Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

AutoVPN auf Hub-and-Spoke-Geräten

AutoVPN unterstützt einen IPsec VPN Aggregator (bekannt als Hub), der als einzelner Terminierungspunkt für mehrere Tunnel zu Entfernten Standorten (bekannt als Spokes) dient. Mit AutoVPN können Netzwerkadministratoren einen Hub für aktuelle und zukünftige Spokes konfigurieren.

Verstehen von AutoVPN

AutoVPN unterstützt einen IPsec VPN Aggregator (bekannt als Hub), der als einzelner Terminierungspunkt für mehrere Tunnel zu Entfernten Standorten (bekannt als Spokes) dient. Mit AutoVPN können Netzwerkadministratoren einen Hub für aktuelle und zukünftige Spokes konfigurieren. Wenn Spoke-Geräte hinzugefügt oder gelöscht werden, sind am Hub keine Konfigurationsänderungen erforderlich. Dies ermöglicht Administratoren die Flexibilität bei der Verwaltung umfangreicher Netzwerkbereitstellungen.

Sichere Tunnelmodi

AutoVPN wird auf routenbasierten IPsec-VPNs unterstützt. Für routenbasierte VPNs konfigurieren Sie eine sichere Tunnelschnittstelle (st0) und binden sie an einen IPsec-VPN-Tunnel. St0-Schnittstellen in AutoVPN-Netzwerken können in einem von zwei Modi konfiguriert werden:

  • Punkt-zu-Punkt-Modus: Standardmäßig befindet sich eine auf [edit interfaces st0 unit x] Hierarchieebene konfigurierte ST0-Schnittstelle im Punkt-zu-Punkt-Modus. Ab Junos OS Version 17.4R1 wird die IPv6-Adresse auf AutoVPN unterstützt.

  • Point-to-Multipoint-Modus: In diesem Modus ist die multipoint Option auf der [edit interfaces st0 unit x] Hierarchieebene sowohl für AutoVPN-Hubs als auch für Spokes konfiguriert. St0-Schnittstellen am Hub und den Spokes müssen nummeriert werden, und die auf einer Spoke konfigurierte IP-Adresse muss im St0-Schnittstellen-Subnetz des Hubs vorhanden sein.

Tabelle 1 vergleicht die sicheren Tunnelschnittstellenmodi AutoVPN Point-to-Point und Point-to-Multipoint.

Tabelle 1: Vergleich zwischen autoVPN Point-to-Point und Point-to-Multipoint Secure Tunnel Modes

Point-to-Point-Modus

Point-to-Multipoint-Modus

Unterstützt IKEv1 oder IKEv2.

Unterstützt IKEv1 oder IKEv2.

Unterstützt IPv4- und IPv6-Datenverkehr.

Unterstützt IPv4 oder IPv6.

Datenverkehrs-Selektoren

Dynamische Routing-Protokolle (OSPF, OSPFv3 und iBGP)

Erkennung von toten Peers

Erkennung von toten Peers

Ermöglicht Spoke-Geräten die SRX-Serie oder Geräte von Drittanbietern.

Dieser Modus wird nur von Geräten der SRX-Serie unterstützt.

Authentifizierung:

Die unterstützte Authentifizierung für AutoVPN Hubs und Spokes ist X.509 Public Key Infrastructure (PKI)-Zertifikate. Der am Hub konfigurierte Gruppen-IKE-Benutzertyp ermöglicht die Festlegung von Zeichenfolgen, die mit dem alternativen Betrefffeld in Spoke-Zertifikaten übereinstimmen. Teilweise Übereinstimmungen für die Betrefffelder in Spoke-Zertifikaten können ebenfalls angegeben werden. Siehe Verstehen der Spoke-Authentifizierung in AutoVPN-Bereitstellungen.

Ab Junos OS Version 21.2R1 unterstützt die SRX5000-Serie mit SPC3-Karte und vSRX, auf denen ein iked-Prozess ausgeführt wird, AutoVPN mit seeded Preshared Key. Die Geräte der SRX5000-Reihe mit einer SPC3-Karte und vSRX unterstützen AutoVPN PSK nur, wenn das Junos-ike-Paket installiert ist.

Wir unterstützen AutoVPN mit den folgenden zwei Optionen:

  • Auto-VPN Seeded PSK: Mehrere Peers, die sich mit demselben Gateway verbinden und einen anderen vorinstallierten Schlüssel haben.
  • Auto-VPN Shared PSK: Mehrere Peers, die sich mit demselben Gateway verbinden und denselben vorinstallierten Schlüssel haben.

Seeded PSK unterscheidet sich von nicht ausgesaatem PSK (d. s. gleiche gemeinsame PSK). Seeded PSK verwendet den Master-Schlüssel, um das gemeinsam genutzte PSK für den Peer zu generieren. Jeder Peer hat also eine unterschiedliche PSK-Verbindung zum selben Gateway. Zum Beispiel: Stellen Sie sich ein Szenario vor, in dem Peer 1 mit der IKE-ID user1@juniper.net und Peer 2 mit IKE-ID user2@juniper.net versucht, eine Verbindung zum Gateway herzustellen. In diesem Szenario ist das Gateway, das so konfiguriert ist, dass HUB_GW es den Master-Schlüssel enthält, wie ThisIsMySecretPreSharedkey folgt konfiguriert:

Peer 1 : 79e4ea39f5c06834a3c4c031e37c6de24d46798a

Peer 2: 3db8385746f3d1e639435a882579a9f28464e5c7

Das bedeutet, dass für verschiedene Benutzer mit unterschiedlicher Benutzer-ID und gleichem Master-Schlüssel ein anderer oder eindeutiger Preshared-Schlüssel generiert wird.

Sie können entweder seeded-pre-shared-key oder pre-shared-key für Auto-VPN PSK:

  • Unterschiedlicher Preshared-Schlüssel: Wenn dieser seeded-pre-shared-key festgelegt ist, wird vom VPN-Gateway ein anderer IKE-Preshared-Schlüssel verwendet, um jeden Remote-Peer zu authentifizieren. Die Peer-Preshared-Schlüssel werden mit dem master-key Set im IKE-Gateway generiert und über die Peers gemeinsam genutzt.

    Um es dem VPN-Gateway zu ermöglichen, einen anderen IKE Preshared Key (PSK) für die Authentifizierung jedes Remote-Peers zu verwenden, verwenden Sie die neuen CLI-Befehle seeded-pre-shared-key ascii-text oder seeded-pre-shared-key hexadecimal unter der [edit security ike policy policy_name] Hierarchieebene.

    Dieser Befehl schließt sich gegenseitig mit pre-shared-key dem Befehl unter derselben Hierarchie aus.

    Siehe Richtlinie.

  • Gemeinsamer/Gleicher Preshared-Schlüssel: Wenn pre-shared-key-type die Konfiguration nicht erfolgt, wird der PSK als gemeinsam genutzt angesehen. Der gleiche IKE-Preshared-Schlüssel wird vom VPN-Gateway verwendet, um alle Remote-Peers zu authentifizieren.

    Um es dem VPN-Gateway zu ermöglichen, das gleiche IKE PSK für die Authentifizierung aller Remote-Peers zu verwenden, verwenden Sie die vorhandenen CLI-Befehle pre-sharedkey ascii-text oder pre-shared-key hexadecimal.

Am VPN-Gateway können Sie die IKE-ID-Validierung mithilfe der general-ikeid Konfigurationsanweisung unter der [edit security ike gateway gateway_name dynamic] Hierarchieebene umgehen. Wenn diese Option konfiguriert ist, ermöglicht das VPN-Gateway während der Authentifizierung von Remote-Peer jede Remote-IKE-ID-Verbindung. Siehe general-ikeid.

Die Geräte der SRX5000-Reihe mit SPC3-Karte und vSRX mit iked unterstützen die folgenden IKE-Modi:

Tabelle 2: AutoVPN PSK-Unterstützung

IKE-Modus

Geräte der SRX5000-Reihe mit SPC3-Karte und vSRX, auf denen ein iked-Prozess ausgeführt wird

Gemeinsamer PSK

Seeded-PSK

IKEv2

Ja

Ja

IKEv2 mit any-remote-id

Ja

Ja

IKEv1 Aggressiver Modus

Ja

Ja

IKEv1 Aggressive Mode mit any-remote-id/general-ikeid

Ja

Ja

IKEv1 Hauptmodus

Ja

Nein

IKEv1-Hauptmodus mit any-remote-id/general-ikeid

Ja

Nein

Siehe Beispiel: Konfigurieren von AutoVPN mit vorinstalliertem Schlüssel.

Konfiguration und Verwaltung

AutoVPN wird auf Geräten der SRX-Serie mithilfe der CLI konfiguriert und verwaltet. Mehrere AutoVPN-Hubs können auf einem einzigen Gerät der SRX-Serie konfiguriert werden. Die maximale Anzahl von Spokes, die von einem konfigurierten Hub unterstützt werden, ist spezifisch für das Modell des Geräts der SRX-Serie.

Verstehen der AutoVPN-Einschränkungen

Die folgenden Funktionen werden für AutoVPN nicht unterstützt:

  • Richtlinienbasierte VPNs werden nicht unterstützt.

  • Das dynamische Routing-Protokoll RIP wird mit AutoVPN-Tunneln nicht unterstützt.

  • Manuelle Schlüssel und Autokey-IKE mit vorinstallierten Schlüsseln werden nicht unterstützt.

  • Die Konfiguration statischer Next-Hop Tunnel Binding (NHTB) am Hub für Spokes wird nicht unterstützt.

  • Multicast wird nicht unterstützt.

  • Der Benutzertyp der Gruppen-IKE-ID wird nicht mit einer IP-Adresse als IKE-ID unterstützt.

  • Wenn der Benutzertyp der Gruppen-IKE-ID verwendet wird, sollte sich die IKE-ID nicht mit anderen IKE-Gateways überschneiden, die an derselben externen Schnittstelle konfiguriert sind.

