Auf dieser Seite
Beispiel: Konfigurieren von Basic AutoVPN mit iBGP für IPv6-Datenverkehr
Beispiel: Konfiguration von AutoVPN mit iBGP und Active-Backup-Tunneln
Beispiel: Konfiguration von AutoVPN mit OSPFv3 für IPv6-Datenverkehr
Beispiel: Weiterleitung des Datenverkehrs über einen AutoVPN-Tunnel mit Datenverkehrs-Selektoren
Beispiel: Sicherstellen der VPN-Tunnelverfügbarkeit mit AutoVPN und Datenverkehrs-Selektoren
AutoVPN auf Hub-and-Spoke-Geräten
AutoVPN unterstützt einen IPSec-VPN-Aggregator (auch als Hub bekannt), der als einzelner Terminierungspunkt für mehrere Tunnel zu Remote-Standorten dient (auch als Spokes bekannt). Mit AutoVPN können Netzwerkadministratoren eine Hub für aktuelle und zukünftige Spokes konfigurieren.
Verständnis von AutoVPN
AutoVPN unterstützt einen IPsec VPN-Aggregationor (auch als Hub bekannt), der als einzelner Terminierungspunkt für mehrere Tunnel zu Remote-Standorten dient (auch als Spokes bekannt). Mit AutoVPN können Netzwerkadministratoren eine Hub für aktuelle und zukünftige Spokes konfigurieren. Beim Hinzufügen oder Löschen von Spoke-Geräten sind keine Konfigurationsänderungen auf dem Hub erforderlich, sodass Administratoren bei der Verwaltung großer Netzwerkbereitstellungen Flexibilität erhalten.
- Sichere Tunnelmodi
- Authentifizierung:
- Konfiguration und Verwaltung
- Verständnis der AutoVPN-Einschränkungen
- Verständnis von AutoVPN mit Datenverkehrs-Selektoren
Sichere Tunnelmodi
AutoVPN wird auf Routen-basierten IPsec-VPNs unterstützt. Bei routenbasierten VPNs konfigurieren Sie eine Secure Tunnel (st0)-Schnittstelle und binden sie an einen IPsec-VPN-Tunnel. St0-Schnittstellen in AutoVPN-Netzwerken können in einem von zwei Modi konfiguriert werden:
Punkt-zu-Punkt-Modus: Standardmäßig ist eine St0-Schnittstelle, die auf der [ ] Hierarchieebene konfiguriert
edit interfaces st0 unit xist, im Punkt-zu-Punkt-Modus. Beginnend mit Junos OS Release 17.4R1 wird die IPv6-Adresse auf AutoVPN unterstützt.Point-to-Multipoint-Modus: In diesem Modus ist die Option auf der [ ] Hierarchieebene sowohl auf AutoVPN-Hubs als auch auf
multipointSpokes konfiguriert. St0-Schnittstellen auf Hub-and-Spokes müssen nummeriert werden, und die auf einem Spoke konfigurierte IP-Adresse muss im St0-Schnittstellen-Subnetz des Hubs vorhandenedit interfaces st0 unit xsein.
Tabelle 1 Vergleich von AutoVPN Punkt-zu-Punkt- und Point-to-Multipoint-sichere Tunnelschnittstellenmodi.
Punkt-zu-Punkt-Modus |
Point-to-Multipoint-Modus |
|---|---|
Unterstützt IKEv1 oder IKEv2. |
Unterstützt IKEv1 oder IKEv2. |
Unterstützt IPv4- und IPv6-Datenverkehr. |
Unterstützt IPv4 oder IPv6. |
Datenverkehrs-Selektoren |
Dynamische Routing-Protokolle (OSPF, OSPFv3 und iBGP) |
Dead Peer Detection |
Dead Peer Detection |
Spoke-Geräte können SRX-Serie oder Drittanbietergeräte sein. |
Dieser Modus wird nur von Geräten der SRX-Serie unterstützt. |
Authentifizierung:
Die unterstützte Authentifizierung für AutoVPN-Hubs und Spokes sind X.509-Zertifikate (Public Key Infrastructure, PKI). Der auf dem Hub konfigurierte IKE-Benutzertyp ermöglicht die Angabe von Zeichenfolgen, die dem alternativen Betrefffeld in Spoke-Zertifikaten übereinstimmen. Teilweise Treffer für die Betrefffelder in Spoke-Zertifikaten können ebenfalls angegeben werden. Erfahren Sie mehr über Spoke-Authentifizierung in AutoVPN-Bereitstellungen.
Ab Junos OS Version 21.2R1 unterstützt die SRX5000-Reihe Geräte mit SPC3-Karte und vSRX AutoVPN mit einem vorinstallierten Schlüssel.
Wir unterstützen AutoVPN mit den folgenden zwei Optionen:
- Auto-VPN-seeded PSK: Mehrere Peers, die sich mit demselben Gateway mit verschiedenem vorinstallierten Schlüssel verbinden.
- Automatisches VPN und gemeinsamer PSK: Mehrere Peers, die sich mit dem selben Gateway mit dem gleichen vorinstalliert schlüssel verbinden.
Seeded PSK unterscheiden sich von nicht-seeded PSK (d. h. demselben gemeinsamen PSK). Seeded PSK verwendet den Master-Schlüssel, um den gemeinsamen PSK für den Peer zu generieren. Jeder Peer hat also einen anderen PSK, der sich mit dem selben Gateway verbindet. Zum Beispiel: Stellen Sie sich ein Szenario vor, bei dem Peer 1 mit der IKE-ID user1@juniper.net und Peer 2 mit IKE-ID user2@juniper.net versucht, eine Verbindung zum Gateway herzustellen. In diesem Szenario ist das Gateway mit dem Konfigurierten Hauptschlüssel wie folgt auf den unterschiedlichen HUB_GWThisIsMySecretPreSharedkey PSK konfiguriert:
Peer 1: 79e4ea39f5c06834a3c4c031e37c6de24d46798a
Peer 2: 3db8385746f3d1e639435a882579a9f28464e5c7
Das bedeutet, dass für verschiedene Benutzer mit unterschiedlicher Benutzer-ID und demselben Master-Schlüssel ein anderer oder eindeutiger preshared-Schlüssel generiert wird.
Sie können entweder oder seeded-pre-shared-keypre-shared-key für Auto-VPN PSK verwenden:
- Unterschiedlicher preshared-Schlüssel: Wenn der Schlüssel festgelegt ist, IKE vom VPN-Gateway verwendet wird, um
seeded-pre-shared-keyjeden Remote-Peer zu authentifizieren. Die preshared Keys werden mithilfe der Gruppe im Gateway IKE Peers generiert undmaster-keyvon den Peers gemeinsam genutzt.Um es dem VPN-Gateway zu ermöglichen, bei der Authentifizierung jedes Remote-Peer einen anderen IKE Preshared Key (PSK) zu verwenden, verwenden Sie die neuen CLI-Befehle oder die
seeded-pre-shared-key ascii-textseeded-pre-shared-key hexadecimal[edit security ike policy policy_name]Hierarchieebene.Dieser Befehl gilt ausschließlich für Befehle
pre-shared-keyin der gleichen Hierarchie.Siehe Richtlinie.
- Shared/Same Preshared Key: Wenn
pre-shared-key-typeder PSK nicht konfiguriert ist, wird er als gemeinsam genutzt. Der IKE Schlüssel wird vom VPN-Gateway zur Authentifizierung aller Remote-Peers verwendet.Um dem VPN-Gateway die Verwendung desselben PSK IKE Authentifizierung aller Remote-Peers zu ermöglichen, verwenden Sie die vorhandenen CLI
pre-sharedkey ascii-textBefehlen oderpre-shared-key hexadecimal.
Am VPN-Gateway können Sie die VALIDIERUNG der IKE ID mithilfe der general-ikeid Konfigurationserklärung unter der [edit security ike gateway gateway_name dynamic] Hierarchieebene umgehen. Wenn diese Option konfiguriert ist, ermöglicht das VPN-Gateway während der Authentifizierung von Remote-Peer jede IKE ID-Verbindung. Siehe general-ikeid .
Die SRX5000-Reihe der Geräte mit SPC3-Karte vSRX unterstützt die folgenden IKE Modi:
|
IKE-Modus |
SRX5000-Reihe der Geräte mit SPC3-Karte und vSRX |
|
|---|---|---|
|
Gemeinsamer PSK |
Seeded-PSK |
|
|
IKEv2 |
Ja |
Ja |
|
IKEv2 mit any- |
Ja |
Ja |
|
Aggressiver IKEv1-Modus |
Ja |
Ja |
|
Aggressiver IKEv1-Modus |
Ja |
Ja |
|
IKEv1 Hauptmodus |
Ja |
Nein |
|
IKEv1 Hauptmodus mit any-remote-ID/ |
Ja |
Nein |
Siehe Beispiel: Konfiguration von AutoVPN mit pre-shared Key .
Konfiguration und Verwaltung
AutoVPN wird auf Geräten der SRX-Serie mithilfe des CLI. Mehrere AutoVPN-Hubs können auf einem einzigen Gerät der SRX-Serie konfiguriert werden. Die maximale Anzahl von Spokes, die von einem konfigurierten Hub unterstützt wird, ist spezifisch für das Modell des Geräts der SRX-Serie.
Verständnis der AutoVPN-Einschränkungen
Die folgenden Funktionen werden für AutoVPN nicht unterstützt:
Richtlinienbasierte VPNs werden nicht unterstützt.
Das dynamische Routing-Protokoll RIP wird von AutoVPN-Tunneln nicht unterstützt.
Manuelle Schlüssel und Autokey-IKE preshared Keys werden nicht unterstützt.
Die Konfiguration statischer Next Hop Tunnel Binding (NHTB) auf dem Hub für Spokes wird nicht unterstützt.
Multicast wird nicht unterstützt.
Die Gruppe IKE ID-Benutzertyp wird nicht mit einer IP-Adresse als IKE unterstützt.
Wenn die Gruppe IKE ID-Benutzertyp verwendet wird, sollte die IKE-ID nicht mit anderen Gateways IKE, die auf der gleichen externen Schnittstelle konfiguriert sind, überschneiden.
Verständnis von AutoVPN mit Datenverkehrs-Selektoren
AutoVPN-Hubs können mit mehreren Datenverkehrs-Selektoren konfiguriert werden, um Datenverkehr zu Spokes zu schützen. Diese Funktion bietet folgende Vorteile:
Eine einzige VPN-Konfiguration kann viele verschiedene Peers unterstützen.
VPN-Peers können Geräte der SRX-Serie sein.
Ein einzelner Peer kann mehrere Tunnel mit demselben VPN einrichten.
Eine größere Anzahl von Tunneln kann unterstützt werden als mit AutoVPN mit dynamischen Routing-Protokollen.
AutoVPN-Netzwerke, die sichere Tunnelschnittstellen im Punkt-zu-Punkt-Modus verwenden, unterstützen ab Junos OS-Release-17.4R1 IPv6-Adressen für Datenverkehrs-Selektoren IKE Peers.
Wenn der Hub-to-Spoke-Tunnel eingerichtet wird, verwendet der Hub das Auto Route Insertion (ARI),das in früheren Versionen auch als Reverse Route Insertion (RRI)bekannt ist, um die Route zum Spoke-Präfix in seine Routing-Tabelle zu einfügen. Die ARI-Route kann dann an Routing-Protokolle importiert und an das Kernnetzwerk verteilt werden.
AutoVPN mit Datenverkehrs-Selektoren kann mit der secure Tunnel (st0)-Schnittstelle im Punkt-zu-Punkt-Modus sowohl für IKEv1 als auch IKEv2 konfiguriert werden.
Dynamische Routing-Protokolle werden auf St0-Schnittstellen bei der Konfiguration von Datenverkehrs-Selektoren nicht unterstützt.
Beachten Sie die folgenden Einschränkungen bei der Konfiguration von AutoVPN mit Datenverkehrs-Selektoren:
Dynamische Routing-Protokolle werden von Datenverkehrs-Selektoren mit St0-Schnittstellen im Punkt-zu-Punkt-Modus nicht unterstützt.
Auto Discovery VPN und IKEv2-Konfigurationsnutzlast können nicht mit AutoVPN mit Datenverkehrs-Selektoren konfiguriert werden.
Spokes können Geräte der SRX-Serie sein. Beachten Sie jedoch die folgenden Unterschiede:
In IKEv2 kann ein Spoke-Spoke außerhalb der SRX-Serie mehrere Datenverkehrs-Selektoren in einer einzigen SA-Aushandlung vorschlagen. Dies wird auf Geräten der SRX-Serie nicht unterstützt und die Aushandlung wird abgelehnt.
Ein Spoke-Spoke-Spoke einer Nicht-SRX-Serie kann bestimmte Ports oder Protokolle zur Verwendung des Datenverkehrs-Selektors identifizieren. Ports und Protokolle werden nicht mit Datenverkehrs-Selektoren auf Geräten der SRX-Serie unterstützt, und die Aushandlung wird abgelehnt.
Siehe auch
Understanding Spoke Authentication in AutoVPN Deployments
In AutoVPN-Bereitstellungen müssen Hub-and-Spoke-Geräte über gültige X.509 PKI-Zertifikate geladen sein. Sie können mit dem Befehl Informationen zu den auf einem Gerät geladenen show security pki local-certificate detail Zertifikaten anzeigen.
In diesem Thema wird die Konfiguration auf dem Hub behandelt, die die Authentifizierung von Spokes und die Verbindung mit dem Hub ermöglicht:
Gruppenkonfiguration IKE ID auf dem Hub
Mit der IKE-ID-Funktion können mehrere Spoke-Geräte eine Konfiguration IKE Hub gemeinsam nutzen. Die Identifizierung des Zertifikatsinhabers im Betreff oder anderen Betrefffeldern im X.509-Zertifikat der Spokes muss einen gemeinsamen Teil enthalten, der allen Spokes gemeinsam ist. der gemeinsame Teil der Zertifikatsidentifikation wird für die Konfiguration IKE Hub angegeben.
