Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AutoVPN auf Hub-and-Spoke-Geräten

AutoVPN unterstützt einen IPsec-VPN-Aggregator (bekannt als Hub), der als einzelner Endpunkt für mehrere Tunnel zu Remote-Standorten (bekannt als Spokes) dient. Mit AutoVPN können Netzwerkadministratoren einen Hub für aktuelle und zukünftige Spokes konfigurieren.

AutoVPN verstehen

AutoVPN unterstützt einen IPsec-VPN-Aggregator (bekannt als Hub), der als einzelner Endpunkt für mehrere Tunnel zu Remote-Standorten (bekannt als Spokes) dient. Mit AutoVPN können Netzwerkadministratoren einen Hub für aktuelle und zukünftige Spokes konfigurieren. Wenn Spoke-Geräte hinzugefügt oder gelöscht werden, sind keine Konfigurationsänderungen auf der Hub-Zentrale erforderlich, sodass Administratoren flexibel umfangreiche Netzwerkbereitstellungen verwalten können.

Sichere Tunnelmodi

AutoVPN wird auf routenbasierten IPsec-VPNs unterstützt. Bei routenbasierten VPNs konfigurieren Sie eine sichere Tunnelschnittstelle (st0) und binden sie an einen IPsec-VPN-Tunnel. st0-Schnittstellen in AutoVPN-Netzwerken können in einem von zwei Modi konfiguriert werden:

  • Punkt-zu-Punkt-Modus: Standardmäßig befindet sich eine st0-Schnittstelle, die auf der Hierarchieebene [edit interfaces st0 unit x] konfiguriert ist, im Punkt-zu-Punkt-Modus. Ab Junos OS Version 17.4R1 wird die IPv6-Adresse von AutoVPN unterstützt.

  • Punkt-zu-Mehrpunkt-Modus: In diesem Modus wird die multipoint Option auf der Hierarchieebene [edit interfaces st0 unit x] sowohl auf dem AutoVPN-Hub als auch auf den Spokes konfiguriert. st0-Schnittstellen auf dem Hub und den Spokes müssen nummeriert sein, und die auf einem Spoke konfigurierte IP-Adresse muss im ST0-Schnittstellen-Subnetzwerk des Hubs vorhanden sein.

Tabelle 1 Vergleicht die AutoVPN-Punkt-zu-Punkt- und Punkt-zu-Mehrpunkt-Modi für sichere Tunnelschnittstellen.

Tabelle 1: Vergleich zwischen den sicheren Punkt-zu-Punkt- und Punkt-zu-Mehrpunkt-Tunnelmodi von AutoVPN

Punkt-zu-Punkt-Modus

Punkt-zu-Mehrpunkt-Modus

Unterstützt IKEv1 oder IKEv2.

Unterstützt IKEv1 oder IKEv2.

Unterstützt IPv4- und IPv6-Datenverkehr.

Unterstützt IPv4 oder IPv6.

Traffic-Selektoren

Dynamische Routing-Protokolle (OSPF, OSPFv3 und iBGP)

Erkennung toter Peers

Erkennung toter Peers

Ermöglicht Spoke-Geräte der SRX-Serie oder Geräte von Drittanbietern.

Dieser Modus wird nur von Firewalls der SRX-Serie unterstützt.

Authentifizierung:

AutoVPNs unterstützen sowohl auf Zertifikaten als auch auf Preshare-Schlüsseln basierenden Authentifizierungsmethoden.

Für die zertifikatbasierte Authentifizierung in AutoVPN-Hubs und -Spokes können Sie X.509-PKI-Zertifikate (Public Key Infrastructure) verwenden. Der auf der Hub-Zentrale konfigurierte Gruppen-IKE-Benutzertyp ermöglicht die Angabe von Zeichenfolgen, die mit dem alternativen Betrefffeld in Spoke-Zertifikaten übereinstimmen. Es können auch Teilübereinstimmungen für die Antragstellerfelder in Spoke-Zertifikaten angegeben werden. Weitere Informationen finden Sie unter Grundlegendes zur Spoke-Authentifizierung in AutoVPN-Bereitstellungen.

Ab Junos OS Version 21.2R1 unterstützt SRX5000 Reihe mit SPC3-Karte und virtueller vSRX-Firewall, auf der iked-Prozess ausgeführt wird, AutoVPN mit vorinstalliertem Schlüssel.

HINWEIS:

Die SRX5000-Leitung mit der SPC3-Karte und der virtuellen vSRX-Firewall unterstützt AutoVPN mit PSK nur, wenn Sie das junos-ike Paket installieren.

Wir unterstützen AutoVPN mit den folgenden zwei Optionen:

  • AutoVPN-Seeding-PSK: Mehrere Peers, die eine Verbindung mit demselben Gateway herstellen und unterschiedliche vorinstallierte Schlüssel haben.
  • AutoVPN hat PSK geteilt: Mehrere Peers, die mit demselben Gateway verbunden sind und denselben vorinstallierten Schlüssel haben.

Gesetzte PSK unterscheidet sich von nicht gesetzten PSK (d. h. gleiche geteilte PSK). Seeded PSK verwendet den Hauptschlüssel, um den freigegebenen PSK für den Peer zu generieren. Jeder Peer verfügt also über einen anderen PSK, der eine Verbindung zum selben Gateway herstellt. Beispiele: Stellen Sie sich ein Szenario vor, in dem Peer 1 mit der IKE-ID user1@juniper.net und Peer 2 mit der IKE-ID user2@juniper.net versuchen, eine Verbindung mit dem Gateway herzustellen. In diesem Szenario hat das Gateway, das so konfiguriert HUB_GW ist, dass es den Hauptschlüssel enthält, der als konfiguriert ist ThisIsMySecretPreSharedkey , den unterschiedlichen PSK wie folgt:

Peer 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a

Peer 2: 3db8385746f3d1e639435a882579a9f28464e5c7

Dies bedeutet, dass für verschiedene Benutzer mit unterschiedlicher Benutzer-ID und demselben Hauptschlüssel ein unterschiedlicher oder eindeutiger vorinstallierter Schlüssel generiert wird.

Sie können entweder seeded-pre-shared-key oder pre-shared-key für Auto-VPN PSK verwenden:

  • Anderer vorinstallierter Schlüssel: Wenn diese festgelegt ist, wird vom seeded-pre-shared-key VPN-Gateway ein anderer vorinstallierter IKE-Schlüssel verwendet, um jeden Remotepeer zu authentifizieren. Die vorinstallierten Peerschlüssel werden mithilfe des master-key Satzes im IKE-Gateway generiert und von den Peers gemeinsam genutzt.

    Damit das VPN-Gateway einen anderen IKE Preshared Key (PSK) für die Authentifizierung jedes Remotepeers verwenden kann, verwenden Sie die neuen CLI-Befehle seeded-pre-shared-key ascii-text oder seeded-pre-shared-key hexadecimal unter der Hierarchieebene [edit security ike policy policy_name] .

    Dieser Befehl schließt sich gegenseitig mit pre-shared-key dem Befehl in derselben Hierarchie aus.

    Siehe Richtlinie.

  • Gemeinsamer/gleicher vorinstallierter Schlüssel: Wenn pre-shared-key-type nicht konfiguriert ist, gilt der PSK als freigegeben. Derselbe vorinstallierte IKE-Schlüssel wird vom VPN-Gateway verwendet, um alle Remote-Peers zu authentifizieren.

    Damit das VPN-Gateway denselben IKE PSK für die Authentifizierung aller Remote-Peers verwendet, verwenden Sie die vorhandenen CLI-Befehle pre-sharedkey ascii-text oder pre-shared-key hexadecimal.

Auf dem VPN-Gateway können Sie die IKE-ID-Validierung mithilfe der general-ikeid Konfigurationsanweisung unter der [edit security ike gateway gateway_name dynamic] Hierarchieebene umgehen. Wenn diese Option konfiguriert ist, lässt das VPN-Gateway während der Authentifizierung des Remote-Peers jede Remote-IKE-ID-Verbindung zu. Siehe general-ikeid.

Die SRX5000-Reihe mit SPC3-Karte und virtueller vSRX-Firewall, auf der der iked-Prozess ausgeführt wird (mit dem junos-ike Paket), unterstützt die folgenden IKE-Modi:

Tabelle 2: AutoVPN PSK-Unterstützung

IKE-Modus

SRX5000-Linie mit SPC3-Karte und virtueller vSRX-Firewall, auf der der iked-Prozess ausgeführt wird

Gemeinsamer PSK

Gesetzte-PSK

IKEv2

Ja

Ja

IKEv2 mit beliebigen-remote-id

Ja

Ja

Aggressiver IKEv1-Modus

Ja

Ja

IKEv1 Aggressiver Modus mit any-remote-id/general-ikeid

Ja

Ja

IKEv1-Hauptmodus

Ja

Nein

IKEv1-Hauptmodus mit any-remote-id/general-ikeid

Ja

Nein

Siehe Beispiel: Konfigurieren von AutoVPN mit vorinstalliertem Schlüssel.

Konfiguration und Verwaltung

AutoVPN wird auf Firewalls der SRX-Serie über die CLI konfiguriert und verwaltet. Auf einer einzigen Firewall der SRX-Serie können mehrere AutoVPN-Hubs konfiguriert werden. Die maximale Anzahl von Spokes, die von einem konfigurierten Hub unterstützt werden, ist spezifisch für das Modell der Firewall der SRX-Serie.

Multicast-Unterstützung mit PIM

IP-Multicast liefert Datenverkehr an mehr als einen vorgesehenen Empfänger, indem die Datenpakete repliziert werden. Sie können Multicastdaten für Anwendungen wie Video-Streaming verwenden. Ihre Firewall unterstützt Protocol Independent Multicast (PIM) im Point-to-Multipoint-Modus (P2MP). Sie können PIM auf der Schnittstelle des sicheren Tunnels der Firewall, st0, mit P2MP-Modus aktivieren. Das Protokoll erkennt die P2MP-Schnittstelle anhand der Schnittstellenkonfiguration und unterstützt Multicast-Datenverkehr. Informationen zu PIM finden Sie unter PIM-Übersicht.

Abbildung 1 veranschaulicht die Multicast-Topologie in der P2MP-Infrastruktur.

Abbildung 1: Multicast-Topologie in der P2MP-Infrastruktur Multicast-Topologie in der P2MP-Infrastruktur

Die Topologie zeigt, dass eine der Firewalls der SRX-Serie als Hub und die restlichen drei als Spokes fungieren. Sie können auch zwei Speichen in Ihrer Topologie haben. In der Regel befindet sich der Multicast-Sender hinter dem Hub, während sich die Multicast-Empfänger hinter den Speichen befinden. Beachten Sie für die Multicast-Unterstützung, dass die logische Schnittstelle Secure Tunnel st0 auf den Hub-and-Spoke-Geräten im PIM-P2MP-Modus konfiguriert ist. Auf jedem dieser Geräte verfolgt die st0 P2MP-Schnittstelle alle PIM-Joins pro Nachbar, um sicherzustellen, dass die Multicastweiterleitung oder -replikation nur an die Nachbarn erfolgt, die sich im verknüpften Zustand befinden.

Die Firewalls der SRX-Serie unterstützen IP-Multicast-Datenverkehr im PIM-Sparse-Modus über die st0 P2MP-Schnittstellen. Der Hub fungiert als First-Hop-Router (FHR) oder Rendezvous Point (RP). Die Spokes können als Last-Hop-Router (LHR) im P2MP-Netzwerk fungieren. Die Geräte im Netzwerk replizieren die Multicast-Datenpakete an Nachbarn, die der Multicast-Gruppe beitreten.

Beachten Sie die folgenden Überlegungen, wenn Sie die Unterstützung für Multicastdatenverkehr konfigurieren:

  • Für den IPsec-VPN-Dienst mit dem kmd-Prozess müssen Sie Junos OS Version 19.2R1 oder höher ausführen. Sie können die Plattformen SRX300, SRX320, SRX340, SRX345, SRX550, SRX1500, vSRX 2.0 (mit 2 vCPU) und vSRX 3.0 (mit 2 vCPU) verwenden.

