

Distinguished Name (DN) mit der Zeichenfolge "XYZ" im Feld "Organisation" (O) und "Sales" im Feld "Organisationseinheit" (OU) in den Spokes-Zertifikaten

DN mit der Zeichenfolge "Sales" im Feld "Organisationseinheit" im Zertifikat des Hubs

Lokale IKE-ID

DN auf dem Zertifikat der Hub-Zentrale

DN auf dem Speichenzertifikat

Der Hub authentifiziert die IKE-ID der Spokes, wenn die Antragstellerfelder der Spokes-Zertifikate die Zeichenfolge "XYZ" im Feld "O" und "Sales" im Feld "Organisationseinheit" enthalten.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.Security Policies Overview

Topologie

Abbildung 7 zeigt die Firewalls der SRX-Serie, die für dieses Beispiel konfiguriert werden sollen.

Abbildung 7: AutoVPN-Bereitstellung mit ADVPNAutoVPN-Bereitstellung mit ADVPN

Konfiguration

Konfigurieren des Vorschlags (Hub)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie den Vorschlag:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll und die statischen Routen.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren Sie die Zertifikatinformationen.

  6. Konfigurieren von Zonen.

  7. Konfigurieren Sie die Standardsicherheitsrichtlinie.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pkishow security zonesshow security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Konfigurieren des Partners (Speiche 1)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie Speiche 1:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll und die statischen Routen.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren Sie die Zertifikatinformationen.

  6. Konfigurieren von Zonen.

  7. Konfigurieren Sie die Standardsicherheitsrichtlinie.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pkishow security zonesshow security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Konfigurieren des Partners (Speiche 2)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie Speiche 2:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll und die statischen Routen.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren Sie die Zertifikatinformationen.

  6. Konfigurieren von Zonen.

  7. Konfigurieren Sie die Standardsicherheitsrichtlinie.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security pkishow security zonesshow security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert. Stellen Sie zunächst sicher, dass Tunnel zwischen dem AutoVPN-Hub und den Spokes eingerichtet sind. Wenn Datenverkehr über den Hub von einem Spoke zu einem anderen geleitet wird, kann eine Verknüpfung zwischen den Spokes hergestellt werden. Stellen Sie sicher, dass zwischen den Verknüpfungspartnern ein Tunnel aufgebaut wurde und ob auf den Partnern eine Route zum Peer installiert ist.

Überprüfen von Tunneln zwischen Hub und Spokes

Zweck

Stellen Sie sicher, dass Tunnel zwischen dem AutoVPN-Hub und den Spokes eingerichtet sind. Der anfängliche Datenverkehr von einem Spoke zum anderen muss über den Hub geleitet werden.

Was

Geben Sie im Betriebsmodus die Befehle und auf dem Hub und den Spokes ein.show security ike security-associationsshow security ipsec security-associations

Die folgenden Befehle werden auf der Hub-Zentrale eingegeben:

Die folgenden Befehle werden auf Speiche 1 eingegeben:

Die folgenden Befehle werden auf Speiche 2 eingegeben:

Bedeutung

Der Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf.show security ike security-associations Der Befehl listet alle aktiven IKE Phase 2 SAs auf.show security ipsec security-associations Der Hub zeigt zwei aktive Tunnel an, einen für jeden Spoke. Jeder Spoke zeigt einen aktiven Tunnel zum Hub an.

Wenn für IKE Phase 1 keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 1 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.

Wenn keine Sicherheitszuordnungen für IKE Phase 2 aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.

Der Befehl zeigt Einträge in der Routing-Tabelle an, die aus dem OSPF-Protokoll gelernt wurden.show route protocol ospf Der Befehl zeigt Informationen zu OSPF-Nachbarn an.show ospf neighbor

Verifizieren des Shortcut-Tunnels zwischen Partnern

Zweck

Der AutoVPN-Hub kann als Abkürzungsvorschlag fungieren, wenn er bemerkt, dass der Datenverkehr mit einer seiner Speichen einen Tunnel verlässt und mit einer anderen Speiche in einen Tunnel eintritt. Eine neue IPsec-Sicherheitszuordnung oder Verknüpfung wird zwischen den beiden Verknüpfungspartnern eingerichtet. Bei jedem Partner verweist die Route zum Netzwerk hinter seinem Partner nun auf den Shortcut-Tunnel statt auf den Tunnel zwischen dem Partner und dem Suggester (Hub).