Verstehen von AutoVPN mit Datenverkehrs-Selektoren

AutoVPN-Hubs können mit mehreren Datenverkehrs-Selektoren konfiguriert werden, um Datenverkehr zu Spokes zu schützen. Diese Funktion bietet die folgenden Vorteile:

  • Eine einzelne VPN-Konfiguration kann viele verschiedene Peers unterstützen.

  • VPN-Peers können Geräte der SRX-Serie sein.

  • Ein einzelner Peer kann mehrere Tunnel mit demselben VPN einrichten.

  • Eine größere Anzahl von Tunneln kann unterstützt werden als mit AutoVPN mit dynamischen Routing-Protokollen.

Beginnend mit Junos OS Version 17.4R1, AutoVPN-Netzwerken, die sichere Tunnelschnittstellen im Point-to-Point-Modus verwenden, unterstützen IPv6-Adressen für Datenverkehrs-Selektoren und IKE-Peers.

Wenn der Hub-to-Spoke-Tunnel eingerichtet wird, verwendet der Hub den ARI (Auto Route Insertion), der in früheren Versionen als Reverse Route Insertion (RRI) bekannt ist, um die Route zum Spoke-Präfix in seine Routing-Tabelle einzufügen. Die ARI-Route kann dann in Routing-Protokolle importiert und in das Core-Netzwerk verteilt werden.

AutoVPN mit Datenverkehrs-Selektoren kann mit der secure tunnel (st0)-Schnittstelle im Point-to-Point-Modus sowohl für IKEv1 als auch für IKEv2 konfiguriert werden.

Dynamische Routing-Protokolle werden an st0-Schnittstellen nicht unterstützt, wenn Datenverkehrs-Selektoren konfiguriert werden.

Beachten Sie die folgenden Einschränkungen bei der Konfiguration von AutoVPN mit Datenverkehrs-Selektoren:

  • Dynamische Routing-Protokolle werden im Point-to-Point-Modus nicht mit Datenverkehrs-Selektoren mit ST0-Schnittstellen unterstützt.

  • Auto Discovery VPN und IKEv2-Konfigurations-Payload können nicht mit AutoVPN mit Datenverkehrs-Selektoren konfiguriert werden.

  • Speichen können Geräte der SRX-Serie sein; Beachten Sie jedoch die folgenden Unterschiede:

    • In IKEv2 kann eine Spoke-Lösung ohne SRX-Serie mehrere Datenverkehrs-Selektoren in einer einzigen SA-Aushandlung vorschlagen. Dies wird auf Geräten der SRX-Serie nicht unterstützt, und die Aushandlung wird abgelehnt.

    • Eine Spoke-Lösung ohne SRX-Serie kann bestimmte Ports oder Protokolle für die Verwendung des Datenverkehrs-Selektors identifizieren. Ports und Protokolle werden mit Datenverkehrs-Selektoren auf Geräten der SRX-Serie nicht unterstützt, und die Aushandlung wird abgelehnt.

Verstehen der Spoke-Authentifizierung in AutoVPN-Bereitstellungen

In AutoVPN-Bereitstellungen müssen die Hub-and-Spoke-Geräte über gültige X.509 PKI-Zertifikate geladen sein. Mithilfe des Befehls show security pki local-certificate detail können Informationen zu den in einem Gerät geladenen Zertifikaten angezeigt werden.

Dieses Thema behandelt die Konfiguration auf dem Hub, mit dem Spokes authentifiziert und eine Verbindung zum Hub herstellen können:

Gruppen-IKE-ID-Konfiguration am Hub

Die Gruppen-IKE-ID-Funktion ermöglicht es einer Reihe von Spoke-Geräten, eine IKE-Konfiguration auf dem Hub gemeinsam zu nutzen. Die Identifizierung des Zertifikatsinhabers muss in den Betreff- oder anderen Betrefffeldern im X.509-Zertifikat jedes Spokes einen gemeinsamen Teil für alle Spokes enthalten; der gemeinsame Teil der Zertifikatsidentifizierung wird für die IKE-Konfiguration am Hub angegeben.

Beispielsweise kann die IKE-ID example.net auf dem Hub konfiguriert werden, um Spokes mit den Hostnamen device1.example.netzu identifizieren , device2.example.netund device3.example.net. Das Zertifikat auf jeder Spoke muss eine Hostnamenidentität im alternativen Betrefffeld mit example.net im rechtsten Teil des Feldes enthalten; zum Beispiel device1.example.net. In diesem Beispiel verwenden alle Spokes diese Hostnamenidentität in ihrer IKE-ID-Payload. Während der IKE-Aushandlung wird die IKE-ID von einer Spoke verwendet, um den gemeinsamen Teil der am Hub konfigurierten Peer-IKE-Identität zu entsprechen. Ein gültiges Zertifikat authentifiziert den Spoke.

Der gemeinsame Teil der Zertifikatsidentifizierung kann einer der folgenden sein:

  • Ein partieller Hostname im rechten Teil des alternativen Betrefffelds des Zertifikats, z. B example.net. .

  • Eine teilweise E-Mail-Adresse im rechten Teil des alternativen Betrefffelds des Zertifikats, z. B @example.net. .

  • Eine Container-Zeichenfolge, eine Gruppe von Platzhaltern oder beides, um den Betrefffeldern des Zertifikats zu entsprechen. Die Betrefffelder enthalten Details des Inhabers digitaler Zertifikate im Format Abstract Syntax Notation One (ASN.1) Distinguished Name (DN). Zu den Feldern können Organisation, Organisationseinheit, Land, Ort oder gemeinsamer Name gehören.

    Um eine Gruppen-IKE-ID so zu konfigurieren, dass sie mit Betrefffeldern in Zertifikaten übereinstimmt, können Sie die folgenden Arten von Identitätsgleichung angeben:

    • Container: Der Hub authentifiziert die IKE-ID der Spoke, wenn die Betrefffelder des Spoke-Zertifikats genau mit den am Hub konfigurierten Werten übereinstimmen. Für jedes Betrefffeld können mehrere Einträge angegeben werden (z. B ou=eng,ou=sw. ). Die Reihenfolge der Werte in den Feldern muss übereinstimmen.

    • Wildcard: Der Hub authentifiziert die IKE-ID der Spoke, wenn die Betrefffelder des Spoke-Zertifikats mit den am Hub konfigurierten Werten übereinstimmen. Die Wildcard-Übereinstimmung unterstützt nur einen Wert pro Feld (z. B ou=eng . oder ou=sw aber nicht ou=eng,ou=sw). Die Reihenfolge der Felder ist inkonsequent.

Im folgenden Beispiel wird eine Gruppen-IKE-ID mit dem partiellen Hostnamen example.net im alternativen Betrefffeld des Zertifikats konfiguriert.

In diesem Beispiel example.net wird der gemeinsame Teil der Hostnamenidentifizierung für alle Spokes verwendet. Alle X.509-Zertifikate auf den Spokes müssen eine Hostnamenidentität im alternativen Betrefffeld mit example.net im rechten Teil enthalten. Alle Spokes müssen die Hostnamenidentität in ihrem IKE ID-Payload verwenden.

Im folgenden Beispiel wird eine Gruppen-IKE-ID mit Platzhaltern konfiguriert, die den Werten sales in der Organisationseinheit und example den Betrefffeldern der Organisation des Zertifikats entspricht.

In diesem Beispiel sind die Felder ou=sales,o=example der gemeinsame Teil des Betrefffelds in den Zertifikaten, die von den Spokes erwartet werden. Wenn eine Spoke während der IKE-Aushandlung ein Zertifikat mit den Betrefffeldern cn=alice,ou=sales,o=example in ihrem Zertifikat vorbringt, ist die Authentifizierung erfolgreich und der Tunnel wird eingerichtet. Wenn eine Spoke ein Zertifikat mit den Betrefffeldern cn=thomas,ou=engineer,o=example in ihrem Zertifikat vorweist, wird das Zertifikat vom Hub abgelehnt, da die Organisationseinheit sein salessollte.

Eine Spoke-Verbindung ausschließen

Um eine bestimmte Spoke von der Verbindung mit dem Hub auszuschließen, muss das Zertifikat für diese Spoke widerrufen werden. Der Hub muss die neueste Zertifikats-Widerrufsliste (Certificate Revocation List, CRL) aus der Zertifizierungsstelle abrufen, die die Seriennummer des widerrufenen Zertifikats enthält. Der Hub lehnt dann eine VPN-Verbindung vom widerrufenen Spoke ab. Bis die neueste CRL im Hub verfügbar ist, kann der Hub weiterhin einen Tunnel von der widerrufenen Spoke einrichten. Weitere Informationen finden Sie unter Verstehen des Online-Zertifikatstatus Protokoll- und Zertifikats-Widerrufslisten und Verstehen von Zertifikatsautoritätsprofilen.

AutoVPN-Konfiguration – Übersicht

Die folgenden Schritte beschreiben die grundlegenden Aufgaben für die Konfiguration von AutoVPN auf Hub-and-Spoke-Geräten. Der AutoVPN-Hub wird einmal für alle aktuellen und neuen Spokes konfiguriert.

So konfigurieren Sie den AutoVPN-Hub:

  1. Registrieren Sie ein CA-Zertifikat und das lokale Zertifikat auf dem Gerät.
  2. Erstellen Sie eine sichere Tunnelschnittstelle (st0) und konfigurieren Sie sie im Point-to-Multipoint-Modus.
  3. Konfigurieren Sie eine einzige IKE-Richtlinie.
  4. Konfigurieren Sie ein IKE-Gateway mit einer Gruppen-IKE-ID, die allen Spokes gemeinsam ist.
  5. Konfigurieren Sie eine einzelne IPsec-Richtlinie und ein einzelnes VPN.
  6. Konfigurieren Sie ein dynamisches Routing-Protokoll.