Beispielsweise kann die IKE-ID auf dem Hub konfiguriert werden, um Spokes mit den Hostnamen zu example.netdevice1.example.netdevice2.example.net identifizieren, und device3.example.net . Das Zertifikat auf jedem Spoke muss eine Hostname-Identität im alternativen Betrefffeld mit dem rechten Teil des Feldes enthalten, z. example.netdevice1.example.net B. . In diesem Beispiel verwenden alle Spokes diese Hostname-Identität in ihrer IKE ID-Payload. Während IKE Aushandlung wird die IKE-ID von einem Spoke verwendet, um dem gemeinsamen Teil des auf dem Hub konfigurierten Peer-IKE-Identitäts zu gleichen. Ein gültiges Zertifikat authentifiziert den Spoke.
Der gemeinsame Teil der Zertifikatsidentifizierung kann einer der folgenden sein:
Ein teilweiser Hostname im rechten Teil des alternativen Betrefffelds des Zertifikats, z.
example.netB.Eine partielle E-Mail-Adresse im rechten Teil des alternativen Betrefffelds des Zertifikats, z.
@example.netB.Eine Container-Zeichenfolge, eine Reihe von Wildcards oder beides, die den Betrefffeldern des Zertifikats übereinstimmen. Die Betrefffelder enthalten Details des Inhabers digitaler Zertifikate im Format Abstract Syntax Notation One (ASN.1) Distinguished Name (DN). Die Felder können organisation, organisationseinheit, land, lokal oder common name umfassen.
Um eine Gruppen-IKE-ID zur Übereinstimmung von Betrefffeldern in Zertifikaten zu konfigurieren, können Sie die folgenden Typen von Identitätsidentitäten angeben:
Container: Der Hub authentifiziert die Spoke-IKE-ID, wenn die Betrefffelder des Spoke-Zertifikats genau mit den auf dem Hub konfigurierten Werten übereinstimmen. Für jedes Betrefffeld können mehrere Einträge angegeben werden (z.
ou=eng,ou=swB. ). Die Reihenfolge der Werte in den Feldern muss übereinstimmen.Wildcard: Der Hub authentifiziert die Spoke-IKE-ID, wenn die Betrefffelder des Spoke-Zertifikats den auf dem Hub konfigurierten Werten übereinstimmen. Die Platzhalter-Übereinstimmung unterstützt nur einen Wert pro Feld (z. B.
ou=engou=swaberou=eng,ou=swnicht). Die Reihenfolge der Felder ist nicht so wichtig.
Im folgenden Beispiel wird eine Gruppen-IKE-ID mit dem partiellen Hostnamen example.net im alternativen Betrefffeld des Zertifikats konfiguriert.
[edit]
security {
ike {
policy common-cert-policy {
proposals common-ike-proposal;
certificate {
local-certificate hub-local-certificate;
}
}
gateway common-gateway-to-all-spoke-peer {
ike-policy common-cert-policy;
dynamic {
hostname example.net;
ike-user-type group-ike-id;
}
external-interface fe-0/0/2;
}
}
}
In diesem Beispiel wird der gemeinsame Teil der Identifizierung example.net des Hostnamens für alle Spokes verwendet. Alle X.509-Zertifikate auf den Spokes müssen eine Hostname-Identität im alternativen Betrefffeld enthalten. example.net Alle Spokes müssen die Identität des Hostsnamens in der IKE ID-Payload verwenden.
Im folgenden Beispiel wird eine Gruppen-IKE-ID mit Platzhaltern konfiguriert, die den Werten in der Organisationseinheit und den Betrefffeldern des salesexample Zertifikats für die Organisation übereinstimmen.
[edit]
security {
ike {
policy common-cert-policy {
proposals common-ike-proposal;
certificate {
local-certificate hub-local-certificate;
}
}
gateway common-gateway-to-all-spoke-peer {
ike-policy common-cert-policy;
dynamic {
distinguished-name {
wildcard ou=sales,o=example;
}
ike-user-type group-ike-id;
}
external-interface fe-0/0/2;
}
}
}
In diesem Beispiel sind die Felder der allgemeine Teil des Betrefffelds in den Zertifikaten, die von den ou=sales,o=example Spokes erwartet werden. Wenn IKE Während der aushandlung ein Zertifikat mit den Betrefffeldern in dem Zertifikat durch einen Spoke präsentiert wird, wird die Authentifizierung erfolgreich und cn=alice,ou=sales,o=example der Tunnel wird eingerichtet. Wenn ein Spoke ein Zertifikat mit den Betrefffeldern in seinem Zertifikat vorweisen kann, wird das Zertifikat von der Hub als Dies der Unternehmenseinheit cn=thomas,ou=engineer,o=example sein sales sollte.
Ohne Spoke-Verbindung
Um eine bestimmte Spoke von einer Verbindung mit dem Hub auszuschließen, muss das Zertifikat für diesen Spoke widerrufen werden. Der Hub muss die neueste Zertifikatsabzugsliste (CRL) aus dem Dokument abrufen CA das die Seriennummer des widerrufenen Zertifikats enthält. Der Hub verweigert dann die VPN-Verbindung für den widerrufenen Spoke. Bis das neueste CRL im Hub verfügbar ist, kann der Hub weiterhin einen Tunnel von der widerrufenen Spoke einrichten. Weitere Informationen finden Sie unter Understanding Online Certificate Status Protocol and Certificate EE (Zertifizierungslisten) und Understanding Certificate Authority Profiles (Verstehen von Profilen zur Zertifizierungsstatus) und Zur Zertifizierungsform "Understanding Certificate Authority Profiles".
Siehe auch
AutoVPN-Konfiguration – Übersicht
In den folgenden Schritten werden die grundlegenden Aufgaben für die Konfiguration von AutoVPN auf Hub-and-Spoke-Geräten beschrieben. Der AutoVPN-Hub ist einmal für alle aktuellen und neuen Spokes konfiguriert.
So konfigurieren Sie den AutoVPN-Hub:
- Registrieren Sie sich CA Zertifikat und das lokale Zertifikat auf dem Gerät.
- Erstellen Sie eine sichere Tunnelschnittstelle (ST0) und konfigurieren Sie sie im Point-to-Multipoint-Modus.
- Konfigurieren Sie eine IKE Netzwerkrichtlinie.
- Konfigurieren Sie IKE Gateways mit einer Gruppen-IKE-ID, die allen Spokes gemeinsam ist.
- Konfigurieren einer einheitlichen IPsec-Richtlinie und eines EINZIGEN VPN
- Konfigurieren Sie ein dynamisches Routing-Protokoll.
Zur Konfiguration eines AutoVPN-Spoke-Geräts der SRX-Serie:
Registrieren Sie sich CA Zertifikat und das lokale Zertifikat auf dem Gerät.
Erstellen Sie eine St0-Schnittstelle und konfigurieren Sie sie im Point-to-Multipoint-Modus.
Konfigurieren Sie IKE Richtlinien, die der auf dem Hub konfigurierten IKE Richtlinien entsprechend sind.
Konfigurieren Sie ein IKE-Gateway mit einer ID, die der auf dem Hub konfigurierten IKE-ID entsprechend passt.
Konfigurieren Sie eine IPsec-Richtlinie entsprechend der auf dem Hub konfigurierten IPsec-Richtlinie.
Konfigurieren Sie ein dynamisches Routing-Protokoll.
Siehe auch
Beispiel: Konfigurieren von Basic AutoVPN mit iBGP
In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub konfiguriert wird, um als einzelner Terminierungspunkt zu fungieren, und dann zwei Spokes zu konfigurieren, die als Tunnel zu Remote-Standorten fungieren. In diesem Beispiel wird iBGP so konfiguriert, dass Pakete über die VPN-Tunnel weitergeleitet werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes
Junos OS Release 12.1X44-D10 und höher, die AutoVPN unterstützen
Bevor Sie beginnen:
Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.
Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird. Weitere Informationen über die spezifischen Anforderungen für ein dynamisches Routing-Protokoll finden Sie in der Übersicht über Routing-Protokolle.
Überblick
In diesem Beispiel wird die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen mit zwei Spokes veranschaulicht.
In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Die Zertifikate für die Spokes enthalten den Wert "SLT" der Organisationseinheit (OU) im Betreff. der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist.
Die Spokes ermöglichen IPSec-VPN-Verbindungen zum Hub und ermöglichen so die Kommunikation untereinander sowie Zugriff auf Ressourcen auf dem Hub. Phase 1- und Phase 2 IKE-Tunneloptionen, die auf dem AutoVPN-Hub konfiguriert sind und alle Spokes müssen über die gleichen Werte verfügen. Tabelle 3 zeigt die in diesem Beispiel verwendeten Optionen an.
Option |
Wert |
|---|---|
IKE Angebot: |
|
Authentifizierungsmethode |
Digitale Zertifikate von RSA |
Diffie-Hellman (DH)-Gruppe |
2 |
Authentifizierungsalgorithmus |
SHA-1 |
Verschlüsselungsalgorithmus |
AES 128 CBC |
IKE Richtlinien: |
|
Modus |
Wichtigsten |
IPsec-Angebot: |
|
Protokoll |
Esp |
Authentifizierungsalgorithmus |
H HLT MD5 96 |
Verschlüsselungsalgorithmus |
DES CBC |
IPsec-Richtlinie: |
|
Perfect Forward Secrecy (PFS)-Gruppe |
14 |
Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.
Junos OS unterstützt nur eine einzelne Zertifikatshierarchie.
Tabelle 4 zeigt die auf dem Hub und auf allen Spokes konfigurierten Optionen an.
Option |
Hub |
Alle Spokes |
|---|---|---|
IKE-Gateway: |
||
Remote-IP-Adresse |
Dynamische |
1.1.1.1 |
Remote-IKE-ID |
Ausgezeichneter Name (DN) auf dem Spoke-Zertifikat mit dem String |
DN auf dem Zertifikat des Hubs |
Lokale IKE-ID |
DN auf dem Zertifikat des Hubs |
DN auf dem Spoke-Zertifikat |
Externe Schnittstelle |
ge-0/0/1.0 |
Spoke 1: fe-0/0/1.0 Spoke 2: ge-0/0/1.0 |
Vpn: |
||
Bindungsschnittstelle |
st0.0 |
st0.0 |
Tunnel einrichten |
(nicht konfiguriert) |
Sofort bei Konfigurations-Commit |
Tabelle 5 zeigt die Konfigurationsoptionen auf, die sich auf jedem Spoke unterscheiden.
Option |
Spoke 1 |
Spoke 2 |
|---|---|---|
St0.0-Schnittstelle |
10.10.10.2/24 |
10.10.10.3/24 |
Schnittstelle zum internen Netzwerk |
(fe-0.0/4.0) 60.60.60.1/24 |
(fe-0.0/4.0) 70.70.70.1/24 |
Schnittstelle zum Internet |
(fe-0/0/1.0) 2.2.2.1/30 |
(ge-0/0/1.0) 3.3.3.1/30 |
Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.
In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.
Topologie
Abbildung 1 zeigt in diesem Beispiel die Konfiguration von Geräten der SRX-Serie für AutoVPN.
Konfiguration
Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:
Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.
- Gerätezertifikate mit SCEP registrieren
- Konfigurieren des Hubs
- Konfigurieren von Spoke 1
- Konfigurieren von Spoke 2
Gerätezertifikate mit SCEP registrieren
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 1.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bangalore, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bangalore, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 1.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 2.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not startedDie im Betreff angezeigte Organisationseinheit (OU)
SLTist. Die IKE des Hubs enthältou=SLTdie Spoke-Konfiguration.
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 3.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 3.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not startedDie im Betreff angezeigte Organisationseinheit (OU)
SLTist. Die IKE des Hubs enthältou=SLTdie Spoke-Konfiguration.
Konfigurieren des Hubs
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/1 unit 0 family inet address 1.1.1.1/30 set interfaces ge-0/0/3 unit 0 family inet address 50.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 10.10.10.1 set protocols bgp group ibgp export lan_nw set protocols bgp group ibgp cluster 1.2.3.4 set protocols bgp group ibgp peer-as 10 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set policy-options policy-statement bgp_nh_self term 1 from protocol bgp set policy-options policy-statement bgp_nh_self term 1 then next-hop self set policy-options policy-statement bgp_nh_self term 1 then accept set protocols bgp group ibgp export bgp_nh_self set protocols bgp group ibgp allow 10.10.10.0/24 set routing-options static route 2.2.2.0/30 next-hop 1.1.1.2 set routing-options static route 3.3.3.0/30 next-hop 1.1.1.2 set routing-options autonomous-system 10 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway hub-to-spoke-gw ike-policy ike-policy1 set security ike gateway hub-to-spoke-gw dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw local-identity distinguished-name set security ike gateway hub-to-spoke-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn ike gateway hub-to-spoke-gw set security ipsec vpn hub-to-spoke-vpn ike ipsec-policy vpn-policy1 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie den Hub:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 1.1.1.1/30 user@host# set ge-0/0/3 unit 0 family inet address 50.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24
Routing-Protokoll konfigurieren.