Was

Geben Sie im Betriebsmodus die Befehle , , und auf den Spokes ein.show security ike security-associationsshow security ipsec security-associationsshow route protocol ospfshow ospf neighbor

Die folgenden Befehle werden auf der Hub-Zentrale eingegeben:

Die folgenden Befehle werden auf Speiche 1 eingegeben:

Die folgenden Befehle werden auf Speiche 2 eingegeben:

Bedeutung

Der Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf.show security ike security-associations Der Befehl listet alle aktiven IKE Phase 2 SAs auf.show security ipsec security-associations Der Hub zeigt weiterhin zwei aktive Tunnel an, einen für jede Speiche. Jeder Spoke zeigt zwei aktive Tunnel an, einen zum Hub und einen zum Shortcut-Partner.

Der Befehl zeigt das Hinzufügen von Routen zum Partner und zum Hub an.show route protocol ospf

Beispiel: Konfigurieren von ADVPN mit OSPFv3 für IPv6-Datenverkehr

In diesem Beispiel wird gezeigt, wie ein ADVPN-Hub und zwei Spokes konfiguriert werden, um einen Verknüpfungstunnel zu erstellen und die Routingtopologie zu ändern, damit der Host die andere Seite erreicht, ohne Datenverkehr über den Hub zu senden. In diesem Beispiel wird ADVPN für IPv6-Umgebungen mit OSPFv3 konfiguriert, um Pakete über die VPN-Tunnel weiterzuleiten.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Firewalls der SRX-Serie als ADVPN-Hub und -Spokes

  • Junos OS Version 18.1R1 und höhere Versionen.

Bevor Sie beginnen:

  • Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zum Weiterleiten von Paketen durch die VPN-Tunnel verwendet wird.

Überblick

Dieses Beispiel zeigt die Konfiguration eines ADVPN-Hubs und die nachfolgenden Konfigurationen von zwei Spokes.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät mithilfe des Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate für die Spokes enthalten im Betrefffeld den Wert der Organisationseinheit (OU) "SLT". Der Hub ist mit einer Gruppen-IKE-ID konfiguriert, die mit dem Wert "SLT" im Feld "Organisationseinheit" übereinstimmt.

Die Spokes stellen IPsec-VPN-Verbindungen zum Hub her, wodurch sie miteinander kommunizieren und auf Ressourcen auf dem Hub zugreifen können. Die IKE-Tunneloptionen der Phasen 1 und 2, die auf dem ADVPN-Hub und allen Spokes konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 4 Zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 4: Phase-1- und Phase-2-Optionen für ADPN Hub-and-Spoke-Basiskonfigurationen für OSPFv3

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman-Gruppe (DH)

19

Authentifizierungsalgorithmus

SHA-384

Verschlüsselungsalgorithmus

AES 256 CBC

IKE-Richtlinie:

Modus

Wichtigsten

IPsec-Vorschlag:

Protokoll

ESP

Sekunden auf Lebenszeit

3000

Verschlüsselungsalgorithmus

AES 256 GCM

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

19

Auf allen Geräten ist dieselbe Zertifizierungsstelle (Certificate Authority, CA) konfiguriert.

Tabelle 5 Zeigt die Optionen an, die auf dem Hub und auf allen Spokes konfiguriert sind.

Tabelle 5: ADVPN OSPFv3-Konfiguration für Hub und alle Spokes

Option

Hub

Alle Speichen

IKE-Gateway:

Remote-IP-Adresse

Dynamisch

2001:db8:2000::1

Remote-IKE-ID

DN (Distinguished Name) auf dem Zertifikat des Spoke mit der Zeichenfolge im Feld für die Organisationseinheit (OU)SLT

DN auf dem Zertifikat der Hub-Zentrale

Lokale IKE-ID

DN auf dem Zertifikat der Hub-Zentrale

DN auf dem Speichenzertifikat

Externe Schnittstelle

reth1

Speiche 1: GE-0/0/0.0

Speiche 2: GE-0/0/0.0

VPN:

Bind-Schnittstelle

st0.1

ST0.1

Tunnel einrichten

(nicht konfiguriert)

Tunnel sofort einrichten

Tabelle 6 Zeigt die Konfigurationsoptionen an, die für jeden Spoke unterschiedlich sind.

Tabelle 6: Vergleich zwischen den OSPFv3-Spoke-Konfigurationen

Option

Speiche 1

Speiche 2

ST0.1-Schnittstelle

2001:db8:9000::2/64

2001:db8:9000::3/64

Schnittstelle zum internen Netzwerk

(GE-0/0/1.0) 2001:DB8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Schnittstelle zum Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.Security Policies Overview

Topologie

Abbildung 8 zeigt die Firewalls der SRX-Serie, die in diesem Beispiel für ADVPN konfiguriert werden sollen.

