Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AutoVPN auf Hub-and-Spoke-Geräten

AutoVPN unterstützt einen IPSec-VPN-Aggregator (auch als Hub bekannt), der als einzelner Terminierungspunkt für mehrere Tunnel zu Remote-Standorten dient (auch als Spokes bekannt). Mit AutoVPN können Netzwerkadministratoren eine Hub für aktuelle und zukünftige Spokes konfigurieren.

Verständnis von AutoVPN

AutoVPN unterstützt einen IPsec VPN-Aggregationor (auch als Hub bekannt), der als einzelner Terminierungspunkt für mehrere Tunnel zu Remote-Standorten dient (auch als Spokes bekannt). Mit AutoVPN können Netzwerkadministratoren eine Hub für aktuelle und zukünftige Spokes konfigurieren. Beim Hinzufügen oder Löschen von Spoke-Geräten sind keine Konfigurationsänderungen auf dem Hub erforderlich, sodass Administratoren bei der Verwaltung großer Netzwerkbereitstellungen Flexibilität erhalten.

Sichere Tunnelmodi

AutoVPN wird auf Routen-basierten IPsec-VPNs unterstützt. Bei routenbasierten VPNs konfigurieren Sie eine Secure Tunnel (st0)-Schnittstelle und binden sie an einen IPsec-VPN-Tunnel. St0-Schnittstellen in AutoVPN-Netzwerken können in einem von zwei Modi konfiguriert werden:

  • Punkt-zu-Punkt-Modus: Standardmäßig ist eine St0-Schnittstelle, die auf der [ ] Hierarchieebene konfiguriert edit interfaces st0 unit x ist, im Punkt-zu-Punkt-Modus. Beginnend mit Junos OS Release 17.4R1 wird die IPv6-Adresse auf AutoVPN unterstützt.

  • Point-to-Multipoint-Modus: In diesem Modus ist die Option auf der [ ] Hierarchieebene sowohl auf AutoVPN-Hubs als auch auf multipoint Spokes konfiguriert. St0-Schnittstellen auf Hub-and-Spokes müssen nummeriert werden, und die auf einem Spoke konfigurierte IP-Adresse muss im St0-Schnittstellen-Subnetz des Hubs vorhanden edit interfaces st0 unit x sein.

Tabelle 1 Vergleich von AutoVPN Punkt-zu-Punkt- und Point-to-Multipoint-sichere Tunnelschnittstellenmodi.

Tabelle 1: Vergleich zwischen AutoVPN Point-to-Point- und Point-to-Multipoint Secure Tunnel Modi

Punkt-zu-Punkt-Modus

Point-to-Multipoint-Modus

Unterstützt IKEv1 oder IKEv2.

Unterstützt IKEv1 oder IKEv2.

Unterstützt IPv4- und IPv6-Datenverkehr.

Unterstützt IPv4 oder IPv6.

Datenverkehrs-Selektoren

Dynamische Routing-Protokolle (OSPF, OSPFv3 und iBGP)

Dead Peer Detection

Dead Peer Detection

Spoke-Geräte können SRX-Serie oder Drittanbietergeräte sein.

Dieser Modus wird nur von Geräten der SRX-Serie unterstützt.

Authentifizierung:

Die unterstützte Authentifizierung für AutoVPN-Hubs und Spokes sind X.509-Zertifikate (Public Key Infrastructure, PKI). Der auf dem Hub konfigurierte IKE-Benutzertyp ermöglicht die Angabe von Zeichenfolgen, die dem alternativen Betrefffeld in Spoke-Zertifikaten übereinstimmen. Teilweise Treffer für die Betrefffelder in Spoke-Zertifikaten können ebenfalls angegeben werden. Erfahren Sie mehr über Spoke-Authentifizierung in AutoVPN-Bereitstellungen.

Ab Junos OS Version 21.2R1 unterstützt die SRX5000-Reihe Geräte mit SPC3-Karte und vSRX AutoVPN mit einem vorinstallierten Schlüssel.

Wir unterstützen AutoVPN mit den folgenden zwei Optionen:

  • Auto-VPN-seeded PSK: Mehrere Peers, die sich mit demselben Gateway mit verschiedenem vorinstallierten Schlüssel verbinden.
  • Automatisches VPN und gemeinsamer PSK: Mehrere Peers, die sich mit dem selben Gateway mit dem gleichen vorinstalliert schlüssel verbinden.

Seeded PSK unterscheiden sich von nicht-seeded PSK (d. h. demselben gemeinsamen PSK). Seeded PSK verwendet den Master-Schlüssel, um den gemeinsamen PSK für den Peer zu generieren. Jeder Peer hat also einen anderen PSK, der sich mit dem selben Gateway verbindet. Zum Beispiel: Stellen Sie sich ein Szenario vor, bei dem Peer 1 mit der IKE-ID user1@juniper.net und Peer 2 mit IKE-ID user2@juniper.net versucht, eine Verbindung zum Gateway herzustellen. In diesem Szenario ist das Gateway mit dem Konfigurierten Hauptschlüssel wie folgt auf den unterschiedlichen HUB_GWThisIsMySecretPreSharedkey PSK konfiguriert:

Peer 1: 79e4ea39f5c06834a3c4c031e37c6de24d46798a

Peer 2: 3db8385746f3d1e639435a882579a9f28464e5c7

Das bedeutet, dass für verschiedene Benutzer mit unterschiedlicher Benutzer-ID und demselben Master-Schlüssel ein anderer oder eindeutiger preshared-Schlüssel generiert wird.

Sie können entweder oder seeded-pre-shared-keypre-shared-key für Auto-VPN PSK verwenden:

  • Unterschiedlicher preshared-Schlüssel: Wenn der Schlüssel festgelegt ist, IKE vom VPN-Gateway verwendet wird, um seeded-pre-shared-key jeden Remote-Peer zu authentifizieren. Die preshared Keys werden mithilfe der Gruppe im Gateway IKE Peers generiert und master-key von den Peers gemeinsam genutzt.

    Um es dem VPN-Gateway zu ermöglichen, bei der Authentifizierung jedes Remote-Peer einen anderen IKE Preshared Key (PSK) zu verwenden, verwenden Sie die neuen CLI-Befehle oder die seeded-pre-shared-key ascii-textseeded-pre-shared-key hexadecimal[edit security ike policy policy_name] Hierarchieebene.

    Dieser Befehl gilt ausschließlich für Befehle pre-shared-key in der gleichen Hierarchie.

    Siehe Richtlinie.

  • Shared/Same Preshared Key: Wenn pre-shared-key-type der PSK nicht konfiguriert ist, wird er als gemeinsam genutzt. Der IKE Schlüssel wird vom VPN-Gateway zur Authentifizierung aller Remote-Peers verwendet.

    Um dem VPN-Gateway die Verwendung desselben PSK IKE Authentifizierung aller Remote-Peers zu ermöglichen, verwenden Sie die vorhandenen CLI pre-sharedkey ascii-text Befehlen oder pre-shared-key hexadecimal .

Am VPN-Gateway können Sie die VALIDIERUNG der IKE ID mithilfe der general-ikeid Konfigurationserklärung unter der [edit security ike gateway gateway_name dynamic] Hierarchieebene umgehen. Wenn diese Option konfiguriert ist, ermöglicht das VPN-Gateway während der Authentifizierung von Remote-Peer jede IKE ID-Verbindung. Siehe general-ikeid .

Die SRX5000-Reihe der Geräte mit SPC3-Karte vSRX unterstützt die folgenden IKE Modi:

Tabelle 2: Unterstützung für AutoVPN PSK

IKE-Modus

SRX5000-Reihe der Geräte mit SPC3-Karte und vSRX

Gemeinsamer PSK

Seeded-PSK

IKEv2

Ja

Ja

IKEv2 mit any-remote-id

Ja

Ja

Aggressiver IKEv1-Modus

Ja

Ja

Aggressiver IKEv1-Modus any-remote-id mit/general-ikeid

Ja

Ja

IKEv1 Hauptmodus

Ja

Nein

IKEv1 Hauptmodus mit any-remote-ID/general-ikeid

Ja

Nein

Siehe Beispiel: Konfiguration von AutoVPN mit pre-shared Key .

Konfiguration und Verwaltung

AutoVPN wird auf Geräten der SRX-Serie mithilfe des CLI. Mehrere AutoVPN-Hubs können auf einem einzigen Gerät der SRX-Serie konfiguriert werden. Die maximale Anzahl von Spokes, die von einem konfigurierten Hub unterstützt wird, ist spezifisch für das Modell des Geräts der SRX-Serie.

Verständnis der AutoVPN-Einschränkungen

Die folgenden Funktionen werden für AutoVPN nicht unterstützt:

  • Richtlinienbasierte VPNs werden nicht unterstützt.

  • Das dynamische Routing-Protokoll RIP wird von AutoVPN-Tunneln nicht unterstützt.

  • Manuelle Schlüssel und Autokey-IKE preshared Keys werden nicht unterstützt.

  • Die Konfiguration statischer Next Hop Tunnel Binding (NHTB) auf dem Hub für Spokes wird nicht unterstützt.

  • Multicast wird nicht unterstützt.

  • Die Gruppe IKE ID-Benutzertyp wird nicht mit einer IP-Adresse als IKE unterstützt.

  • Wenn die Gruppe IKE ID-Benutzertyp verwendet wird, sollte die IKE-ID nicht mit anderen Gateways IKE, die auf der gleichen externen Schnittstelle konfiguriert sind, überschneiden.