[edit policy-options] user@host# set policy-statement lan_nw from interface ge-0/0/3.0 user@host# set policy-statement lan_nw then accept user@host# set policy-statement bgp_nh_self term 1 from protocol bgp user@host# set policy-statement bgp_nh_self term 1 then next-hop self user@host# set policy-statement bgp_nh_self term 1 then accept [edit protocols bgp] user@host# set group ibgp type internal user@host# set group ibgp local-address 10.10.10.1 user@host# set group ibgp export lan_nw user@host# set group ibgp cluster 1.2.3.4 user@host# set group ibgp peer-as 10 user@host# set group ibgp allow 10.10.10.0/24 user@host# set group ibgp export bgp_nh_self [edit routing-options] user@host# set static route 2.2.2.0/30 next-hop 1.1.1.2 user@host# set static route 3.3.3.0/30 next-hop 1.1.1.2 user@host# set autonomous-system 10
Konfiguration der Phase 1-Optionen
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway hub-to-spoke-gw] user@host# set ike-policy ike-policy1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn] user@host# set bind-interface st0.0 user@host# set ike gateway hub-to-spoke-gw user@host# set ike ipsec-policy vpn-policy1
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement bgp_nh_self {
term 1 {
from protocol bgp;
then {
next-hop self;
accept;
}
}
}
policy-statement lan_nw {
from interface ge-0/0/3.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp {
type internal;
local-address 10.10.10.1;
export lan_nw;
cluster 1.2.3.4;
peer-as 10;
allow 10.10.10.0/24;
export bgp_nh_self;
}
}
[edit]
user@host# show routing-options
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.1.2;
}
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway hub-to-spoke-gw {
ike-policy ike-policy1;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn hub-to-spoke-vpn {
bind-interface st0.0;
ike {
gateway hub-to-spoke-gw;
ipsec-policy vpn-policy1;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren von Spoke 1
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces fe-0/0/1 unit 0 family inet address 2.2.2.1/30 set interfaces fe-0/0/4 unit 0 family inet address 60.60.60.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.2/24 set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 10.10.10.2 set protocols bgp group ibgp export lan_nw set protocols bgp group ibgp neighbor 10.10.10.1 set routing-options static route 1.1.1.0/30 next-hop 2.2.2.2 set routing-options autonomous-system 10 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 1.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface fe-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie Spoke 1:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 2.2.2.1/30 user@host# set fe-0/0/4 unit 0 family inet address 60.60.60.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.2/24
Routing-Protokoll konfigurieren.
[edit policy-options] user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp type internal user@host# set group ibgp local-address 10.10.10.2 user@host# set group ibgp export lan_nw user@host# set group ibgp neighbor 10.10.10.1 [edit routing-options] user@host# set static route 1.1.1.0/30 next-hop 2.2.2.2 user@host# set autonomous-system 10
Konfiguration der Phase 1-Optionen
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 1.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.2/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement lan_nw {
from interface fe-0/0/4.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp {
type internal;
local-address 10.10.10.2;
export lan_nw;
neighbor 10.10.10.1;
}
}
[edit]
user@host# show routing-options
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
}
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway spoke-to-hub-gw {
ike-policy ike-policy1;
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn spoke-to-hub {
bind-interface st0.0;
ike {
gateway spoke-to-hub-gw;
ipsec-policy vpn-policy1;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren von Spoke 2
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/1 unit 0 family inet address 3.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 70.70.70.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.3/24 set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 10.10.10.3 set protocols bgp group ibgp export lan_nw set protocols bgp group ibgp neighbor 10.10.10.1 set routing-options static route 1.1.1.0/30 next-hop 3.3.3.2 set routing-options autonomous-system 10 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 1.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie Spoke 2:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 3.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 70.70.70.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.3/24
Routing-Protokoll konfigurieren.
[edit policy-options] user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp type internal user@host# set group ibgp local-address 10.10.10.3 user@host# set group ibgp export lan_nw user@host# set group ibgp neighbor 10.10.10.1 [edit routing-options] user@host# set static route 1.1.1.0/30 next-hop 3.3.3.2 user@host# set autonomous-system 10
Konfiguration der Phase 1-Optionen
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 1.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface ge-0/0/1.0
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 3.3.3.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 70.70.70.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.3/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement lan_nw {
from interface fe-0/0/4.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp {
type internal;
local-address 10.10.10.3;
export lan_nw;
neighbor 10.10.10.1;
}
}
[edit]
user@host# show routing-options
static {
route 1.1.1.0/30 next-hop 3.3.3.2;
}
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway spoke-to-hub-gw {
ike-policy ike-policy1;
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn spoke-to-hub {
bind-interface st0.0;
ike {
gateway spoke-to-hub-gw;
ipsec-policy vpn-policy1;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung des Status IKE Phase 1
- Überprüfung des IPsec-Phase-2-Status
- Überprüfung von IPsec Next-Hop-Tunneln
- Überprüfung der BGP
- Überprüfen gelernter Routen
Überprüfung des Status IKE Phase 1
Zweck
Überprüfen Sie den IKE Phase 1-Status.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5480163 UP a558717f387074ab 6d0135c5ecaed61d Main 3.3.3.1 5480162 UP 7a63d16a5a723df1 c471f7ae166d3a34 Main 2.2.2.1
Bedeutung
Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter für den Vorschlag in Phase 1 müssen auf dem Hub und den Spokes abgestimmt sein.
Überprüfung des IPsec-Phase-2-Status
Zweck
Überprüfen des IPsec-Phase-2-Status
Aktion
Geben Sie im Betriebsmodus den Befehl security ipsec security-associations ein.
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173400 ESP:des/ md5 9bf33bc7 3567/ unlim - root 500 2.2.2.1 >268173400 ESP:des/ md5 aae5196b 3567/ unlim - root 500 2.2.2.1 <268173401 ESP:des/ md5 69c24d81 622/ unlim - root 500 3.3.3.1 >268173401 ESP:des/ md5 e3fe0231 622/ unlim - root 500 3.3.3.1
Bedeutung
Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub und den Spokes abgestimmt sein.
Überprüfung von IPsec Next-Hop-Tunneln
Zweck
Überprüfen der IPsec-Next-Hop-Tunnel
Aktion
Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 10.10.10.3 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2
Bedeutung
Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.
Überprüfung der BGP
Zweck
Stellen Sie sicher BGP dass sie auf die IP-Adressen für die st0 Spokes-Schnittstellen verweisen.
Aktion
Geben Sie im Betriebsmodus den Befehl show bgp summary ein.
user@host> show bgp summary Groups: 1 Peers: 2 Down peers: 0 Unconfigured peers: 2 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 2 2 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.10.10.2 10 116 119 0 0 50:25 1/1/1/0 0/0/0/0 10.10.10.3 10 114 114 0 0 50:04 1/1/1/0 0/0/0/0
Überprüfen gelernter Routen
Zweck
Stellen Sie sicher, dass Routen zu den Spokes gelernt wurden.
Aktion
Geben Sie im Betriebsmodus den Befehl show route 60.60.60.0 ein.
user@host> show route 60.60.60.0
inet.0: 45 destinations, 45 routes (44 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
60.60.60.0/24 *[BGP/170] 00:50:57, localpref 100
AS path: I
> to 10.10.10.2 via st0.0
Geben Sie im Betriebsmodus den Befehl show route 70.70.70.0 ein.
user@host> show route 70.70.70.0
inet.0: 45 destinations, 45 routes (44 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
70.70.70.0/24 *[BGP/170] 00:50:42, localpref 100
AS path: I
> to 10.10.10.3 via st0.0
Beispiel: Konfigurieren von Basic AutoVPN mit iBGP für IPv6-Datenverkehr
In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub konfiguriert wird, um als einzelner Terminierungspunkt zu fungieren, und dann zwei Spokes zu konfigurieren, die als Tunnel zu Remote-Standorten fungieren. In diesem Beispiel wird AutoVPN für IPv6-Umgebung mithilfe von iBGP konfiguriert, um Pakete über die VPN-Tunnel weiterzulenken.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes.
Junos OS Release 18.1R1 und späteren Versionen.
Bevor Sie beginnen:
Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.
Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird. Weitere Informationen über die spezifischen Anforderungen für ein dynamisches Routing-Protokoll finden Sie in der Übersicht über Routing-Protokolle.
Überblick
In diesem Beispiel wird die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen von zwei Spokes gezeigt.
In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Die Zertifikate für die Spokes enthalten den Wert "SLT" der Organisationseinheit (OU) im Betreff. der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist.
Die Spokes ermöglichen IPSec-VPN-Verbindungen zum Hub und ermöglichen so die Kommunikation untereinander sowie Zugriff auf Ressourcen auf dem Hub. Phase 1- und Phase 2 IKE-Tunneloptionen, die auf dem AutoVPN-Hub konfiguriert sind und alle Spokes müssen über die gleichen Werte verfügen. Tabelle 6 zeigt die in diesem Beispiel verwendeten Optionen an.
Option |
Wert |
|---|---|
IKE Angebot: |
|
Authentifizierungsmethode |
Digitale Zertifikate von RSA |
Diffie-Hellman (DH)-Gruppe |
19 |
Authentifizierungsalgorithmus |
SHA-384 |
Verschlüsselungsalgorithmus |
AES 256 CBC |
IKE Richtlinien: |
|
Modus |
Wichtigsten |
IPsec-Angebot: |
|
Protokoll |
Esp |
Lebensdauer(en) Sekunden |
3000 |
Verschlüsselungsalgorithmus |
AES 256 GCM |
IPsec-Richtlinie: |
|
Perfect Forward Secrecy (PFS)-Gruppe |
19 |
Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.
Junos OS unterstützt nur eine einzelne Zertifikatshierarchie.
Tabelle 7 zeigt die auf dem Hub und auf allen Spokes konfigurierten Optionen an.
Option |
Hub |
Alle Spokes |
|---|---|---|
IKE-Gateway: |
||
Remote-IP-Adresse |
Dynamische |
2001:db8:2000::1 |
Remote-IKE-ID |
Ausgezeichneter Name (DN) auf dem Spoke-Zertifikat mit dem String |
DN auf dem Zertifikat des Hubs |
Lokale IKE-ID |
DN auf dem Zertifikat des Hubs |
DN auf dem Spoke-Zertifikat |
Externe Schnittstelle |
ge-0/0/0 |
Spoke 1: ge-0/0/0.0 Spoke 2: ge-0/0/0.0 |
Vpn: |
||
Bindungsschnittstelle |
st0.1 |
st0.1 |
Tunnel einrichten |
(nicht konfiguriert) |
Establish-Tunnel bei Datenverkehr |
Tabelle 8 zeigt die Konfigurationsoptionen auf, die sich auf jedem Spoke unterscheiden.
Option |
Spoke 1 |
Spoke 2 |
|---|---|---|
St0.0-Schnittstelle |
2001:db8:7000::2/64 |
2001:db8:7000::3/64 |
Schnittstelle zum internen Netzwerk |
(ge-0/0/1.0) 2001:db8:4000::1/64 |
(ge-0/0/1.0) 2001:db8:6000::1/64 |
Schnittstelle zum Internet |
(ge-0/0/0.0) 2001:db8:3000::2/64 |
(ge-0/0/0.0) 2001:db8:5000::2/64 |
Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.
In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.
Topologie
Abbildung 2 zeigt in diesem Beispiel die Konfiguration von Geräten der SRX-Serie für AutoVPN.
Konfiguration
Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:
Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.
- Gerätezertifikate mit SCEP registrieren
- Konfigurieren des Hubs
- Konfigurieren von Spoke 1
- Konfigurieren von Spoke 2
Gerätezertifikate mit SCEP registrieren
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 1.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bangalore, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bangalore, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 1.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 2.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not startedDie im Betreff angezeigte Organisationseinheit (OU)
SLTist. Die IKE des Hubs enthältou=SLTdie Spoke-Konfiguration.
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 3.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 3.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not startedDie im Betreff angezeigte Organisationseinheit (OU)
SLTist. Die IKE des Hubs enthältou=SLTdie Spoke-Konfiguration.
Konfigurieren des Hubs
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate HUB set security ike gateway IKE_GWA_1 ike-policy IKE_POL set security ike gateway IKE_GWA_1 dynamic distinguished-name wildcard OU=SLT set security ike gateway IKE_GWA_1 dead-peer-detection always-send set security ike gateway IKE_GWA_1 dead-peer-detection interval 10 set security ike gateway IKE_GWA_1 dead-peer-detection threshold 3 set security ike gateway IKE_GWA_1 local-identity distinguished-name set security ike gateway IKE_GWA_1 external-interface ge-0/0/0 set security ike gateway IKE_GWA_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPNA_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPNA_1 ike gateway IKE_GWA_1 set security ipsec vpn IPSEC_VPNA_1 ike ipsec-policy IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:7000::1/64 set routing-options rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::2 set routing-options rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::2 set routing-options autonomous-system 100 set routing-options forwarding-table export load_balance set protocols bgp traceoptions file bgp set protocols bgp traceoptions flag all set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 2001:db8:9000::1 set protocols bgp group ibgp export ibgp set protocols bgp group ibgp cluster 1.2.3.4 set protocols bgp group ibgp peer-as 100 set protocols bgp group ibgp multipath set protocols bgp group ibgp allow 2001:db8:9000::/64 set policy-options policy-statement ibgp from interface ge-0/0/1.0 set policy-options policy-statement ibgp then accept set policy-options policy-statement load_balance then load-balance per-packet
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie den Hub:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:7000::1/64
Routing-Protokoll konfigurieren.