So konfigurieren Sie ein AutoVPN-Spoke-Gerät der SRX-Serie:

  1. Registrieren Sie ein CA-Zertifikat und das lokale Zertifikat auf dem Gerät.

  2. Erstellen Sie eine ST0-Schnittstelle und konfigurieren Sie sie im Point-to-Multipoint-Modus.

  3. Konfigurieren Sie eine IKE-Richtlinie, die mit der am Hub konfigurierten IKE-Richtlinie übereinstimmt.

  4. Konfigurieren Sie ein IKE-Gateway mit einer ID, die der am Hub konfigurierten Gruppen-IKE-ID entspricht.

  5. Konfigurieren Sie eine IPsec-Richtlinie, die der am Hub konfigurierten IPsec-Richtlinie entspricht.

  6. Konfigurieren Sie ein dynamisches Routing-Protokoll.

Beispiel: Konfiguration von Basic AutoVPN mit iBGP

In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub so konfiguriert wird, dass er als einzelner Endpunkt fungiert und dann zwei Spokes konfiguriert, um als Tunnel zu Remotestandorten zu fungieren. In diesem Beispiel wird iBGP konfiguriert, um Pakete über die VPN-Tunnel weiterzuleiten.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes

  • Junos OS-Version 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Erhalten Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zur Weiterleitung von Paketen über die VPN-Tunnel verwendet wird. Weitere Informationen zu bestimmten Anforderungen an ein dynamisches Routingprotokoll finden Sie in der Übersicht über Routingprotokolle.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen von zwei Spokes.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät über das Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate für die Spokes enthalten den Organisationseinheiten-Wert "SLT" im Betrefffeld; wird der Hub mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entspricht.

Die Spokes stellen IPSec-VPN-Verbindungen zum Hub her, wodurch sie sowohl miteinander kommunizieren als auch auf Ressourcen im Hub zugreifen können. Die auf dem AutoVPN-Hub und allen Spokes konfigurierten IKE-Tunneloptionen für Phase 1 und Phase 2 müssen die gleichen Werte aufweisen. Tabelle 3 zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 3: Phase 1- und Phase 2-Optionen für AutoVPN Hub-and-Spoke-Konfigurationen

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman (DH)-Gruppe

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE-Richtlinie:

Modus

Wichtigsten

IPsec-Vorschlag:

Protokoll

ESP

Authentifizierungsalgorithmus

HMAC MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten wird dieselbe Certificate Authority (CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Ebene der Zertifikathierarchie.

Tabelle 4 zeigt die am Hub und auf allen Spokes konfigurierten Optionen an.

Tabelle 4: AutoVPN-Konfiguration für Hub- und Alle Spokes

Option

Hub

Alle Spokes

IKE-Gateway:

Remote-IP-Adresse

Dynamische

10.1.1.1

Remote-IKE-ID

Distinguished Name (DN) auf dem Spoke-Zertifikat mit der Zeichenfolge SLT im Feld Organisationseinheit (OU)

DN auf dem Hub-Zertifikat

Lokale IKE-ID

DN auf dem Hub-Zertifikat

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

ge-0/0/1.0

Spoke 1: fe-0/0/1.0

Spoke 2: ge-0/0/1.0

VPN:

Bind-Schnittstelle

st0.0

st0.0

Tunnel einrichten

(nicht konfiguriert)

Sofort nach Konfigurations-Commit

Tabelle 5 zeigt die Konfigurationsoptionen an, die auf jeder Spoke unterschiedlich sind.

Tabelle 5: Vergleich zwischen den Spoke-Konfigurationen

Option

Spoke 1

Spoke 2

St0.0-Schnittstelle

10.10.10.2/24

10.10.10.3/24

Schnittstelle zum internen Netzwerk

(fe-0.0/4.0) 10.60.60.1/24

(fe-0.0/4.0) 10,70,70,1/24

Schnittstelle zum Internet

(fe-0/0/1.0) 10.2.2.1/30

(ge-0/0/1.0) 10.3.3.1/30

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Restriktivere Sicherheitsrichtlinien sollten für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 1 zeigt in diesem Beispiel die Geräte der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 1: Grundlegende AutoVPN-Bereitstellung mit iBGP Grundlegende AutoVPN-Bereitstellung mit iBGP

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie über das Simple Certificate Enrollment Protocol (SCEP) auf Hub-and-Spoke-Geräten online CA- und lokale Zertifikate erhalten.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP am Hub:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

Schritt-für-Schritt-Verfahren

Um digitale Zertifikate mit SCEP on Spoke 1 zu registrieren:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (ORGANISATIONSeinheit) lautet SLT. Die IKE-Konfiguration auf dem Hub umfasst ou=SLT die Identifizierung der Spoke.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (ORGANISATIONSeinheit) lautet SLT. Die IKE-Konfiguration auf dem Hub umfasst ou=SLT die Identifizierung der Spoke.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show protocolsshow policy-options, show security ikeshow routing-options, show security ipsec, show security policiesshow security zonesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfiguration von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show protocolsshow policy-options, show security ikeshow routing-options, show security ipsec, show security policiesshow security zonesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Spoke-Konfiguration 2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 2:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show protocolsshow policy-options, show security ikeshow routing-options, show security ipsec, show security policiesshow security zonesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des IKE Phase 1-Status

Zweck

Überprüfen Sie den IKE Phase 1-Status.

Aktion

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen des IPsec Phase 2-Status

Zweck

Überprüfen Sie den IPsec Phase 2-Status.

Aktion

Geben Sie im Betriebsmodus den security ipsec security-associations Befehl ein.

Bedeutung

Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 2. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen von IPsec Next-Hop-Tunneln

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Aktion

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte mit dem korrekten IPsec-VPN-Namen verknüpft sein.

Überprüfung von BGP

Zweck

Vergewissern Sie sich, dass BGP auf die IP-Adressen für die st0 Schnittstellen der Spokes verweist.

Aktion

Geben Sie im Betriebsmodus den show bgp summary Befehl ein.

Überprüfen der erlernten Routen

Zweck

Überprüfen Sie, ob die Routen zu den Spokes erlernt wurden.

Aktion

Geben Sie im Betriebsmodus den show route 10.60.60.0 Befehl ein.

Geben Sie im Betriebsmodus den show route 10.70.70.0 Befehl ein.

Beispiel: Konfigurieren von Basic AutoVPN mit iBGP für IPv6-Datenverkehr

In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub so konfiguriert wird, dass er als einzelner Endpunkt fungiert und dann zwei Spokes konfiguriert, um als Tunnel zu Remotestandorten zu fungieren. In diesem Beispiel wird AutoVPN für IPv6-Umgebungen mithilfe von iBGP konfiguriert, um Pakete über die VPN-Tunnel weiterzuleiten.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes.

  • Junos OS Version 18.1R1 und höher.

Bevor Sie beginnen:

  • Erhalten Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zur Weiterleitung von Paketen über die VPN-Tunnel verwendet wird. Weitere Informationen zu bestimmten Anforderungen an ein dynamisches Routingprotokoll finden Sie in der Übersicht über Routingprotokolle.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen von zwei Spokes.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät über das Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate für die Spokes enthalten den Organisationseinheiten-Wert "SLT" im Betrefffeld; wird der Hub mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entspricht.

Die Spokes stellen IPSec-VPN-Verbindungen zum Hub her, wodurch sie sowohl miteinander kommunizieren als auch auf Ressourcen im Hub zugreifen können. Die auf dem AutoVPN-Hub und allen Spokes konfigurierten IKE-Tunneloptionen für Phase 1 und Phase 2 müssen die gleichen Werte aufweisen. Tabelle 6 zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 6: Phase 1- und Phase 2-Optionen für AutoVPN Hub-and-Spoke-Konfigurationen

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman (DH)-Gruppe

19

Authentifizierungsalgorithmus

SHA-384

Verschlüsselungsalgorithmus

AES 256 CBC

IKE-Richtlinie:

Modus

Wichtigsten

IPsec-Vorschlag:

Protokoll

ESP

Lebenszeit-Sekunden

3000

Verschlüsselungsalgorithmus

AES 256 GCM

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

19

Auf allen Geräten wird dieselbe Certificate Authority (CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Ebene der Zertifikathierarchie.

Tabelle 7 zeigt die am Hub und auf allen Spokes konfigurierten Optionen an.

Tabelle 7: AutoVPN-Konfiguration für Hub- und Alle Spokes

Option

Hub

Alle Spokes

IKE-Gateway:

Remote-IP-Adresse

Dynamische

2001:db8:2000::1

Remote-IKE-ID

Distinguished Name (DN) auf dem Spoke-Zertifikat mit der Zeichenfolge SLT im Feld Organisationseinheit (OU)

DN auf dem Hub-Zertifikat

Lokale IKE-ID

DN auf dem Hub-Zertifikat

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

ge-0/0/0

Spoke 1: ge-0/0/0.0

Spoke 2: ge-0/0/0.0

VPN:

Bind-Schnittstelle

st0.1

st0.1

Tunnel einrichten

(nicht konfiguriert)

Einrichten von Tunneln auf dem Datenverkehr

Tabelle 8 zeigt die Konfigurationsoptionen an, die auf jeder Spoke unterschiedlich sind.

Tabelle 8: Vergleich zwischen den Spoke-Konfigurationen

Option

Spoke 1

Spoke 2

St0.0-Schnittstelle

2001:db8:7000::2/64

2001:db8:7000::3/64

Schnittstelle zum internen Netzwerk

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Schnittstelle zum Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Restriktivere Sicherheitsrichtlinien sollten für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 2 zeigt in diesem Beispiel die Geräte der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 2: Grundlegende AutoVPN-Bereitstellung mit iBGP Grundlegende AutoVPN-Bereitstellung mit iBGP

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie über das Simple Certificate Enrollment Protocol (SCEP) auf Hub-and-Spoke-Geräten online CA- und lokale Zertifikate erhalten.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP am Hub:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

Schritt-für-Schritt-Verfahren

Um digitale Zertifikate mit SCEP on Spoke 1 zu registrieren:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (ORGANISATIONSeinheit) lautet SLT. Die IKE-Konfiguration auf dem Hub umfasst ou=SLT die Identifizierung der Spoke.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (ORGANISATIONSeinheit) lautet SLT. Die IKE-Konfiguration auf dem Hub umfasst ou=SLT die Identifizierung der Spoke.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show protocolsshow policy-options, show security ikeshow routing-options, show security ipsec, show security policiesshow security zonesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfiguration von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show protocolsshow policy-options, show security ikeshow routing-options, show security ipsec, show security policiesshow security zonesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Spoke-Konfiguration 2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 2:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show protocolsshow policy-options, show security ikeshow routing-options, show security ipsec, show security policiesshow security zonesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des IKE-Status

Zweck

Überprüfen Sie den IKE-Status.