Verständnis von AutoVPN mit Datenverkehrs-Selektoren

AutoVPN-Hubs können mit mehreren Datenverkehrs-Selektoren konfiguriert werden, um Datenverkehr zu Spokes zu schützen. Diese Funktion bietet folgende Vorteile:

  • Eine einzige VPN-Konfiguration kann viele verschiedene Peers unterstützen.

  • VPN-Peers können Geräte der SRX-Serie sein.

  • Ein einzelner Peer kann mehrere Tunnel mit demselben VPN einrichten.

  • Eine größere Anzahl von Tunneln kann unterstützt werden als mit AutoVPN mit dynamischen Routing-Protokollen.

AutoVPN-Netzwerke, die sichere Tunnelschnittstellen im Punkt-zu-Punkt-Modus verwenden, unterstützen ab Junos OS-Release-17.4R1 IPv6-Adressen für Datenverkehrs-Selektoren IKE Peers.

Wenn der Hub-to-Spoke-Tunnel eingerichtet wird, verwendet der Hub das Auto Route Insertion (ARI),das in früheren Versionen auch als Reverse Route Insertion (RRI)bekannt ist, um die Route zum Spoke-Präfix in seine Routing-Tabelle zu einfügen. Die ARI-Route kann dann an Routing-Protokolle importiert und an das Kernnetzwerk verteilt werden.

AutoVPN mit Datenverkehrs-Selektoren kann mit der secure Tunnel (st0)-Schnittstelle im Punkt-zu-Punkt-Modus sowohl für IKEv1 als auch IKEv2 konfiguriert werden.

Dynamische Routing-Protokolle werden auf St0-Schnittstellen bei der Konfiguration von Datenverkehrs-Selektoren nicht unterstützt.

Beachten Sie die folgenden Einschränkungen bei der Konfiguration von AutoVPN mit Datenverkehrs-Selektoren:

  • Dynamische Routing-Protokolle werden von Datenverkehrs-Selektoren mit St0-Schnittstellen im Punkt-zu-Punkt-Modus nicht unterstützt.

  • Auto Discovery VPN und IKEv2-Konfigurationsnutzlast können nicht mit AutoVPN mit Datenverkehrs-Selektoren konfiguriert werden.

  • Spokes können Geräte der SRX-Serie sein. Beachten Sie jedoch die folgenden Unterschiede:

    • In IKEv2 kann ein Spoke-Spoke außerhalb der SRX-Serie mehrere Datenverkehrs-Selektoren in einer einzigen SA-Aushandlung vorschlagen. Dies wird auf Geräten der SRX-Serie nicht unterstützt und die Aushandlung wird abgelehnt.

    • Ein Spoke-Spoke-Spoke einer Nicht-SRX-Serie kann bestimmte Ports oder Protokolle zur Verwendung des Datenverkehrs-Selektors identifizieren. Ports und Protokolle werden nicht mit Datenverkehrs-Selektoren auf Geräten der SRX-Serie unterstützt, und die Aushandlung wird abgelehnt.

Understanding Spoke Authentication in AutoVPN Deployments

In AutoVPN-Bereitstellungen müssen Hub-and-Spoke-Geräte über gültige X.509 PKI-Zertifikate geladen sein. Sie können mit dem Befehl Informationen zu den auf einem Gerät geladenen show security pki local-certificate detail Zertifikaten anzeigen.

In diesem Thema wird die Konfiguration auf dem Hub behandelt, die die Authentifizierung von Spokes und die Verbindung mit dem Hub ermöglicht:

Gruppenkonfiguration IKE ID auf dem Hub

Mit der IKE-ID-Funktion können mehrere Spoke-Geräte eine Konfiguration IKE Hub gemeinsam nutzen. Die Identifizierung des Zertifikatsinhabers im Betreff oder anderen Betrefffeldern im X.509-Zertifikat der Spokes muss einen gemeinsamen Teil enthalten, der allen Spokes gemeinsam ist. der gemeinsame Teil der Zertifikatsidentifikation wird für die Konfiguration IKE Hub angegeben.

Beispielsweise kann die IKE-ID auf dem Hub konfiguriert werden, um Spokes mit den Hostnamen zu example.netdevice1.example.netdevice2.example.net identifizieren, und device3.example.net . Das Zertifikat auf jedem Spoke muss eine Hostname-Identität im alternativen Betrefffeld mit dem rechten Teil des Feldes enthalten, z. example.netdevice1.example.net B. . In diesem Beispiel verwenden alle Spokes diese Hostname-Identität in ihrer IKE ID-Payload. Während IKE Aushandlung wird die IKE-ID von einem Spoke verwendet, um dem gemeinsamen Teil des auf dem Hub konfigurierten Peer-IKE-Identitäts zu gleichen. Ein gültiges Zertifikat authentifiziert den Spoke.

Der gemeinsame Teil der Zertifikatsidentifizierung kann einer der folgenden sein:

  • Ein teilweiser Hostname im rechten Teil des alternativen Betrefffelds des Zertifikats, z. example.net B.

  • Eine partielle E-Mail-Adresse im rechten Teil des alternativen Betrefffelds des Zertifikats, z. @example.net B.

  • Eine Container-Zeichenfolge, eine Reihe von Wildcards oder beides, die den Betrefffeldern des Zertifikats übereinstimmen. Die Betrefffelder enthalten Details des Inhabers digitaler Zertifikate im Format Abstract Syntax Notation One (ASN.1) Distinguished Name (DN). Die Felder können organisation, organisationseinheit, land, lokal oder common name umfassen.

    Um eine Gruppen-IKE-ID zur Übereinstimmung von Betrefffeldern in Zertifikaten zu konfigurieren, können Sie die folgenden Typen von Identitätsidentitäten angeben:

    • Container: Der Hub authentifiziert die Spoke-IKE-ID, wenn die Betrefffelder des Spoke-Zertifikats genau mit den auf dem Hub konfigurierten Werten übereinstimmen. Für jedes Betrefffeld können mehrere Einträge angegeben werden (z. ou=eng,ou=sw B. ). Die Reihenfolge der Werte in den Feldern muss übereinstimmen.

    • Wildcard: Der Hub authentifiziert die Spoke-IKE-ID, wenn die Betrefffelder des Spoke-Zertifikats den auf dem Hub konfigurierten Werten übereinstimmen. Die Platzhalter-Übereinstimmung unterstützt nur einen Wert pro Feld (z. B. ou=engou=sw aber ou=eng,ou=sw nicht). Die Reihenfolge der Felder ist nicht so wichtig.

Im folgenden Beispiel wird eine Gruppen-IKE-ID mit dem partiellen Hostnamen example.net im alternativen Betrefffeld des Zertifikats konfiguriert.

In diesem Beispiel wird der gemeinsame Teil der Identifizierung example.net des Hostnamens für alle Spokes verwendet. Alle X.509-Zertifikate auf den Spokes müssen eine Hostname-Identität im alternativen Betrefffeld enthalten. example.net Alle Spokes müssen die Identität des Hostsnamens in der IKE ID-Payload verwenden.

Im folgenden Beispiel wird eine Gruppen-IKE-ID mit Platzhaltern konfiguriert, die den Werten in der Organisationseinheit und den Betrefffeldern des salesexample Zertifikats für die Organisation übereinstimmen.

In diesem Beispiel sind die Felder der allgemeine Teil des Betrefffelds in den Zertifikaten, die von den ou=sales,o=example Spokes erwartet werden. Wenn IKE Während der aushandlung ein Zertifikat mit den Betrefffeldern in dem Zertifikat durch einen Spoke präsentiert wird, wird die Authentifizierung erfolgreich und cn=alice,ou=sales,o=example der Tunnel wird eingerichtet. Wenn ein Spoke ein Zertifikat mit den Betrefffeldern in seinem Zertifikat vorweisen kann, wird das Zertifikat von der Hub als Dies der Unternehmenseinheit cn=thomas,ou=engineer,o=example sein sales sollte.

Ohne Spoke-Verbindung

Um eine bestimmte Spoke von einer Verbindung mit dem Hub auszuschließen, muss das Zertifikat für diesen Spoke widerrufen werden. Der Hub muss die neueste Zertifikatsabzugsliste (CRL) aus dem Dokument abrufen CA das die Seriennummer des widerrufenen Zertifikats enthält. Der Hub verweigert dann die VPN-Verbindung für den widerrufenen Spoke. Bis das neueste CRL im Hub verfügbar ist, kann der Hub weiterhin einen Tunnel von der widerrufenen Spoke einrichten. Weitere Informationen finden Sie unter Understanding Online Certificate Status Protocol and Certificate EE (Zertifizierungslisten) und Understanding Certificate Authority Profiles (Verstehen von Profilen zur Zertifizierungsstatus) und Zur Zertifizierungsform "Understanding Certificate Authority Profiles".

AutoVPN-Konfiguration – Übersicht

In den folgenden Schritten werden die grundlegenden Aufgaben für die Konfiguration von AutoVPN auf Hub-and-Spoke-Geräten beschrieben. Der AutoVPN-Hub ist einmal für alle aktuellen und neuen Spokes konfiguriert.