  • Für den IPsec-VPN-Dienst mit dem iked-Prozess müssen Sie Junos OS Version 24.2R1 oder höher ausführen. Sie können die Plattformen SRX1500, SRX1600, SRX2300, SRX4100, SRX4200, SRX4600 und vSRX 3.0 verwenden.

  • IPv6-Multicast auf P2MP-Schnittstellen kann nicht konfiguriert werden.

  • Damit die IP-Multicast-Konfiguration funktioniert, müssen Sie PowerMode IPsec (PMI) deaktivieren.

  • Multicast-Ping von oder zu P2MP-Schnittstellen ist nicht möglich.

  • Beachten Sie, dass IGMP standardmäßig aktiviert ist, wenn Sie PIM aktivieren, aber es funktioniert nicht auf der P2MP-Schnittstelle.

Weitere Informationen zum Konfigurieren der Multicast-Unterstützung in der P2MP-Infrastruktur finden Sie unter Konfigurieren der Multicast-Unterstützung in der P2MP-Infrastruktur.

Grundlegendes zu den Einschränkungen von AutoVPN

Die folgenden Funktionen werden von AutoVPN nicht unterstützt:

  • Richtlinienbasierte VPNs werden nicht unterstützt.

  • Das dynamische Routing-Protokoll RIP wird von AutoVPN-Tunneln nicht unterstützt.

  • Manuelle Schlüssel und Autokey-IKE mit vorinstallierten Schlüsseln werden nicht unterstützt.

  • Die Konfiguration der statischen Next-Hop-Tunnelbindung (NHTB) auf dem Hub für Spokes wird nicht unterstützt.

  • IPv6 multicast wird nicht unterstützt.

  • Der Benutzertyp der Gruppe IKE-ID wird mit einer IP-Adresse als IKE-ID nicht unterstützt.

  • Wenn der Benutzertyp der Gruppe IKE-ID verwendet wird, sollte sich die IKE-ID nicht mit anderen IKE-Gateways überschneiden, die auf derselben externen Schnittstelle konfiguriert sind.

Grundlegendes zu AutoVPN mit Datenverkehrsselektoren

AutoVPN-Hubs können mit mehreren Datenverkehrsselektoren konfiguriert werden, um den Datenverkehr zu Spokes zu schützen. Diese Funktion bietet die folgenden Vorteile:

  • Eine einzige VPN-Konfiguration kann viele verschiedene Peers unterstützen.

  • Bei VPN-Peers kann es sich um Firewalls handeln, die nicht zur SRX-Serie gehören.

  • Ein einzelner Peer kann mehrere Tunnel mit demselben VPN einrichten.

  • Es kann eine größere Anzahl von Tunneln unterstützt werden als bei AutoVPN mit dynamischen Routing-Protokollen.

Ab Junos OS Version 17.4R1 unterstützen AutoVPN-Netzwerke, die sichere Tunnelschnittstellen im Punkt-zu-Punkt-Modus verwenden, IPv6-Adressen für Datenverkehrsselektoren und für IKE-Peers.

Wenn der Hub-to-Spoke-Tunnel eingerichtet ist, verwendet der Hub Auto Route Insertion (ARI),das in früheren Versionen als Reverse Route Insertion (RRI)bezeichnet wurde, um die Route zum Spoke-Präfix in seine Routing-Tabelle einzufügen. Die ARI-Route kann dann in Routing-Protokolle importiert und an das Kernnetzwerk verteilt werden.

AutoVPN mit Datenverkehrsselektoren kann mit der Secure Tunnel (st0)-Schnittstelle im Punkt-zu-Punkt-Modus sowohl für IKEv1 als auch für IKEv2 konfiguriert werden.

Dynamische Routing-Protokolle werden auf st0-Schnittstellen nicht unterstützt, wenn Datenverkehrsselektoren konfiguriert sind.

Beachten Sie die folgenden Einschränkungen, wenn Sie AutoVPN mit Datenverkehrsselektoren konfigurieren:

  • Dynamische Routing-Protokolle werden mit Datenverkehrsselektoren mit st0-Schnittstellen im Punkt-zu-Punkt-Modus nicht unterstützt.

  • Die VPN- und IKEv2-Konfigurationsnutzlast für die automatische Erkennung kann nicht mit AutoVPN mit Datenverkehrsselektoren konfiguriert werden.

  • Spokes können Firewalls sein, die nicht zur SRX-Serie gehören. Beachten Sie jedoch die folgenden Unterschiede:

    • In IKEv2 kann ein Spoke, der nicht zur SRX-Serie gehört, mehrere Datenverkehrsselektoren in einer einzigen SA-Aushandlung vorschlagen. Dies wird von Firewalls der SRX-Serie nicht unterstützt und die Aushandlung wird abgelehnt.

    • Ein Spoke der SRX-Serie, der nicht zur SRX-Serie gehört, kann bestimmte Ports oder Protokolle für die Verwendung der Datenverkehrsauswahl identifizieren. Ports und Protokolle werden mit Datenverkehrsselektoren auf Firewalls der SRX-Serie nicht unterstützt, und die Aushandlung wird abgelehnt.

Grundlegendes zur Spoke-Authentifizierung in AutoVPN-Bereitstellungen

In AutoVPN-Bereitstellungen müssen auf den Hub-and-Spoke-Geräten gültige X.509-PKI-Zertifikate geladen sein. Sie können den show security pki local-certificate detail Befehl verwenden, um Informationen zu den in ein Gerät geladenen Zertifikaten anzuzeigen.

In diesem Thema wird die Konfiguration auf dem Hub behandelt, die es Spokes ermöglicht, sich mithilfe von Zertifikaten zu authentifizieren und eine Verbindung mit dem Hub herzustellen:

Gruppen-IKE-ID-Konfiguration auf dem Hub

Die Gruppen-IKE-ID-Funktion ermöglicht es einer Reihe von Spoke-Geräten, eine IKE-Konfiguration auf dem Hub gemeinsam zu nutzen. Die Identifizierung des Zertifikatsinhabers im Feld "Betreff" oder "Alternativer Betreff" im X.509-Zertifikat jedes Spoke muss einen Teil enthalten, der allen Speichen gemeinsam ist. Der gemeinsame Teil der Zertifikatsidentifikation wird für die IKE-Konfiguration auf dem Hub angegeben.

Beispielsweise kann die IKE-ID example.net auf dem Hub konfiguriert werden, um Spokes mit den Hostnamen device1.example.net, device2.example.netund device3.example.netzu identifizieren. Das Zertifikat auf jedem Spoke muss eine Hostnamenidentität im Feld für den alternativen Betreff mit example.net im rechten Teil des Feldes enthalten, device1.example.netz. B. . . In diesem Beispiel verwenden alle Spokes diese Hostnamenidentität in ihrer IKE-ID-Nutzlast. Während der IKE-Aushandlung wird die IKE-ID von einem Spoke verwendet, um den gemeinsamen Teil der auf dem Hub konfigurierten Peer-IKE-Identität abzugleichen. Ein gültiges Zertifikat authentifiziert die Speiche.

Der gemeinsame Teil der Zertifikatsidentifikation kann einer der folgenden sein:

  • Ein partieller Hostname ganz rechts im Feld für den alternativen Antragsteller des Zertifikats, z. B example.net. .

  • Eine partielle E-Mail-Adresse ganz rechts im Feld für den alternativen Betreff des Zertifikats, z. B @example.net. .

  • Eine Containerzeichenfolge, eine Reihe von Platzhaltern oder beides, um den Antragstellerfeldern des Zertifikats zu entsprechen. Die Antragstellerfelder enthalten Angaben zum Inhaber des digitalen Zertifikats im DN-Format (Abstract Syntax Notation One) ASN.1. Felder können Organisation, Organisationseinheit, Land, Ort oder allgemeiner Name enthalten.

    Um eine Gruppen-IKE-ID so zu konfigurieren, dass sie mit Antragstellerfeldern in Zertifikaten übereinstimmt, können Sie die folgenden Arten von Identitätsübereinstimmungen angeben:

    • Container: Der Hub authentifiziert die IKE-ID des Spoke, wenn die Antragstellerfelder des Poke-Zertifikats genau mit den auf dem Hub konfigurierten Werten übereinstimmen. Für jedes Fachgebiet können mehrere Einträge angegeben werden (z.B. ou=eng,ou=sw). Die Reihenfolge der Werte in den Feldern muss übereinstimmen.

    • Platzhalter: Der Hub authentifiziert die IKE-ID des Spoke, wenn die Antragstellerfelder des Poke-Zertifikats mit den auf dem Hub konfigurierten Werten übereinstimmen. Die Platzhalterübereinstimmung unterstützt nur einen Wert pro Feld (z. B. oder ou=sw , ou=engaber nicht ou=eng,ou=sw). Die Reihenfolge der Felder ist unerheblich.

Im folgenden Beispiel wird eine Gruppen-IKE-ID mit dem partiellen Hostnamen example.net im Feld "Alternativer Antragsteller" des Zertifikats konfiguriert.

In diesem Beispiel ist dies der gemeinsame Teil der Hostnamensidentifikation, example.net der für alle Spokes verwendet wird. Alle X.509-Zertifikate auf den Spokes müssen eine Hostnamenidentität im Feld für den alternativen Betreff mit example.net ganz rechts enthalten. Alle Spokes müssen die Hostnamenidentität in ihrer IKE-ID-Nutzlast verwenden.

Im folgenden Beispiel wird eine Gruppen-IKE-ID mit Platzhaltern konfiguriert, die mit den Werten sales in der Organisationseinheit und example in den Betrefffeldern der Organisation des Zertifikats übereinstimmen.

In diesem Beispiel sind die Felder ou=sales,o=example der gemeinsame Teil des Betrefffelds in den Zertifikaten, die von den Spokes erwartet werden. Wenn ein Spoke während der IKE-Aushandlung ein Zertifikat mit den Antragstellerfeldern cn=alice,ou=sales,o=example im Zertifikat vorlegt, ist die Authentifizierung erfolgreich und der Tunnel wird eingerichtet. Wenn ein Spoke ein Zertifikat mit den Antragstellerfeldern cn=thomas,ou=engineer,o=example in seinem Zertifikat vorlegt, wird das Zertifikat vom Hub abgelehnt, wie es die Organisationseinheit sein salessollte.

Ausschließen einer Spoke-Verbindung

Um einen bestimmten Spoke von der Verbindung mit dem Hub auszuschließen, muss das Zertifikat für diesen Spoke widerrufen werden. Der Hub muss die neueste Zertifikatsperrliste (Certificate Revocation List, CRL) von der Zertifizierungsstelle abrufen, die die Seriennummer des gesperrten Zertifikats enthält. Der Hub lehnt dann eine VPN-Verbindung des widerrufenen Spoke ab. Bis die neueste CRL im Hub verfügbar ist, baut der Hub möglicherweise weiterhin einen Tunnel vom gesperrten Spoke auf. Weitere Informationen finden Sie unter Grundlegendes zum Online-Zertifikatstatusprotokoll und zu Zertifikatsperrlisten und Grundlegendes zu Zertifizierungsstellenprofilen.

Übersicht über die AutoVPN-Konfiguration

In den folgenden Schritten werden die grundlegenden Aufgaben für die Konfiguration von AutoVPN auf Hub-and-Spoke-Geräten beschrieben. Der AutoVPN-Hub wird einmalig für alle aktuellen und neuen Spokes konfiguriert.

So konfigurieren Sie den AutoVPN-Hub:

  1. Registrieren Sie ein CA-Zertifikat und das lokale Zertifikat auf dem Gerät.
    • Sie können die auf vorinstallierten Schlüsseln basierende Authentifizierung verwenden, wenn Sie nicht über CA-Zertifikate verfügen.