Aktion

Geben Sie im Betriebsmodus den show security ike sa Befehl ein.

Bedeutung

Der show security ike sa Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen des IPsec-Status

Zweck

Überprüfen Sie den IPsec-Status.

Aktion

Geben Sie im Betriebsmodus den show security ipsec sa Befehl ein.

Bedeutung

Der show security ipsec sa Befehl listet alle aktiven IKE Phase 2-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 2. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen von IPsec Next-Hop-Tunneln

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Aktion

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte mit dem korrekten IPsec-VPN-Namen verknüpft sein.

Überprüfung von BGP

Zweck

Vergewissern Sie sich, dass BGP auf die IP-Adressen für die st0 Schnittstellen der Spokes verweist.

Aktion

Geben Sie im Betriebsmodus den show bgp summary Befehl ein.

Beispiel: Konfigurieren von AutoVPN mit iBGP und ECMP

In diesem Beispiel wird gezeigt, wie zwei IPsec-VPN-Tunnel zwischen einem AutoVPN-Hub und Spoke konfiguriert werden. In diesem Beispiel wird iBGP mit Equal-Cost Multipath (ECMP) konfiguriert, um Pakete über die VPN-Tunnel weiterzuleiten.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spoke

  • Junos OS-Version 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Erhalten Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zur Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN-Hubs und einer Spoke mit zwei IPsec-VPN-Tunneln.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät über das Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate sind am Hub und am Spoke für jeden IPsec-VPN-Tunnel registriert. Eines der Zertifikate für die Spoke enthält den Organisationseinheiten-Wert "SLT" im distinguished Name (DN); wird der Hub mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entspricht. Das andere Zertifikat für die Spoke enthält den OU-Wert "SBU" im DN; wird der Hub mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SBU" im OU-Feld entspricht.

Die Spoke stellt IPSec-VPN-Verbindungen zum Hub her, wodurch auf Ressourcen auf dem Hub zugegriffen werden kann. Phase 1- und Phase 2-IKE-Tunneloptionen, die auf dem AutoVPN-Hub und der Spoke konfiguriert sind, müssen die gleichen Werte aufweisen.Tabelle 9 zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 9: Phase 1- und Phase 2-Optionen für AutoVPN Hub and Spoke iBGP ECMP-Konfigurationen

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman (DH)-Gruppe

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE-Richtlinie:

Modus

Wichtigsten

IPsec-Vorschlag:

Protokoll

ESP

Authentifizierungsalgorithmus

HMAC MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten wird dieselbe Certificate Authority (CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Ebene der Zertifikathierarchie.

Tabelle 10 zeigt die am Hub und auf der Spoke konfigurierten Optionen an.

Tabelle 10: AutoVPN iBGP ECMP-Konfiguration für Hub-and-Spoke 1

Option

Hub

Spoke 1

IKE-Gateway:

Remote-IP-Adresse

hub-to-spoke-gw-1: Dynamische

hub-to-spoke-gw-2: Dynamische

Spoke-to-Hub-gw-1: 10.1.1.1

Spoke-to-Hub-gw-2: 10.1.2.1

Remote-IKE-ID

Hub-to-Spoke-gw-1: DN auf dem Spoke-Zertifikat mit der Zeichenfolge SLT im OU-Feld

Hub-to-Spoke-gw-2: DN auf dem Spoke-Zertifikat mit der Zeichenfolge SBU im OU-Feld

Spoke-to-Hub-gw-1: DN auf dem Hub-Zertifikat

Spoke-to-Hub-gw-2: DN auf dem Hub-Zertifikat

Lokale IKE-ID

DN auf dem Hub-Zertifikat

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

Hub-to-Spoke-gw-1: ge-0/0/1.0

Hub-to-Spoke-gw-2: ge-0/0/2.0

Spoke-to-Hub-gw-1: fe-0/0/1.0

Spoke-to-Hub-gw-2: fe-0/0/2.0

VPN:

Bind-Schnittstelle

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

Tunnel einrichten

(nicht konfiguriert)

Sofort nach Konfigurations-Commit

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Restriktivere Sicherheitsrichtlinien sollten für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 3 zeigt in diesem Beispiel die Geräte der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 3: AutoVPN-Bereitstellung mit iBGP und ECMP AutoVPN-Bereitstellung mit iBGP und ECMP

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie über das Simple Certificate Enrollment Protocol (SCEP) auf Hub-and-Spoke-Geräten online CA- und lokale Zertifikate erhalten.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP am Hub:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Registrieren Sie die lokalen Zertifikate.

  5. Überprüfen Sie die lokalen Zertifikate.

Schritt-für-Schritt-Verfahren

Um digitale Zertifikate mit SCEP on Spoke 1 zu registrieren:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Registrieren Sie die lokalen Zertifikate.

  5. Überprüfen Sie die lokalen Zertifikate.

    Die im Betrefffeld dargestellte Organisationseinheit (Organisationseinheit) ist SLT für Local1 und SBU local2. Die IKE-Konfigurationen auf dem Hub umfassen OU=SLT und OU=SBU um die Spoke zu identifizieren.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show protocolsshow policy-options, show security ikeshow routing-options, show security ipsec, show security policiesshow security zonesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfiguration von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show protocolsshow policy-options, show security ikeshow routing-options, show security ipsec, show security policiesshow security zonesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des IKE Phase 1-Status

Zweck

Überprüfen Sie den IKE Phase 1-Status.

Aktion

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 1 müssen am Hub and Spoke übereinstimmen.

Überprüfen des IPsec Phase 2-Status

Zweck

Überprüfen Sie den IPsec Phase 2-Status.

Aktion

Geben Sie im Betriebsmodus den security ipsec security-associations Befehl ein.

Bedeutung

Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 2. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 2 müssen am Hub and Spoke übereinstimmen.

Überprüfen von IPsec Next-Hop-Tunneln

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Aktion

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte mit dem korrekten IPsec-VPN-Namen verknüpft sein.

Überprüfung von BGP

Zweck

Vergewissern Sie sich, dass BGP auf die IP-Adressen für die st0 Schnittstellen der Spoke verweist.

Aktion

Geben Sie im Betriebsmodus den show bgp summary Befehl ein.

Überprüfen der erlernten Routen

Zweck

Stellen Sie sicher, dass Die Routen zum Spoke erlernt wurden.

Aktion

Geben Sie im Betriebsmodus den show route 10.60.60.0 detail Befehl ein.

Überprüfen der Routeninstallation in der Weiterleitungstabelle

Zweck

Überprüfen Sie, ob Routen zur Spoke in der Weiterleitungstabelle installiert wurden.

Aktion

Geben Sie im Betriebsmodus den show route forwarding-table matching 10.60.60.0 Befehl ein.

Beispiel: Konfigurieren von AutoVPN mit iBGP- und Active-Backup-Tunneln

In diesem Beispiel wird gezeigt, wie aktive und Backup-IPsec-VPN-Tunnel zwischen einem AutoVPN-Hub und Spoke konfiguriert werden. In diesem Beispiel wird iBGP konfiguriert, um den Datenverkehr durch die VPN-Tunnel weiterzuleiten.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spoke

  • Junos OS-Version 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Erhalten Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zur Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN-Hubs und einer Spoke mit zwei IPsec-VPN-Tunneln.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät über das Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate sind am Hub und am Spoke für jeden IPsec-VPN-Tunnel registriert. Eines der Zertifikate für die Spoke enthält den Organisationseinheiten-Wert "SLT" im distinguished Name (DN); wird der Hub mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entspricht. Das andere Zertifikat für die Spoke enthält den OU-Wert "SBU" im DN; wird der Hub mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SBU" im OU-Feld entspricht.

Die Spoke stellt IPSec-VPN-Verbindungen zum Hub her, wodurch auf Ressourcen auf dem Hub zugegriffen werden kann. Phase 1- und Phase 2-IKE-Tunneloptionen, die auf dem AutoVPN-Hub und der Spoke konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 11 zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 11: Phase 1- und Phase 2-Optionen für AutoVPN Hub and Spoke iBGP Active-Backup-Tunnelkonfigurationen

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman (DH)-Gruppe

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE-Richtlinie:

Modus

Wichtigsten

IPsec-Vorschlag:

Protokoll

ESP

Authentifizierungsalgorithmus

HMAC MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten wird dieselbe Certificate Authority (CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Ebene der Zertifikathierarchie.

Tabelle 12 zeigt die am Hub und auf der Spoke konfigurierten Optionen an.