[edit policy-options] user@host# set policy-statement ibgp from interface ge-0/0/1.0 user@host# set policy-statement ibgp then accept user@host# set policy-statement load_balance then load-balance per-packet [edit protocols bgp] user@host# set traceoptions file bgp user@host# set traceoptions flag all user@host# set group ibgp type internal user@host# set group ibgp local-address 2001:db8:9000::1 user@host# set group ibgp export ibgp user@host# set group ibgp cluster 1.2.3.4 user@host# set group ibgp peer-as 100 user@host# set group ibgp multipath user@host# set group ibgp allow 2001:db8:9000::/64 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::2 user@host# set rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::2 user@host# set autonomous-system 100 user@host# set forwarding-table export load_balance
Konfiguration der Phase 1-Optionen
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal ike-proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate HUB [edit security ike gateway IKE_GWA_1] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/0 user@host# set version v1-only
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_1 user@host# set ike ipsec-policy IPSEC_POL
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:1000::2/64;
}
}
}
st0 {
unit 1{
multipoint;
family inet6 {
address 2001:db8:7000::1/64;
}
}
}
[edit]
user@host# show policy-options
policy-statement ibgp {
from interface ge-0/0/1.0;
then accept;
}
policy-statement load_balance {
then {
load-balance per-packet;
}
}
[edit]
user@host# show protocols
bgp {
traceoptions {
file bgp;
flag all;
}
group ibgp {
type internal;
local-address 2001:db8:9000::1;
export ibgp;
cluster 1.2.3.4;
peer-as 100;
multipath;
allow 2001:db8:9000::/64;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route route 2001:db8:3000::/64 next-hop 2001:db8:2000::2;
route 2001:db8:5000::/64 next-hop 2001:db8:2000::2;
}
}
[edit]
user@host# show security ike
traceoptions {
file ik;
flag all;
}
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate HUB;
}
}
gateway IKE_GWA_1 {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
}
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
external-interface ge-0/0/0;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPNA_1 {
bind-interface st0.1;
ike {
gateway IKE_GWA_1;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren von Spoke 1
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE1 set security ike gateway IKE_GW_SPOKE_1 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_1 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_1 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_1 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_1 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike gateway IKE_GW_SPOKE_1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_1 establish-tunnels on-traffic set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::2/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1 set routing-options autonomous-system 100 set protocols bgp traceoptions file bgp set protocols bgp traceoptions flag all set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 2001:db8:9000::2 set protocols bgp group ibgp export ibgp set protocols bgp group ibgp peer-as 100 set protocols bgp group ibgp neighbor 2001:db8:9000::1 set policy-options policy-statement ibgp from interface ge-0/0/1.0 set policy-options policy-statement ibgp then accept
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie Spoke 1:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::2/64
Routing-Protokoll konfigurieren.
[edit policy-options] user@host# set policy-statement ibgp from interface ge-0/0/1.0 user@host# set policy-statement ibgp then accept [edit protocols bgp] user@host# set traceoptions file bgp user@host# set traceoptions flag all user@host# set group ibgp type internal user@host# set group ibgp local-address 2001:db8:9000::2 user@host# set group ibgp export ibgp user@host# set group ibgp peer-as 100 user@host# set group ibgp neighbor 2001:db8:9000::1 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1 user@host# set autonomous-system 100
Konfiguration der Phase 1-Optionen
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal ike-proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE1 [edit security ike gateway IKE_GW_SPOKE_1] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0 user@host# set version v1-only
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_SPOKE_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_SPOKE_1 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels on-traffic
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:3000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:4000::1/64;
}
}
}
st0 {
unit 1{
family inet6 {
address 2001:db8:7000::2/64;
}
}
}
[edit]
user@host# show policy-options
policy-statement ibgp {
from interface ge-0/0/1.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
traceoptions {
file bgp;
flag all;
}
group ibgp {
type internal;
local-address 2001:db8:9000::2;
export ibgp;
peer-as 100;
neighbor 2001:db8:9000::1;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route route 2001:db8:2000::/64 next-hop 2001:db8:3000::1;
}
}
[edit]
user@host# show security ike
traceoptions {
file ik;
flag all;
}
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate SPOKE1;
}
}
gateway IKE_GWA_SPOKE1 {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
}
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
external-interface ge-0/0/0;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPNA_SPOKE_1 {
bind-interface st0.1;
ike {
gateway IKE_GWA_SPOKE_1;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren von Spoke 2
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE2 set security ike gateway IKE_GW_SPOKE_2 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_2 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_2 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_2 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_2 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_2 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_2 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike gateway IKE_GW_SPOKE_2 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_2 establish-tunnels on-traffic set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::3/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 set routing-options autonomous-system 100 set protocols bgp traceoptions file bgp set protocols bgp traceoptions flag all set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 2001:db8:9000::3 set protocols bgp group ibgp export ibgp set protocols bgp group ibgp peer-as 100 set protocols bgp group ibgp neighbor 2001:db8:9000::1 set policy-options policy-statement ibgp from interface ge-0/0/1.0 set policy-options policy-statement ibgp then accept
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie Spoke 2:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::3/64
Routing-Protokoll konfigurieren.
[edit policy-options] user@host# set policy-statement ibgp from interface ge-0/0/1.0 user@host# set policy-statement ibgp then accept [edit protocols bgp] user@host# set traceoptions file bgp user@host# set traceoptions flag all user@host# set group ibgp type internal user@host# set group ibgp local-address 2001:db8:9000::3 user@host# set group ibgp export ibgp user@host# set group ibgp peer-as 100 user@host# set group ibgp neighbor 2001:db8:9000::1 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 user@host# set autonomous-system 100
Konfiguration der Phase 1-Optionen
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal ike-proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE2 [edit security ike gateway IKE_GW_SPOKE_2] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0 user@host# set version v1-only
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_SPOKE_2] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_SPOKE_2 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels on-traffic
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:5000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:6000::1/64;
}
}
}
st0 {
unit 1{
family inet6 {
address 2001:db8:7000::3/64;
}
}
}
[edit]
user@host# show policy-options
policy-statement ibgp {
from interface ge-0/0/1.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
traceoptions {
file bgp;
flag all;
}
group ibgp {
type internal;
local-address 2001:db8:9000::3;
export ibgp;
peer-as 100;
neighbor 2001:db8:9000::1;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route route 2001:db8:2000::/64 next-hop 2001:db8:5000::1;
}
}
[edit]
user@host# show security ike
traceoptions {
file ik;
flag all;
}
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate SPOKE2;
}
}
gateway IKE_GWA_SPOKE2 {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
}
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
external-interface ge-0/0/0;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPNA_SPOKE_2 {
bind-interface st0.1;
ike {
gateway IKE_GWA_SPOKE_2;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung des IKE Status
- Überprüfung des IPsec-Status
- Überprüfung von IPsec Next-Hop-Tunneln
- Überprüfung der BGP
Überprüfung des IKE Status
Zweck
Überprüfen Sie den IKE Status.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ike sa ein.
user@host> show security ike sa Index State Initiator cookie Responder cookie Mode Remote Address 493333 UP 2001:db8:88b49d915e684c93 2001:db8:fe890b1cac8522b5 Main 2001:db8:3000::2 493334 UP 2001:db8:26e40244ad3d722d 2001:db8:68b4d9f94097d32e Main 2001:db8:5000::2
Bedeutung
Im show security ike sa Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter für den Vorschlag in Phase 1 müssen auf dem Hub und den Spokes abgestimmt sein.
Überprüfung des IPsec-Status
Zweck
IPsec-Status überprüfen.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ipsec sa ein.
user@host> show security ipsec sa Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway >67108885 ESP:aes-gcm-256/None fdef4dab 2918/ unlim - root 500 2001:db8:3000::2 >67108885 ESP:aes-gcm-256/None e785dadc 2918/ unlim - root 500 2001:db8:3000::2 >67108887 ESP:aes-gcm-256/None 34a787af 2971/ unlim - root 500 2001:db8:5000::2 >67108887 ESP:aes-gcm-256/None cf57007f 2971/ unlim - root 500 2001:db8:5000::2
Bedeutung
Im show security ipsec sa Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub und den Spokes abgestimmt sein.
Überprüfung von IPsec Next-Hop-Tunneln
Zweck
Überprüfen der IPsec-Next-Hop-Tunnel
Aktion
Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 2001:db8:9000::2 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8:9000::3 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:163c st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8::5668:ad10:fcd8:18a1 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available
Bedeutung
Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.
Überprüfung der BGP
Zweck
Stellen Sie sicher BGP dass sie auf die IP-Adressen für die st0 Spokes-Schnittstellen verweisen.
Aktion
Geben Sie im Betriebsmodus den Befehl show bgp summary ein.
user@host> show bgp summary
Groups: 1 Peers: 2 Down peers: 0
Unconfigured peers: 2
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet6.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State
2001:db8:9000::2 100 4 4 0 0 32 Establ
inet6.0: 1/1/1/0
2001:db8:9000::3 100 4 4 0 0 8 Establ
inet6.0: 1/1/1/0Beispiel: Konfiguration von AutoVPN mit iBGP und ECMP
In diesem Beispiel wird die Konfiguration von zwei IPsec-VPN-Tunneln zwischen einem AutoVPN-Hub und Spoke veranschaulicht. In diesem Beispiel wird iBGP mit Equal-Cost-Multipath (ECMP) konfiguriert, um Pakete über die VPN-Tunnel zu übertragen.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei unterstützte Geräte der SRX-Serie als AutoVPN Hub and Spoke
Junos OS Release 12.1X44-D10 und höher, die AutoVPN unterstützen
Bevor Sie beginnen:
Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.
Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.
Überblick
In diesem Beispiel wird die Konfiguration eines AutoVPN-Hubs und eines Spoke mit zwei IPsec-VPN-Tunneln gezeigt.
In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Zertifikate werden im Hub und spoke für jeden IPsec-VPN-Tunnel registriert. Eines der Zertifikate für den Spoke enthält den Wert "SLT" der Organisationseinheit (OU) im ausgezeichneten Namen (DN); der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist. Das andere Zertifikat für den Spoke enthält den OU-Wert "SBU" in der DN. der Hub wird mit einer Gruppen-ID IKE konfiguriert, die dem Wert "SBU" im OU-Feld entsprechend an abgestimmt ist.
Die Spoke-Funktion stellt IPSec-VPN-Verbindungen zum Hub fest und ermöglicht so den Zugriff auf Ressourcen im Hub. Phase 1- und Phase 2 IKE-Tunneloptionen, die auf dem AutoVPN-Hub und dem Spoke konfiguriert sind, müssen die gleichen Werte haben. Tabelle 9 zeigt die in diesem Beispiel verwendeten Optionen an.
Option |
Wert |
|---|---|
IKE Angebot: |
|
Authentifizierungsmethode |
Digitale Zertifikate von RSA |
Diffie-Hellman (DH)-Gruppe |
2 |
Authentifizierungsalgorithmus |
SHA-1 |
Verschlüsselungsalgorithmus |
AES 128 CBC |
IKE Richtlinien: |
|
Modus |
Wichtigsten |
IPsec-Angebot: |
|
Protokoll |
Esp |
Authentifizierungsalgorithmus |
H HLT MD5 96 |
Verschlüsselungsalgorithmus |
DES CBC |
IPsec-Richtlinie: |
|
Perfect Forward Secrecy (PFS)-Gruppe |
14 |
Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.
Junos OS unterstützt nur eine einzelne Zertifikatshierarchie.
Tabelle 10 zeigt die auf dem Hub und auf dem Spoke konfigurierten Optionen an.
Option |
Hub |
Spoke 1 |
|---|---|---|
IKE-Gateway: |
||
Remote-IP-Adresse |
hub-to-spoke-gw-1: Dynamische hub-to-spoke-gw-2: Dynamische |
spoke-to-hub-gw-1: 1.1.1.1 spoke-to-hub-gw-2: 1.1.2.1 |
Remote-IKE-ID |
hub-to-spoke-gw-1: DN auf dem Spoke-Zertifikat mit der Zeichenfolge hub-to-spoke-gw-2: DN auf dem Spoke-Zertifikat mit der Zeichenfolge |
spoke-to-hub-gw-1: DN auf dem Zertifikat des Hubs spoke-to-hub-gw-2: DN auf dem Zertifikat des Hubs |
Lokale IKE-ID |
DN auf dem Zertifikat des Hubs |
DN auf dem Spoke-Zertifikat |
Externe Schnittstelle |
hub-to-spoke-gw-1: ge-0/0/1.0 hub-to-spoke-gw-2: ge-0/0/2.0 |
spoke-to-hub-gw-1: fe-0/0/1.0 spoke-to-hub-gw-2: fe-0/0/2.0 |
Vpn: |
||
Bindungsschnittstelle |
hub-to-spoke-vpn-1: st0.0 hub-to-spoke-vpn-2: st0.1 |
spoke-to-hub-1: st0.0 spoke-to-hub-2: st0.1 |
Tunnel einrichten |
(nicht konfiguriert) |
Sofort bei Konfigurations-Commit |
Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.
In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.
Topologie
Abbildung 3 zeigt in diesem Beispiel, dass Geräte der SRX-Serie für AutoVPN konfiguriert werden.
Konfiguration
Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:
Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.