  2. Erstellen Sie eine sichere Tunnelschnittstelle (st0), und konfigurieren Sie sie im Punkt-zu-Mehrpunkt-Modus.
  3. Konfigurieren Sie eine einzelne IKE-Richtlinie.
  4. Konfigurieren Sie ein IKE-Gateway mit einer Gruppen-IKE-ID, die allen Spokes gemeinsam ist.
  5. Konfigurieren Sie eine einzelne IPsec-Richtlinie und ein einzelnes VPN.
  6. Konfigurieren Sie ein dynamisches Routing-Protokoll.

So konfigurieren Sie ein AutoVPN-Spoke-Gerät der SRX-Serie:

  1. Registrieren Sie ein CA-Zertifikat und das lokale Zertifikat auf dem Gerät.

    • Verwenden Sie die auf vorinstallierten Schlüsseln basierende Authentifizierungsmethode, wenn Sie die Authentifizierung mit vorinstalliertem Schlüssel auf dem Hub konfigurieren.

  2. Erstellen Sie eine st0-Schnittstelle, und konfigurieren Sie sie im Punkt-zu-Mehrpunkt-Modus.

  3. Konfigurieren Sie eine IKE-Richtlinie so, dass sie mit der auf der Hub-Zentrale konfigurierten IKE-Richtlinie übereinstimmt.

  4. Konfigurieren Sie ein IKE-Gateway mit einer ID, die mit der auf dem Hub konfigurierten Gruppen-IKE-ID übereinstimmt.

  5. Konfigurieren Sie eine IPsec-Richtlinie, die mit der auf dem Hub konfigurierten IPsec-Richtlinie übereinstimmt.

  6. Konfigurieren Sie ein dynamisches Routing-Protokoll.

In den in diesem Thema aufgeführten Beispielen werden Firewalls der SRX-Serie mit Junos OS für die Hub-and-Spoke-Konfigurationen verwendet. Wenn auf Ihren Spoke-Geräten kein Junos OS ausgeführt wird, müssen Sie die Next-Hop-Tunnelbindung konfigurieren. Weitere Informationen finden Sie unter Beispiel: Konfigurieren der Multipoint-VPN-Konfiguration mit Next-Hop-Tunnelbindung.

Beispiel: Konfigurieren von Basic AutoVPN mit iBGP

In diesem Beispiel wird gezeigt, wie Sie einen AutoVPN-Hub so konfigurieren, dass er als einzelner Endpunkt fungiert, und dann zwei Spokes so konfigurieren, dass sie als Tunnel zu Remotestandorten fungieren. In diesem Beispiel wird iBGP so konfiguriert, dass Pakete über die VPN-Tunnel weitergeleitet werden, und es wird zertifikatbasierte Authentifizierung verwendet.

Informationen zur Authentifizierung mit einem vorinstallierten Schlüssel finden Sie im Schritt "Konfigurieren von Phase-1-Optionen" im Schritt-für-Schritt-Anleitung Hub , um den Hub zu konfigurieren, Schritt-für-Schritt-Anleitung spoke1 , um spoke1 zu konfigurieren, und Schritt-für-Schritt-Anleitung spoke2 , um spoke2 zu konfigurieren.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Firewalls der SRX-Serie als AutoVPN-Hub und -Spokes

  • Junos OS Version 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zum Weiterleiten von Paketen durch die VPN-Tunnel verwendet wird. Weitere Informationen zu den spezifischen Anforderungen an ein dynamisches Routingprotokoll finden Sie in der Übersicht über Routingprotokolle.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen von zwei Spokes.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät mithilfe des Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate für die Spokes enthalten im Betrefffeld den Wert der Organisationseinheit (OU) "SLT". Der Hub ist mit einer Gruppen-IKE-ID konfiguriert, die mit dem Wert "SLT" im Feld "Organisationseinheit" übereinstimmt.

Die Spokes stellen IPsec-VPN-Verbindungen zum Hub her, wodurch sie miteinander kommunizieren und auf Ressourcen auf dem Hub zugreifen können. Die IKE-Tunneloptionen der Phasen 1 und 2, die auf dem AutoVPN-Hub und allen Spokes konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 3 Zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 3: Phase-1- und Phase-2-Optionen für AutoVPN Hub-and-Spoke-Konfigurationen

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman-Gruppe (DH)

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE-Richtlinie:

Modus

Hauptsächlich

IPsec-Vorschlag:

Protokoll

ESP

Authentifizierungsalgorithmus

HMAC MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten ist dieselbe Zertifizierungsstelle (Certificate Authority, CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Ebene der Zertifikatshierarchie.

Tabelle 4 Zeigt die Optionen an, die auf dem Hub und auf allen Spokes konfiguriert sind.

Tabelle 4: AutoVPN-Konfiguration für Hub und alle Spokes

Option

Nabe

Alle Speichen

IKE-Gateway:

Remote-IP-Adresse

Dynamisch

1 0.1.1.1

Remote-IKE-ID

DN (Distinguished Name) auf dem Zertifikat des Spoke mit der Zeichenfolge SLT im Feld für die Organisationseinheit (OU)

DN auf dem Zertifikat der Hub-Zentrale

Lokale IKE-ID

DN auf dem Zertifikat der Hub-Zentrale

DN auf dem Speichenzertifikat

Externe Schnittstelle

ge-0/0/1.0

Speiche 1: FE-0/0/1,0

Speiche 2: ge-0/0/1.0

VPN:

Bind-Schnittstelle

st0.0

st0.0

Tunnel einrichten

(nicht konfiguriert)

Sofort nach der Bestätigung der Konfiguration

Tabelle 5 Zeigt die Konfigurationsoptionen an, die für jeden Spoke unterschiedlich sind.

Tabelle 5: Vergleich zwischen den Spoke-Konfigurationen

Option

Speiche 1

Speiche 2

ST0.0-Schnittstelle

10.10.10.2/24

10.10.10.3/24

Schnittstelle zum internen Netzwerk

(fe-0.0/4.0) 10.60.60.1/24

(fe-0.0/4.0) 10.70.70.1/24

Schnittstelle zum Internet

(fe-0/0/1.0) 10.2.2.1/30

(ge-0/0/1.0) 10.3.3.1/30

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 2 zeigt in diesem Beispiel die Firewalls der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 2: Grundlegende AutoVPN-Bereitstellung mit iBGP Grundlegende AutoVPN-Bereitstellung mit iBGP

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie die folgenden Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie Zertifizierungsstellen- und lokale Zertifikate online mithilfe des Simple Certificate Enrollment Protocol (SCEP) auf den Hub-and-Spoke-Geräten abrufen. Ignorieren Sie diesen Schritt, wenn Sie PSK verwenden.

Registrieren von Gerätezertifikaten bei SCEP

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf dem Hub:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spekult 1:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist SLT. Die IKE-Konfiguration auf der Hub-Zentrale umfasst ou=SLT die Identifizierung des Spoke.

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spoke 2:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist SLT. Die IKE-Konfiguration auf der Hub-Zentrale umfasst ou=SLT die Identifizierung des Spoke.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

    Wenn Sie beabsichtigen, vorinstallierte Schlüssel anstelle von Zertifikaten für die Authentifizierung zu verwenden, nehmen Sie die folgenden Änderungen in Ihrer Konfiguration vor:

    • Ersetzen authentication-method rsa-signatures Sie im ike-Vorschlag auf der Hierarchieebene [edit security ike proposal ike-proposal] durch . authentication-method pre-shared-keys

      Ausführliche Informationen zu den Optionen finden Sie unter Vorschlag (Sicherheits-IKE).

    • Ersetzen Sie certificate local-certificate Local1 in der ike-Richtlinie auf der Hierarchieebene [edit security ike policy policy-name] durch . pre-shared-key ascii-text key

      • Zum Beispiel set pre-shared-key ascii-text juniper123

      Weitere Informationen zu den Optionen finden Sie unter Richtlinie (Sicherheits-IKE).

    • Im ike-Gateway auf der Hierarchieebene [edit security ike gateway hub-to-spoke-gw]

      • Ersetzen Sie dynamic distinguished-name wildcard OU=SLT durch . dynamic hostname domain-name

        • Zum Beispiel set dynamic hostname juniper.net

          Stellen Sie sicher, dass Ihr Gerät in der Lage ist, den Hostnamen aufzulösen. Alternativ können Sie und  set dynamic ike-user-type group-ike-id für die dynamische Spoke-Identität verwendenset dynamic general-ikeid.

      • Ersetzen Sie local-identity distinguished-name durch . local-identity hostname hub-hostname

        • Beispiel: set local-identity hostname hub.juniper.net.

          Stellen Sie sicher, dass Ihr Gerät in der Lage ist, den Hostnamen aufzulösen. Alternativ können inet ip-address Sie wie in set local-identity inet 192.168.1.100verwenden.

      Weitere Informationen zu den Optionen finden Sie unter Gateway (Sicherheits-IKE).

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil. Ignorieren Sie diesen Schritt, wenn Sie PSK verwenden.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show protocols, show routing-options, show security zonesshow security policiesshow security ikeshow security ipsecund show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Speiche 1:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

    Wenn Sie beabsichtigen, vorinstallierte Schlüssel anstelle von Zertifikaten für die Authentifizierung zu verwenden, nehmen Sie die folgenden Änderungen an Ihrer Konfiguration vor.

    • Ersetzen authentication-method rsa-signatures Sie im ike-Vorschlag auf der Hierarchieebene [edit security ike proposal ike-proposal] durch . authentication-method pre-shared-keys

    • Ersetzen Sie certificate local-certificate Local1 in der ike-Richtlinie auf der Hierarchieebene [edit security ike policy policy-name] durch . pre-shared-key ascii-text key

    • Im ike-Gateway auf der Hierarchieebene [edit security ike gateway hub-to-spoke-gw]

      • Ersetzen Sie local-identity distinguished-name durch . local-identity hostname spoke1-hostname

        • Beispiel: set local-identity hostname spoke1.juniper.net.

      • Ersetzen Sie remote-identity distinguished-name durch . remote-identity hostname hub-hostname

        • Zum Beispiel set remote-identity hostname hub.juniper.net

      Stellen Sie sicher, dass Ihr Gerät in der Lage ist, den Hostnamen aufzulösen. Alternativ können Sie as in set local-identity inet 172.16.1.100 und set remote-identity inet 192.168.1.100.inet ip-address

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil. Ignorieren Sie diesen Schritt, wenn Sie PSK verwenden.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show protocols, show routing-options, show security zonesshow security policiesshow security ikeshow security ipsecund show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Spoke 2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Speiche 2:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

    Wenn Sie beabsichtigen, vorinstallierte Schlüssel anstelle von Zertifikaten für die Authentifizierung zu verwenden, nehmen Sie die folgenden Änderungen an Ihrer Konfiguration vor.

    • Ersetzen authentication-method rsa-signatures Sie im ike-Vorschlag auf der Hierarchieebene [edit security ike proposal ike-proposal] durch . authentication-method pre-shared-keys

    • Ersetzen Sie certificate local-certificate Local1 in der ike-Richtlinie auf der Hierarchieebene [edit security ike policy policy-name] durch . pre-shared-key ascii-text key

    • Im ike-Gateway auf der Hierarchieebene [edit security ike gateway hub-to-spoke-gw]

      • Ersetzen Sie local-identity distinguished-name durch . local-identity hostname spoke2-hostname

        • Zum Beispiel set local-identity hostname spoke2.juniper.net

      • Ersetzen Sie remote-identity distinguished-name durch . remote-identity hostname hub-hostname

        • Zum Beispiel set remote-identity hostname hub.juniper.net

      Stellen Sie sicher, dass Ihr Gerät in der Lage ist, den Hostnamen aufzulösen. Alternativ können Sie as in set local-identity inet 10.0.1.100 und set remote-identity inet 192.168.1.100.inet ip-address

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil. Ignorieren Sie diesen Schritt, wenn Sie PSK verwenden.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show protocols, show routing-options, show security zonesshow security policiesshow security ikeshow security ipsecund show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des IKE-Phase-1-Status

Zweck

Überprüfen Sie den Status von IKE Phase 1.