So konfigurieren Sie den AutoVPN-Hub:

  1. Registrieren Sie sich CA Zertifikat und das lokale Zertifikat auf dem Gerät.
  2. Erstellen Sie eine sichere Tunnelschnittstelle (ST0) und konfigurieren Sie sie im Point-to-Multipoint-Modus.
  3. Konfigurieren Sie eine IKE Netzwerkrichtlinie.
  4. Konfigurieren Sie IKE Gateways mit einer Gruppen-IKE-ID, die allen Spokes gemeinsam ist.
  5. Konfigurieren einer einheitlichen IPsec-Richtlinie und eines EINZIGEN VPN
  6. Konfigurieren Sie ein dynamisches Routing-Protokoll.

Zur Konfiguration eines AutoVPN-Spoke-Geräts der SRX-Serie:

  1. Registrieren Sie sich CA Zertifikat und das lokale Zertifikat auf dem Gerät.

  2. Erstellen Sie eine St0-Schnittstelle und konfigurieren Sie sie im Point-to-Multipoint-Modus.

  3. Konfigurieren Sie IKE Richtlinien, die der auf dem Hub konfigurierten IKE Richtlinien entsprechend sind.

  4. Konfigurieren Sie ein IKE-Gateway mit einer ID, die der auf dem Hub konfigurierten IKE-ID entsprechend passt.

  5. Konfigurieren Sie eine IPsec-Richtlinie entsprechend der auf dem Hub konfigurierten IPsec-Richtlinie.

  6. Konfigurieren Sie ein dynamisches Routing-Protokoll.

Beispiel: Konfigurieren von Basic AutoVPN mit iBGP

In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub konfiguriert wird, um als einzelner Terminierungspunkt zu fungieren, und dann zwei Spokes zu konfigurieren, die als Tunnel zu Remote-Standorten fungieren. In diesem Beispiel wird iBGP so konfiguriert, dass Pakete über die VPN-Tunnel weitergeleitet werden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes

  • Junos OS Release 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird. Weitere Informationen über die spezifischen Anforderungen für ein dynamisches Routing-Protokoll finden Sie in der Übersicht über Routing-Protokolle.

Überblick

In diesem Beispiel wird die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen mit zwei Spokes veranschaulicht.

In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Die Zertifikate für die Spokes enthalten den Wert "SLT" der Organisationseinheit (OU) im Betreff. der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist.

Die Spokes ermöglichen IPSec-VPN-Verbindungen zum Hub und ermöglichen so die Kommunikation untereinander sowie Zugriff auf Ressourcen auf dem Hub. Phase 1- und Phase 2 IKE-Tunneloptionen, die auf dem AutoVPN-Hub konfiguriert sind und alle Spokes müssen über die gleichen Werte verfügen. Tabelle 3 zeigt die in diesem Beispiel verwendeten Optionen an.

Tabelle 3: Phase 1- und Phase 2-Optionen für AutoVPN Hub-and-Spoke-Konfigurationen

Option

Wert

IKE Angebot:

Authentifizierungsmethode

Digitale Zertifikate von RSA

Diffie-Hellman (DH)-Gruppe

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE Richtlinien:

Modus

Wichtigsten

IPsec-Angebot:

Protokoll

Esp

Authentifizierungsalgorithmus

H HLT MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Zertifikatshierarchie.

Tabelle 4 zeigt die auf dem Hub und auf allen Spokes konfigurierten Optionen an.

Tabelle 4: AutoVPN-Konfiguration für Hub und alle Spokes

Option

Hub

Alle Spokes

IKE-Gateway:

Remote-IP-Adresse

Dynamische

1.1.1.1

Remote-IKE-ID

Ausgezeichneter Name (DN) auf dem Spoke-Zertifikat mit dem String SLT in der Organisationseinheit (OU)-Feld

DN auf dem Zertifikat des Hubs

Lokale IKE-ID

DN auf dem Zertifikat des Hubs

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

ge-0/0/1.0

Spoke 1: fe-0/0/1.0

Spoke 2: ge-0/0/1.0

Vpn:

Bindungsschnittstelle

st0.0

st0.0

Tunnel einrichten

(nicht konfiguriert)

Sofort bei Konfigurations-Commit

Tabelle 5 zeigt die Konfigurationsoptionen auf, die sich auf jedem Spoke unterscheiden.

Tabelle 5: Vergleich zwischen Spoke-Konfigurationen

Option

Spoke 1

Spoke 2

St0.0-Schnittstelle

10.10.10.2/24

10.10.10.3/24

Schnittstelle zum internen Netzwerk

(fe-0.0/4.0) 60.60.60.1/24

(fe-0.0/4.0) 70.70.70.1/24

Schnittstelle zum Internet

(fe-0/0/1.0) 2.2.2.1/30

(ge-0/0/1.0) 3.3.3.1/30

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 1 zeigt in diesem Beispiel die Konfiguration von Geräten der SRX-Serie für AutoVPN.

Abbildung 1: Grundlegende AutoVPN-Bereitstellung mit iBGPGrundlegende AutoVPN-Bereitstellung mit iBGP

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

    Die im Betreff angezeigte Organisationseinheit (OU) SLT ist. Die IKE des Hubs enthält ou=SLT die Spoke-Konfiguration.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

    Die im Betreff angezeigte Organisationseinheit (OU) SLT ist. Die IKE des Hubs enthält ou=SLT die Spoke-Konfiguration.

Konfigurieren des Hubs

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Spoke 1

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Spoke 2

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 2:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des Status IKE Phase 1

Zweck

Überprüfen Sie den IKE Phase 1-Status.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein.

Bedeutung

Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter für den Vorschlag in Phase 1 müssen auf dem Hub und den Spokes abgestimmt sein.

Überprüfung des IPsec-Phase-2-Status

Zweck

Überprüfen des IPsec-Phase-2-Status

Aktion

Geben Sie im Betriebsmodus den Befehl security ipsec security-associations ein.

Bedeutung

Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub und den Spokes abgestimmt sein.

Überprüfung von IPsec Next-Hop-Tunneln

Zweck

Überprüfen der IPsec-Next-Hop-Tunnel

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

Überprüfung der BGP

Zweck

Stellen Sie sicher BGP dass sie auf die IP-Adressen für die st0 Spokes-Schnittstellen verweisen.

Aktion

Geben Sie im Betriebsmodus den Befehl show bgp summary ein.

Überprüfen gelernter Routen

Zweck

Stellen Sie sicher, dass Routen zu den Spokes gelernt wurden.

Aktion

Geben Sie im Betriebsmodus den Befehl show route 60.60.60.0 ein.

Geben Sie im Betriebsmodus den Befehl show route 70.70.70.0 ein.

Beispiel: Konfigurieren von Basic AutoVPN mit iBGP für IPv6-Datenverkehr

In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub konfiguriert wird, um als einzelner Terminierungspunkt zu fungieren, und dann zwei Spokes zu konfigurieren, die als Tunnel zu Remote-Standorten fungieren. In diesem Beispiel wird AutoVPN für IPv6-Umgebung mithilfe von iBGP konfiguriert, um Pakete über die VPN-Tunnel weiterzulenken.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes.

  • Junos OS Release 18.1R1 und späteren Versionen.

Bevor Sie beginnen:

  • Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird. Weitere Informationen über die spezifischen Anforderungen für ein dynamisches Routing-Protokoll finden Sie in der Übersicht über Routing-Protokolle.

Überblick

In diesem Beispiel wird die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen von zwei Spokes gezeigt.

In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Die Zertifikate für die Spokes enthalten den Wert "SLT" der Organisationseinheit (OU) im Betreff. der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist.

Die Spokes ermöglichen IPSec-VPN-Verbindungen zum Hub und ermöglichen so die Kommunikation untereinander sowie Zugriff auf Ressourcen auf dem Hub. Phase 1- und Phase 2 IKE-Tunneloptionen, die auf dem AutoVPN-Hub konfiguriert sind und alle Spokes müssen über die gleichen Werte verfügen. Tabelle 6 zeigt die in diesem Beispiel verwendeten Optionen an.

Tabelle 6: Phase 1- und Phase 2-Optionen für AutoVPN Hub-and-Spoke-Konfigurationen

Option

Wert

IKE Angebot:

Authentifizierungsmethode

Digitale Zertifikate von RSA

Diffie-Hellman (DH)-Gruppe

19

Authentifizierungsalgorithmus

SHA-384

Verschlüsselungsalgorithmus

AES 256 CBC

IKE Richtlinien:

Modus

Wichtigsten

IPsec-Angebot:

Protokoll

Esp

Lebensdauer(en) Sekunden

3000

Verschlüsselungsalgorithmus

AES 256 GCM

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

19

Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Zertifikatshierarchie.

Tabelle 7 zeigt die auf dem Hub und auf allen Spokes konfigurierten Optionen an.

Tabelle 7: AutoVPN-Konfiguration für Hub und alle Spokes

Option

Hub

Alle Spokes

IKE-Gateway:

Remote-IP-Adresse

Dynamische

2001:db8:2000::1

Remote-IKE-ID

Ausgezeichneter Name (DN) auf dem Spoke-Zertifikat mit dem String SLT in der Organisationseinheit (OU)-Feld

DN auf dem Zertifikat des Hubs

Lokale IKE-ID

DN auf dem Zertifikat des Hubs

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

ge-0/0/0

Spoke 1: ge-0/0/0.0

Spoke 2: ge-0/0/0.0

Vpn:

Bindungsschnittstelle

st0.1

st0.1

Tunnel einrichten

(nicht konfiguriert)

Establish-Tunnel bei Datenverkehr

Tabelle 8 zeigt die Konfigurationsoptionen auf, die sich auf jedem Spoke unterscheiden.