Gerätezertifikate mit SCEP registrieren
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Generieren Sie für jedes Zertifikat ein Schlüsselpaar.
user@host> request security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
Melden Sie sich zu den lokalen Zertifikaten an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 1.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email hub_backup@example.net ip-address 1.1.2.1 subject DC=example.net,CN=hub_backup,OU=SBU,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
Überprüfen Sie die lokalen Zertifikate.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bangalore, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bangalore, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 1.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not starteduser@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 505efdf900000000259a Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Bangalore, Common name: hub_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bangalore, O=example, OU=SBU, CN=hub_backup Alternate subject: "hub_backup@example.net", example.net, 1.1.2.1 Validity: Not before: 11- 9-2012 10:55 Not after: 11- 9-2013 11:05 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d5:44:08:96:f6:77:05:e6:91:50:8a:8a:2a 4e:95:43:1e:88:ea:43:7c:c5:ac:88:d7:a0:8d:b5:d9:3f:41:db:db 44:34:1f:56:a5:38:4b:b2:c5:85:f9:f1:bf:b2:7b:d4:b2:af:98:a0 95:50:02:ad:f5:dd:4d:dc:67:85:dd:84:09:df:9c:68:a5:58:65:e7 2c:72:cc:47:4b:d0:cc:4a:28:ca:09:db:ad:6e:5a:13:6c:e6:cc:f0 29:ed:2b:2d:d1:38:38:bc:68:84:de:ae:86:39:c9:dd:06:d5:36:f0 e6:2a:7b:46:4c:cd:a5:24:1c:e0:92:8d:ad:35:29:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 98:96:2f:ff:ca:af:33:ee:d7:4c:c8:4f:f7:71:53:c0:5d:5f:c5:59 (sha1) c9:87:e3:a4:5c:47:b5:aa:90:22:e3:06:b2:0b:e1:ea (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Generieren Sie für jedes Zertifikat ein Schlüsselpaar.
user@host> rrequest security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
Melden Sie sich zu den lokalen Zertifikaten an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email spoke1_backup@example.net ip-address 3.3.3.1 subject DC=example.net,CN=spoke1_backup,OU=SBU,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
Überprüfen Sie die lokalen Zertifikate.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 2.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started user@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 506c3d0600000000259b Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Mysore, Common name: spoke1_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup Alternate subject: "spoke1_backup@example.net", example.net, 3.3.3.1 Validity: Not before: 11- 9-2012 11:09 Not after: 11- 9-2013 11:19 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:a7:02:b5:e2:cd:79:24:f8:97:a3:8d:4d:27 8c:2b:dd:f1:57:72:4d:2b:6d:d5:95:0d:9c:1b:5c:e2:a4:b0:84:2e 31:82:3c:91:08:a2:58:b9:30:4c:5f:a3:6b:e6:2b:9c:b1:42:dd:1c cd:a2:7a:84:ea:7b:a6:b7:9a:13:33:c6:27:2b:79:2a:b1:0c:fe:08 4c:a7:35:fc:da:4f:df:1f:cf:f4:ba:bc:5a:05:06:63:92:41:b4:f2 54:00:3f:ef:ff:41:e6:ca:74:10:56:f7:2b:5f:d3:1a:33:7e:49:74 1c:42:cf:c2:23:ea:4b:8f:50:2c:eb:1c:a6:37:89:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: d6:7f:52:a3:b6:f8:ae:cb:70:3f:a9:79:ea:8a:da:9e:ba:83:e4:5f (sha1) 76:0b:72:73:cf:51:ee:58:81:2d:f7:b4:e2:5c:f4:5c (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not startedDie im Betreff angezeigte Organisationseinheit (OU) ist
SLTfür Local1 undSBULocal2. Zu IKE der Konfiguration auf dem Hub gehörenOU=SLTdieOU=SBUSpoke-Konfigurationen und die Identifizierung der Spoke.
Konfigurieren des Hubs
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/1 unit 0 family inet address 1.1.1.1/30 set interfaces ge-0/0/2 unit 0 family inet address 1.1.2.1/30 set interfaces ge-0/0/3 unit 0 family inet address 50.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 20.20.20.1/24 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set policy-options policy-statement load_balance then load-balance per-packet set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.1 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 cluster 1.2.3.4 set protocols bgp group ibgp-1 multipath set protocols bgp group ibgp-1 allow 10.10.10.0/24 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 20.20.20.1 set protocols bgp group ibgp-2 export lan_nw set protocols bgp group ibgp-2 cluster 1.2.3.5 set protocols bgp group ibgp-2 multipath set protocols bgp group ibgp-2 allow 20.20.20.0/24 set routing-options static route 2.2.2.0/30 next-hop 1.1.1.2 set routing-options static route 3.3.3.0/30 next-hop 1.1.2.2 set routing-options autonomous-system 10 set routing-options forwarding-table export load_balance set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway hub-to-spoke-gw-1 ike-policy ike-policy-1 set security ike gateway hub-to-spoke-gw-1 dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw-1 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-1 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-1 external-interface ge-0/0/1.0 set security ike gateway hub-to-spoke-gw-2 ike-policy ike-policy-2 set security ike gateway hub-to-spoke-gw-2 dynamic distinguished-name wildcard OU=SBU set security ike gateway hub-to-spoke-gw-2 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-2 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-2 external-interface ge-0/0/2.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn-1 bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn-1 ike gateway hub-to-spoke-gw-1 set security ipsec vpn hub-to-spoke-vpn-1 ike ipsec-policy vpn-policy set security ipsec vpn hub-to-spoke-vpn-2 bind-interface st0.1 set security ipsec vpn hub-to-spoke-vpn-2 ike gateway hub-to-spoke-gw-2 set security ipsec vpn hub-to-spoke-vpn-2 ike ipsec-policy vpn-policy set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie den Hub:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 1.1.1.1/30 user@host# set ge-0/0/2 unit 0 family inet address 1.1.2.1/30 user@host# set ge-0/0/3 unit 0 family inet address 50.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 20.20.20.1/24
Routing-Protokoll konfigurieren.
[edit policy-options] user@host# set policy-statement lan_nw from interface ge-0/0/3.0 user@host# set policy-statement lan_nw then accept user@host# set policy-statement load_balance then load-balance per-packet [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.1 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 cluster 1.2.3.4 user@host# set group ibgp-1 multipath user@host# set group ibgp-1 allow 10.10.10.0/24 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 20.20.20.1 user@host# set group ibgp-2 export lan_nw user@host# set group ibgp-2 cluster 1.2.3.5 user@host# set group ibgp-2 multipath user@host# set group ibgp-2 allow 20.20.20.0/24 [edit routing-options] user@host# set static route 2.2.2.0/30 next-hop 1.1.1.2 user@host# set static route 3.3.3.0/30 next-hop 1.1.2.2 user@host# set autonomous-system 10 user@host# set forwarding-table export load_balance
Konfiguration der Phase 1-Optionen
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway hub-to-spoke-gw-1] user@host# set ike-policy ike-policy-1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0 [edit security ike gateway hub-to-spoke-gw-2] user@host# set ike-policy ike-policy-2 user@host# set dynamic distinguished-name wildcard OU=SBU user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/2.0
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn-1] user@host# set bind-interface st0.0 user@host# set ike gateway hub-to-spoke-gw-1 user@host# set ike ipsec-policy vpn-policy [edit security ipsec vpn hub-to-spoke-vpn-2] user@host# set bind-interface st0.1 user@host# set ike gateway hub-to-spoke-gw-2 user@host# set ike ipsec-policy vpn-policy
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.0 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces ge-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 1.1.2.1/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
unit 1 {
multipoint;
family inet {
address 20.20.20.1/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement lan_nw {
from interface ge-0/0/3.0;
then accept;
}
policy-statement load_balance {
then {
load-balance per-packet;
}
}
[edit]
user@host# show protocols
bgp {
group ibgp-1 {
type internal;
local-address 10.10.10.1;
export lan_nw;
cluster 1.2.3.4;
multipath;
allow 10.10.10.0/24;
}
group ibgp-2 {
type internal;
local-address 20.20.20.1;
export lan_nw;
cluster 1.2.3.5;
multipath;
allow 20.20.20.0/24;
}
}
[edit]
user@host# show routing-options
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.2.2;
}
autonomous-system 10;
forwarding-table {
export load_balance;
}
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
policy ike-policy-2 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local2;
}
}
gateway hub-to-spoke-gw-1 {
ike-policy ike-policy-1;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/1.0;
}
gateway hub-to-spoke-gw-2 {
ike-policy ike-policy-2;
dynamic {
distinguished-name {
wildcard OU=SBU;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/2.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn hub-to-spoke-vpn-1 {
bind-interface st0.0;
ike {
gateway hub-to-spoke-gw-1;
ipsec-policy vpn-policy;
}
}
vpn hub-to-spoke-vpn-2 {
bind-interface st0.1;
ike {
gateway hub-to-spoke-gw-2;
ipsec-policy vpn-policy;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
ge-0/0/2.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren von Spoke 1
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces fe-0/0/1 unit 0 family inet address 2.2.2.1/30 set interfaces fe-0/0/2 unit 0 family inet address 3.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 60.60.60.1/24 set interfaces st0 unit 0 family inet address 10.10.10.2/24 set interfaces st0 unit 1 family inet address 20.20.20.2/24 set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.2 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 neighbor 10.10.10.1 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 20.20.20.2 set protocols bgp group ibgp-2 export lan_nw set protocols bgp group ibgp-2 neighbor 20.20.20.1 set routing-options static route 1.1.1.0/30 next-hop 2.2.2.2 set routing-options static route 1.1.2.0/30 next-hop 3.3.3.2 set routing-options autonomous-system 10 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway spoke-to-hub-gw-1 ike-policy ike-policy-1 set security ike gateway spoke-to-hub-gw-1 address 1.1.1.1 set security ike gateway spoke-to-hub-gw-1 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 external-interface fe-0/0/1.0 set security ike gateway spoke-to-hub-gw-2 ike-policy ike-policy-2 set security ike gateway spoke-to-hub-gw-2 address 1.1.2.1 set security ike gateway spoke-to-hub-gw-2 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 external-interface fe-0/0/2.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn spoke-to-hub-1 bind-interface st0.0 set security ipsec vpn spoke-to-hub-1 ike gateway spoke-to-hub-gw-1 set security ipsec vpn spoke-to-hub-1 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-1 establish-tunnels immediately set security ipsec vpn spoke-to-hub-2 bind-interface st0.1 set security ipsec vpn spoke-to-hub-2 ike gateway spoke-to-hub-gw-2 set security ipsec vpn spoke-to-hub-2 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-2 establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces fe-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie Spoke 1:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 2.2.2.1/30 user@host# set fe-0/0/2 unit 0 family inet address 3.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 60.60.60.1/24 user@host# set st0 unit 0 family inet address 10.10.10.2/24 user@host# set st0 unit 1 family inet address 20.20.20.2/24
Routing-Protokoll konfigurieren.
[edit policy-options] user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.2 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 neighbor 10.10.10.1 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 20.20.20.2 user@host# set group ibgp-2 export lan_nw user@host# set group ibgp-2 neighbor 20.20.20.1 [edit routing-options] user@host# set static route 1.1.1.0/30 next-hop 2.2.2.2 user@host# set static route 1.1.2.0/30 next-hop 3.3.3.2 user@host# set autonomous-system 10
Konfiguration der Phase 1-Optionen
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway spoke-to-hub-gw-1] user@host# set ike-policy ike-policy-1 user@host# set address 1.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0 [edit security ike gateway spoke-to-hub-gw-2] user@host# set ike-policy ike-policy-2 user@host# set address 1.1.2.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/2.0
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub-1] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw-1 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately [edit security ipsec vpn spoke-to-hub-2] user@host# set bind-interface st0.1 user@host# set ike gateway spoke-to-hub-gw-2 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 user@host# set interfaces fe-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 3.3.3.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.10.10.2/24;
}
}
unit 1 {
family inet {
address 20.20.20.2/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement lan_nw {
from interface fe-0/0/4.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp-1 {
type internal;
local-address 10.10.10.2;
export lan_nw;
neighbor 10.10.10.1;
}
group ibgp-2 {
type internal;
local-address 20.20.20.2;
export lan_nw;
neighbor 20.20.20.1;
}
}
[edit]
user@host# show routing-options
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
route 1.1.2.0/30 next-hop 3.3.3.2;
}
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
policy ike-policy-2 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local2;
}
}
gateway spoke-to-hub-gw-1 {
ike-policy ike-policy-1;
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/1.0;
}
gateway spoke-to-hub-gw-2 {
ike-policy ike-policy-2;
address 1.1.2.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/2.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn spoke-to-hub-1 {
bind-interface st0.0;
ike {
gateway spoke-to-hub-gw-1;
ipsec-policy vpn-policy;
}
establish-tunnels immediately;
}
vpn spoke-to-hub-2 {
bind-interface st0.1;
ike {
gateway spoke-to-hub-gw-2;
ipsec-policy vpn-policy;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
st0.0;
fe-0/0/2.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung des Status IKE Phase 1
- Überprüfung des IPsec-Phase-2-Status
- Überprüfung von IPsec Next-Hop-Tunneln
- Überprüfung der BGP
- Überprüfen gelernter Routen
- Überprüfung der Routeninstallation in der Weiterleitungstabelle
Überprüfung des Status IKE Phase 1
Zweck
Überprüfen Sie den IKE Phase 1-Status.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3733049 UP bc9686796c2e52e9 1fbe46eee168f24e Main 2.2.2.1 3733048 UP a88db7ed23ec5f6b c88b81dff52617a5 Main 3.3.3.1
Bedeutung
Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Angebot in Phase 1 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.
Überprüfung des IPsec-Phase-2-Status
Zweck
Überprüfen des IPsec-Phase-2-Status
Aktion
Geben Sie im Betriebsmodus den Befehl security ipsec security-associations ein.
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173315 ESP:des/ md5 93cfb417 1152/ unlim - root 500 2.2.2.1 >268173315 ESP:des/ md5 101de6f7 1152/ unlim - root 500 2.2.2.1 <268173313 ESP:des/ md5 272e29c0 1320/ unlim - root 500 3.3.3.1 >268173313 ESP:des/ md5 a3bf8fad 1320/ unlim - root 500 3.3.3.1
Bedeutung
Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.
Überprüfung von IPsec Next-Hop-Tunneln
Zweck
Überprüfen der IPsec-Next-Hop-Tunnel
Aktion
Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn-1 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 20.20.20.2 st0.1 hub-to-spoke-vpn-2 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Bedeutung
Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.
Überprüfung der BGP
Zweck
Stellen Sie sicher BGP dass sie auf die IP-Adressen der st0 Spoke-Schnittstellen verweisen.
Aktion
Geben Sie im Betriebsmodus den Befehl show bgp summary ein.
user@host> show bgp summary Groups: 2 Peers: 2 Down peers: 0 Unconfigured peers: 2 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 2 2 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.10.10.2 10 4819 4820 0 2 1d 12:15:14 1/1/1/0 0/0/0/0 20.20.20.2 10 4926 4928 0 0 1d 13:03:03 1/1/1/0 0/0/0/0
Überprüfen gelernter Routen
Zweck
Stellen Sie sicher, dass Routen zum Spoke gelernt wurden.