Action!

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen des IPsec-Phase-2-Status

Zweck

Überprüfen Sie den IPsec-Phase 2-Status.

Action!

Geben Sie im Betriebsmodus den security ipsec security-associations Befehl ein.

Bedeutung

Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2 SAs auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen von IPsec-Next-Hop-Tunneln

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Action!

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Bei den Next-Hop-Gateways handelt es sich um die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

BGP verifizieren

Zweck

Stellen Sie sicher, dass BGP auf die IP-Adressen für die st0 Schnittstellen der Spokes verweist.

Action!

Geben Sie im Betriebsmodus den show bgp summary Befehl ein.

Verifizieren von gelernten Routen

Zweck

Vergewissern Sie sich, dass die Routen zu den Speichen gelernt wurden.

Action!

Geben Sie im Betriebsmodus den show route 10.60.60.0 Befehl ein.

Geben Sie im Betriebsmodus den show route 10.70.70.0 Befehl ein.

Beispiel: Konfigurieren von Basic AutoVPN mit iBGP für IPv6-Datenverkehr

In diesem Beispiel wird gezeigt, wie Sie einen AutoVPN-Hub so konfigurieren, dass er als einzelner Endpunkt fungiert, und dann zwei Spokes so konfigurieren, dass sie als Tunnel zu Remotestandorten fungieren. In diesem Beispiel wird AutoVPN für IPv6-Umgebungen mithilfe von iBGP konfiguriert, um Pakete mithilfe der zertifikatbasierten Authentifizierung über die VPN-Tunnel weiterzuleiten. Richten Sie für die Authentifizierung mit einem vorinstallierten Schlüssel eine ähnliche Konfiguration ein, die unter Beispiel: Konfigurieren von Basic AutoVPN mit iBGP.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Firewalls der SRX-Serie als AutoVPN-Hub und -Spokes.

  • Junos OS Version 18.1R1 und höhere Versionen.

Bevor Sie beginnen:

  • Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zum Weiterleiten von Paketen durch die VPN-Tunnel verwendet wird. Weitere Informationen zu den spezifischen Anforderungen an ein dynamisches Routingprotokoll finden Sie in der Übersicht über Routingprotokolle.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen von zwei Spokes .

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät mithilfe des Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate für die Spokes enthalten im Betrefffeld den Wert der Organisationseinheit (OU) "SLT". Der Hub ist mit einer Gruppen-IKE-ID konfiguriert, die mit dem Wert "SLT" im Feld "Organisationseinheit" übereinstimmt.

Die Spokes stellen IPsec-VPN-Verbindungen zum Hub her, wodurch sie miteinander kommunizieren und auf Ressourcen auf dem Hub zugreifen können. Die IKE-Tunneloptionen der Phasen 1 und 2, die auf dem AutoVPN-Hub und allen Spokes konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 6 Zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 6: Phase-1- und Phase-2-Optionen für AutoVPN Hub-and-Spoke-Konfigurationen

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman-Gruppe (DH)

19

Authentifizierungsalgorithmus

SHA-384

Verschlüsselungsalgorithmus

AES 256 CBC

IKE-Richtlinie:

Modus

Hauptsächlich

IPsec-Vorschlag:

Protokoll

ESP

Lebenslange Sekunden

3000

Verschlüsselungsalgorithmus

AES 256 GCM

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

19

Auf allen Geräten ist dieselbe Zertifizierungsstelle (Certificate Authority, CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Ebene der Zertifikatshierarchie.

Tabelle 7 Zeigt die Optionen an, die auf dem Hub und auf allen Spokes konfiguriert sind.

Tabelle 7: AutoVPN-Konfiguration für Hub und alle Spokes

Option

Nabe

Alle Speichen

IKE-Gateway:

Remote-IP-Adresse

Dynamisch

2001:db8:2000::1

Remote-IKE-ID

DN (Distinguished Name) auf dem Zertifikat des Spoke mit der Zeichenfolge SLT im Feld für die Organisationseinheit (OU)

DN auf dem Zertifikat der Hub-Zentrale

Lokale IKE-ID

DN auf dem Zertifikat der Hub-Zentrale

DN auf dem Speichenzertifikat

Externe Schnittstelle

ge-0/0/0

Speiche 1: GE-0/0/0.0

Speiche 2: GE-0/0/0.0

VPN:

Bind-Schnittstelle

st0.1

st0.1

Tunnel einrichten

(nicht konfiguriert)

Tunnel im Datenverkehr einrichten

Tabelle 8 Zeigt die Konfigurationsoptionen an, die für jeden Spoke unterschiedlich sind.

Tabelle 8: Vergleich zwischen den Spoke-Konfigurationen

Option

Speiche 1

Speiche 2

ST0.0-Schnittstelle

2001:db8:7000::2/64

2001:db8:7000::3/64

Schnittstelle zum internen Netzwerk

(GE-0/0/1.0) 2001:DB8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Schnittstelle zum Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 3 zeigt in diesem Beispiel die Firewalls der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 3: Grundlegende AutoVPN-Bereitstellung mit iBGPGrundlegende AutoVPN-Bereitstellung mit iBGP

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie die folgenden Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie Zertifizierungsstellen- und lokale Zertifikate online mithilfe des Simple Certificate Enrollment Protocol (SCEP) auf den Hub-and-Spoke-Geräten abrufen.

Registrieren von Gerätezertifikaten bei SCEP

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf dem Hub:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spekult 1:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist SLT. Die IKE-Konfiguration auf der Hub-Zentrale umfasst ou=SLT die Identifizierung des Spoke.

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spoke 2:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist SLT. Die IKE-Konfiguration auf der Hub-Zentrale umfasst ou=SLT die Identifizierung des Spoke.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show protocols, show routing-options, show security zonesshow security policiesshow security ikeshow security ipsecund show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Speiche 1:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show protocols, show routing-options, show security zonesshow security policiesshow security ikeshow security ipsecund show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Spoke 2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Speiche 2:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show protocols, show routing-options, show security zonesshow security policiesshow security ikeshow security ipsecund show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des IKE-Status

Zweck

Überprüfen Sie den IKE-Status.

Action!

Geben Sie im Betriebsmodus den show security ike sa Befehl ein.

Bedeutung

Der show security ike sa Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen des IPsec-Status

Zweck

Überprüfen Sie den IPsec-Status.

Action!

Geben Sie im Betriebsmodus den show security ipsec sa Befehl ein.

Bedeutung

Der show security ipsec sa Befehl listet alle aktiven IKE Phase 2 SAs auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen von IPsec-Next-Hop-Tunneln

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Action!

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Bei den Next-Hop-Gateways handelt es sich um die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

BGP verifizieren

Zweck

Stellen Sie sicher, dass BGP auf die IP-Adressen für die st0 Schnittstellen der Spokes verweist.

Action!

Geben Sie im Betriebsmodus den show bgp summary Befehl ein.

Beispiel: AutoVPN mit iBGP und ECMP konfigurieren

In diesem Beispiel wird gezeigt, wie zwei IPsec-VPN-Tunnel zwischen einem AutoVPN-Hub und Spoke konfiguriert werden. In diesem Beispiel wird iBGP mit Equal-Cost Multipath (ECMP) konfiguriert, um Pakete mithilfe der zertifikatbasierten Authentifizierung über die VPN-Tunnel weiterzuleiten. Richten Sie für die Authentifizierung mit einem vorinstallierten Schlüssel eine ähnliche Konfiguration ein, die unter Beispiel: Konfigurieren von Basic AutoVPN mit iBGP.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei unterstützte Firewalls der SRX-Serie als AutoVPN Hub & Spoke

  • Junos OS Version 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zum Weiterleiten von Paketen durch die VPN-Tunnel verwendet wird.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN-Hubs und eines Spoke mit zwei IPsec-VPN-Tunneln.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät mithilfe des Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Zertifikate werden im Hub und im Spoke für jeden IPsec-VPN-Tunnel registriert. Eines der Zertifikate für den Spoke enthält den Wert der Organisationseinheit (OU) "SLT" im Distinguished Name (DN). Der Hub ist mit einer Gruppen-IKE-ID konfiguriert, die mit dem Wert "SLT" im Feld "Organisationseinheit" übereinstimmt. Das andere Zertifikat für den Spoke enthält den OU-Wert "SBU" in der DN; Der Hub ist mit einer Gruppen-IKE-ID konfiguriert, die mit dem Wert "SBU" im Feld "Organisationseinheit" übereinstimmt.

Der Spoke stellt IPsec-VPN-Verbindungen mit dem Hub her, wodurch er auf Ressourcen auf dem Hub zugreifen kann. Die IKE-Tunneloptionen der Phasen 1 und 2, die auf dem AutoVPN-Hub und dem Spoke konfiguriert sind, müssen die gleichen Werte aufweisen.Tabelle 9 Zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 9: Phase-1- und Phase-2-Optionen für AutoVPN Hub-and-Spoke-iBGP-ECMP-Konfigurationen

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman-Gruppe (DH)

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE-Richtlinie:

Modus

Hauptsächlich

IPsec-Vorschlag:

Protokoll

ESP

Authentifizierungsalgorithmus

HMAC MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten ist dieselbe Zertifizierungsstelle (Certificate Authority, CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Ebene der Zertifikatshierarchie.

Tabelle 10 Zeigt die Optionen an, die auf dem Hub und auf dem Spoke konfiguriert sind.

Tabelle 10: AutoVPN iBGP ECMP-Konfiguration für Hub-and-Spoke 1

Option

Nabe

Speiche 1

IKE-Gateway:

Remote-IP-Adresse

Hub-to-Spoke-GW-1: Dynamisch

Hub-to-Spoke-GW-2: Dynamisch

Speiche-zu-Nabe-GW-1: 1 0.1.1.1

Speiche-zu-Nabe-GW-2: 10.1.2.1

Remote-IKE-ID

Hub-to-Spoke-GW-1: DN auf dem Zertifikat des Spoke mit der Zeichenfolge SLT im OU-Feld

Hub-to-Spoke-GW-2: DN auf dem Zertifikat des Spoke mit der Zeichenfolge SBU im OU-Feld

Speiche-zu-Nabe-GW-1: DN auf dem Zertifikat der Hub-Zentrale

Speiche-zu-Nabe-GW-2: DN auf dem Zertifikat der Hub-Zentrale

Lokale IKE-ID

DN auf dem Zertifikat der Hub-Zentrale

DN auf dem Speichenzertifikat

Externe Schnittstelle

Hub-to-Spoke-GW-1: ge-0/0/1.0

Hub-to-Spoke-GW-2: GE-0/0/2.0

Speiche-zu-Nabe-GW-1: FE-0/0/1,0

Speiche-zu-Nabe-GW-2: FE-0/0/2.0

VPN:

Bind-Schnittstelle

hub-to-spoke-vpn-1: st0.0

Hub-to-Spoke-VPN-2: st0.1

Spoke zu Hub-1: st0.0

Spoke-to-Hub-2: st0.1

Tunnel einrichten

(nicht konfiguriert)

Sofort nach der Bestätigung der Konfiguration

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 4 zeigt in diesem Beispiel die Firewalls der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 4: AutoVPN-Bereitstellung mit iBGP und ECMP AutoVPN-Bereitstellung mit iBGP und ECMP

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie die folgenden Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie Zertifizierungsstellen- und lokale Zertifikate online mithilfe des Simple Certificate Enrollment Protocol (SCEP) auf den Hub-and-Spoke-Geräten abrufen.

Registrieren von Gerätezertifikaten bei SCEP

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf dem Hub:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Registrieren Sie die lokalen Zertifikate.

  5. Überprüfen Sie die lokalen Zertifikate.

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spekult 1:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Registrieren Sie die lokalen Zertifikate.