Tabelle 8: Vergleich zwischen Spoke-Konfigurationen

Option

Spoke 1

Spoke 2

St0.0-Schnittstelle

2001:db8:7000::2/64

2001:db8:7000::3/64

Schnittstelle zum internen Netzwerk

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Schnittstelle zum Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 2 zeigt in diesem Beispiel die Konfiguration von Geräten der SRX-Serie für AutoVPN.

Abbildung 2: Grundlegende AutoVPN-Bereitstellung mit iBGPGrundlegende AutoVPN-Bereitstellung mit iBGP

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

    Die im Betreff angezeigte Organisationseinheit (OU) SLT ist. Die IKE des Hubs enthält ou=SLT die Spoke-Konfiguration.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

    Die im Betreff angezeigte Organisationseinheit (OU) SLT ist. Die IKE des Hubs enthält ou=SLT die Spoke-Konfiguration.

Konfigurieren des Hubs

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Spoke 1

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Spoke 2

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 2:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des IKE Status

Zweck

Überprüfen Sie den IKE Status.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ike sa ein.

Bedeutung

Im show security ike sa Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter für den Vorschlag in Phase 1 müssen auf dem Hub und den Spokes abgestimmt sein.

Überprüfung des IPsec-Status

Zweck

IPsec-Status überprüfen.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec sa ein.

Bedeutung

Im show security ipsec sa Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub und den Spokes abgestimmt sein.

Überprüfung von IPsec Next-Hop-Tunneln

Zweck

Überprüfen der IPsec-Next-Hop-Tunnel

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

Überprüfung der BGP

Zweck

Stellen Sie sicher BGP dass sie auf die IP-Adressen für die st0 Spokes-Schnittstellen verweisen.

Aktion

Geben Sie im Betriebsmodus den Befehl show bgp summary ein.

Beispiel: Konfiguration von AutoVPN mit iBGP und ECMP

In diesem Beispiel wird die Konfiguration von zwei IPsec-VPN-Tunneln zwischen einem AutoVPN-Hub und Spoke veranschaulicht. In diesem Beispiel wird iBGP mit Equal-Cost-Multipath (ECMP) konfiguriert, um Pakete über die VPN-Tunnel zu übertragen.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei unterstützte Geräte der SRX-Serie als AutoVPN Hub and Spoke

  • Junos OS Release 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.

Überblick

In diesem Beispiel wird die Konfiguration eines AutoVPN-Hubs und eines Spoke mit zwei IPsec-VPN-Tunneln gezeigt.

In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Zertifikate werden im Hub und spoke für jeden IPsec-VPN-Tunnel registriert. Eines der Zertifikate für den Spoke enthält den Wert "SLT" der Organisationseinheit (OU) im ausgezeichneten Namen (DN); der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist. Das andere Zertifikat für den Spoke enthält den OU-Wert "SBU" in der DN. der Hub wird mit einer Gruppen-ID IKE konfiguriert, die dem Wert "SBU" im OU-Feld entsprechend an abgestimmt ist.

Die Spoke-Funktion stellt IPSec-VPN-Verbindungen zum Hub fest und ermöglicht so den Zugriff auf Ressourcen im Hub. Phase 1- und Phase 2 IKE-Tunneloptionen, die auf dem AutoVPN-Hub und dem Spoke konfiguriert sind, müssen die gleichen Werte haben. Tabelle 9 zeigt die in diesem Beispiel verwendeten Optionen an.

Tabelle 9: Phase 1 und Phase 2 Optionen für AutoVPN Hub and Spoke iBGP ECMP-Konfigurationen

Option

Wert

IKE Angebot:

Authentifizierungsmethode

Digitale Zertifikate von RSA

Diffie-Hellman (DH)-Gruppe

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE Richtlinien:

Modus

Wichtigsten

IPsec-Angebot:

Protokoll

Esp

Authentifizierungsalgorithmus

H HLT MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Zertifikatshierarchie.

Tabelle 10 zeigt die auf dem Hub und auf dem Spoke konfigurierten Optionen an.

Tabelle 10: AutoVPN iBGP ECMP-Konfiguration für Hub and Spoke 1

Option

Hub

Spoke 1

IKE-Gateway:

Remote-IP-Adresse

hub-to-spoke-gw-1: Dynamische

hub-to-spoke-gw-2: Dynamische

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

Remote-IKE-ID

hub-to-spoke-gw-1: DN auf dem Spoke-Zertifikat mit der Zeichenfolge SLT im OU-Feld

hub-to-spoke-gw-2: DN auf dem Spoke-Zertifikat mit der Zeichenfolge SBU im OU-Feld

spoke-to-hub-gw-1: DN auf dem Zertifikat des Hubs

spoke-to-hub-gw-2: DN auf dem Zertifikat des Hubs

Lokale IKE-ID

DN auf dem Zertifikat des Hubs

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

Vpn:

Bindungsschnittstelle

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

Tunnel einrichten

(nicht konfiguriert)

Sofort bei Konfigurations-Commit

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 3 zeigt in diesem Beispiel, dass Geräte der SRX-Serie für AutoVPN konfiguriert werden.

Abbildung 3: AutoVPN-Bereitstellung mit iBGP und ECMPAutoVPN-Bereitstellung mit iBGP und ECMP

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Melden Sie sich zu den lokalen Zertifikaten an.

  5. Überprüfen Sie die lokalen Zertifikate.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Melden Sie sich zu den lokalen Zertifikaten an.

  5. Überprüfen Sie die lokalen Zertifikate.

    Die im Betreff angezeigte Organisationseinheit (OU) ist SLT für Local1 und SBU Local2. Zu IKE der Konfiguration auf dem Hub gehören OU=SLT die OU=SBU Spoke-Konfigurationen und die Identifizierung der Spoke.

Konfigurieren des Hubs

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Spoke 1

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des Status IKE Phase 1

Zweck

Überprüfen Sie den IKE Phase 1-Status.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein.

Bedeutung

Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Angebot in Phase 1 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.

Überprüfung des IPsec-Phase-2-Status

Zweck

Überprüfen des IPsec-Phase-2-Status

Aktion

Geben Sie im Betriebsmodus den Befehl security ipsec security-associations ein.

Bedeutung

Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.

Überprüfung von IPsec Next-Hop-Tunneln

Zweck

Überprüfen der IPsec-Next-Hop-Tunnel

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

Überprüfung der BGP

Zweck

Stellen Sie sicher BGP dass sie auf die IP-Adressen der st0 Spoke-Schnittstellen verweisen.

Aktion

Geben Sie im Betriebsmodus den Befehl show bgp summary ein.

Überprüfen gelernter Routen

Zweck

Stellen Sie sicher, dass Routen zum Spoke gelernt wurden.

Aktion

Geben Sie im Betriebsmodus den Befehl show route 60.60.60.0 detail ein.

Überprüfung der Routeninstallation in der Weiterleitungstabelle

Zweck

Stellen Sie sicher, dass Routen zum Spoke in der Weiterleitungstabelle installiert wurden.

Aktion

Geben Sie im Betriebsmodus den Befehl show route forwarding-table matching 60.60.60.0 ein.

Beispiel: Konfiguration von AutoVPN mit iBGP und Active-Backup-Tunneln

In diesem Beispiel wird gezeigt, wie aktive und Backup-IPsec-VPN-Tunnel zwischen einem AutoVPN-Hub und Spoke konfiguriert werden. In diesem Beispiel wird iBGP so konfiguriert, dass Datenverkehr über die VPN-Tunnel weitergeleitet wird.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei unterstützte Geräte der SRX-Serie als AutoVPN Hub and Spoke

  • Junos OS Release 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.

Überblick

In diesem Beispiel wird die Konfiguration eines AutoVPN-Hubs und eines Spoke mit zwei IPsec-VPN-Tunneln gezeigt.

In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Zertifikate werden im Hub und spoke für jeden IPsec-VPN-Tunnel registriert. Eines der Zertifikate für den Spoke enthält den Wert "SLT" der Organisationseinheit (OU) im ausgezeichneten Namen (DN); der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist. Das andere Zertifikat für den Spoke enthält den OU-Wert "SBU" in der DN. der Hub wird mit einer Gruppen-ID IKE konfiguriert, die dem Wert "SBU" im OU-Feld entsprechend an abgestimmt ist.

Die Spoke-Funktion stellt IPSec-VPN-Verbindungen zum Hub fest und ermöglicht so den Zugriff auf Ressourcen im Hub. Phase 1 und Phase 2 IKE tunneloptionen, die auf dem AutoVPN-Hub und dem Spoke konfiguriert sind, müssen die gleichen Werte haben. Tabelle 11 zeigt die in diesem Beispiel verwendeten Optionen an.

Tabelle 11: Phase 1- und Phase 2-Optionen für AutoVPN Hub and Spoke iBGP Active-Backup-Tunnelkonfigurationen

Option

Wert

IKE Angebot:

Authentifizierungsmethode

Digitale Zertifikate von RSA

Diffie-Hellman (DH)-Gruppe

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE Richtlinien:

Modus

Wichtigsten

IPsec-Angebot:

Protokoll

Esp

Authentifizierungsalgorithmus

H HLT MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Zertifikatshierarchie.

Tabelle 12 zeigt die auf dem Hub und auf dem Spoke konfigurierten Optionen an.