Aktion
Geben Sie im Betriebsmodus den Befehl show route 60.60.60.0 detail ein.
user@host> show route 60.60.60.0 detail
inet.0: 47 destinations, 48 routes (46 active, 0 holddown, 1 hidden)
60.60.60.0/24 (2 entries, 1 announced)
*BGP Preference: 170/-101
Next hop type: Indirect
Address: 0x167407c
Next-hop reference count: 3
Source: 10.10.10.2
Next hop type: Router
Next hop: 10.10.10.2 via st0.0
Next hop type: Router
Next hop: 20.20.20.2 via st0.1, selected
Protocol next hop: 10.10.10.2
Indirect next hop: 15c8000 262142
Protocol next hop: 20.20.20.2
Indirect next hop: 15c80e8 262143
State: <Act Int Ext>
Local AS: 10 Peer AS: 10
Age: 1d 12:16:25 Metric2: 0
Task: BGP_10.10.10.10.2+53120
Announcement bits (2): 0-KRT 3-Resolve tree 1
AS path: I
Accepted Multipath
Localpref: 100
Router ID: 10.207.36.182
BGP Preference: 170/-101
Next hop type: Indirect
Address: 0x15b8ac0
Next-hop reference count: 1
Source: 20.20.20.2
Next hop type: Router
Next hop: 20.20.20.2 via st0.1, selected
Protocol next hop: 20.20.20.2
Indirect next hop: 15c80e8 262143
State: <NotBest Int Ext>
Inactive reason: Not Best in its group - Update source
Local AS: 10 Peer AS: 10
Age: 1d 13:04:14 Metric2: 0
Task: BGP_10.20.20.20.2+50733
AS path: I
Accepted MultipathContrib
Localpref: 100
Router ID: 10.207.36.182
Überprüfung der Routeninstallation in der Weiterleitungstabelle
Zweck
Stellen Sie sicher, dass Routen zum Spoke in der Weiterleitungstabelle installiert wurden.
Aktion
Geben Sie im Betriebsmodus den Befehl show route forwarding-table matching 60.60.60.0 ein.
user@host> show route forwarding-table matching 60.60.60.0
Routing table: default.inet
Internet:
Destination Type RtRef Next hop Type Index NhRef Netif
60.60.60.0/24 user 0 ulst 262144 1
indr 262142 2
10.10.10.2 ucst 572 3 st0.0
indr 262143 2
20.20.20.2 ucst 573 3 st0.1
Beispiel: Konfiguration von AutoVPN mit iBGP und Active-Backup-Tunneln
In diesem Beispiel wird gezeigt, wie aktive und Backup-IPsec-VPN-Tunnel zwischen einem AutoVPN-Hub und Spoke konfiguriert werden. In diesem Beispiel wird iBGP so konfiguriert, dass Datenverkehr über die VPN-Tunnel weitergeleitet wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei unterstützte Geräte der SRX-Serie als AutoVPN Hub and Spoke
Junos OS Release 12.1X44-D10 und höher, die AutoVPN unterstützen
Bevor Sie beginnen:
Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.
Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.
Überblick
In diesem Beispiel wird die Konfiguration eines AutoVPN-Hubs und eines Spoke mit zwei IPsec-VPN-Tunneln gezeigt.
In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Zertifikate werden im Hub und spoke für jeden IPsec-VPN-Tunnel registriert. Eines der Zertifikate für den Spoke enthält den Wert "SLT" der Organisationseinheit (OU) im ausgezeichneten Namen (DN); der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist. Das andere Zertifikat für den Spoke enthält den OU-Wert "SBU" in der DN. der Hub wird mit einer Gruppen-ID IKE konfiguriert, die dem Wert "SBU" im OU-Feld entsprechend an abgestimmt ist.
Die Spoke-Funktion stellt IPSec-VPN-Verbindungen zum Hub fest und ermöglicht so den Zugriff auf Ressourcen im Hub. Phase 1 und Phase 2 IKE tunneloptionen, die auf dem AutoVPN-Hub und dem Spoke konfiguriert sind, müssen die gleichen Werte haben. Tabelle 11 zeigt die in diesem Beispiel verwendeten Optionen an.
Option |
Wert |
|---|---|
IKE Angebot: |
|
Authentifizierungsmethode |
Digitale Zertifikate von RSA |
Diffie-Hellman (DH)-Gruppe |
2 |
Authentifizierungsalgorithmus |
SHA-1 |
Verschlüsselungsalgorithmus |
AES 128 CBC |
IKE Richtlinien: |
|
Modus |
Wichtigsten |
IPsec-Angebot: |
|
Protokoll |
Esp |
Authentifizierungsalgorithmus |
H HLT MD5 96 |
Verschlüsselungsalgorithmus |
DES CBC |
IPsec-Richtlinie: |
|
Perfect Forward Secrecy (PFS)-Gruppe |
14 |
Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.
Junos OS unterstützt nur eine einzelne Zertifikatshierarchie.
Tabelle 12 zeigt die auf dem Hub und auf dem Spoke konfigurierten Optionen an.
Option |
Hub |
Spoke 1 |
|---|---|---|
IKE-Gateway: |
||
Remote-IP-Adresse |
hub-to-spoke-gw-1: Dynamische hub-to-spoke-gw-2: Dynamische |
spoke-to-hub-gw-1: 1.1.1.1 spoke-to-hub-gw-2: 1.1.2.1 |
Remote-IKE-ID |
hub-to-spoke-gw-1: DN auf dem Spoke-Zertifikat mit der Zeichenfolge hub-to-spoke-gw-2: DN auf dem Spoke-Zertifikat mit der Zeichenfolge |
spoke-to-hub-gw-1: DN auf dem Zertifikat des Hubs spoke-to-hub-gw-2: DN auf dem Zertifikat des Hubs |
Lokale IKE-ID |
DN auf dem Zertifikat des Hubs |
DN auf dem Spoke-Zertifikat |
Externe Schnittstelle |
hub-to-spoke-gw-1: ge-0/0/1.0 hub-to-spoke-gw-2: ge-0/0/2.0 |
spoke-to-hub-gw-1: fe-0/0/1.0 spoke-to-hub-gw-2: fe-0/0/2.0 |
Vpn: |
||
Bindungsschnittstelle |
hub-to-spoke-vpn-1: st0.0 hub-to-spoke-vpn-2: st0.1 |
spoke-to-hub-1: st0.0 spoke-to-hub-2: st0.1 |
VPN-Monitor |
hub-to-spoke-vpn-1: GE-0/0/1.0 (Quellschnittstelle) hub-to-spoke-vpn-2: GE-0/0/2.0 (Quellschnittstelle) |
spoke-to-hub-1: 1.1.1.1 (Ziel-IP) spoke-to-hub-2: 1.1.2.1 (Ziel-IP) |
Tunnel einrichten |
(nicht konfiguriert) |
Sofort bei Konfigurations-Commit |
Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.
In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.
Topologie
Abbildung 4 zeigt in diesem Beispiel die Konfiguration von Geräten der SRX-Serie für AutoVPN.
In diesem Beispiel werden zwei IPsec-VPN-Tunnel zwischen dem Hub und Spoke 1 eingerichtet. Der Austausch von Routing-Informationen erfolgt über iBGP-Sitzungen in jedem Tunnel. Die längste Prefix-Übereinstimmung der Route zu 60.60.60.0/24 ist die St0.0-Schnittstelle auf dem Hub. Der primäre Tunnel der Route besteht also aus den St0.0-Schnittstellen auf dem Hub and Spoke 1. Die Standardroute besteht aus dem Backup-Tunnel auf den St0.1-Schnittstellen auf dem Hub and Spoke 1.
Die VPN-Überwachung prüft den Status der Tunnel. Wenn es ein Problem mit dem Primärtunnel gibt (z. B. dass das Remote-Tunnel-Gateway nicht erreichbar ist), wird der Tunnelstatus an den Tunnelstatus geändert und die Daten, die für 60.60.60.0/24 bestimmt sind, werden durch den Backup-Tunnel umgeleitet.
Konfiguration
Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:
Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.
Gerätezertifikate mit SCEP registrieren
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Generieren Sie für jedes Zertifikat ein Schlüsselpaar.
user@host> request security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
Melden Sie sich zu den lokalen Zertifikaten an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 1.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email hub_backup@example.net ip-address 1.1.2.1 subject DC=example.net,CN=hub_backup,OU=SBU,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
Überprüfen Sie die lokalen Zertifikate.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bangalore, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bangalore, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 1.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not starteduser@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 505efdf900000000259a Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Bangalore, Common name: hub_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bangalore, O=example, OU=SBU, CN=hub_backup Alternate subject: "hub_backup@example.net", example.net, 1.1.2.1 Validity: Not before: 11- 9-2012 10:55 Not after: 11- 9-2013 11:05 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d5:44:08:96:f6:77:05:e6:91:50:8a:8a:2a 4e:95:43:1e:88:ea:43:7c:c5:ac:88:d7:a0:8d:b5:d9:3f:41:db:db 44:34:1f:56:a5:38:4b:b2:c5:85:f9:f1:bf:b2:7b:d4:b2:af:98:a0 95:50:02:ad:f5:dd:4d:dc:67:85:dd:84:09:df:9c:68:a5:58:65:e7 2c:72:cc:47:4b:d0:cc:4a:28:ca:09:db:ad:6e:5a:13:6c:e6:cc:f0 29:ed:2b:2d:d1:38:38:bc:68:84:de:ae:86:39:c9:dd:06:d5:36:f0 e6:2a:7b:46:4c:cd:a5:24:1c:e0:92:8d:ad:35:29:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 98:96:2f:ff:ca:af:33:ee:d7:4c:c8:4f:f7:71:53:c0:5d:5f:c5:59 (sha1) c9:87:e3:a4:5c:47:b5:aa:90:22:e3:06:b2:0b:e1:ea (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Generieren Sie für jedes Zertifikat ein Schlüsselpaar.
user@host> rrequest security pki generate-key-pair certificate-id Local1 user@host> request security pki generate-key-pair certificate-id Local2
Melden Sie sich zu den lokalen Zertifikaten an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password> user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local2 domain-name example.net email spoke1_backup@example.net ip-address 3.3.3.1 subject DC=example.net,CN=spoke1_backup,OU=SBU,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
Überprüfen Sie die lokalen Zertifikate.
user@host> show security pki local-certificate certificate-id Local1 detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 2.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started user@host> show security pki local-certificate certificate-id Local2 detail Certificate identifier: Local2 Certificate version: 3 Serial number: 506c3d0600000000259b Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SBU, Country: IN, State: KA, Locality: Mysore, Common name: spoke1_backup, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup Alternate subject: "spoke1_backup@example.net", example.net, 3.3.3.1 Validity: Not before: 11- 9-2012 11:09 Not after: 11- 9-2013 11:19 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:a7:02:b5:e2:cd:79:24:f8:97:a3:8d:4d:27 8c:2b:dd:f1:57:72:4d:2b:6d:d5:95:0d:9c:1b:5c:e2:a4:b0:84:2e 31:82:3c:91:08:a2:58:b9:30:4c:5f:a3:6b:e6:2b:9c:b1:42:dd:1c cd:a2:7a:84:ea:7b:a6:b7:9a:13:33:c6:27:2b:79:2a:b1:0c:fe:08 4c:a7:35:fc:da:4f:df:1f:cf:f4:ba:bc:5a:05:06:63:92:41:b4:f2 54:00:3f:ef:ff:41:e6:ca:74:10:56:f7:2b:5f:d3:1a:33:7e:49:74 1c:42:cf:c2:23:ea:4b:8f:50:2c:eb:1c:a6:37:89:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: d6:7f:52:a3:b6:f8:ae:cb:70:3f:a9:79:ea:8a:da:9e:ba:83:e4:5f (sha1) 76:0b:72:73:cf:51:ee:58:81:2d:f7:b4:e2:5c:f4:5c (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not startedDie im Betreff angezeigte Organisationseinheit (OU) ist
SLTfür Local1 undSBULocal2. Zu IKE der Konfiguration auf dem Hub gehörenOU=SLTdieOU=SBUSpoke-Konfigurationen und die Identifizierung der Spoke.
Konfigurieren des Hubs
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/1 unit 0 family inet address 1.1.1.1/30 set interfaces ge-0/0/2 unit 0 family inet address 1.1.2.1/30 set interfaces ge-0/0/3 unit 0 family inet address 50.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet address 20.20.20.1/24 set policy-options policy-statement lan_nw from interface ge-0/0/3.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.1 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 cluster 1.2.3.4 set protocols bgp group ibgp-1 allow 10.10.10.0/24 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 20.20.20.1 set protocols bgp group ibgp-2 export lan_nw set protocols bgp group ibgp-2 cluster 1.2.3.5 set protocols bgp group ibgp-2 allow 20.20.20.0/24 set routing-options static route 2.2.2.0/30 next-hop 1.1.1.2 set routing-options static route 3.3.3.0/30 next-hop 1.1.2.2 set routing-options autonomous-system 10 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway hub-to-spoke-gw-1 ike-policy ike-policy-1 set security ike gateway hub-to-spoke-gw-1 dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw-1 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-1 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-1 external-interface ge-0/0/1.0 set security ike gateway hub-to-spoke-gw-2 ike-policy ike-policy-2 set security ike gateway hub-to-spoke-gw-2 dynamic distinguished-name wildcard OU=SBU set security ike gateway hub-to-spoke-gw-2 dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw-2 local-identity distinguished-name set security ike gateway hub-to-spoke-gw-2 external-interface ge-0/0/2.0 set security ipsec vpn-monitor-options interval 5 set security ipsec vpn-monitor-options threshold 2 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn-1 bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn-1 vpn-monitor source-interface ge-0/0/1.0 set security ipsec vpn hub-to-spoke-vpn-1 ike gateway hub-to-spoke-gw-1 set security ipsec vpn hub-to-spoke-vpn-1 ike ipsec-policy vpn-policy set security ipsec vpn hub-to-spoke-vpn-2 bind-interface st0.1 set security ipsec vpn hub-to-spoke-vpn-2 vpn-monitor source-interface ge-0/0/2.0 set security ipsec vpn hub-to-spoke-vpn-2 ike gateway hub-to-spoke-gw-2 set security ipsec vpn hub-to-spoke-vpn-2 ike ipsec-policy vpn-policy set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie den Hub:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 1.1.1.1/30 user@host# set ge-0/0/2 unit 0 family inet address 1.1.2.1/30 user@host# set ge-0/0/3 unit 0 family inet address 50.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet address 20.20.20.1/24
Routing-Protokoll konfigurieren.