  5. Überprüfen Sie die lokalen Zertifikate.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist SLT für Local1 und SBU für Local2. Die IKE-Konfigurationen auf der Hub-Zentrale umfassen OU=SLT und OU=SBU zur Identifizierung des Spoke.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show protocols, show routing-options, show security zonesshow security policiesshow security ikeshow security ipsecund show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Speiche 1:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show protocols, show routing-options, show security zonesshow security policiesshow security ikeshow security ipsecund show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des IKE-Phase-1-Status

Zweck

Überprüfen Sie den Status von IKE Phase 1.

Action!

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter von Phase 1 müssen auf dem Hub und dem Spoke übereinstimmen.

Überprüfen des IPsec-Phase-2-Status

Zweck

Überprüfen Sie den IPsec-Phase 2-Status.

Action!

Geben Sie im Betriebsmodus den security ipsec security-associations Befehl ein.

Bedeutung

Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2 SAs auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter für Phase 2 müssen auf dem Hub und dem Spoke übereinstimmen.

Überprüfen von IPsec-Next-Hop-Tunneln

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Action!

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Bei den Next-Hop-Gateways handelt es sich um die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

BGP verifizieren

Zweck

Stellen Sie sicher, dass BGP auf die IP-Adressen für die st0 Schnittstellen des Spoke verweist.

Action!

Geben Sie im Betriebsmodus den show bgp summary Befehl ein.

Verifizieren von gelernten Routen

Zweck

Vergewissern Sie sich, dass die Routen zum Spoke gelernt wurden.

Action!

Geben Sie im Betriebsmodus den show route 10.60.60.0 detail Befehl ein.

Überprüfen der Routeninstallation in der Weiterleitungstabelle

Zweck

Stellen Sie sicher, dass Routen zum Spoke in der Weiterleitungstabelle installiert wurden.

Action!

Geben Sie im Betriebsmodus den show route forwarding-table matching 10.60.60.0 Befehl ein.

Beispiel: AutoVPN mit iBGP und Active-Backup-Tunneln konfigurieren

In diesem Beispiel wird gezeigt, wie aktive und Backup-IPsec-VPN-Tunnel zwischen einem AutoVPN-Hub und Spoke konfiguriert werden. In diesem Beispiel wird iBGP so konfiguriert, dass Datenverkehr mithilfe der zertifikatbasierten Authentifizierung über die VPN-Tunnel weitergeleitet wird. Richten Sie für die Authentifizierung mit einem vorinstallierten Schlüssel eine ähnliche Konfiguration ein, die unter Beispiel: Konfigurieren von Basic AutoVPN mit iBGP.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei unterstützte Firewalls der SRX-Serie als AutoVPN Hub & Spoke

  • Junos OS Version 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zum Weiterleiten von Paketen durch die VPN-Tunnel verwendet wird.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN-Hubs und eines Spoke mit zwei IPsec-VPN-Tunneln.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät mithilfe des Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Zertifikate werden im Hub und im Spoke für jeden IPsec-VPN-Tunnel registriert. Eines der Zertifikate für den Spoke enthält den Wert der Organisationseinheit (OU) "SLT" im Distinguished Name (DN). Der Hub ist mit einer Gruppen-IKE-ID konfiguriert, die mit dem Wert "SLT" im Feld "Organisationseinheit" übereinstimmt. Das andere Zertifikat für den Spoke enthält den OU-Wert "SBU" in der DN; Der Hub ist mit einer Gruppen-IKE-ID konfiguriert, die mit dem Wert "SBU" im Feld "Organisationseinheit" übereinstimmt.

Der Spoke stellt IPsec-VPN-Verbindungen mit dem Hub her, wodurch er auf Ressourcen auf dem Hub zugreifen kann. Die IKE-Tunneloptionen der Phasen 1 und 2, die auf dem AutoVPN-Hub und dem Spoke konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 11 Zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 11: Phase-1- und Phase-2-Optionen für AutoVPN Hub-and-Spoke-iBGP-Active-Backup-Tunnelkonfigurationen

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman-Gruppe (DH)

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE-Richtlinie:

Modus

Hauptsächlich

IPsec-Vorschlag:

Protokoll

ESP

Authentifizierungsalgorithmus

HMAC MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten ist dieselbe Zertifizierungsstelle (Certificate Authority, CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Ebene der Zertifikatshierarchie.

Tabelle 12 Zeigt die Optionen an, die auf dem Hub und auf dem Spoke konfiguriert sind.

Tabelle 12: AutoVPN IBGP Active-Backup-Tunnelkonfiguration für Hub & Spoke 1

Option

Nabe

Speiche 1

IKE-Gateway:

Remote-IP-Adresse

Hub-to-Spoke-GW-1: Dynamisch

Hub-to-Spoke-GW-2: Dynamisch

Speiche-zu-Nabe-GW-1: 1 0.1.1.1

Speiche-zu-Nabe-GW-2: 10.1.2.1

Remote-IKE-ID

Hub-to-Spoke-GW-1: DN auf dem Zertifikat des Spoke mit der Zeichenfolge SLT im OU-Feld

Hub-to-Spoke-GW-2: DN auf dem Zertifikat des Spoke mit der Zeichenfolge SBU im OU-Feld

Speiche-zu-Nabe-GW-1: DN auf dem Zertifikat der Hub-Zentrale

Speiche-zu-Nabe-GW-2: DN auf dem Zertifikat der Hub-Zentrale

Lokale IKE-ID

DN auf dem Zertifikat der Hub-Zentrale

DN auf dem Speichenzertifikat

Externe Schnittstelle

Hub-to-Spoke-GW-1: ge-0/0/1.0

Hub-to-Spoke-GW-2: GE-0/0/2.0

Speiche-zu-Nabe-GW-1: FE-0/0/1,0

Speiche-zu-Nabe-GW-2: FE-0/0/2.0

VPN:

Bind-Schnittstelle

hub-to-spoke-vpn-1: st0.0

Hub-to-Spoke-VPN-2: st0.1

Spoke zu Hub-1: st0.0

Spoke-to-Hub-2: st0.1

VPN-Überwachung

hub-to-spoke-vpn-1: GE-0/0/1.0 (Quellschnittstelle)

Hub-to-Spoke-VPN-2: GE-0/0/2.0 (Quellschnittstelle)

Spoke zu Hub-1: 10.1.1.1 (Ziel-IP)

Spoke-to-Hub-2: 10.1.2.1 (Ziel-IP)

Tunnel einrichten

(nicht konfiguriert)

Sofort nach der Bestätigung der Konfiguration

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 5 zeigt in diesem Beispiel die Firewalls der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 5: AutoVPN-Bereitstellung mit iBGP und Active-Backup-Tunneln AutoVPN-Bereitstellung mit iBGP und Active-Backup-Tunneln

In diesem Beispiel werden zwei IPsec-VPN-Tunnel zwischen dem Hub und Spoke 1 eingerichtet. Routing-Informationen werden über iBGP-Sitzungen in jedem Tunnel ausgetauscht. Die längste Präfixübereinstimmung für die Route zu 10.60.60.0/24 erfolgt über die st0.0-Schnittstelle auf dem Hub. Daher verläuft der primäre Tunnel für die Route über die st0.0-Schnittstellen auf Hub und Speiche 1. Die Standardroute führt über den Sicherungstunnel auf den st0.1-Schnittstellen auf dem Hub und Spoke 1.

Das VPN-Monitoring prüft den Status der Tunnel. Wenn es ein Problem mit dem primären Tunnel gibt (z. B. wenn das Remote-Tunnel-Gateway nicht erreichbar ist), ändert sich der Tunnelstatus in "Nicht erreichbar", und die für 10.60.60.0/24 bestimmten Daten werden durch den Backup-Tunnel umgeleitet.

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie die folgenden Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie Zertifizierungsstellen- und lokale Zertifikate online mithilfe des Simple Certificate Enrollment Protocol (SCEP) auf den Hub-and-Spoke-Geräten abrufen.

Registrieren von Gerätezertifikaten bei SCEP

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf dem Hub:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Registrieren Sie die lokalen Zertifikate.

  5. Überprüfen Sie die lokalen Zertifikate.

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spekult 1:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Registrieren Sie die lokalen Zertifikate.

  5. Überprüfen Sie die lokalen Zertifikate.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist SLT für Local1 und SBU für Local2. Die IKE-Konfigurationen auf der Hub-Zentrale umfassen OU=SLT und OU=SBU zur Identifizierung des Spoke.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show protocols, show routing-options, show security zonesshow security policiesshow security ikeshow security ipsecund show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Speiche 1:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show policy-options, show protocols, show routing-options, show security zonesshow security policiesshow security ikeshow security ipsecund show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des IKE-Phase-1-Status (beide Tunnel sind aktiv)

Zweck

Überprüfen Sie den IKE-Phase-1-Status, wenn beide IPSec-VPN-Tunnel aktiv sind.

Action!

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter von Phase 1 müssen auf dem Hub und dem Spoke übereinstimmen.

Überprüfen des IPsec-Phase-2-Status (beide Tunnel sind aktiv)

Zweck

Überprüfen Sie den IPsec-Phase 2-Status, wenn beide IPsec-VPN-Tunnel aktiv sind.

Action!

Geben Sie im Betriebsmodus den security ipsec security-associations Befehl ein.

Bedeutung

Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2 SAs auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter für Phase 2 müssen auf dem Hub und dem Spoke übereinstimmen.

Überprüfen von IPsec-Next-Hop-Tunneln (beide Tunnel sind aktiv)

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Action!

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen des Spoke. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

BGP verifizieren (beide Tunnel sind aktiv)

Zweck

Stellen Sie sicher, dass BGP auf die IP-Adressen für die st0 Schnittstellen des Spoke verweist, wenn beide IPsec-VPN-Tunnel aktiv sind.

Action!

Geben Sie im Betriebsmodus den show bgp summary Befehl ein.

Erlernte Routen verifizieren (beide Tunnel sind aktiv)

Zweck

Stellen Sie sicher, dass die Routen zum Spoke gelernt wurden, wenn beide Tunnel aktiv sind. Die Route zu 10.60.60.0/24 erfolgt über die st0.0-Schnittstelle und die Standardroute über die st0.1-Schnittstelle.

Action!

Geben Sie im Betriebsmodus den show route 10.60.60.0 Befehl ein.

Geben Sie im Betriebsmodus den show route 0.0.0.0 Befehl ein.

Überprüfen des IKE-Phase-1-Status (primärer Tunnel ist ausgefallen)

Zweck

Überprüfen Sie den Status von IKE Phase 1, wenn der primäre Tunnel ausgefallen ist.

Action!

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter von Phase 1 müssen auf dem Hub und dem Spoke übereinstimmen.

Überprüfen des IPsec-Phase-2-Status (primärer Tunnel ist ausgefallen)

Zweck

Überprüfen Sie den IPsec-Phase 2-Status, wenn der primäre Tunnel ausgefallen ist.

Action!

Geben Sie im Betriebsmodus den security ipsec security-associations Befehl ein.

Bedeutung

Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2 SAs auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter für Phase 2 müssen auf dem Hub und dem Spoke übereinstimmen.

Überprüfen von IPsec-Next-Hop-Tunneln (primärer Tunnel ist ausgefallen)

Zweck

Überprüfen Sie den IPsec-Next-Hop-Tunnel.

Action!

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen des Spoke. Der nächste Hop sollte mit dem richtigen IPsec-VPN-Namen verknüpft werden, in diesem Fall dem Backup-VPN-Tunnel.

Verifizieren von BGP (primärer Tunnel ist ausgefallen)

Zweck

Stellen Sie sicher, dass BGP auf die IP-Adressen für die st0 Schnittstellen des Spoke verweist, wenn der primäre Tunnel ausgefallen ist.

Action!

Geben Sie im Betriebsmodus den show bgp summary Befehl ein.

Überprüfen gelernter Routen (primärer Tunnel ist ausgefallen)

Zweck

Vergewissern Sie sich, dass die Routen zum Spoke gelernt wurden, wenn der primäre Tunnel ausgefallen ist. Sowohl die Route zu 10.60.60.0/24 als auch die Standardroute erfolgen über die st0.1-Schnittstelle.