Tabelle 12: AutoVPN IBGP Active-Backup Tunnel-Konfiguration für Hub-and-Spoke 1

Option

Hub

Spoke 1

IKE-Gateway:

Remote-IP-Adresse

hub-to-spoke-gw-1: Dynamische

hub-to-spoke-gw-2: Dynamische

Spoke-to-Hub-gw-1: 10.1.1.1

Spoke-to-Hub-gw-2: 10.1.2.1

Remote-IKE-ID

Hub-to-Spoke-gw-1: DN auf dem Spoke-Zertifikat mit der Zeichenfolge SLT im OU-Feld

Hub-to-Spoke-gw-2: DN auf dem Spoke-Zertifikat mit der Zeichenfolge SBU im OU-Feld

Spoke-to-Hub-gw-1: DN auf dem Hub-Zertifikat

Spoke-to-Hub-gw-2: DN auf dem Hub-Zertifikat

Lokale IKE-ID

DN auf dem Hub-Zertifikat

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

Hub-to-Spoke-gw-1: ge-0/0/1.0

Hub-to-Spoke-gw-2: ge-0/0/2.0

Spoke-to-Hub-gw-1: fe-0/0/1.0

Spoke-to-Hub-gw-2: fe-0/0/2.0

VPN:

Bind-Schnittstelle

hub-to-spoke-vpn-1: st0.0

hub-to-spoke-vpn-2: st0.1

spoke-to-hub-1: st0.0

spoke-to-hub-2: st0.1

VPN-Monitor

Hub-to-Spoke-VPN-1: ge-0/0/1.0 (Quellschnittstelle)

Hub-to-Spoke-VPN-2: ge-0/0/2.0 (Quellschnittstelle)

spoke-to-hub-1: 10.1.1.1 (Ziel-IP)

spoke-to-hub-2: 10.1.2.1 (Ziel-IP)

Tunnel einrichten

(nicht konfiguriert)

Sofort nach Konfigurations-Commit

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Restriktivere Sicherheitsrichtlinien sollten für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 4 zeigt in diesem Beispiel die Geräte der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 4: AutoVPN-Bereitstellung mit iBGP- und Active-Backup-Tunneln AutoVPN-Bereitstellung mit iBGP- und Active-Backup-Tunneln

In diesem Beispiel werden zwei IPSec-VPN-Tunnel zwischen Hub und Spoke 1 eingerichtet. Routing-Informationen werden über iBGP-Sitzungen in jedem Tunnel ausgetauscht. Die längste Prefix-Übereinstimmung für die Route zu 10.60.60.0/24 erfolgt über die st0.0-Schnittstelle am Hub. Der primäre Tunnel für die Route verläuft also über die St0.0-Schnittstellen am Hub und Spoke 1. Die Standardroute verläuft durch den Backup-Tunnel an den St0.1-Schnittstellen am Hub und Spoke 1.

Die VPN-Überwachung überprüft den Status der Tunnel. Wenn es ein Problem mit dem primären Tunnel gibt (z. B. das Remote-Tunnel-Gateway ist nicht erreichbar), ändert sich der Tunnelstatus nach unten und Daten, die für 10.60.60.0/24 bestimmt sind, werden durch den Backup-Tunnel umgeleitet.

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie über das Simple Certificate Enrollment Protocol (SCEP) auf Hub-and-Spoke-Geräten online CA- und lokale Zertifikate erhalten.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP am Hub:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Registrieren Sie die lokalen Zertifikate.

  5. Überprüfen Sie die lokalen Zertifikate.

Schritt-für-Schritt-Verfahren

Um digitale Zertifikate mit SCEP on Spoke 1 zu registrieren:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Generieren Sie für jedes Zertifikat ein Schlüsselpaar.

  4. Registrieren Sie die lokalen Zertifikate.

  5. Überprüfen Sie die lokalen Zertifikate.

    Die im Betrefffeld dargestellte Organisationseinheit (Organisationseinheit) ist SLT für Local1 und SBU local2. Die IKE-Konfigurationen auf dem Hub umfassen OU=SLT und OU=SBU um die Spoke zu identifizieren.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show protocolsshow policy-options, show security ikeshow routing-options, show security ipsec, show security policiesshow security zonesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfiguration von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Routing-Protokoll konfigurieren.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show protocolsshow policy-options, show security ikeshow routing-options, show security ipsec, show security policiesshow security zonesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des IKE Phase 1-Status (beide Tunnel sind aktiv)

Zweck

Überprüfen Sie den IKE Phase 1-Status, wenn beide IPSec-VPN-Tunnel aktiv sind.

Aktion

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 1 müssen am Hub and Spoke übereinstimmen.

Überprüfen des IPsec Phase 2-Status (beide Tunnel sind aktiv)

Zweck

Überprüfen Sie den IPsec Phase 2-Status, wenn beide IPsec-VPN-Tunnel aktiv sind.

Aktion

Geben Sie im Betriebsmodus den security ipsec security-associations Befehl ein.

Bedeutung

Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 2. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 2 müssen am Hub and Spoke übereinstimmen.

Überprüfen von IPsec Next-Hop-Tunneln (beide Tunnel sind aktiv)

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Aktion

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Spoke-Schnittstellen. Der nächste Hop sollte mit dem korrekten IPsec-VPN-Namen verknüpft sein.

Überprüfen von BGP (beide Tunnel sind aktiv)

Zweck

Vergewissern Sie sich, dass BGP auf die IP-Adressen für die st0 Schnittstellen der Spoke verweist, wenn beide IPsec-VPN-Tunnel verfügbar sind.

Aktion

Geben Sie im Betriebsmodus den show bgp summary Befehl ein.

Überprüfen der erlernten Routen (beide Tunnel sind aktiv)

Zweck

Vergewissern Sie sich, dass beim Hochfahren beider Tunnel Routen zur Spoke gelernt wurden. Die Route zu 10.60.60.0/24 verläuft über die st0.0-Schnittstelle, und die Standardroute verläuft über die St0.1-Schnittstelle.

Aktion

Geben Sie im Betriebsmodus den show route 10.60.60.0 Befehl ein.

Geben Sie im Betriebsmodus den show route 0.0.0.0 Befehl ein.

Überprüfung des IKE Phase 1-Status (Primärtunnel ist aus)

Zweck

Überprüfen Sie den IKE Phase 1-Status, wenn der primäre Tunnel ausfällt.

Aktion

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 1 müssen am Hub and Spoke übereinstimmen.

Überprüfung des IPsec Phase 2-Status (Primärtunnel ist nicht mehr erforderlich)

Zweck

Überprüfen Sie den IPsec Phase 2-Status, wenn der primäre Tunnel ausfällt.

Aktion

Geben Sie im Betriebsmodus den security ipsec security-associations Befehl ein.

Bedeutung

Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 2. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 2 müssen am Hub and Spoke übereinstimmen.

Überprüfen von IPsec Next-Hop-Tunneln (Primärtunnel ist nicht mehr erforderlich)

Zweck

Überprüfen Sie den IPsec-Next-Hop-Tunnel.

Aktion

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Spoke-Schnittstellen. Der nächste Hop sollte mit dem korrekten IPsec-VPN-Namen, in diesem Fall dem Backup-VPN-Tunnel, verknüpft sein.

Überprüfung von BGP (Primärtunnel ist down)

Zweck

Vergewissern Sie sich, dass BGP auf die IP-Adressen für die st0 Schnittstellen der Spoke verweist, wenn der primäre Tunnel ausfällt.

Aktion

Geben Sie im Betriebsmodus den show bgp summary Befehl ein.

Überprüfen erlernter Routen (Primärtunnel ist down)

Zweck

Vergewissern Sie sich, dass beim Ausfall des primären Tunnels Routen zur Spoke gelernt wurden. Sowohl die Route zu 10.60.60.0/24 als auch die Standardroute laufen über die St0.1-Schnittstelle.

Aktion

Geben Sie im Betriebsmodus den show route 10.60.60.0 Befehl ein.

Geben Sie im Betriebsmodus den show route 0.0.0.0 Befehl ein.

Beispiel: Konfigurieren von Basic AutoVPN mit OSPF

In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub so konfiguriert wird, dass er als einzelner Endpunkt fungiert und dann zwei Spokes konfiguriert, um als Tunnel zu Remotestandorten zu fungieren. In diesem Beispiel wird OSPF so konfiguriert, dass Pakete über die VPN-Tunnel weitergeleitet werden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes

  • Junos OS-Version 12.1X44-D10 und höher, die AutoVPN unterstützen

Bevor Sie beginnen:

  • Erhalten Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zur Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen von zwei Spokes.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät über das Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate für die Spokes enthalten den Organisationseinheiten-Wert "SLT" im Betrefffeld; wird der Hub mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entspricht.

Die Spokes stellen IPSec-VPN-Verbindungen zum Hub her, wodurch sie sowohl miteinander kommunizieren als auch auf Ressourcen im Hub zugreifen können. Die auf dem AutoVPN-Hub und allen Spokes konfigurierten IKE-Tunneloptionen für Phase 1 und Phase 2 müssen die gleichen Werte aufweisen. Tabelle 13 zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 13: Phase 1- und Phase 2-Optionen für AutoVPN Hub-and-Spoke-Grundlegende OSPF-Konfigurationen

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman (DH)-Gruppe

2

Authentifizierungsalgorithmus

SHA-1

Verschlüsselungsalgorithmus

AES 128 CBC

IKE-Richtlinie:

Modus

Wichtigsten

IPsec-Vorschlag:

Protokoll

ESP

Authentifizierungsalgorithmus

HMAC MD5 96

Verschlüsselungsalgorithmus

DES CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

14

Auf allen Geräten wird dieselbe Certificate Authority (CA) konfiguriert.

Junos OS unterstützt nur eine einzelne Ebene der Zertifikathierarchie.

Tabelle 14 zeigt die am Hub und auf allen Spokes konfigurierten Optionen an.

Tabelle 14: AutoVPN-Basis-OSPF-Konfiguration für Hub- und Alle Spokes

Option

Hub

Alle Spokes

IKE-Gateway:

Remote-IP-Adresse

Dynamische

10.1.1.1

Remote-IKE-ID

Distinguished Name (DN) auf dem Spoke-Zertifikat mit der Zeichenfolge SLT im Feld Organisationseinheit (OU)

DN auf dem Hub-Zertifikat

Lokale IKE-ID

DN auf dem Hub-Zertifikat

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

ge-0/0/1.0

Spoke 1: fe-0/0/1.0

Spoke 2: ge-0/0/1.0

VPN:

Bind-Schnittstelle

st0.0

st0.0

Tunnel einrichten

(nicht konfiguriert)

Sofort nach Konfigurations-Commit

Tabelle 15 zeigt die Konfigurationsoptionen an, die auf jeder Spoke unterschiedlich sind.