[edit policy-options] user@host# set policy-statement lan_nw from interface ge-0/0/3.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.1 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 cluster 1.2.3.4 user@host# set group ibgp-1 allow 10.10.10.0/24 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 20.20.20.1 user@host# set group ibgp-2 export lan_nw user@host# set group ibgp-2 cluster 1.2.3.5 user@host# set group ibgp-2 allow 20.20.20.0/24 [edit routing-options] user@host# set static route 2.2.2.0/30 next-hop 1.1.1.2 user@host# set static route 3.3.3.0/30 next-hop 1.1.2.2 user@host# set autonomous-system 10
Konfiguration der Phase 1-Optionen
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway hub-to-spoke-gw-1] user@host# set ike-policy ike-policy-1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0 [edit security ike gateway hub-to-spoke-gw-2] user@host# set ike-policy ike-policy-2 user@host# set dynamic distinguished-name wildcard OU=SBU user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/2.0
Konfiguration der Phase 2-Optionen
[edit security ipsec vpn-monitor] user@host# set options interval 5 user@host# set options threshold 2 [edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn-1] user@host# set bind-interface st0.0 user@host# set vpn-monitor source-interface ge-0/0/1.0 user@host# set ike gateway hub-to-spoke-gw-1 user@host# set ike ipsec-policy vpn-policy [edit security ipsec vpn hub-to-spoke-vpn-2] user@host# set bind-interface st0.1 user@host# set vpn-monitor source-interface ge-0/0/2.0 user@host# set ike gateway hub-to-spoke-gw-2 user@host# set ike ipsec-policy vpn-policy
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.0 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces ge-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 1.1.2.1/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
unit 1 {
multipoint;
family inet {
address 20.20.20.1/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement lan_nw {
from interface ge-0/0/3.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp-1 {
type internal;
local-address 10.10.10.1;
export lan_nw;
cluster 1.2.3.4;
allow 10.10.10.0/24;
}
group ibgp-2 {
type internal;
local-address 20.20.20.1;
export lan_nw;
cluster 1.2.3.5;
allow 20.20.20.0/24;
}
}
[edit]
user@host# show routing-options
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.2.2;
}
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
policy ike-policy-2 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local2;
}
}
gateway hub-to-spoke-gw-1 {
ike-policy ike-policy-1;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/1.0;
}
gateway hub-to-spoke-gw-2 {
ike-policy ike-policy-2;
dynamic {
distinguished-name {
wildcard OU=SBU;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/2.0;
}
[edit]
user@host# show security ipsec
vpn-monitor-options {
interval 5;
threshold 2;
}
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn hub-to-spoke-vpn-1 {
bind-interface st0.0;
vpn-monitor {
source-interface ge-0/0/1.0;
}
ike {
gateway hub-to-spoke-gw-1;
ipsec-policy vpn-policy;
}
}
vpn hub-to-spoke-vpn-2 {
bind-interface st0.1;
vpn-monitor {
source-interface ge-0/0/2.0;
}
ike {
gateway hub-to-spoke-gw-2;
ipsec-policy vpn-policy;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
ge-0/0/2.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren von Spoke 1
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces fe-0/0/1 unit 0 family inet address 2.2.2.1/30 set interfaces fe-0/0/2 unit 0 family inet address 3.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 60.60.60.1/24 set interfaces st0 unit 0 family inet address 10.10.10.2/24 set interfaces st0 unit 1 family inet address 20.20.20.2/24 set policy-options policy-statement default_route from protocol static set policy-options policy-statement default_route from route-filter 0.0.0.0/0 exact set policy-options policy-statement default_route then accept set policy-options policy-statement lan_nw from interface fe-0/0/4.0 set policy-options policy-statement lan_nw then accept set protocols bgp group ibgp-1 type internal set protocols bgp group ibgp-1 local-address 10.10.10.2 set protocols bgp group ibgp-1 export lan_nw set protocols bgp group ibgp-1 neighbor 10.10.10.1 set protocols bgp group ibgp-2 type internal set protocols bgp group ibgp-2 local-address 20.20.20.2 set protocols bgp group ibgp-2 export default_route set protocols bgp group ibgp-2 neighbor 20.20.20.1 set routing-options static route 1.1.1.0/30 next-hop 2.2.2.2 set routing-options static route 1.1.2.0/30 next-hop 3.3.3.2 set routing-options static route 0.0.0.0/0 next-hop st0.1 set routing-options autonomous-system 10 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy-1 mode main set security ike policy ike-policy-1 proposals ike-proposal set security ike policy ike-policy-1 certificate local-certificate Local1 set security ike policy ike-policy-2 mode main set security ike policy ike-policy-2 proposals ike-proposal set security ike policy ike-policy-2 certificate local-certificate Local2 set security ike gateway spoke-to-hub-gw-1 ike-policy ike-policy-1 set security ike gateway spoke-to-hub-gw-1 address 1.1.1.1 set security ike gateway spoke-to-hub-gw-1 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-1 external-interface fe-0/0/1.0 set security ike gateway spoke-to-hub-gw-2 ike-policy ike-policy-2 set security ike gateway spoke-to-hub-gw-2 address 1.1.2.1 set security ike gateway spoke-to-hub-gw-2 local-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 remote-identity distinguished-name set security ike gateway spoke-to-hub-gw-2 external-interface fe-0/0/2.0 set security ipsec vpn-monitor-options interval 5 set security ipsec vpn-monitor-options threshold 2 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy proposals ipsec-proposal set security ipsec vpn spoke-to-hub-1 bind-interface st0.0 set security ipsec vpn spoke-to-hub-1 vpn-monitor destination-ip 1.1.1.1 set security ipsec vpn spoke-to-hub-1 ike gateway spoke-to-hub-gw-1 set security ipsec vpn spoke-to-hub-1 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-1 establish-tunnels immediately set security ipsec vpn spoke-to-hub-2 bind-interface st0.1 set security ipsec vpn spoke-to-hub-2 vpn-monitor destination-ip 1.1.2.1 set security ipsec vpn spoke-to-hub-2 ike gateway spoke-to-hub-gw-2 set security ipsec vpn spoke-to-hub-2 ike ipsec-policy vpn-policy set security ipsec vpn spoke-to-hub-2 establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces fe-0/0/2.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie Spoke 1:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 2.2.2.1/30 user@host# set fe-0/0/2 unit 0 family inet address 3.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 60.60.60.1/24 user@host# set st0 unit 0 family inet address 10.10.10.2/24 user@host# set st0 unit 1 family inet address 20.20.20.2/24
Routing-Protokoll konfigurieren.
[edit policy-options] user@host# set policy-statement default_route from protocol static user@host# set policy-statement default_route from route-filter 0.0.0.0/0 exact user@host# set policy-statement default_route then accept user@host# set policy-statement lan_nw from interface fe-0/0/4.0 user@host# set policy-statement lan_nw then accept [edit protocols bgp] user@host# set group ibgp-1 type internal user@host# set group ibgp-1 local-address 10.10.10.2 user@host# set group ibgp-1 export lan_nw user@host# set group ibgp-1 neighbor 10.10.10.1 user@host# set group ibgp-2 type internal user@host# set group ibgp-2 local-address 20.20.20.2 user@host# set group ibgp-2 export default_route user@host# set group ibgp-2 neighbor 20.20.20.1 [edit routing-options] user@host# set static route 1.1.1.0/30 next-hop 2.2.2.2 user@host# set static route 1.1.2.0/30 next-hop 3.3.3.2 user@host# set static route 0.0.0.0/0 next-hop st0.1 user@host# set autonomous-system 10
Konfiguration der Phase 1-Optionen
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy-1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike policy ike-policy-2] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local2 [edit security ike gateway spoke-to-hub-gw-1] user@host# set ike-policy ike-policy-1 user@host# set address 1.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0 [edit security ike gateway spoke-to-hub-gw-2] user@host# set ike-policy ike-policy-2 user@host# set address 1.1.2.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/2.0
Konfiguration der Phase 2-Optionen
[edit security ipsec vpn-monitor] user@host# set options interval 5 user@host# set options threshold 2 [edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub-1] user@host# set bind-interface st0.0 user@host# set vpn-monitor destination-ip 1.1.1.1 user@host# set ike gateway spoke-to-hub-gw-1 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately [edit security ipsec vpn spoke-to-hub-2] user@host# set bind-interface st0.1 user@host# set vpn-monitor destination-ip 1.1.2.1 user@host# set ike gateway spoke-to-hub-gw-2 user@host# set ike ipsec-policy vpn-policy user@host# set establish-tunnels immediately
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 user@host# set interfaces fe-0/0/2.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces Befehle , show policy-optionsshow protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policies und show security pki Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 3.3.3.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.10.10.2/24;
}
}
unit 1 {
family inet {
address 20.20.20.2/24;
}
}
}
[edit]
user@host# show policy-options
policy-statement default_route {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
policy-statement lan_nw {
from interface fe-0/0/4.0;
then accept;
}
[edit]
user@host# show protocols
bgp {
group ibgp-1 {
type internal;
local-address 10.10.10.2;
export lan_nw;
neighbor 10.10.10.1;
}
group ibgp-2 {
type internal;
local-address 20.20.20.2;
export default_route;
neighbor 20.20.20.1;
}
}
[edit]
user@host# show routing-options
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
route 1.1.2.0/30 next-hop 3.3.3.2;
route 0.0.0.0/0 next-hop st0.1;
}
autonomous-system 10;
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
policy ike-policy-2 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local2;
}
}
gateway spoke-to-hub-gw-1 {
ike-policy ike-policy-1;
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/1.0;
}
gateway spoke-to-hub-gw-2 {
ike-policy ike-policy-2;
address 1.1.2.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/2.0;
}
[edit]
user@host# show security ipsec
vpn-monitor-options {
interval 5;
threshold 2;
}
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn spoke-to-hub-1 {
bind-interface st0.0;
vpn-monitor {
destination-ip 1.1.1.1;
}
ike {
gateway spoke-to-hub-gw-1;
ipsec-policy vpn-policy;
}
establish-tunnels immediately;
}
vpn spoke-to-hub-2 {
bind-interface st0.1;
vpn-monitor {
destination-ip 1.1.2.1;
}
ike {
gateway spoke-to-hub-gw-2;
ipsec-policy vpn-policy;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
st0.0;
fe-0/0/2.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung des status IKE Phase 1 (beide Tunnel sind bereits eingerichtet)
- Überprüfung des IPsec-Phase-2-Status (beide Tunnel sind up)
- Überprüfung von IPsec Next-Hop-Tunneln (beide Tunnel sind oben)
- Überprüfung der BGP (beide Tunnel sind oben)
- Überprüfen gelernter Routen (beide Tunnel sind oben)
- Überprüfung des status IKE Phase 1 (Primärer Tunnel ist geschlossen)
- Überprüfung des IPsec-Phase-2-Status (Primärer Tunnel ist geschlossen)
- Überprüfung von IPsec Next-Hop-Tunneln (Primärer Tunnel ist geschlossen)
- Überprüfung der BGP (Primärer Tunnel ist geschlossen)
- Überprüfen gelernter Routen (Primärer Tunnel ist geschlossen)
Überprüfung des status IKE Phase 1 (beide Tunnel sind bereits eingerichtet)
Zweck
Überprüfen Sie den IKE Phase 1-Status, wenn beide IPSec-VPN-Tunnel eingerichtet sind.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3733075 UP d4f51c28c0a82101 05b125993a864d3c Main 3.3.3.1 3733076 UP d53c8a0b7d4c319b c23c5f7a26388247 Main 2.2.2.1
Bedeutung
Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Angebot in Phase 1 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.
Überprüfung des IPsec-Phase-2-Status (beide Tunnel sind up)
Zweck
Überprüfen des IPsec Phase 2-Status, wenn beide IPSec-VPN-Tunnel eingerichtet sind.
Aktion
Geben Sie im Betriebsmodus den Befehl security ipsec security-associations ein.
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173316 ESP:des/ md5 3cd96946 3555/ unlim U root 500 2.2.2.1 >268173316 ESP:des/ md5 1c09b9b 3555/ unlim U root 500 2.2.2.1 <268173313 ESP:des/ md5 7c6ffca3 3340/ unlim U root 500 3.3.3.1 >268173313 ESP:des/ md5 33bf6f2f 3340/ unlim U root 500 3.3.3.1
Bedeutung
Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.
Überprüfung von IPsec Next-Hop-Tunneln (beide Tunnel sind oben)
Zweck
Überprüfen der IPsec-Next-Hop-Tunnel
Aktion
Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn-1 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 20.20.20.2 st0.1 hub-to-spoke-vpn-2 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Bedeutung
Die Next-Hop-Gateways sind die IP-Adressen für die st0 Spoke-Schnittstellen. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.
Überprüfung der BGP (beide Tunnel sind oben)
Zweck
Stellen Sie sicher BGP dass die IP-Adressen der Spoke-Schnittstellen bei st0 beide IPsec-VPN-Tunneln aufgerufen werden.