Tabelle 12: AutoVPN IBGP Active-Backup Tunnel-Konfiguration für Hub and Spoke 1

Option

Hub

Spoke 1

IKE-Gateway:

Remote-IP-Adresse

hub-to-spoke-gw-1: Dynamische

hub-to-spoke-gw-2: Dynamische

spoke-to-hub-gw-1: 1.1.1.1

spoke-to-hub-gw-2: 1.1.2.1

Remote-IKE-ID

hub-to-spoke-gw-1: DN auf dem Spoke-Zertifikat mit der Zeichenfolge SLT im OU-Feld

hub-to-spoke-gw-2: DN auf dem Spoke-Zertifikat mit der Zeichenfolge SBU im OU-Feld

spoke-to-hub-gw-1: DN auf dem Zertifikat des Hubs

spoke-to-hub-gw-2: DN auf dem Zertifikat des Hubs

Lokale IKE-ID

DN auf dem Zertifikat des Hubs

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

hub-to-spoke-gw-1: ge-0/0/1.0

hub-to-spoke-gw-2: ge-0/0/2.0

spoke-to-hub-gw-1: fe-0/0/1.0

spoke-to-hub-gw-2: fe-0/0/2.0

Vpn:

Bindungsschnittstelle

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

VPN-Monitor

hub-to-spoke-vpn-1: GE-0/0/1.0 (Quellschnittstelle)

hub-to-spoke-vpn-2: GE-0/0/2.0 (Quellschnittstelle)

spoke-to-hub-1: 1.1.1.1 (Ziel-IP)

spoke-to-hub-2: 1.1.2.1 (Ziel-IP)

Tunnel einrichten

(nicht konfiguriert)

Sofort bei Konfigurations-Commit

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 4 zeigt in diesem Beispiel die Konfiguration von Geräten der SRX-Serie für AutoVPN.

Abbildung 4: AutoVPN-Bereitstellung mit iBGP und Active-Backup-TunnelnAutoVPN-Bereitstellung mit iBGP und Active-Backup-Tunneln

In diesem Beispiel werden zwei IPsec-VPN-Tunnel zwischen dem Hub und Spoke 1 eingerichtet. Der Austausch von Routing-Informationen erfolgt über iBGP-Sitzungen in jedem Tunnel. Die längste Prefix-Übereinstimmung der Route zu 60.60.60.0/24 ist die St0.0-Schnittstelle auf dem Hub. Der primäre Tunnel der Route besteht also aus den St0.0-Schnittstellen auf dem Hub and Spoke 1. Die Standardroute besteht aus dem Backup-Tunnel auf den St0.1-Schnittstellen auf dem Hub and Spoke 1.

Die VPN-Überwachung prüft den Status der Tunnel. Wenn es ein Problem mit dem Primärtunnel gibt (z. B. dass das Remote-Tunnel-Gateway nicht erreichbar ist), wird der Tunnelstatus an den Tunnelstatus geändert und die Daten, die für 60.60.60.0/24 bestimmt sind, werden durch den Backup-Tunnel umgeleitet.

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Melden Sie sich zu den lokalen Zertifikaten an.

  5. Überprüfen Sie die lokalen Zertifikate.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Melden Sie sich zu den lokalen Zertifikaten an.

  5. Überprüfen Sie die lokalen Zertifikate.

    Die im Betreff angezeigte Organisationseinheit (OU) ist SLT für Local1 und SBU Local2. Zu IKE der Konfiguration auf dem Hub gehören OU=SLT die OU=SBU Spoke-Konfigurationen und die Identifizierung der Spoke.

Konfigurieren des Hubs

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Spoke 1

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des status IKE Phase 1 (beide Tunnel sind bereits eingerichtet)

Zweck

Überprüfen Sie den IKE Phase 1-Status, wenn beide IPSec-VPN-Tunnel eingerichtet sind.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein.

Bedeutung

Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Angebot in Phase 1 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.

Überprüfung des IPsec-Phase-2-Status (beide Tunnel sind up)

Zweck

Überprüfen des IPsec Phase 2-Status, wenn beide IPSec-VPN-Tunnel eingerichtet sind.

Aktion

Geben Sie im Betriebsmodus den Befehl security ipsec security-associations ein.

Bedeutung

Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.

Überprüfung von IPsec Next-Hop-Tunneln (beide Tunnel sind oben)

Zweck

Überprüfen der IPsec-Next-Hop-Tunnel

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Spoke-Schnittstellen. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

Überprüfung der BGP (beide Tunnel sind oben)

Zweck

Stellen Sie sicher BGP dass die IP-Adressen der Spoke-Schnittstellen bei st0 beide IPsec-VPN-Tunneln aufgerufen werden.

Aktion

Geben Sie im Betriebsmodus den Befehl show bgp summary ein.

Überprüfen gelernter Routen (beide Tunnel sind oben)

Zweck

Stellen Sie sicher, dass Routen zum Spoke gelernt wurden, wenn beide Tunnel eingerichtet sind. Die Route zu 60.60.60.0/24 wird über die St0.0-Schnittstelle und die Standardroute wird über die st0.1-Schnittstelle routen.

Aktion

Geben Sie im Betriebsmodus den Befehl show route 60.60.60.0 ein.

Geben Sie im Betriebsmodus den Befehl show route 0.0.0.0 ein.

Überprüfung des status IKE Phase 1 (Primärer Tunnel ist geschlossen)

Zweck

Überprüfen Sie den IKE Phase 1-Status, wenn der primäre Tunnel geschlossen ist.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein.

Bedeutung

Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Angebot in Phase 1 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.

Überprüfung des IPsec-Phase-2-Status (Primärer Tunnel ist geschlossen)

Zweck

Überprüfen sie den IPsec Phase 2-Status, wenn der primäre Tunnel geschlossen ist.

Aktion

Geben Sie im Betriebsmodus den Befehl security ipsec security-associations ein.

Bedeutung

Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.

Überprüfung von IPsec Next-Hop-Tunneln (Primärer Tunnel ist geschlossen)

Zweck

IPsec-Next-Hop-Tunnel überprüfen.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Spoke-Schnittstellen. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen, in diesem Fall dem Backup-VPN-Tunnel, zugeordnet werden.

Überprüfung der BGP (Primärer Tunnel ist geschlossen)

Zweck

Stellen Sie sicher BGP bei aus dem primären Tunnel die IP-Adressen der st0 Spoke-Schnittstellen referenziert.

Aktion

Geben Sie im Betriebsmodus den Befehl show bgp summary ein.

Überprüfen gelernter Routen (Primärer Tunnel ist geschlossen)

Zweck

Stellen Sie sicher, dass Routen zum Spoke gelernt wurden, wenn der primäre Tunnel aus dem Weg geht. Sowohl die Route zu 60.60.60.0/24 als auch die Standardroute werden über die St0.1-Schnittstelle.

Aktion

Geben Sie im Betriebsmodus den Befehl show route 60.60.60.0 ein.

Geben Sie im Betriebsmodus den Befehl show route 0.0.0.0 ein.

Beispiel: Konfigurieren von Basic AutoVPN mit OSPF

In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub konfiguriert wird, um als einzelner Terminierungspunkt zu fungieren, und dann zwei Spokes zu konfigurieren, die als Tunnel zu Remote-Standorten fungieren. In diesem Beispiel wird konfiguriert OSPF Pakete über die VPN-Tunnel weitergeleitet werden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes

  • Junos OS Release 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.

Überblick

In diesem Beispiel wird die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen mit zwei Spokes veranschaulicht.

In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Die Zertifikate für die Spokes enthalten den Wert "SLT" der Organisationseinheit (OU) im Betreff. der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist.

Die Spokes ermöglichen IPSec-VPN-Verbindungen zum Hub und ermöglichen so die Kommunikation untereinander sowie Zugriff auf Ressourcen auf dem Hub. Phase 1- und Phase 2 IKE-Tunneloptionen, die auf dem AutoVPN-Hub konfiguriert sind und alle Spokes müssen über die gleichen Werte verfügen. Tabelle 13 zeigt die in diesem Beispiel verwendeten Optionen an.

Tabelle 13: Phase-1- und Phase-2-Optionen für AutoVPN Hub-and-Spoke-Konfigurationen OSPF Konfigurationen

Option

Wert

IKE Angebot:

Authentifizierungsmethode

Digitale Zertifikate von RSA

Diffie-Hellman (DH)-Gruppe

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE Richtlinien:

Modus

Wichtigsten

IPsec-Angebot:

Protokoll

Esp

Authentifizierungsalgorithmus

H HLT MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Zertifikatshierarchie.

Tabelle 14 zeigt die auf dem Hub und auf allen Spokes konfigurierten Optionen an.

Tabelle 14: AutoVPN Basic OSPF Konfiguration für Hub und alle Spokes

Option

Hub

Alle Spokes

IKE-Gateway:

Remote-IP-Adresse

Dynamische

1.1.1.1

Remote-IKE-ID

Ausgezeichneter Name (DN) auf dem Spoke-Zertifikat mit dem String SLT in der Organisationseinheit (OU)-Feld

DN auf dem Zertifikat des Hubs

Lokale IKE-ID

DN auf dem Zertifikat des Hubs

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

ge-0/0/1.0

Spoke 1: fe-0/0/1.0

Spoke 2: ge-0/0/1.0

Vpn:

Bindungsschnittstelle

st0.0

st0.0

Tunnel einrichten

(nicht konfiguriert)

Sofort bei Konfigurations-Commit

Tabelle 15 zeigt die Konfigurationsoptionen auf, die sich auf jedem Spoke unterscheiden.