Abbildung 8: ADVPN-Bereitstellung mit OSPFv3ADVPN-Bereitstellung mit OSPFv3

Konfiguration

Führen Sie die folgenden Aufgaben aus, um ADVPN zu konfigurieren:

Im ersten Abschnitt wird beschrieben, wie Sie Zertifizierungsstellen- und lokale Zertifikate online mithilfe des Simple Certificate Enrollment Protocol (SCEP) auf den Hub-and-Spoke-Geräten abrufen.

Registrieren von Gerätezertifikaten bei SCEP

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf dem Hub:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein , um das CA-Zertifikat zu laden.yes

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spekult 1:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein , um das CA-Zertifikat zu laden.yes

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist .SLT Die IKE-Konfiguration auf der Hub-Zentrale umfasst die Identifizierung des Spoke.ou=SLT

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spoke 2:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein , um das CA-Zertifikat zu laden.yes

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist .SLT Die IKE-Konfiguration auf der Hub-Zentrale umfasst die Identifizierung des Spoke.ou=SLT

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

  8. Konfigurieren des Chassis-Clusters

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pkishow chassis cluster Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Konfigurieren von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie Speiche 1:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Konfigurieren von Spoke 2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie Speiche 2:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , , , , , , und eingeben.show interfacesshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des IKE-Status

Zweck

Überprüfen Sie den IKE-Status.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security ike sa

Bedeutung

Der Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf.show security ike sa Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen des IPsec-Status

Zweck

Überprüfen Sie den IPsec-Status.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security ipsec sa

Bedeutung

Der Befehl listet alle aktiven IKE Phase 2 SAs auf.show security ipsec sa Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen von IPsec-Next-Hop-Tunneln

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security ipsec next-hop-tunnels

Bedeutung

Bei den Next-Hop-Gateways handelt es sich um die IP-Adressen für die Schnittstellen der Spokes.st0 Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

OSPFv3 verifizieren

Zweck

Stellen Sie sicher, dass OSPFv3 auf die IP-Adressen für die Schnittstellen der Spokes verweist.st0

Was

Geben Sie im Betriebsmodus den Befehl ein.show ospf3 neighbor interface

Aktivieren von OSPF für die schnelle Aktualisierung von Routen nach dem Einrichten von ADVPN-Verknüpfungstunneln

Problem

Beschreibung

OSPF kann bis zu 9 Sekunden dauern, um eine Verknüpfungsroute in der Routing-Tabelle zu aktualisieren. Es kann bis zu 10 Sekunden dauern, bis der Datenverkehr an den Shortcut-Tunnel weitergeleitet wird.

Symptome

Wenn ein Verknüpfungstunnel zwischen zwei Verknüpfungspartnern eingerichtet wird, initiiert OSPF ein OSPF-Hello-Paket. Aufgrund des Zeitpunkts der Einrichtung des Verknüpfungstunnels und der OSPF-Nachbarinstallation kann das erste Paket im Tunnel verworfen werden. Dies kann dazu führen, dass OSPF erneut versucht, eine OSPF-Nachbarschaft herzustellen.

Standardmäßig beträgt das Intervall, in dem der OSPF versucht, eine Nachbarschaft herzustellen, 10 Sekunden. Nachdem ein Verknüpfungstunnel eingerichtet wurde, kann es mehr als 10 Sekunden dauern, bis OSPF eine Nachbarschaft zwischen den Partnern herstellt.

Lösung

Durch die Konfiguration eines kleineren Wiederholungsintervalls, z. B. 1 oder 2 Sekunden, kann OSPF schneller Nachbarschaften über den Verknüpfungstunnel einrichten. Verwenden Sie z. B. die folgenden Konfigurationen:

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
23.4R1
Die Unterstützung für ADVPN mit dem iked-Prozess wurde in Junos OS Version 23.4R1 hinzugefügt.
19.2R1
Ab Junos OS Version 19.2R1 auf Geräten der Serien SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, vSRX Virtual Firewall 2.0 (mit 2 vCPUs) und vSRX Virtual Firewall 3.0 (mit 2 vCPUs) unterstützt Protocol Independent Multicast (PIM) im Point-to-Multipoint-Modus (P2MP) Auto Discovery VPN, bei dem ein neuer Schnittstellentyp für PIM eingeführt wird.p2mp
18.1R1
Ab Junos OS Version 18.1R1 unterstützt ADVPN IPv6 mit dem kmd-Prozess.