Tabelle 15: Vergleich zwischen den grundlegenden OSPF-Spoke-Konfigurationen

Option

Spoke 1

Spoke 2

St0.0-Schnittstelle

10.10.10.2/24

10.10.10.3/24

Schnittstelle zum internen Netzwerk

fe-0.0/4.0: 100.60.60.1/24

fe-0.0/4.0: 10.70.70.1/24

Schnittstelle zum Internet

fe-0/0/1.0: 10.2.2.1/30

ge-0/0/1.0: 10.3.3.1/30

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Restriktivere Sicherheitsrichtlinien sollten für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 5 zeigt in diesem Beispiel die Geräte der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 5: Grundlegende AutoVPN-Bereitstellung mit OSPF Grundlegende AutoVPN-Bereitstellung mit OSPF

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie über das Simple Certificate Enrollment Protocol (SCEP) auf Hub-and-Spoke-Geräten online CA- und lokale Zertifikate erhalten.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP am Hub:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

Schritt-für-Schritt-Verfahren

Um digitale Zertifikate mit SCEP on Spoke 1 zu registrieren:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (ORGANISATIONSeinheit) lautet SLT. Die IKE-Konfiguration auf dem Hub umfasst ou=SLT die Identifizierung der Spoke.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (ORGANISATIONSeinheit) lautet SLT. Die IKE-Konfiguration auf dem Hub umfasst ou=SLT die Identifizierung der Spoke.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfiguration von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Spoke-Konfiguration 2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 2:

  1. Schnittstellen konfigurieren.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des IKE Phase 1-Status

Zweck

Überprüfen Sie den IKE Phase 1-Status.

Aktion

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen des IPsec Phase 2-Status

Zweck

Überprüfen Sie den IPsec Phase 2-Status.

Aktion

Geben Sie im Betriebsmodus den security ipsec security-associations Befehl ein.

Bedeutung

Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 2. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen von IPsec Next-Hop-Tunneln

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Aktion

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte mit dem korrekten IPsec-VPN-Namen verknüpft sein.

Überprüfen von OSPF

Zweck

Vergewissern Sie sich, dass OSPF auf die IP-Adressen für die st0 Schnittstellen der Spokes verweist.

Aktion

Geben Sie im Betriebsmodus den show ospf neighbor Befehl ein.

Überprüfen der erlernten Routen

Zweck

Überprüfen Sie, ob die Routen zu den Spokes erlernt wurden.

Aktion

Geben Sie im Betriebsmodus den show route 60.60.60.0 Befehl ein.

Geben Sie im Betriebsmodus den show route 10.70.70.0 Befehl ein.

Beispiel: Konfigurieren von AutoVPN mit OSPFv3 für IPv6-Datenverkehr

In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub so konfiguriert wird, dass er als einzelner Endpunkt fungiert und dann zwei Spokes konfiguriert, um als Tunnel zu Remotestandorten zu fungieren. In diesem Beispiel wird AutoVPN für IPv6-Umgebungen mit OSPFv3 konfiguriert, um Pakete über die VPN-Tunnel weiterzuleiten.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes.

  • Junos OS Version 18.1R1 und höher.

Bevor Sie beginnen:

  • Erhalten Sie die Adresse der Zertifizierungsstelle (Certificate Authority, CA) und die erforderlichen Informationen (z. B. das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.

Sie sollten mit dem dynamischen Routing-Protokoll vertraut sein, das zur Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.

Überblick

Dieses Beispiel zeigt die Konfiguration eines AutoVPN mit OSPFv3-Routingprotokoll auf dem Hub und die nachfolgenden Konfigurationen von zwei Spokes.

In diesem Beispiel besteht der erste Schritt darin, digitale Zertifikate auf jedem Gerät über das Simple Certificate Enrollment Protocol (SCEP) zu registrieren. Die Zertifikate für die Spokes enthalten den Organisationseinheiten-Wert "SLT" im Betrefffeld; wird der Hub mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entspricht.

Die Spokes stellen IPSec-VPN-Verbindungen zum Hub her, wodurch sie sowohl miteinander kommunizieren als auch auf Ressourcen im Hub zugreifen können. Die auf dem AutoVPN-Hub und allen Spokes konfigurierten IKE-Tunneloptionen für Phase 1 und Phase 2 müssen die gleichen Werte aufweisen. Tabelle 16 zeigt die in diesem Beispiel verwendeten Optionen.

Tabelle 16: Phase-1- und Phase-2-Optionen für AutoVPN Hub-and-Spoke-Grundlegende OSPFv3-Konfigurationen

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

Digitale RSA-Zertifikate

Diffie-Hellman (DH)-Gruppe

19

Authentifizierungsalgorithmus

SHA-384

Verschlüsselungsalgorithmus

AES 256 CBC

IKE-Richtlinie:

Modus

Wichtigsten

IPsec-Vorschlag:

Protokoll

ESP

Lebenszeitsensen

3000

Verschlüsselungsalgorithmus

AES 256 GCM

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

19

Auf allen Geräten wird dieselbe Certificate Authority (CA) konfiguriert.

Tabelle 17 zeigt die am Hub und auf allen Spokes konfigurierten Optionen an.

Tabelle 17: AutoVPN OSPFv3-Konfiguration für Hub- und Alle Spokes

Option

Hub

Alle Spokes

IKE-Gateway:

Remote-IP-Adresse

Dynamische

2001:db8:2000::1

Remote-IKE-ID

Distinguished Name (DN) auf dem Spoke-Zertifikat mit der Zeichenfolge SLT im Feld Organisationseinheit (OU)

DN auf dem Hub-Zertifikat

Lokale IKE-ID

DN auf dem Hub-Zertifikat

DN auf dem Spoke-Zertifikat

Externe Schnittstelle

ge-0/0/0

Spoke 1: ge-0/0/0.0

Spoke 2: ge-0/0/0.0

VPN:

Bind-Schnittstelle

st0.1

st0.1

Tunnel einrichten

(nicht konfiguriert)

Sofort nach Konfigurations-Commit

Tabelle 18 zeigt die Konfigurationsoptionen an, die auf jeder Spoke unterschiedlich sind.

Tabelle 18: Vergleich zwischen den OSPFv3 Spoke-Konfigurationen

Option

Spoke 1

Spoke 2

St0.1-Schnittstelle

2001:db8:7000::2/64

2001:db8:7000::3/64

Schnittstelle zum internen Netzwerk

(ge-0/0/1.0) 2001:db8:4000::1/64

(ge-0/0/1.0) 2001:db8:6000::1/64

Schnittstelle zum Internet

(ge-0/0/0.0) 2001:db8:3000::2/64

(ge-0/0/0.0) 2001:db8:5000::2/64

Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Restriktivere Sicherheitsrichtlinien sollten für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.

Topologie

Abbildung 6 zeigt in diesem Beispiel die Geräte der SRX-Serie, die für AutoVPN konfiguriert werden sollen.

Abbildung 6: Grundlegende AutoVPN-Bereitstellung mit OSPFv3 Grundlegende AutoVPN-Bereitstellung mit OSPFv3

Konfiguration

Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:

Im ersten Abschnitt wird beschrieben, wie Sie über das Simple Certificate Enrollment Protocol (SCEP) auf Hub-and-Spoke-Geräten online CA- und lokale Zertifikate erhalten.

Gerätezertifikate mit SCEP registrieren

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP am Hub:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

Schritt-für-Schritt-Verfahren

Um digitale Zertifikate mit SCEP on Spoke 1 zu registrieren:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (ORGANISATIONSeinheit) lautet SLT. Die IKE-Konfiguration auf dem Hub umfasst ou=SLT die Identifizierung der Spoke.

Schritt-für-Schritt-Verfahren

So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:

  1. Konfigurieren Sie die CA.

  2. Ca-Zertifikat registrieren.

    Geben Sie yes an der Eingabeaufforderung ein, um das CA-Zertifikat zu laden.

  3. Ein Schlüsselpaar generieren.

  4. Lokales Zertifikat registrieren.

  5. Überprüfen Sie das lokale Zertifikat.

    Die im Betrefffeld angezeigte Organisationseinheit (ORGANISATIONSeinheit) lautet SLT. Die IKE-Konfiguration auf dem Hub umfasst ou=SLT die Identifizierung der Spoke.

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Hub:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfiguration von Spoke 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 1:

  1. Schnittstellen konfigurieren.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Spoke-Konfiguration 2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Spoke 2:

  1. Schnittstellen konfigurieren.

  2. Konfigurieren Sie das Routing-Protokoll.

  3. Konfiguration von Phase 1-Optionen.

  4. Konfiguration von Phase 2-Optionen.

  5. Zonen konfigurieren.

  6. Konfigurieren Sie die Standardsicherheitsrichtlinie.

  7. Konfigurieren Sie das CA-Profil.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocols, show routing-options, show security ikeshow security ipsec, show security zones, show security policiesund eingebenshow security pki. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen des IKE-Status

Zweck

Überprüfen Sie den IKE-Status.

Aktion

Geben Sie im Betriebsmodus den show security ike sa Befehl ein.

Bedeutung

Der show security ike sa Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 1 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen des IPsec-Status

Zweck

Überprüfen Sie den IPsec-Status.

Aktion

Geben Sie im Betriebsmodus den show security ipsec sa Befehl ein.

Bedeutung

Der show security ipsec sa Befehl listet alle aktiven IKE Phase 2-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 2. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 2 müssen auf dem Hub und den Spokes übereinstimmen.

Überprüfen von IPsec Next-Hop-Tunneln

Zweck

Überprüfen Sie die IPsec-Next-Hop-Tunnel.

Aktion

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte mit dem korrekten IPsec-VPN-Namen verknüpft sein.

Überprüfen von OSPFv3

Zweck

Vergewissern Sie sich, dass OSPFv3 auf die IP-Adressen für die st0 Schnittstellen der Spokes verweist.

Aktion

Geben Sie im Betriebsmodus den show ospf3 neighbor detail Befehl ein.