Tabelle 15: Vergleich zwischen den grundlegenden OSPF-Spoke-Konfigurationen

Option

Spoke 1

Spoke 2

St0.0-Schnittstelle

10.10.10.2/24

10.10.10.3/24

Schnittstelle zum internen Netzwerk

fe-0.0/4.0: 60.60.60.1/24

fe-0.0/4.0: 70.70.70.1/24

Schnittstelle zum Internet

fe-0/0/1.0: 2.2.2.1/30

ge-0/0/1.0: 3.3.3.1/30

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 5 zeigt in diesem Beispiel, dass Geräte der SRX-Serie für AutoVPN konfiguriert werden.

Abbildung 5: Grundlegende AutoVPN-Bereitstellung mit OSPFGrundlegende AutoVPN-Bereitstellung mit OSPF

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

    Die im Betreff angezeigte Organisationseinheit (OU) SLT ist. Die IKE des Hubs enthält ou=SLT die Spoke-Konfiguration.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

    Die im Betreff angezeigte Organisationseinheit (OU) SLT ist. Die IKE des Hubs enthält ou=SLT die Spoke-Konfiguration.

Konfigurieren des Hubs

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Spoke 1

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Spoke 2

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 2:

  1. Schnittstellen konfigurieren.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des Status IKE Phase 1

Zweck

Überprüfen Sie den IKE Phase 1-Status.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein.

Bedeutung

Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter für den Vorschlag in Phase 1 müssen auf dem Hub und den Spokes abgestimmt sein.

Überprüfung des IPsec-Phase-2-Status

Zweck

Überprüfen des IPsec-Phase-2-Status

Aktion

Geben Sie im Betriebsmodus den Befehl security ipsec security-associations ein.

Bedeutung

Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub und den Spokes abgestimmt sein.

Überprüfung von IPsec Next-Hop-Tunneln

Zweck

Überprüfen der IPsec-Next-Hop-Tunnel

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

Überprüfung der OSPF

Zweck

Stellen Sie sicher OSPF dass sie auf die IP-Adressen für die st0 Spokes-Schnittstellen verweisen.

Aktion

Geben Sie im Betriebsmodus den Befehl show ospf neighbor ein.

Überprüfen gelernter Routen

Zweck

Stellen Sie sicher, dass Routen zu den Spokes gelernt wurden.

Aktion

Geben Sie im Betriebsmodus den Befehl show route 60.60.60.0 ein.

Geben Sie im Betriebsmodus den Befehl show route 70.70.70.0 ein.

Beispiel: Konfiguration von AutoVPN mit OSPFv3 für IPv6-Datenverkehr

In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub konfiguriert wird, um als einzelner Terminierungspunkt zu fungieren, und dann zwei Spokes zu konfigurieren, die als Tunnel zu Remote-Standorten fungieren. In diesem Beispiel wird AutoVPN für IPv6-Umgebung mit OSPFv3 konfiguriert, um Pakete über die VPN-Tunnel zu übertragen.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes.

  • Junos OS Release 18.1R1 und späteren Versionen.

Bevor Sie beginnen:

  • Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.

Überblick

In diesem Beispiel wird die Konfiguration eines AutoVPN mit OSPFv3 Routing-Protokoll auf Hub und die nachfolgenden Konfigurationen von zwei Spokes gezeigt.

In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Die Zertifikate für die Spokes enthalten den Wert "SLT" der Organisationseinheit (OU) im Betreff. der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist.

Die Spokes ermöglichen IPSec-VPN-Verbindungen zum Hub und ermöglichen so die Kommunikation untereinander sowie Zugriff auf Ressourcen auf dem Hub. Phase 1- und Phase 2 IKE-Tunneloptionen, die auf dem AutoVPN-Hub konfiguriert sind und alle Spokes müssen über die gleichen Werte verfügen. Tabelle 16 zeigt die in diesem Beispiel verwendeten Optionen an.

Tabelle 16: Phase-1- und Phase-2-Optionen für AutoVPN Hub-and-Spoke-Basis-OSPFv3-Konfigurationen

Option

Wert

IKE Angebot:

Authentifizierungsmethode

Digitale Zertifikate von RSA

Diffie-Hellman (DH)-Gruppe

19

Authentifizierungsalgorithmus

SHA-384

Verschlüsselungsalgorithmus

AES 256 CBC

IKE Richtlinien:

Modus

Wichtigsten

IPsec-Angebot:

Protokoll

Esp

Lebensdauersekunden

3000

Verschlüsselungsalgorithmus

AES 256 GCM

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

19

Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.

Tabelle 17 zeigt die auf dem Hub und auf allen Spokes konfigurierten Optionen an.

Tabelle 17: AutoVPN OSPFv3-Konfiguration für Hub und alle Spokes

Option

Hub

Alle Spokes

IKE-Gateway:

Remote-IP-Adresse

Dynamische

2001:db8:2000::1

Remote-IKE-ID

Ausgezeichneter Name (DN) auf dem Spoke-Zertifikat mit dem String SLT in der Organisationseinheit (OU)-Feld

DN auf dem Zertifikat des Hubs

Lokale IKE-ID

DN auf dem Zertifikat des Hubs

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

ge-0/0/0

Spoke 1: ge-0/0/0.0

Spoke 2: ge-0/0/0.0

Vpn:

Bindungsschnittstelle

st0.1

st0.1

Tunnel einrichten

(nicht konfiguriert)

Sofort bei Konfigurations-Commit

Tabelle 18 zeigt die Konfigurationsoptionen auf, die sich auf jedem Spoke unterscheiden.

Tabelle 18: Vergleich von OSPFv3-Spoke-Konfigurationen

Option

Spoke 1

Spoke 2

St0.1-Schnittstelle

2001:db8:7000::2/64

2001:db8:7000::3/64

Schnittstelle zum internen Netzwerk

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Schnittstelle zum Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 6 zeigt in diesem Beispiel die Konfiguration von Geräten der SRX-Serie für AutoVPN.

Abbildung 6: Grundlegende AutoVPN-Bereitstellung mit OSPFv3Grundlegende AutoVPN-Bereitstellung mit OSPFv3

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

    Die im Betreff angezeigte Organisationseinheit (OU) SLT ist. Die IKE des Hubs enthält ou=SLT die Spoke-Konfiguration.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:

  1. Konfiguration der CA.

  2. Registrieren Sie sich CA Zertifikat.

    Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.

  3. Schlüsselpaare generieren.

  4. Melden Sie sich für das lokale Zertifikat an.

  5. Lokales Zertifikat verifizieren.

    Die im Betreff angezeigte Organisationseinheit (OU) SLT ist. Die IKE des Hubs enthält ou=SLT die Spoke-Konfiguration.

Konfigurieren des Hubs

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Spoke 1

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Spoke 2

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 2:

  1. Schnittstellen konfigurieren.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration der Phase 1-Optionen

  4. Konfiguration der Phase 2-Optionen

  5. Konfiguration von Zonen

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA Profil.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des IKE Status

Zweck

Überprüfen Sie den IKE Status.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ike sa ein.

Bedeutung

Im show security ike sa Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter für den Vorschlag in Phase 1 müssen auf dem Hub und den Spokes abgestimmt sein.

Überprüfung des IPsec-Status

Zweck

IPsec-Status überprüfen.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec sa ein.

Bedeutung

Im show security ipsec sa Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub und den Spokes abgestimmt sein.

Überprüfung von IPsec Next-Hop-Tunneln

Zweck

Überprüfen der IPsec-Next-Hop-Tunnel

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

Überprüfung von OSPFv3

Zweck

Stellen Sie sicher, dass OSPFv3 auf die IP-Adressen für die st0 Schnittstellen der Spokes verweist.

Aktion

Geben Sie im Betriebsmodus den Befehl show ospf3 neighbor detail ein.

Hub:

Spoke 1:

Spoke 2:

Beispiel: Weiterleitung des Datenverkehrs über einen AutoVPN-Tunnel mit Datenverkehrs-Selektoren

In diesem Beispiel wird gezeigt, wie Sie Datenverkehrs-Selektoren anstelle von dynamischen Routingprotokollen konfigurieren, um Pakete über einen VPN-Tunnel in einer AutoVPN-Bereitstellung weiterzuleiten. Wenn Datenverkehrs-Selektoren konfiguriert sind, muss sich die Secure Tunnel (st0)-Schnittstelle im Punkt-zu-Punkt-Modus befinden. Datenverkehrs-Selektoren werden sowohl auf den Hub- als auch den Spoke-Geräten konfiguriert.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Geräte der SRX-Serie sind in einem Gehäuse-Cluster verbunden und konfiguriert. Der Gehäuse-Cluster ist der AutoVPN-Hub.

  • Ein Gerät der SRX-Serie, das als AutoVPN-Spoke konfiguriert ist.

  • Junos OS Release-12.3X48-D10 oder höher.

  • Digitale Zertifikate, die für den Hub und die Spoke-Geräte registriert sind, damit die Geräte sich gegenseitig authentifizieren können.