Action!

Geben Sie im Betriebsmodus den show route 10.60.60.0 Befehl ein.

Geben Sie im Betriebsmodus den show route 0.0.0.0 Befehl ein.

Beispiel: Konfigurieren von Basic AutoVPN mit OSPF

In diesem Beispiel wird gezeigt, wie Sie einen AutoVPN-Hub so konfigurieren, dass er als einzelner Endpunkt fungiert, und dann zwei Spokes so konfigurieren, dass sie als Tunnel zu Remotestandorten fungieren. In diesem Beispiel wird OSPF so konfiguriert, dass Pakete mithilfe der zertifikatbasierten Authentifizierung über die VPN-Tunnel weitergeleitet werden. Richten Sie für die Authentifizierung mit einem vorinstallierten Schlüssel eine ähnliche Konfiguration ein, die unter Beispiel: Konfigurieren von Basic AutoVPN mit iBGP.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Firewalls der SRX-Serie als AutoVPN-Hub und -Spokes

  • Junos OS Version 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zum Weiterleiten von Paketen durch die VPN-Tunnel verwendet wird.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen von zwei Spokes.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät mithilfe des Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate für die Spokes enthalten im Betrefffeld den Wert der Organisationseinheit (OU) "SLT". Der Hub ist mit einer Gruppen-IKE-ID konfiguriert, die mit dem Wert "SLT" im Feld "Organisationseinheit" übereinstimmt.

Die Spokes stellen IPsec-VPN-Verbindungen zum Hub her, wodurch sie miteinander kommunizieren und auf Ressourcen auf dem Hub zugreifen können. Die IKE-Tunneloptionen der Phasen 1 und 2, die auf dem AutoVPN-Hub und allen Spokes konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 13 Zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 13: Phase-1- und Phase-2-Optionen für AutoVPN Hub-and-Spoke-Basis-OSPF-Konfigurationen

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman-Gruppe (DH)

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE-Richtlinie:

Modus

Hauptsächlich

IPsec-Vorschlag:

Protokoll

ESP

Authentifizierungsalgorithmus

HMAC MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten ist dieselbe Zertifizierungsstelle (Certificate Authority, CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Ebene der Zertifikatshierarchie.

Tabelle 14 Zeigt die Optionen an, die auf dem Hub und auf allen Spokes konfiguriert sind.

Tabelle 14: AutoVPN-Basiskonfiguration von OSPF für Hub und alle Spokes

Option

Nabe

Alle Speichen

IKE-Gateway:

Remote-IP-Adresse

Dynamisch

1 0.1.1.1

Remote-IKE-ID

DN (Distinguished Name) auf dem Zertifikat des Spoke mit der Zeichenfolge SLT im Feld für die Organisationseinheit (OU)

DN auf dem Zertifikat der Hub-Zentrale

Lokale IKE-ID

DN auf dem Zertifikat der Hub-Zentrale

DN auf dem Speichenzertifikat

Externe Schnittstelle

ge-0/0/1.0

Speiche 1: FE-0/0/1,0

Speiche 2: ge-0/0/1.0

VPN:

Bind-Schnittstelle

st0.0

st0.0

Tunnel einrichten

(nicht konfiguriert)

Sofort nach der Bestätigung der Konfiguration

Tabelle 15 Zeigt die Konfigurationsoptionen an, die für jeden Spoke unterschiedlich sind.

Tabelle 15: Vergleich zwischen den grundlegenden OSPF-Spoke-Konfigurationen

Option

Speiche 1

Speiche 2

ST0.0-Schnittstelle

10.10.10.2/24

10.10.10.3/24

Schnittstelle zum internen Netzwerk

FE-0.0/4.0: 100.60.60.1/24

FE-0.0/4.0: 10.70.70.1/24

Schnittstelle zum Internet

FE-0/0/1.0: 10.2.2.1/30

GE-0/0/1.0: 10.3.3.1/30

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 6 zeigt in diesem Beispiel die Firewalls der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 6: Grundlegende AutoVPN-Bereitstellung mit OSPF Grundlegende AutoVPN-Bereitstellung mit OSPF

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie die folgenden Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie Zertifizierungsstellen- und lokale Zertifikate online mithilfe des Simple Certificate Enrollment Protocol (SCEP) auf den Hub-and-Spoke-Geräten abrufen.

Registrieren von Gerätezertifikaten bei SCEP

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf dem Hub:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spekult 1:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist SLT. Die IKE-Konfiguration auf der Hub-Zentrale umfasst ou=SLT die Identifizierung des Spoke.

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spoke 2:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist SLT. Die IKE-Konfiguration auf der Hub-Zentrale umfasst ou=SLT die Identifizierung des Spoke.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, , show security ikeshow security ipsec, show security zonesshow security policies, , und show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Speiche 1:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, , show security ikeshow security ipsec, show security zonesshow security policies, , und show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Spoke 2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Speiche 2:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, , show security ikeshow security ipsec, show security zonesshow security policies, , und show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des IKE-Phase-1-Status

Zweck

Überprüfen Sie den Status von IKE Phase 1.

Action!

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen des IPsec-Phase-2-Status

Zweck

Überprüfen Sie den IPsec-Phase 2-Status.

Action!

Geben Sie im Betriebsmodus den security ipsec security-associations Befehl ein.

Bedeutung

Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2 SAs auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen von IPsec-Next-Hop-Tunneln

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Action!

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Bei den Next-Hop-Gateways handelt es sich um die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

OSPF verifizieren

Zweck

Stellen Sie sicher, dass OSPF auf die IP-Adressen für die st0 Schnittstellen der Spokes verweist.

Action!

Geben Sie im Betriebsmodus den show ospf neighbor Befehl ein.

Verifizieren von gelernten Routen

Zweck

Vergewissern Sie sich, dass die Routen zu den Speichen gelernt wurden.

Action!

Geben Sie im Betriebsmodus den show route 60.60.60.0 Befehl ein.

Geben Sie im Betriebsmodus den show route 10.70.70.0 Befehl ein.

Beispiel: Konfigurieren von AutoVPN mit OSPFv3 für IPv6-Datenverkehr

In diesem Beispiel wird gezeigt, wie Sie einen AutoVPN-Hub so konfigurieren, dass er als einzelner Endpunkt fungiert, und dann zwei Spokes so konfigurieren, dass sie als Tunnel zu Remotestandorten fungieren. In diesem Beispiel wird AutoVPN für IPv6-Umgebungen mit OSPFv3 konfiguriert, um Pakete mithilfe der zertifikatbasierten Authentifizierung über die VPN-Tunnel weiterzuleiten. Richten Sie für die Authentifizierung mit einem vorinstallierten Schlüssel eine ähnliche Konfiguration ein, die unter Beispiel: Konfigurieren von Basic AutoVPN mit iBGP.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Firewalls der SRX-Serie als AutoVPN-Hub und -Spokes.

  • Junos OS Version 18.1R1 und höhere Versionen.

Bevor Sie beginnen:

  • Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zum Weiterleiten von Paketen durch die VPN-Tunnel verwendet wird.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN mit OSPFv3-Routingprotokoll auf dem Hub und die nachfolgenden Konfigurationen von zwei Spokes.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät mithilfe des Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate für die Spokes enthalten im Betrefffeld den Wert der Organisationseinheit (OU) "SLT". Der Hub ist mit einer Gruppen-IKE-ID konfiguriert, die mit dem Wert "SLT" im Feld "Organisationseinheit" übereinstimmt.

Die Spokes stellen IPsec-VPN-Verbindungen zum Hub her, wodurch sie miteinander kommunizieren und auf Ressourcen auf dem Hub zugreifen können. Die IKE-Tunneloptionen der Phasen 1 und 2, die auf dem AutoVPN-Hub und allen Spokes konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 16 Zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 16: Phase-1- und Phase-2-Optionen für AutoVPN Hub-and-Spoke-Basiskonfigurationen für OSPFv3

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman-Gruppe (DH)

19

Authentifizierungsalgorithmus

SHA-384

Verschlüsselungsalgorithmus

AES 256 CBC

IKE-Richtlinie:

Modus

Hauptsächlich

IPsec-Vorschlag:

Protokoll

ESP

Sekunden auf Lebenszeit

3000

Verschlüsselungsalgorithmus

AES 256 GCM

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

19

Auf allen Geräten ist dieselbe Zertifizierungsstelle (Certificate Authority, CA) konfiguriert.

Tabelle 17 Zeigt die Optionen an, die auf dem Hub und auf allen Spokes konfiguriert sind.

Tabelle 17: AutoVPN OSPFv3-Konfiguration für Hub und alle Spokes

Option

Nabe

Alle Speichen

IKE-Gateway:

Remote-IP-Adresse

Dynamisch

2001:db8:2000::1

Remote-IKE-ID

DN (Distinguished Name) auf dem Zertifikat des Spoke mit der Zeichenfolge SLT im Feld für die Organisationseinheit (OU)

DN auf dem Zertifikat der Hub-Zentrale

Lokale IKE-ID

DN auf dem Zertifikat der Hub-Zentrale

DN auf dem Speichenzertifikat

Externe Schnittstelle

ge-0/0/0

Speiche 1: GE-0/0/0.0

Speiche 2: GE-0/0/0.0

VPN:

Bind-Schnittstelle

st0.1

st0.1

Tunnel einrichten

(nicht konfiguriert)

Sofort nach der Bestätigung der Konfiguration

Tabelle 18 Zeigt die Konfigurationsoptionen an, die für jeden Spoke unterschiedlich sind.

Tabelle 18: Vergleich zwischen den OSPFv3-Spoke-Konfigurationen

Option

Speiche 1

Speiche 2

ST0.1-Schnittstelle

2001:db8:7000::2/64

2001:db8:7000::3/64

Schnittstelle zum internen Netzwerk

(GE-0/0/1.0) 2001:DB8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Schnittstelle zum Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 7 zeigt in diesem Beispiel die Firewalls der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 7: Grundlegende AutoVPN-Bereitstellung mit OSPFv3Grundlegende AutoVPN-Bereitstellung mit OSPFv3

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie die folgenden Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie Zertifizierungsstellen- und lokale Zertifikate online mithilfe des Simple Certificate Enrollment Protocol (SCEP) auf den Hub-and-Spoke-Geräten abrufen.

Registrieren von Gerätezertifikaten bei SCEP

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf dem Hub:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spekult 1:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist SLT. Die IKE-Konfiguration auf der Hub-Zentrale umfasst ou=SLT die Identifizierung des Spoke.

Schritt-für-Schritt-Anleitung

So registrieren Sie digitale Zertifikate bei SCEP auf Spoke 2:

  1. Konfigurieren Sie die Zertifizierungsstelle.

  2. Registrieren Sie das CA-Zertifikat.

    Geben Sie an der Eingabeaufforderung ein yes , um das CA-Zertifikat zu laden.

  3. Generieren Sie ein Schlüsselpaar.

  4. Registrieren Sie das lokale Zertifikat.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (OU) ist SLT. Die IKE-Konfiguration auf der Hub-Zentrale umfasst ou=SLT die Identifizierung des Spoke.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, , show security ikeshow security ipsec, show security zonesshow security policies, , und show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Speiche 1:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, , show security ikeshow security ipsec, show security zonesshow security policies, , und show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Spoke 2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Speiche 2:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfigurieren Sie die Optionen für Phase 1.

  4. Konfigurieren Sie die Optionen für Phase 2.

  5. Konfigurieren von Zonen.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, , show security ikeshow security ipsec, show security zonesshow security policies, , und show security pki eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des IKE-Status

Zweck

Überprüfen Sie den IKE-Status.

Action!

Geben Sie im Betriebsmodus den show security ike sa Befehl ein.

Bedeutung

Der show security ike sa Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen des IPsec-Status

Zweck

Überprüfen Sie den IPsec-Status.

Action!

Geben Sie im Betriebsmodus den show security ipsec sa Befehl ein.