Hub:

Spoke 1:

Spoke 2:

Beispiel: Weiterleitung des Datenverkehrs durch einen AutoVPN-Tunnel mit Datenverkehrs-Selektoren

Dieses Beispiel zeigt, wie Sie Datenverkehrs-Selektoren anstelle von dynamischen Routing-Protokollen konfigurieren, um Pakete über einen VPN-Tunnel in einer AutoVPN-Bereitstellung weiterzuleiten. Bei der Konfiguration von Datenverkehrs-Selektoren muss sich die secure tunnel (st0)-Schnittstelle im Point-to-Point-Modus befinden. Die Datenverkehrs-Selektoren sind sowohl auf Hub- als auch Spoke-Geräten konfiguriert.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Geräte der SRX-Serie sind in einem Gehäuse-Cluster verbunden und konfiguriert. Der Chassis-Cluster ist der AutoVPN-Hub.

  • Ein Gerät der SRX-Serie, das als AutoVPN-Spoke konfiguriert ist.

  • Junos OS-Version 12.3X48-D10 oder höher.

  • Digitale Zertifikate, die am Hub und den Spoke-Geräten registriert sind und es den Geräten ermöglichen, sich gegenseitig zu authentifizieren.

Bevor Sie beginnen:

Überblick

In diesem Beispiel werden Datenverkehrs-Selektoren auf dem AutoVPN-Hub and Spoke konfiguriert. Nur Datenverkehr, der dem konfigurierten Datenverkehrs-Selektor entspricht, wird durch den Tunnel weitergeleitet. Auf dem Hub ist der Datenverkehrs-Selektor mit der lokalen IP-Adresse 192.0.0.0/8 und der Remote-IP-Adresse 172.0.0.0/8 konfiguriert. Auf der Spoke ist der Datenverkehrs-Selektor mit der lokalen IP-Adresse 172.0.0.0/8 und der Remote-IP-Adresse 192.0.0.0/8 konfiguriert.

Die auf der Spoke konfigurierten Datenverkehrs-Selektor-IP-Adressen können eine Teilmenge der auf dem Hub konfigurierten Datenverkehrs-Selektor-IP-Adressen sein. Dies wird als flexible Übereinstimmung des Datenverkehrs-Selektors bezeichnet.

Bestimmte Phase-1- und Phase 2-IKE-Tunneloptionen, die auf den AutoVPN-Hubs und Spokes konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 19 zeigt die in diesem Beispiel verwendeten Werte:

Tabelle 19: Phase 1- und Phase 2-Optionen für AutoVPN-Hubs und Spokes mit Datenverkehrs-Selektoren

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

RSA-Signaturen

Diffie-Hellman (DH)-Gruppe

group5

Authentifizierungsalgorithmus

sha-1

Verschlüsselungsalgorithmus

aes-256-cbc

IKE-Richtlinie:

Modus

Wichtigsten

Zertifikat

lokales Zertifikat

IKE-Gateway:

Dynamische

Distinguished Name Platzhalter DC=Common_component

IKE-Benutzertyp

IKE-Id der Gruppe

Lokale Identität

Ausgezeichneter Name

Version

v1-only

IPsec-Vorschlag:

Protokoll

Esp

Authentifizierungsalgorithmus

hmac-sha1-96

Verschlüsselungsalgorithmus

aes-192-cbc

Lebensdauer

3600 Sekunden

150.000 KB

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

Gruppe 5

Topologie

Abbildung 7 zeigt die Geräte der SRX-Serie, die für dieses Beispiel konfiguriert werden sollen.

Abbildung 7: AutoVPN mit Datenverkehrs-Selektoren AutoVPN mit Datenverkehrs-Selektoren

Konfiguration

Konfigurieren des Hubs

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Ab Junos OS Version 15.1X49-D120 können Sie die CLI-Option reject-duplicate-connection auf der [edit security ike gateway gateway-name dynamic] Hierarchieebene so konfigurieren, dass eine vorhandene Tunnelsitzung beibehalten wird und Verhandlungsanforderungen für einen neuen Tunnel mit derselben IKE-ID abgelehnt werden. Standardmäßig wird ein vorhandener Tunnel abgerissen, wenn ein neuer Tunnel mit derselben IKE-ID eingerichtet wird. Die reject-duplicate-connection Option wird nur unterstützt, wenn ike-user-type group-ike-id oder ike-user-type shared-ike-id wenn sie für das IKE-Gateway konfiguriert ist; die aaa access-profile profile-name Konfiguration wird mit dieser Option nicht unterstützt.

Verwenden Sie die CLI-Option reject-duplicate-connection nur, wenn Sie sicher sind, dass die Wiederherstellung eines neuen Tunnels mit derselben IKE-ID abgelehnt werden sollte.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Hub:

  1. Schnittstellen konfigurieren.

  2. Konfiguration von Phase 1-Optionen.

  3. Konfiguration von Phase 2-Optionen.

  4. Konfigurieren Sie Zertifikatsinformationen.

  5. Konfigurieren Sie Sicherheitszonen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show security ike, show security ipsec, show security pkishow security zonesund eingebenshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Spoke-Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Hub:

  1. Schnittstellen konfigurieren.

  2. Konfiguration von Phase 1-Optionen.

  3. Konfiguration von Phase 2-Optionen.

  4. Konfigurieren Sie Zertifikatsinformationen.

  5. Konfigurieren Sie Sicherheitszonen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show security ike, show security ipsec, show security pkishow security zonesund eingebenshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen von Tunneln

Zweck

Überprüfen Sie, ob Tunnel zwischen autoVPN-Hub und Spoke eingerichtet werden.

Aktion

Geben Sie im Betriebsmodus die Befehle und show security ipsec security-associations die show security ike security-associations Befehle des Hubs ein.

Geben Sie im Betriebsmodus die Befehle und show security ipsec security-associations die show security ike security-associations Befehle an der Spoke ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2-SAs auf. Der Hub zeigt einen aktiven Tunnel zur Spoke, während auf der Spoke ein aktiver Tunnel zum Hub angezeigt wird.

Wenn für IKE Phase 1 keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 1 müssen am Hub and Spoke übereinstimmen.

Wenn für IKE Phase 2 keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 2. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 2 müssen am Hub and Spoke übereinstimmen.

Überprüfung von Datenverkehrs-Selektoren

Zweck

Überprüfen Sie die Datenverkehrs-Selektoren.

Aktion

Geben Sie im Betriebsmodus den show security ipsec traffic-selector interface-name st0.1 Befehl am Hub ein.

Geben Sie im Betriebsmodus den show security ipsec traffic-selector interface-name st0.1 Befehl auf der Spoke ein.

Bedeutung

Ein Datenverkehrs-Selektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen Tunnel zuzulassen, wenn der Datenverkehr einem bestimmten Paar lokaler und Remoteadressen entspricht. Nur Datenverkehr, der einem Datenverkehrs-Selektor entspricht, ist über eine SA zulässig. Datenverkehrs-Selektoren werden zwischen dem Initiator und dem Responder (dem Hub der SRX-Serie) ausgehandelt.

Beispiel: Sicherstellen der VPN-Tunnelverfügbarkeit mit AutoVPN- und Datenverkehrs-Selektoren

Georedundancy ist die Bereitstellung mehrerer geografisch entfernter Standorte, sodass der Datenverkehr auch bei Stromausfällen, Naturkatastrophen oder anderen katastrophalen Ereignissen, die einen Standort betreffen, weiterhin über ein Provider-Netzwerk fließen kann. In einem Mobilfunkanbieternetzwerk können mehrere Evolved Node B (eNodeB)-Geräte über georedundante IPsec-VPN-Gateways auf Geräten der SRX-Serie mit dem Core-Netzwerk verbunden werden. Die alternativen Routen zu den eNodeB-Geräten werden über ein dynamisches Routingprotokoll an das Core-Netzwerk verteilt.

In diesem Beispiel werden AutoVPN-Hubs mit mehreren Datenverkehrs-Selektoren auf Geräten der SRX-Serie konfiguriert, um sicherzustellen, dass georedundante IPsec-VPN-Gateways zu eNodeB-Geräten vorhanden sind. Die automatische Routeneinfügung (Auto Route Insertion, ARI) wird zum automatischen Einfügen von Routen zu den eNodeB-Geräten in den Routing-Tabellen auf den Hubs verwendet. ARI-Routen werden dann über BGP an das Core-Netzwerk des Anbieters verteilt.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei Geräte der SRX-Serie sind in einem Gehäuse-Cluster verbunden und konfiguriert. Der Chassis-Cluster ist AutoVPN-Hub A.

  • Ein Gerät der SRX-Serie, das als AutoVPN-Hub B konfiguriert ist.

  • Junos OS-Version 12.3X48-D10 oder höher.

  • eNodeB-Geräte, die IPsec-VPN-Tunnel mit AutoVPN-Hubs einrichten können. eNodeB-Geräte sind Netzwerkgeräteanbieter von Drittanbietern, die einen VPN-Tunnel mit AutoVPN-Hubs initiieren.

  • Digitale Zertifikate, die in den Hubs und eNodeB-Geräten registriert sind und es den Geräten ermöglichen, sich gegenseitig zu authentifizieren.

Bevor Sie beginnen:

In diesem Beispiel wird das dynamische BGP-Routingprotokoll verwendet, um Routen zu den eNodeB-Geräten zum Core-Netzwerk zu werben.

Überblick

In diesem Beispiel sind zwei AutoVPN-Hubs mit mehreren Datenverkehrs-Selektoren auf Geräten der SRX-Serie konfiguriert, um georedundante IPsec-VPN-Gateways für eNodeB-Geräte bereitzustellen. ARI fügt routen automatisch zu den eNodeB-Geräten in den Routingtabellen auf den Hubs ein. ARI-Routen werden dann über BGP an das Core-Netzwerk des Anbieters verteilt.