Bevor Sie beginnen:

Überblick

In diesem Beispiel sind Datenverkehrs-Selektoren auf dem AutoVPN Hub-and-Spoke-Server konfiguriert. Nur Datenverkehr, der dem konfigurierten Datenverkehrs-Selektor entspricht, wird durch den Tunnel weitergeleitet. Auf dem Hub wird der Datenverkehrs-Selektor mit der lokalen IP-Adresse 192.0.0.0/8 und der Remote-IP-Adresse 172.0.0.0/8 konfiguriert. Auf dem Spoke wird der Datenverkehrs-Selektor mit der lokalen IP-Adresse 172.0.0.0/8 und der Remote-IP-Adresse 192.0.0.0/8 konfiguriert.

Die auf dem Spoke konfigurierten Datenverkehrs-Selektor-IP-Adressen können eine Untergruppe der auf dem Hub konfigurierten Datenverkehrs-Selektor-IP-Adressen sein. Dies wird als Datenverkehrs-Selektor-flexible Übereinstimmung bezeichnet.

Bestimmte tunneloptionen für Phase 1 IKE Phase 2, die auf den AutoVPN-Hubs und Spokes konfiguriert sind, müssen die gleichen Werte haben. Tabelle 19 zeigt die in diesem Beispiel verwendeten Werte:

Tabelle 19: Optionen für Phase 1 und Phase 2 für AutoVPN-Hubs und Spokes mit Datenverkehrs-Selektoren

Option

Wert

IKE Angebot:

Authentifizierungsmethode

rsa-signatures

Diffie-Hellman (DH)-Gruppe

group5

Authentifizierungsalgorithmus

sha-1

Verschlüsselungsalgorithmus

aes-256-cbc

IKE Richtlinien:

Modus

Wichtigsten

Zertifikat

lokales Zertifikat

IKE-Gateway:

Dynamische

Ausgezeichneter Name Wildcard DC=Common_component

IKE-Typ

Gruppen-IKE-ID

Lokale Identität

Ausgezeichneter Name

Version

v1-only

IPsec-Angebot:

Protokoll

Esp

Authentifizierungsalgorithmus

hmac-sha1-96

Verschlüsselungsalgorithmus

aes-192-cbc

Lebensdauer

3600 Sekunden

150.000 KB

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

group5

Topologie

Abbildung 7 zeigt die Konfiguration der Geräte der SRX-Serie an.

Abbildung 7: AutoVPN mit Datenverkehrs-Selektoren AutoVPN mit Datenverkehrs-Selektoren

Konfiguration

Konfigurieren des Hubs

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Beginnend mit Junos OS Release 15.1X49-D120 können Sie die CLI-Option auf der [ ] Hierarchieebene konfigurieren, um eine vorhandene Tunnelsitzung zu behalten und Aushandlungsanforderungen für einen neuen Tunnel mit derselben reject-duplicate-connectionedit security ike gateway gateway-name dynamic IKE-ID abzulehnen. Standardmäßig wird ein vorhandener Tunnel deaktiviert, wenn ein neuer Tunnel mit derselben IKE ID eingerichtet wird. Die Option wird nur unterstützt, wenn die Gateway-IKE konfiguriert ist. Die Konfiguration wird reject-duplicate-connection von dieser Option nicht ike-user-type group-ike-idike-user-type shared-ike-idaaa access-profile profile-name unterstützt.

Verwenden Sie die CLI-Option nur, wenn Sie sicher sind, dass die Wiedereinrichtung eines neuen Tunnels mit derselben reject-duplicate-connection IKE-ID abgelehnt werden sollte.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie den Hub:

  1. Schnittstellen konfigurieren.

  2. Konfiguration der Phase 1-Optionen

  3. Konfiguration der Phase 2-Optionen

  4. Konfigurieren Sie Zertifikatsinformationen.

  5. Konfiguration von Sicherheitszonen

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , und Befehle show security ikeshow security ipsecshow security pkishow security zonesshow security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren des Spoke

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie den Hub:

  1. Schnittstellen konfigurieren.

  2. Konfiguration der Phase 1-Optionen

  3. Konfiguration der Phase 2-Optionen

  4. Konfigurieren Sie Zertifikatsinformationen.

  5. Konfiguration von Sicherheitszonen

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , und Befehle show security ikeshow security ipsecshow security pkishow security zonesshow security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung von Tunneln

Zweck

Stellen Sie sicher, dass Tunnel zwischen AutoVPN Hub und Spoke eingerichtet werden.

Aktion

Geben Sie im Betriebsmodus die show security ike security-associations Befehle und die Befehle auf dem Hub show security ipsec security-associations ein.

Geben Sie im Betriebsmodus die show security ike security-associations Befehle und die Befehle auf dem Spoke show security ipsec security-associations ein.

Bedeutung

Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Der Hub zeigt einen aktiven Tunnel zum Spoke, während der Spoke einen aktiven Tunnel zum Hub zeigt.

Wenn für die phase 1 keine IKE aufgeführt sind, dann gab es ein Problem mit der Einrichtung der ersten Phase. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Angebot in Phase 1 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.

Wenn für IKE Phase 2 keine AAs aufgelistet sind, dann gab es ein Problem bei der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.

Datenverkehrs-Selektoren verifizieren

Zweck

Überprüfen Sie die Datenverkehrs-Selektoren.

Aktion

Geben Sie im Betriebsmodus den show security ipsec traffic-selector interface-name st0.1 Befehl auf dem Hub ein.

Geben Sie im Betriebsmodus den show security ipsec traffic-selector interface-name st0.1 Befehl auf dem Spoke ein.

Bedeutung

Ein Datenverkehrs-Selektor ist eine Vereinbarung zwischen IKE, um Datenverkehr durch einen Tunnel zu ermöglichen, wenn der Datenverkehr einem bestimmten Paar lokaler und Remote-Adressen entspricht. Nur Datenverkehr, der einem Datenverkehrs-Selektor entspricht, ist über eine Sicherheitszuordnung zulässig. Datenverkehrs-Selektoren werden zwischen dem Benutzer und dem Responder (dem Hub der SRX-Serie) ausgehandelt.

Beispiel: Sicherstellen der VPN-Tunnelverfügbarkeit mit AutoVPN und Datenverkehrs-Selektoren

Bei Georedundanz handelt es sich um die Bereitstellung von mehreren geografisch entfernten Standorten, sodass der Datenverkehr weiterhin über ein Provider-Netzwerk fließen kann, selbst wenn ein Stromausfall, eine Naturkatastrophe oder ein anderes katastrophales Ereignis, das einen Standort an betrifft, zu beeinträchtigen ist. In Mobilnetzanbieter Gateways der SRX-Serie können mehrere Evolved Node B (eNodeB)-Geräte über georedundante IPsec-VPN-Gateways mit dem Core-Netzwerk verbunden werden. Die alternativen Routen zu den eNodeB-Geräten werden mithilfe eines dynamischen Routingprotokolls an das Core-Netzwerk verteilt.

In diesem Beispiel werden AutoVPN-Hubs mit mehreren Datenverkehrs-Selektoren auf Geräten der SRX-Serie konfiguriert, um sicherzustellen, dass georedundante IPsec-VPN-Gateways zu eNodeB-Geräten verfügbar sind. Mit dem autoroute Insertion (ARI) werden automatisch Routen zu den eNodeB-Geräten in die Routingtabellen auf den Hubs eingefügt. ARI-Routen werden dann über eine Netzwerkroute an das Core-Netzwerk des BGP.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Geräte der SRX-Serie sind in einem Gehäuse-Cluster verbunden und konfiguriert. Der Gehäuse-Cluster ist AutoVPN Hub A.

  • Ein Gerät der SRX-Serie als AutoVPN Hub B konfiguriert.

  • Junos OS Release-12.3X48-D10 oder höher.

  • eNodeB-Geräte, die IPSec-VPN-Tunnel mit AutoVPN-Hubs einrichten können. eNodeB-Geräte sind Anbieter von Netzwerkgeräten von Drittanbietern, die einen VPN-Tunnel mit AutoVPN-Hubs initiieren.

  • Digitale Zertifikate, die in den Hubs registriert sind, und die eNodeB-Geräte, die es den Geräten ermöglichen, sich gegenseitig zu authentifizieren.

Bevor Sie beginnen:

In diesem Beispiel wird das BGP Routing-Protokoll zur Ankündigung von Routen zu den eNodeB-Geräten zum Core-Netzwerk verwendet.

Überblick

In diesem Beispiel werden zwei AutoVPN-Hubs mit mehreren Datenverkehrs-Selektoren auf Geräten der SRX-Serie konfiguriert, um georedundante IPsec-VPN-Gateways für eNodeB-Geräte zur Verfügung zu stellen. ARI fügt automatisch Routen zu den eNodeB-Geräten in die Routingtabellen auf den Hubs ein. ARI-Routen werden dann über eine Netzwerkroute an das Core-Netzwerk des BGP.