Bedeutung

Der show security ipsec sa Befehl listet alle aktiven IKE Phase 2 SAs auf. Wenn keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen von IPsec-Next-Hop-Tunneln

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Action!

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Bei den Next-Hop-Gateways handelt es sich um die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.

OSPFv3 verifizieren

Zweck

Stellen Sie sicher, dass OSPFv3 auf die IP-Adressen für die st0 Schnittstellen der Spokes verweist.

Action!

Geben Sie im Betriebsmodus den show ospf3 neighbor detail Befehl ein.

Nabe:

Speiche 1:

Speiche 2:

Beispiel: Weiterleiten des Datenverkehrs über einen AutoVPN-Tunnel mit Datenverkehrsselektoren

In diesem Beispiel wird gezeigt, wie Datenverkehrsselektoren anstelle von dynamischen Routingprotokollen so konfiguriert werden, dass Pakete über einen VPN-Tunnel in einer AutoVPN-Bereitstellung weitergeleitet werden. Wenn Datenverkehrsselektoren konfiguriert sind, muss sich die Schnittstelle für einen sicheren Tunnel (st0) im Punkt-zu-Punkt-Modus befinden. Datenverkehrsselektoren werden sowohl auf der Hub- als auch auf den Spoke-Geräten konfiguriert. Im Beispiel wird die zertifikatbasierte Authentifizierung verwendet. Richten Sie für die Authentifizierung mit einem vorinstallierten Schlüssel eine ähnliche Konfiguration ein, die unter Beispiel: Konfigurieren von Basic AutoVPN mit iBGP.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Firewalls der SRX-Serie, verbunden und konfiguriert in einem Chassis-Cluster. Der Chassis-Cluster ist der AutoVPN-Hub.

  • Eine Firewall der SRX-Serie, die als AutoVPN-Spoke konfiguriert ist.

  • Junos OS Version 12.3X48-D10 oder höher.

  • Digitale Zertifikate, die im Hub und in den Spoke-Geräten registriert sind und die es den Geräten ermöglichen, sich gegenseitig zu authentifizieren.

Bevor Sie beginnen:

  • Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern. Weitere Informationen finden Sie unter Grundlegendes zu lokalen Zertifikatanforderungen.

  • Registrieren Sie die digitalen Zertifikate auf jedem Gerät. Siehe Beispiel: ManuellesLaden von CA- und lokalen Zertifikaten.

Überblick

In diesem Beispiel werden Datenverkehrsselektoren auf dem AutoVPN-Hub konfiguriert und gespoket. Nur Datenverkehr, der der konfigurierten Datenverkehrsauswahl entspricht, wird durch den Tunnel weitergeleitet. Auf der Hub-Zentrale wird die Datenverkehrsauswahl mit der lokalen IP-Adresse 192.0.0.0/8 und der Remote-IP-Adresse 172.0.0.0/8 konfiguriert. Auf dem Spoke wird die Datenverkehrsauswahl mit der lokalen IP-Adresse 172.0.0.0/8 und der Remote-IP-Adresse 192.0.0.0/8 konfiguriert.

Die auf dem Spoke konfigurierten IP-Adressen der Datenverkehrsauswahl können eine Teilmenge der auf dem Hub konfigurierten IP-Adressen der Datenverkehrsselektor sein. Dies wird als flexible Übereinstimmung mit der Datenverkehrsauswahlbezeichnet.

Bestimmte IKE-Tunneloptionen der Phasen 1 und 2, die auf den AutoVPN-Hubs und -Spokes konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 19 Zeigt die Werte, die in diesem Beispiel verwendet werden:

Tabelle 19: Phase-1- und Phase-2-Optionen für AutoVPN-Hubs und -Spokes mit Datenverkehrsselektoren

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

RSA-Signaturen

Diffie-Hellman-Gruppe (DH)

group5

Authentifizierungsalgorithmus

sha-1

Verschlüsselungsalgorithmus

AES-256-CBC

IKE-Richtlinie:

Modus

hauptsächlich

Zertifikat

lokales-zertifikat

IKE-Gateway:

Dynamisch

Platzhalter für definierte Namen DC=Common_component

IKE-Benutzertyp

Gruppen-IKE-ID

Lokale Identität

Distinguished Name (Ausgezeichneter Name

Version

Nur v1

IPsec-Vorschlag:

Protokoll

ASW

Authentifizierungsalgorithmus

hmac-sha1-96

Verschlüsselungsalgorithmus

AES-192-CBC

Lebensdauer

3600 Sekunden

150.000 Kilobyte

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

group5

Topologie

Abbildung 8 zeigt die Firewalls der SRX-Serie, die für dieses Beispiel konfiguriert werden sollen.

Abbildung 8: AutoVPN mit Traffic-Selektoren AutoVPN mit Traffic-Selektoren

Konfiguration

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Ab Junos OS Version 15.1X49-D120 können Sie die CLI-Option reject-duplicate-connection auf der Hierarchieebene [edit security ike gateway gateway-name dynamic] so konfigurieren, dass eine vorhandene Tunnelsitzung beibehalten und Verhandlungsanforderungen für einen neuen Tunnel mit derselben IKE-ID abgelehnt werden. Standardmäßig wird ein vorhandener Tunnel abgerissen, wenn ein neuer Tunnel mit derselben IKE-ID eingerichtet wird. Die reject-duplicate-connection Option wird nur unterstützt, wenn ike-user-type group-ike-id oder ike-user-type shared-ike-id für das IKE-Gateway konfiguriert ist. Die aaa access-profile profile-name Konfiguration wird mit dieser Option nicht unterstützt.

Verwenden Sie die CLI-Option reject-duplicate-connection nur, wenn Sie sicher sind, dass die Wiederherstellung eines neuen Tunnels mit derselben IKE-ID abgelehnt werden soll.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Hub:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie die Optionen für Phase 1.

  3. Konfigurieren Sie die Optionen für Phase 2.

  4. Konfigurieren Sie die Zertifikatinformationen.

  5. Konfigurieren Sie Sicherheitszonen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show security ike, show security ipsec, show security pki, show security zonesund show security policies eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren des Spoke

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Hub:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie die Optionen für Phase 1.

  3. Konfigurieren Sie die Optionen für Phase 2.

  4. Konfigurieren Sie die Zertifikatinformationen.

  5. Konfigurieren Sie Sicherheitszonen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show security ike, show security ipsec, show security pki, show security zonesund show security policies eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Verifizieren von Tunneln

Zweck

Stellen Sie sicher, dass Tunnel zwischen dem AutoVPN-Hub und Spoke eingerichtet sind.

Action!

Geben Sie im Betriebsmodus die show security ike security-associations Befehle und show security ipsec security-associations auf der Hub-Zentrale ein.

Geben Sie im Betriebsmodus die show security ike security-associations Befehle und show security ipsec security-associations auf der Speiche ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf. Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2 SAs auf. Der Hub zeigt einen aktiven Tunnel zum Spoke an, während der Spoke einen aktiven Tunnel zum Hub anzeigt.

Wenn für IKE Phase 1 keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 1 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter von Phase 1 müssen auf dem Hub und dem Spoke übereinstimmen.

Wenn keine Sicherheitszuordnungen für IKE Phase 2 aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Angebotsparameter für Phase 2 müssen auf dem Hub und dem Spoke übereinstimmen.

Verifizieren von Traffic-Selektoren

Zweck

Überprüfen Sie die Datenverkehrsselektoren.

Action!

Geben Sie im Betriebsmodus den show security ipsec traffic-selector interface-name st0.1 Befehl auf der Hub-Zentrale ein.

Geben Sie im Betriebsmodus den show security ipsec traffic-selector interface-name st0.1 Befehl auf der Speiche ein.

Bedeutung

Ein Datenverkehrsselektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar von lokalen und Remoteadressen übereinstimmt. Nur Datenverkehr, der einem Datenverkehrsselektor entspricht, wird über eine Sicherheitszuordnung zugelassen. Datenverkehrsselektoren werden zwischen dem Initiator und dem Responder (dem Hub der SRX-Serie) ausgehandelt.

Beispiel: Sicherstellen der Verfügbarkeit von VPN-Tunneln mit AutoVPN und Datenverkehrsselektoren

Georedundanz ist die Bereitstellung mehrerer geografisch weit entfernter Standorte, damit der Datenverkehr auch dann weiterhin über ein Anbieternetzwerk fließen kann, wenn ein Stromausfall, eine Naturkatastrophe oder ein anderes katastrophales Ereignis einen Standort betrifft. In einem Mobilfunkanbieternetzwerk können mehrere eNodeB-Geräte (Evolved Node B) über georedundante IPsec-VPN-Gateways auf Firewalls der SRX-Serie mit dem Kernnetzwerk verbunden werden. Die alternativen Routen zu den eNodeB-Geräten werden über ein dynamisches Routing-Protokoll auf das Kernnetz verteilt.

In diesem Beispiel werden AutoVPN-Hubs mit mehreren Datenverkehrsselektoren auf Firewalls der SRX-Serie konfiguriert, um sicherzustellen, dass georedundante IPsec-VPN-Gateways für eNodeB-Geräte vorhanden sind. Auto Route Insertion (ARI) wird verwendet, um Routen zu den eNodeB-Geräten automatisch in die Routing-Tabellen auf den Hubs einzufügen. ARI-Routen werden dann über BGP an das Kernnetzwerk des Anbieters verteilt. Im Beispiel wird die zertifikatbasierte Authentifizierung verwendet. Richten Sie für die Authentifizierung mit einem vorinstallierten Schlüssel eine ähnliche Konfiguration ein, die unter Beispiel: Konfigurieren von Basic AutoVPN mit iBGP.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Firewalls der SRX-Serie, verbunden und konfiguriert in einem Chassis-Cluster. Der Chassis-Cluster ist AutoVPN-Hub A.

  • Eine Firewall der SRX-Serie, die als AutoVPN-Hub B konfiguriert ist.

  • Junos OS Version 12.3X48-D10 oder höher.

  • eNodeB-Geräte, die IPsec-VPN-Tunnel mit AutoVPN-Hubs aufbauen können. eNodeB-Geräte sind Drittanbieter von Netzwerkgeräten, die einen VPN-Tunnel mit AutoVPN-Hubs initiieren.

  • Digitale Zertifikate, die in den Hubs registriert sind, und die eNodeB-Geräte, mit denen sich die Geräte gegenseitig authentifizieren können.

Bevor Sie beginnen:

  • Rufen Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Abfragekennwort) ab, wenn Sie lokale Zertifikate anfordern. Weitere Informationen finden Sie unter Grundlegendes zu lokalen Zertifikatanforderungen.

  • Registrieren Sie die digitalen Zertifikate auf jedem Gerät. Siehe Beispiel: ManuellesLaden von CA- und lokalen Zertifikaten.

In diesem Beispiel wird das dynamische Routingprotokoll BGP verwendet, um Routen zu den eNodeB-Geräten im Core-Netzwerk anzukündigen.

Überblick

In diesem Beispiel werden zwei AutoVPN-Hubs mit mehreren Datenverkehrsselektoren auf Firewalls der SRX-Serie konfiguriert, um georedundante IPsec-VPN-Gateways für eNodeB-Geräte bereitzustellen. ARI fügt automatisch Routen zu den eNodeB-Geräten in die Routing-Tabellen auf den Hubs ein. ARI-Routen werden dann über BGP an das Kernnetzwerk des Anbieters verteilt.