Bestimmte Phase 1- und Phase 2-IKE-Tunneloptionen, die auf den AutoVPN-Hubs und eNodeB-Geräten konfiguriert sind, müssen die gleichen Werte aufweisen. Tabelle 20 zeigt die in diesem Beispiel verwendeten Werte:

Tabelle 20: Phase 1- und Phase 2-Optionen für Georedundante AutoVPN-Hubs

Option

Wert

IKE-Vorschlag:

Authentifizierungsmethode

RSA-Signaturen

Diffie-Hellman (DH)-Gruppe

group5

Authentifizierungsalgorithmus

sha-1

Verschlüsselungsalgorithmus

aes-256-cbc

IKE-Richtlinie:

Zertifikat

lokales Zertifikat

IKE-Gateway:

Dynamische

Distinguished Name Platzhalter DC=Common_component

IKE-Benutzertyp

IKE-Id der Gruppe

Erkennung von toten Peers

Probe-Idle-Tunnel

Lokale Identität

Ausgezeichneter Name

Version

v2-only

IPsec-Vorschlag:

Protokoll

Esp

Authentifizierungsalgorithmus

hmac-sha1-96

Verschlüsselungsalgorithmus

AES-256-CBC

IPsec-Richtlinie:

Perfect Forward Secrecy (PFS)-Gruppe

Gruppe 5

In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den gesamten Datenverkehr zulässt, für alle Geräte verwendet. Restriktivere Sicherheitsrichtlinien sollten für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien. Aus Gründen der Einfachheit ermöglicht die Konfiguration auf den Geräten der SRX-Serie alle Arten von eingehendem Datenverkehr; wird diese Konfiguration nicht für Produktionsbereitstellungen empfohlen.

Topologie

Abbildung 8 zeigt die Geräte der SRX-Serie, die für dieses Beispiel konfiguriert werden sollen.

Abbildung 8: Georedundante IPsec-VPN-Gateways zu eNodeB-Geräten Georedundante IPsec-VPN-Gateways zu eNodeB-Geräten

Konfiguration

Konfigurieren von Hub A

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Hub A:

  1. Schnittstellen konfigurieren.

  2. Konfiguration von Phase 1-Optionen.

  3. Konfiguration von Phase 2-Optionen.

  4. Konfigurieren Sie das BGP-Routingprotokoll.

  5. Konfigurieren Sie Routing-Optionen.

  6. Konfigurieren Sie Zertifikatsinformationen.

  7. Konfigurieren Sie Sicherheitszonen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfaces show security ikeBefehle , show security ipsec, show protocols bgp, show policy-options, show security pkishow security zonesund eingebenshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von Hub B

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Hub B:

  1. Schnittstellen konfigurieren.

  2. Konfiguration von Phase 1-Optionen.

  3. Konfiguration von Phase 2-Optionen.

  4. Konfigurieren Sie das BGP-Routingprotokoll.

  5. Konfigurieren Sie Routing-Optionen.

  6. Konfigurieren Sie Zertifikatsinformationen.

  7. Konfigurieren Sie Sicherheitszonen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfaces show security ikeBefehle , show security ipsec, show protocols bgp, show security pkishow security zonesund eingebenshow security policies. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von eNodeB (Beispielkonfiguration)

Schritt-für-Schritt-Verfahren
  1. Die eNodeB-Konfiguration in diesem Beispiel wird als Referenz bereitgestellt. Detaillierte eNodeB-Konfigurationsinformationen sprengen den Umfang dieses Dokuments. Die eNodeB-Konfiguration muss folgende Informationen enthalten:

    • Lokales Zertifikat (X.509v3) und IKE-Identitätsinformationen

    • IKE-Identitätsinformationen der SRX-Serie und öffentliche IP-Adresse

    • Vorschläge für Phase 1 und Phase 2, die mit den Konfigurationen der Hubs der SRX-Serie übereinstimmen

Ergebnisse

Die eNodeB-Geräte in diesem Beispiel verwenden strongSwan Open Source-Software für IPsec-basierte VPN-Verbindungen:

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen von Tunneln auf den AutoVPN-Hubs

Zweck

Überprüfen Sie, ob Tunnel zwischen dem AutoVPN-Hub und eNodeB-Geräten eingerichtet werden.

Aktion

Geben Sie im Betriebsmodus die Befehle und show security ipsec security-associations die show security ike security-associations Befehle des Hubs ein.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Der show security ipsec security-associations Befehl listet alle aktiven IKE Phase 2-SAs auf. Der Hub zeigt zwei aktive Tunnel, einen zu jedem eNodeB-Gerät.

Wenn für IKE Phase 1 keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 1 müssen auf den Hub- und eNodeB-Geräten übereinstimmen.

Wenn für IKE Phase 2 keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 2. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter der Phase 2 müssen auf den Hub- und eNodeB-Geräten übereinstimmen.

Überprüfung von Datenverkehrs-Selektoren

Zweck

Überprüfen Sie die Datenverkehrs-Selektoren.

Aktion

Geben Sie im Betriebsmodus den show security ipsec traffic-selector interface-name st0.1 Befehl ein.

Bedeutung

Ein Datenverkehrs-Selektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen Tunnel zuzulassen, wenn der Datenverkehr einem bestimmten Paar lokaler und Remoteadressen entspricht. Nur Datenverkehr, der einem Datenverkehrs-Selektor entspricht, ist über eine SA zulässig. Datenverkehrs-Selektoren werden zwischen dem Initiator und dem Responder (dem Hub der SRX-Serie) ausgehandelt.

Verifizierung von ARI-Routen

Zweck

Vergewissern Sie sich, dass die ARI-Routen der Routingtabelle hinzugefügt werden.

Aktion

Geben Sie im Betriebsmodus den show route Befehl ein.

Bedeutung

Auto Route Insertion (ARI) fügt automatisch eine statische Route für das Remote-Netzwerk ein und hostet, die durch einen Remote-Tunnelendpunkt geschützt ist. Basierend auf der im Datenverkehrs-Selektor konfigurierten Remote-IP-Adresse wird eine Route erstellt. Bei Datenverkehrs-Selektoren wird die konfigurierte Remote-Adresse als Route in die Routing-Instanz eingefügt, die mit der st0-Schnittstelle verknüpft ist, die an das VPN gebunden ist.

Statische Routen zu den eNodeB-Zielen 10. 30.1.0/24 und 10. 50.1.0/24 werden der Routing-Tabelle auf dem Hub der SRX-Serie hinzugefügt. Diese Routen sind über die St0.1-Schnittstelle erreichbar.

Beispiel: AutoVPN-Konfiguration mit vorab freigegebenem Schlüssel

In diesem Beispiel wird gezeigt, wie verschiedene IKE-Schlüssel konfiguriert werden, die vom VPN-Gateway zur Authentifizierung des Remote-Peers verwendet werden. Ebenso kann der gleiche IKE-Schlüssel konfiguriert werden, der vom VPN-Gateway zur Authentifizierung des Remote-Peers verwendet wird.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • MX240, MX480 und MX960 mit MX-SPC3 und Junos OS Version 21.1R1, die AutoVPN unterstützen
  • oder Geräte der SRX5000-Reihe mit SPC3 und Junos OS Version 21.2R1, die AutoVPN unterstützen
  • oder vSRX mit iked und Junos OS Version 21.2R1, die AutoVPN unterstützen

Konfiguration verschiedener IKE-Preshared Key

Um einen anderen IKE-Preshared-Schlüssel zu konfigurieren, den das VPN-Gateway zur Authentifizierung des Remote-Peers verwendet, führen Sie diese Aufgaben aus.

  1. Konfigurieren Sie die seeded Preshared für IKE-Richtlinie im Gerät mit AutoVPN-Hub.

    oder

    Zum Beispiel:

    oder

  2. Zeigen Sie den pre-shared key für Remote-Peer verwendeten Gateway-Namen und die Benutzer-ID an.

    Zum Beispiel:

    Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
  3. Konfigurieren Sie den generierten PSK ("79e4ea39f5c06834a3c4c4c031e37c6de24d46798a" in Schritt 2) in der ike-Richtlinie auf dem Remote-Peer-Gerät.

    Zum Beispiel:

  4. (Optional) Um die IKE-ID-Validierung zu umgehen und alle IKE-ID-Typen zuzulassen, konfigurieren general-ikeid Sie die Konfigurationsanweisung unter der Hierarchieebene [edit security ike gateway gateway_name dynamic] im Gateway.

Ergebnis

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Konfigurieren Sie denselben IKE-Preshared Key

Führen Sie diese Aufgaben aus, um denselben IKE-Preshared-Schlüssel zu konfigurieren, den das VPN-Gateway zur Authentifizierung des Remote-Peers verwendet.

  1. Konfigurieren Sie die gemeinsame pre-shared-key ike-Richtlinie im Gerät mit dem AutoVPN-Hub.

    Zum Beispiel:

  2. Konfigurieren Sie die auf der IKE-Richtlinie gebräuchliche Richtlinie pre-shared-key für Remote-Peer-Geräte.

    Zum Beispiel:

  3. (Optional) Um die IKE-ID-Validierung zu umgehen und alle IKE-ID-Typen zuzulassen, konfigurieren general-ikeid Sie die Konfigurationsanweisung unter der Hierarchieebene [edit security ike gateway gateway_name dynamic] im Gateway.

Ergebnis

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show security eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Release-Verlaufstabelle
Release
Beschreibung
17.4R1
Ab Junos OS Version 17.4R1 wird die IPv6-Adresse auf AutoVPN unterstützt.
17.4R1
Beginnend mit Junos OS Version 17.4R1, AutoVPN-Netzwerken, die sichere Tunnelschnittstellen im Point-to-Point-Modus verwenden, unterstützen IPv6-Adressen für Datenverkehrs-Selektoren und IKE-Peers.
15.1X49-D120
Ab Junos OS Version 15.1X49-D120 können Sie die CLI-Option reject-duplicate-connection auf der [edit security ike gateway gateway-name dynamic] Hierarchieebene so konfigurieren, dass eine vorhandene Tunnelsitzung beibehalten wird und Verhandlungsanforderungen für einen neuen Tunnel mit derselben IKE-ID abgelehnt werden.