Bestimmte auf AutoVPN-Hubs und eNodeB-Geräten konfigurierte Tunneloptionen für Phase 1 IKE Phase 2 müssen über die gleichen Werte verfügen. Tabelle 20 zeigt die in diesem Beispiel verwendeten Werte:

Tabelle 20: Optionen für Phase 1 und Phase 2 für Georedundant AutoVPN Hubs

Option

Wert

IKE Angebot:

Authentifizierungsmethode

rsa-signatures

Diffie-Hellman (DH)-Gruppe

group5

Authentifizierungsalgorithmus

sha-1

Verschlüsselungsalgorithmus

aes-256-cbc

IKE Richtlinien:

Zertifikat

lokales Zertifikat

IKE-Gateway:

Dynamische

Ausgezeichneter Name Wildcard DC=Common_component

IKE-Typ

Gruppen-IKE-ID

Dead Peer Detection

Probe-Idle-Tunnel

Lokale Identität

Ausgezeichneter Name

Version

v2-only

IPsec-Angebot:

Protokoll

Esp

Authentifizierungsalgorithmus

hmac-sha1-96

Verschlüsselungsalgorithmus

aes-256-cbc

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

group5

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien. Der Einfachheit halber lässt die Konfiguration auf den Geräten der SRX-Serie alle Arten von eingehendem Datenverkehr zu. wird diese Konfiguration für Produktionsumgebungen nicht empfohlen.

Topologie

Abbildung 8 zeigt die Konfiguration der Geräte der SRX-Serie an.

Abbildung 8: Georedundante IPsec VPN-Gateways zu eNodeB-GerätenGeoredundante IPsec VPN-Gateways zu eNodeB-Geräten

Konfiguration

Konfigurieren von Hub A

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie Hub A:

  1. Schnittstellen konfigurieren.

  2. Konfiguration der Phase 1-Optionen

  3. Konfiguration der Phase 2-Optionen

  4. Konfigurieren Sie BGP Routing-Protokoll.

  5. Konfigurieren Sie Routing-Optionen.

  6. Konfigurieren Sie Zertifikatsinformationen.

  7. Konfiguration von Sicherheitszonen

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces show security ike , , , , und Befehle show security ipsecshow protocols bgpshow policy-optionsshow security pkishow security zonesshow security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Hub B

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie Hub B:

  1. Schnittstellen konfigurieren.

  2. Konfiguration der Phase 1-Optionen

  3. Konfiguration der Phase 2-Optionen

  4. Konfigurieren Sie BGP Routing-Protokoll.

  5. Konfigurieren Sie Routing-Optionen.

  6. Konfigurieren Sie Zertifikatsinformationen.

  7. Konfiguration von Sicherheitszonen

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces show security ike , , , und Befehle show security ipsecshow protocols bgpshow security pkishow security zonesshow security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfiguration von eNodeB (Beispielkonfiguration)

Schritt-für-Schritt-Verfahren
  1. Die eNodeB-Konfiguration in diesem Beispiel wird als Referenz bereitgestellt. Detaillierte eNodeB-Konfigurationsinformationen gehen über den Rahmen dieses Dokuments hinaus. Die eNodeB-Konfiguration muss die folgenden Informationen enthalten:

    • Lokales Zertifikat (X.509v3) und IKE-Identitätsinformationen

    • SrX-Serie IKE Identitätsinformationen und öffentliche IP-Adresse

    • Angebote für Phase 1 und Phase 2, die mit den Konfigurationen auf den Hubs der SRX-Serie übereinstimmen

Ergebnisse

Die eNodeB-Geräte in diesem Beispiel verwenden strongSwan Open Source-Software für IPsec-basierte VPN-Verbindungen:

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung von Tunneln auf AutoVPN-Hubs

Zweck

Stellen Sie sicher, dass Tunnel zwischen dem AutoVPN-Hub und eNodeB-Geräten eingerichtet werden.

Aktion

Geben Sie im Betriebsmodus die show security ike security-associations Befehle und die Befehle auf dem Hub show security ipsec security-associations ein.

Bedeutung

Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Der Hub zeigt zwei aktive Tunnel, einen zu jedem eNodeB-Gerät.

Wenn für die phase 1 keine IKE aufgeführt sind, dann gab es ein Problem mit der Einrichtung der ersten Phase. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter für Phase 1 müssen auf dem Hub und den eNodeB-Geräten übereinstimmen.

Wenn für IKE Phase 2 keine AAs aufgelistet sind, dann gab es ein Problem bei der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter für Phase 2 müssen auf dem Hub und den eNodeB-Geräten übereinstimmen.

Datenverkehrs-Selektoren verifizieren

Zweck

Überprüfen Sie die Datenverkehrs-Selektoren.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec traffic-selector interface-name st0.1 ein.

Bedeutung

Ein Datenverkehrs-Selektor ist eine Vereinbarung zwischen IKE, um Datenverkehr durch einen Tunnel zu ermöglichen, wenn der Datenverkehr einem bestimmten Paar lokaler und Remote-Adressen entspricht. Nur Datenverkehr, der einem Datenverkehrs-Selektor entspricht, ist über eine Sicherheitszuordnung zulässig. Datenverkehrs-Selektoren werden zwischen dem Benutzer und dem Responder (dem Hub der SRX-Serie) ausgehandelt.

Überprüfen von ARI-Routen

Zweck

Stellen Sie sicher, dass die ARI-Routen zur Routingtabelle hinzugefügt werden.

Aktion

Geben Sie im Betriebsmodus den Befehl show route ein.

Bedeutung

Automatische Routenfügung (AUTO Route Insertion, ARI) fügt automatisch eine statische Route für das Remotenetzwerk und Hosts ein, die von einem Remote-Tunnelendpunkt geschützt werden. Es wird eine Route basierend auf der im Datenverkehrs-Selektor konfigurierten Remote-IP-Adresse erstellt. Bei Datenverkehrs-Selektoren wird die konfigurierte Remoteadresse in die Routinginstanz eingefügt, die der st0-Schnittstelle zugeordnet ist, die an das VPN gebunden ist.

Statische Routen zu den eNodeB-Zielen 30.1.1.0/24 und 50.1.1.0/24 werden der Routing-Tabelle auf dem Hub der SRX-Serie hinzugefügt. Diese Routen sind über die St0.1-Schnittstelle erreichbar.

Beispiel: Konfiguration von AutoVPN mit pre-shared Key

In diesem Beispiel wird gezeigt, wie verschiedene IKE Schlüssel konfiguriert werden, der vom VPN-Gateway zur Authentifizierung des Remote-Peers verwendet wird. In ähnlicher Weise muss derselbe preshared IKE Schlüssel konfiguriert werden, der vom VPN-Gateway zur Authentifizierung des Remote-Peers verwendet wird.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • MX240, MX480 und MX960 mit MX-SPC3 und Junos OS Version 21.1R1, die AutoVPN unterstützen
  • oder die SRX5000-Reihe der Geräte mit SPC3 und Junos OS Version 21.2R1, die AutoVPN unterstützen
  • oder vSRX und Junos OS Version 21.2R1, die AutoVPN unterstützen

Konfigurieren unterschiedlicher IKE Schlüssel

Führen Sie diese Aufgaben aus, um verschiedene IKE Schlüssel zu konfigurieren, den das VPN-Gateway zur Authentifizierung des Remote-Peer verwendet.

  1. Konfigurieren Sie die seeded Preshared für IKE auf dem Gerät mit AutoVPN Hub.

    oder

    Zum Beispiel:

    oder

  2. Anzeige des pre-shared key for Remote-Peer mit Gateway-Name und Benutzer-ID.

    Zum Beispiel:

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. Konfigurieren Sie den generierten PSK ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" in Schritt 2)in der ike-Richtlinie auf dem Remote-Peer-Gerät.

    Zum Beispiel:

  4. (optional) Um die IKE ID-Validierung zu umgehen und alle IKE-ID-Typen zu ermöglichen, konfigurieren Sie die Konfiguration der Konfiguration statement unter der dynamischen [edit security ike gateway general-ikeid gateway_name]-Hierarchieebene im Gateway.

Ergebnis

Im Konfigurationsmodus bestätigen Sie Ihre Konfiguration, indem Sie den "Show Security"-Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Konfigurieren desselben IKE Preshared Key

Führen Sie diese Aufgaben aus, um denselben IKE Schlüssel zu konfigurieren, den das VPN-Gateway zur Authentifizierung des Remote-Peer verwendet.

  1. Konfigurieren Sie die allgemeine pre-shared-key for ike-Richtlinie im Gerät mit AutoVPN Hub.

    Zum Beispiel:

  2. Konfigurieren Sie das allgemeine pre-shared-key "ike"-Richtlinien für Remote-Peer-Geräte.

    Zum Beispiel:

  3. (optional) Um die IKE ID-Validierung zu umgehen und alle IKE-ID-Typen zu ermöglichen, konfigurieren Sie die Konfiguration der Konfiguration statement unter der dynamischen [edit security ike gateway general-ikeid gateway_name]-Hierarchieebene im Gateway.

Ergebnis

Im Konfigurationsmodus bestätigen Sie Ihre Konfiguration, indem Sie den "Show Security"-Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Release-Verlaufstabelle
Release
Beschreibung
17.4R1
Beginnend mit Junos OS Release 17.4R1 wird die IPv6-Adresse auf AutoVPN unterstützt.
17.4R1
AutoVPN-Netzwerke, die sichere Tunnelschnittstellen im Punkt-zu-Punkt-Modus verwenden, unterstützen ab Junos OS-Release-17.4R1 IPv6-Adressen für Datenverkehrs-Selektoren IKE Peers.
15.1X49-D120
Beginnend mit Junos OS Release 15.1X49-D120 können Sie die CLI-Option auf der [ ] Hierarchieebene konfigurieren, um eine vorhandene Tunnelsitzung zu behalten und Aushandlungsanforderungen für einen neuen Tunnel mit derselben reject-duplicate-connectionedit security ike gateway gateway-name dynamic IKE-ID abzulehnen.