Bestimmte IKE-Tunneloptionen der Phasen 1 und 2, die auf den AutoVPN-Hubs und eNodeB-Geräten konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 20 Zeigt die Werte, die in diesem Beispiel verwendet werden:

Tabelle 20: Phase-1- und Phase-2-Optionen für georedundante AutoVPN-Hubs

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

RSA-Signaturen

Diffie-Hellman-Gruppe (DH)

group5

Authentifizierungsalgorithmus

sha-1

Verschlüsselungsalgorithmus

AES-256-CBC

IKE-Richtlinie:

Zertifikat

lokales-zertifikat

IKE-Gateway:

Dynamisch

Platzhalter für definierte Namen DC=Common_component

IKE-Benutzertyp

Gruppen-IKE-ID

Erkennung toter Peers

Sonde-Leerlauf-Tunnel

Lokale Identität

Distinguished Name (Ausgezeichneter Name

Version

Nur v2

IPsec-Vorschlag:

Protokoll

ASW

Authentifizierungsalgorithmus

hmac-sha1-96

Verschlüsselungsalgorithmus

AES-256-CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

group5

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Für Produktionsumgebungen sollten restriktivere Sicherheitsrichtlinien konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über Sicherheitsrichtlinien. Der Einfachheit halber lässt die Konfiguration der Firewalls der SRX-Serie alle Arten von eingehendem Datenverkehr zu. Diese Konfiguration wird für Produktionsbereitstellungen nicht empfohlen.

Topologie

Abbildung 9 zeigt die Firewalls der SRX-Serie, die für dieses Beispiel konfiguriert werden sollen.

Abbildung 9: Georedundante IPsec-VPN-Gateways zu eNodeB-GerätenGeoredundante IPsec-VPN-Gateways zu eNodeB-Geräten

Konfiguration

Konfigurieren von Hub A

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Hub A:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie die Optionen für Phase 1.

  3. Konfigurieren Sie die Optionen für Phase 2.

  4. Konfigurieren Sie das BGP-Routing-Protokoll.

  5. Konfigurieren Sie Routing-Optionen.

  6. Konfigurieren Sie die Zertifikatinformationen.

  7. Konfigurieren Sie Sicherheitszonen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfaces show security ikeBefehle , show security ipsec, show protocols bgp, show policy-options, show security pkishow security zones, und show security policies eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Konfigurieren von Hub B

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Hub B:

  1. Konfigurieren von Schnittstellen.

  2. Konfigurieren Sie die Optionen für Phase 1.

  3. Konfigurieren Sie die Optionen für Phase 2.

  4. Konfigurieren Sie das BGP-Routing-Protokoll.

  5. Konfigurieren Sie Routing-Optionen.

  6. Konfigurieren Sie die Zertifikatinformationen.

  7. Konfigurieren Sie Sicherheitszonen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfaces show security ikeBefehle , show security ipsec, show protocols bgp, show security pki, show security zonesund show security policies eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

eNodeB konfigurieren (Beispielkonfiguration)

Schritt-für-Schritt-Anleitung
  1. Die eNodeB-Konfiguration in diesem Beispiel dient als Referenz. Detaillierte Informationen zur eNodeB-Konfiguration würden den Rahmen dieses Dokuments sprengen. Die eNodeB-Konfiguration muss die folgenden Informationen enthalten:

    • Lokales Zertifikat (X.509v3) und IKE-Identitätsinformationen

    • IKE-Identitätsinformationen und öffentliche IP-Adresse der SRX-Serie

    • Phase-1- und Phase-2-Vorschläge, die den Konfigurationen der Naben der SRX-Serie entsprechen

Ergebnisse

Die eNodeB-Geräte in diesem Beispiel verwenden die Open-Source-Software strongSwan für IPsec-basierte VPN-Verbindungen:

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Verifizieren von Tunneln auf den AutoVPN-Hubs

Zweck

Stellen Sie sicher, dass Tunnel zwischen dem AutoVPN-Hub und eNodeB-Geräten eingerichtet sind.

Action!

Geben Sie im Betriebsmodus die show security ike security-associations Befehle und show security ipsec security-associations auf der Hub-Zentrale ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf. Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2 SAs auf. Die Hub-Zentrale zeigt zwei aktive Tunnel an, einen zu jedem eNodeB-Gerät.

Wenn für IKE Phase 1 keine Sicherheitszuordnungen aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 1 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 1 müssen auf dem Hub- und den eNodeB-Geräten übereinstimmen.

Wenn keine Sicherheitszuordnungen für IKE Phase 2 aufgeführt sind, liegt ein Problem bei der Einrichtung von Phase 2 vor. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 2 müssen auf dem Hub- und den eNodeB-Geräten übereinstimmen.

Verifizieren von Traffic-Selektoren

Zweck

Überprüfen Sie die Datenverkehrsselektoren.

Action!

Geben Sie im Betriebsmodus den show security ipsec traffic-selector interface-name st0.1 Befehl ein.

Bedeutung

Ein Datenverkehrsselektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar von lokalen und Remoteadressen übereinstimmt. Nur Datenverkehr, der einem Datenverkehrsselektor entspricht, wird über eine Sicherheitszuordnung zugelassen. Datenverkehrsselektoren werden zwischen dem Initiator und dem Responder (dem Hub der SRX-Serie) ausgehandelt.

Verifizieren von ARI-Routen

Zweck

Stellen Sie sicher, dass die ARI-Routen der Routing-Tabelle hinzugefügt wurden.

Action!

Geben Sie im Betriebsmodus den show route Befehl ein.

Bedeutung

Auto Route Insertion (ARI) fügt automatisch eine statische Route für das Remote-Netzwerk und die Hosts ein, die durch einen Remote-Tunnelendpunkt geschützt sind. Eine Route wird basierend auf der Remote-IP-Adresse erstellt, die in der Datenverkehrsauswahl konfiguriert ist. Bei Datenverkehrsselektoren wird die konfigurierte Remote-Adresse als Route in die Routinginstanz eingefügt, die der st0-Schnittstelle zugeordnet ist, die an das VPN gebunden ist.

Statische Routen zu den eNodeB-Zielen 10.30.1.0/24 und 10.50.1.0/24 werden der Routing-Tabelle auf dem Hub der SRX-Serie hinzugefügt. Diese Routen sind über die st0.1-Schnittstelle erreichbar.

Beispiel: AutoVPN mit Pre-Shared Key konfigurieren

In diesem Beispiel wird gezeigt, wie verschiedene vorinstallierte IKE-Schlüssel konfiguriert werden, die vom VPN-Gateway zur Authentifizierung des Remotepeers verwendet werden. Ähnlich verhält es sich, um denselben vorinstallierten IKE-Schlüssel zu konfigurieren, der vom VPN-Gateway zur Authentifizierung des Remotepeers verwendet wird.

In anderen Beispielen in diesem Thema finden Sie Informationen zur End-to-End-Konfiguration von AutoVPN.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • MX240, MX480 und MX960 mit MX-SPC3 und Junos OS Version 21.1R1, die AutoVPN unterstützen
  • oder SRX5000 Linie mit SPC3 und Junos OS Version 21.2R1, die AutoVPN unterstützen
  • oder die virtuelle vSRX-Firewall, auf der der iked-Prozess (mit dem junos-ike Paket) ausgeführt wird, und Junos OS Version 21.2R1, die AutoVPN unterstützen

Konfigurieren unterschiedlicher vorinstallierter IKE-Schlüssel

Führen Sie diese Aufgaben aus, um einen anderen vorinstallierten IKE-Schlüssel zu konfigurieren, den das VPN-Gateway zur Authentifizierung des Remotepeers verwendet.

  1. Konfigurieren Sie die für IKE freigegebene Richtlinie "Seeded Preshared" auf dem Gerät mit dem AutoVPN-Hub.

    oder

    Zum Beispiel:

    oder

  2. Zeigen Sie die pre-shared key für Remote-Peer mit Gateway-Name und Benutzer-ID an.

    Zum Beispiel:

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. Konfigurieren Sie den generierten PSK ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" in Schritt 2) in der ike-Richtlinie auf dem Remotepeergerät.

    Zum Beispiel:

  4. (Optional) Um die IKE-ID-Validierung zu umgehen und alle IKE-ID-Typen zuzulassen, konfigurieren Sie general-ikeid die Konfigurationsanweisung auf der Hierarchieebene [edit security ike gateway gateway_name dynamic] im Gateway.

Ergebnis

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Konfigurieren desselben vorinstallierten IKE-Schlüssels

Führen Sie die folgenden Aufgaben aus, um denselben vorinstallierten IKE-Schlüssel zu konfigurieren, den das VPN-Gateway zur Authentifizierung des Remotepeers verwendet.

  1. Konfigurieren Sie die allgemeine pre-shared-key IKE-Richtlinie auf dem Gerät mit dem AutoVPN-Hub.

    Zum Beispiel:

  2. Konfigurieren Sie die allgemeine pre-shared-key Richtlinie für das Remotepeergerät.

    Zum Beispiel:

  3. (Optional) Um die IKE-ID-Validierung zu umgehen und alle IKE-ID-Typen zuzulassen, konfigurieren Sie general-ikeid die Konfigurationsanweisung auf der Hierarchieebene [edit security ike gateway gateway_name dynamic] im Gateway.

Ergebnis

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Konfigurieren der Multicast-Unterstützung in der P2MP-Infrastruktur

In diesem Thema erfahren Sie, wie Sie die Multicastunterstützung in der P2MP-Infrastruktur aktivieren.

Bevor Sie die Multicastunterstützung aktivieren, stellen Sie sicher, dass Sie die unter Multicastunterstützung mit PIMaufgeführten Überlegungen erfüllen.

In den folgenden Abschnitten erfahren Sie, wie Sie die Multicast-Unterstützung konfigurieren und überprüfen.

Multicast-Schnittstelle konfigurieren

  • Um PIM auf der st0.0-Schnittstelle zu aktivieren, verwenden Sie die folgenden Optionen set protocols pim interface interface-name command:

    st0.0 Hier befindet sich die sichere Tunnelschnittstelle.

  • Um Multipoint auf der st0.0-Schnittstelle für den P2MP-Modus zu aktivieren, verwenden Sie den set interfaces interface-name unit unit-number multipoint folgenden Befehl:

  • Verwenden Sie den set interfaces interface-name unit unit-number family inet address IPv4 address folgenden Befehl, um die IPv4-Adresse für die st0.0-Schnittstelle festzulegen:

    Hier ist 192.168.1.3/24 die IP-Adresse der Schnittstelle.

  • Um PIM auf der st0.0-Schnittstelle zu deaktivieren, verwenden Sie die Option disable:

CLI-Befehle zum Überprüfen der Multicast-Konfiguration

Sie können die Multicast-Konfiguration mit den folgenden Befehlen überprüfen.

  • Um die PIM-Schnittstellen aufzulisten, verwenden Sie den show pim interfaces Befehl.

  • Verwenden Sie den show pim join extensive Befehl, um die Nachbarn aufzulisten, die der Multicastgruppe s beigetreten sind.

  • Verwenden Sie den show multicast route Befehl, um die Einträge in der IP-Multicast-Weiterleitungstabelle anzuzeigen.

  • Verwenden Sie den Befehl, um show multicast next-hops detail die Details des nächsten Multicast-Hops anzuzeigen.

  • Verwenden Sie den show multicast statistics Befehl, um die IP-Multicast-Statistiken anzuzeigen.

  • Um die Einträge in der Weiterleitungstabelle anzuzeigen, verwenden Sie den show route forwarding-table extensive Befehl.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
24.2R1
Unterstützung für Multicast-Datenverkehr (IPv4-Adresse) mit AutoVPN für Firewalls, auf denen der iked-Prozess ausgeführt wird, wurde in Junos OS Version 24.2R1 hinzugefügt.
17.4R1
Ab Junos OS Version 17.4R1 wird die IPv6-Adresse von AutoVPN unterstützt.
17.4R1
Ab Junos OS Version 17.4R1 unterstützen AutoVPN-Netzwerke, die sichere Tunnelschnittstellen im Punkt-zu-Punkt-Modus verwenden, IPv6-Adressen für Datenverkehrsselektoren und für IKE-Peers.
15.1X49-D120
Ab Junos OS Version 15.1X49-D120 können Sie die CLI-Option reject-duplicate-connection auf der Hierarchieebene [edit security ike gateway gateway-name dynamic] so konfigurieren, dass eine vorhandene Tunnelsitzung beibehalten und Verhandlungsanforderungen für einen neuen Tunnel mit derselben IKE-ID abgelehnt werden.