Aktion
Geben Sie im Betriebsmodus den Befehl show bgp summary ein.
user@host> show bgp summary Groups: 2 Peers: 2 Down peers: 0 Unconfigured peers: 2 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 2 2 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.10.10.2 10 5 6 0 0 54 1/1/1/0 0/0/0/0 20.20.20.2 10 13 16 0 0 4:29 1/1/1/0 0/0/0/0
Überprüfen gelernter Routen (beide Tunnel sind oben)
Zweck
Stellen Sie sicher, dass Routen zum Spoke gelernt wurden, wenn beide Tunnel eingerichtet sind. Die Route zu 60.60.60.0/24 wird über die St0.0-Schnittstelle und die Standardroute wird über die st0.1-Schnittstelle routen.
Aktion
Geben Sie im Betriebsmodus den Befehl show route 60.60.60.0 ein.
user@host> show route 60.60.60.0
inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
60.60.60.0/24 *[BGP/170] 00:01:11, localpref 100
AS path: I
> to 10.10.10.2 via st0.0
Geben Sie im Betriebsmodus den Befehl show route 0.0.0.0 ein.
user@host> show route 0.0.0.0
inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[BGP/170] 00:04:55, localpref 100
AS path: I
> to 20.20.20.2 via st0.1
Überprüfung des status IKE Phase 1 (Primärer Tunnel ist geschlossen)
Zweck
Überprüfen Sie den IKE Phase 1-Status, wenn der primäre Tunnel geschlossen ist.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 3733075 UP d4f51c28c0a82101 05b125993a864d3c Main 3.3.3.1 3733076 UP d53c8a0b7d4c319b c23c5f7a26388247 Main 2.2.2.1
Bedeutung
Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Angebot in Phase 1 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.
Überprüfung des IPsec-Phase-2-Status (Primärer Tunnel ist geschlossen)
Zweck
Überprüfen sie den IPsec Phase 2-Status, wenn der primäre Tunnel geschlossen ist.
Aktion
Geben Sie im Betriebsmodus den Befehl security ipsec security-associations ein.
user@host> security ipsec security-associations Total active tunnels: 1 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173313 ESP:des/ md5 7c6ffca3 3156/ unlim U root 500 3.3.3.1 >268173313 ESP:des/ md5 33bf6f2f 3156/ unlim U root 500 3.3.3.1
Bedeutung
Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.
Überprüfung von IPsec Next-Hop-Tunneln (Primärer Tunnel ist geschlossen)
Zweck
IPsec-Next-Hop-Tunnel überprüfen.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 20.20.20.2 st0.1 hub-to-spoke-vpn-2 Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SBU, CN=spoke1_backup
Bedeutung
Die Next-Hop-Gateways sind die IP-Adressen für die st0 Spoke-Schnittstellen. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen, in diesem Fall dem Backup-VPN-Tunnel, zugeordnet werden.
Überprüfung der BGP (Primärer Tunnel ist geschlossen)
Zweck
Stellen Sie sicher BGP bei aus dem primären Tunnel die IP-Adressen der st0 Spoke-Schnittstellen referenziert.
Aktion
Geben Sie im Betriebsmodus den Befehl show bgp summary ein.
user@host> show bgp summary Groups: 2 Peers: 1 Down peers: 0 Unconfigured peers: 1 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 1 1 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 20.20.20.2 10 20 24 0 0 7:24 1/1/1/0 0/0/0/0
Überprüfen gelernter Routen (Primärer Tunnel ist geschlossen)
Zweck
Stellen Sie sicher, dass Routen zum Spoke gelernt wurden, wenn der primäre Tunnel aus dem Weg geht. Sowohl die Route zu 60.60.60.0/24 als auch die Standardroute werden über die St0.1-Schnittstelle.
Aktion
Geben Sie im Betriebsmodus den Befehl show route 60.60.60.0 ein.
user@host> show route 60.60.60.0
inet.0: 46 destinations, 46 routes (45 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[BGP/170] 00:07:41, localpref 100
AS path: I
> to 20.20.20.2 via st0.1
Geben Sie im Betriebsmodus den Befehl show route 0.0.0.0 ein.
user@host> show route 0.0.0.0
inet.0: 46 destinations, 46 routes (45 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[BGP/170] 00:07:47, localpref 100
AS path: I
> to 20.20.20.2 via st0.1
Beispiel: Konfigurieren von Basic AutoVPN mit OSPF
In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub konfiguriert wird, um als einzelner Terminierungspunkt zu fungieren, und dann zwei Spokes zu konfigurieren, die als Tunnel zu Remote-Standorten fungieren. In diesem Beispiel wird konfiguriert OSPF Pakete über die VPN-Tunnel weitergeleitet werden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes
Junos OS Release 12.1X44-D10 und höher, die AutoVPN unterstützen
Bevor Sie beginnen:
Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.
Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.
Überblick
In diesem Beispiel wird die Konfiguration eines AutoVPN-Hubs und die nachfolgenden Konfigurationen mit zwei Spokes veranschaulicht.
In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Die Zertifikate für die Spokes enthalten den Wert "SLT" der Organisationseinheit (OU) im Betreff. der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist.
Die Spokes ermöglichen IPSec-VPN-Verbindungen zum Hub und ermöglichen so die Kommunikation untereinander sowie Zugriff auf Ressourcen auf dem Hub. Phase 1- und Phase 2 IKE-Tunneloptionen, die auf dem AutoVPN-Hub konfiguriert sind und alle Spokes müssen über die gleichen Werte verfügen. Tabelle 13 zeigt die in diesem Beispiel verwendeten Optionen an.
Option |
Wert |
|---|---|
IKE Angebot: |
|
Authentifizierungsmethode |
Digitale Zertifikate von RSA |
Diffie-Hellman (DH)-Gruppe |
2 |
Authentifizierungsalgorithmus |
SHA-1 |
Verschlüsselungsalgorithmus |
AES 128 CBC |
IKE Richtlinien: |
|
Modus |
Wichtigsten |
IPsec-Angebot: |
|
Protokoll |
Esp |
Authentifizierungsalgorithmus |
H HLT MD5 96 |
Verschlüsselungsalgorithmus |
DES CBC |
IPsec-Richtlinie: |
|
Perfect Forward Secrecy (PFS)-Gruppe |
14 |
Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.
Junos OS unterstützt nur eine einzelne Zertifikatshierarchie.
Tabelle 14 zeigt die auf dem Hub und auf allen Spokes konfigurierten Optionen an.
Option |
Hub |
Alle Spokes |
|---|---|---|
IKE-Gateway: |
||
Remote-IP-Adresse |
Dynamische |
1.1.1.1 |
Remote-IKE-ID |
Ausgezeichneter Name (DN) auf dem Spoke-Zertifikat mit dem String |
DN auf dem Zertifikat des Hubs |
Lokale IKE-ID |
DN auf dem Zertifikat des Hubs |
DN auf dem Spoke-Zertifikat |
Externe Schnittstelle |
ge-0/0/1.0 |
Spoke 1: fe-0/0/1.0 Spoke 2: ge-0/0/1.0 |
Vpn: |
||
Bindungsschnittstelle |
st0.0 |
st0.0 |
Tunnel einrichten |
(nicht konfiguriert) |
Sofort bei Konfigurations-Commit |
Tabelle 15 zeigt die Konfigurationsoptionen auf, die sich auf jedem Spoke unterscheiden.
Option |
Spoke 1 |
Spoke 2 |
|---|---|---|
St0.0-Schnittstelle |
10.10.10.2/24 |
10.10.10.3/24 |
Schnittstelle zum internen Netzwerk |
fe-0.0/4.0: 60.60.60.1/24 |
fe-0.0/4.0: 70.70.70.1/24 |
Schnittstelle zum Internet |
fe-0/0/1.0: 2.2.2.1/30 |
ge-0/0/1.0: 3.3.3.1/30 |
Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.
In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.
Topologie
Abbildung 5 zeigt in diesem Beispiel, dass Geräte der SRX-Serie für AutoVPN konfiguriert werden.
Konfiguration
Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:
Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.
- Gerätezertifikate mit SCEP registrieren
- Konfigurieren des Hubs
- Konfigurieren von Spoke 1
- Konfigurieren von Spoke 2
Gerätezertifikate mit SCEP registrieren
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 1.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bangalore, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bangalore, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 1.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 2.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not startedDie im Betreff angezeigte Organisationseinheit (OU)
SLTist. Die IKE des Hubs enthältou=SLTdie Spoke-Konfiguration.
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 3.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 3.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not startedDie im Betreff angezeigte Organisationseinheit (OU)
SLTist. Die IKE des Hubs enthältou=SLTdie Spoke-Konfiguration.
Konfigurieren des Hubs
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/1 unit 0 family inet address 1.1.1.1/30 set interfaces ge-0/0/3 unit 0 family inet address 50.50.50.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.1/24 set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.0 dynamic-neighbors set protocols ospf area 0.0.0.0 interface ge-0/0/3.0 set routing-options static route 2.2.2.0/30 next-hop 1.1.1.2 set routing-options static route 3.3.3.0/30 next-hop 1.1.1.2 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway hub-to-spoke-gw ike-policy ike-policy1 set security ike gateway hub-to-spoke-gw dynamic distinguished-name wildcard OU=SLT set security ike gateway hub-to-spoke-gw dynamic ike-user-type group-ike-id set security ike gateway hub-to-spoke-gw local-identity distinguished-name set security ike gateway hub-to-spoke-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn hub-to-spoke-vpn bind-interface st0.0 set security ipsec vpn hub-to-spoke-vpn ike gateway hub-to-spoke-gw set security ipsec vpn hub-to-spoke-vpn ike ipsec-policy vpn-policy1 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces st0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie den Hub:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 1.1.1.1/30 user@host# set ge-0/0/3 unit 0 family inet address 50.50.50.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.1/24
Konfigurieren Sie das Routing-Protokoll.
[edit protocols ospf] user@host# set area 0.0.0.0 interface st0.0 interface-type p2mp user@host# set area 0.0.0.0 interface st0.0 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/3.0 [edit routing-options] user@host# set static route 2.2.2.0/30 next-hop 1.1.1.2 user@host# set static route 3.3.3.0/30 next-hop 1.1.1.2
Konfiguration der Phase 1-Optionen
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway hub-to-spoke-gw] user@host# set ike-policy ike-policy1 user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1.0
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn hub-to-spoke-vpn] user@host# set bind-interface st0.0 user@host# set ike gateway hub-to-spoke-gw user@host# set ike ipsec-policy vpn-policy1
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/3.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 1.1.1.1/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 50.50.50.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.1/24;
}
}
}
[edit]
user@host# show protocols
ospf {
area 0.0.0.0 {
interface st0.0 {
interface-type p2mp;
dynamic-neighbors;
}
interface ge-0/0/3.0;
}
}
[edit]
user@host# show routing-options
static {
route 2.2.2.0/30 next-hop 1.1.1.2;
route 3.3.3.0/30 next-hop 1.1.1.2;
}
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway hub-to-spoke-gw {
ike-policy ike-policy1;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
ike-user-type group-ike-id;
}
local-identity distinguished-name;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
traceoptions {
flag all;
}
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn hub-to-spoke-vpn {
bind-interface st0.0;
ike {
gateway hub-to-spoke-gw;
ipsec-policy vpn-policy1;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
ge-0/0/1.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren von Spoke 1
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces fe-0/0/1 unit 0 family inet address 2.2.2.1/30 set interfaces fe-0/0/4 unit 0 family inet address 60.60.60.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.2/24 set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 set protocols ospf area 0.0.0.0 interface fe-0/0/4.0 set routing-options static route 1.1.1.0/30 next-hop 2.2.2.2 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 1.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface fe-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces fe-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie Spoke 1:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet address 2.2.2.1/30 user@host# set fe-0/0/4 unit 0 family inet address 60.60.60.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.2/24
Konfigurieren Sie das Routing-Protokoll.
[edit protocols ospf] user@host# set area 0.0.0.0 interface st0.0 interface-type p2mp user@host# set area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 user@host# set area 0.0.0.0 interface fe-0/0/4.0 [edit routing-options] user@host# set static route 1.1.1.0/30 next-hop 2.2.2.2
Konfiguration der Phase 1-Optionen
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 1.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface fe-0/0/1.0
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
fe-0/0/1 {
unit 0 {
family inet {
address 2.2.2.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 60.60.60.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.2/24;
}
}
}
[edit]
user@host# show protocols
ospf {
area 0.0.0.0 {
interface st0.0 {
interface-type p2mp;
neighbor 10.10.10.1;
}
interface fe-0/0/4.0;
}
}
[edit]
user@host# show routing-options
static {
route 1.1.1.0/30 next-hop 2.2.2.2;
}
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway spoke-to-hub-gw {
ike-policy ike-policy1;
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface fe-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn spoke-to-hub {
bind-interface st0.0;
ike {
gateway spoke-to-hub-gw;
ipsec-policy vpn-policy1;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren von Spoke 2
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/1 unit 0 family inet address 3.3.3.1/30 set interfaces fe-0/0/4 unit 0 family inet address 70.70.70.1/24 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet address 10.10.10.3/24 set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp set protocols ospf area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 set protocols ospf area 0.0.0.0 interface fe-0/0/4.0 set routing-options static route 1.1.1.1/32 next-hop 3.3.3.2 set security ike proposal ike-proposal authentication-method rsa-signatures set security ike proposal ike-proposal dh-group group2 set security ike proposal ike-proposal authentication-algorithm sha1 set security ike proposal ike-proposal encryption-algorithm aes-128-cbc set security ike policy ike-policy1 mode main set security ike policy ike-policy1 proposals ike-proposal set security ike policy ike-policy1 certificate local-certificate Local1 set security ike gateway spoke-to-hub-gw ike-policy ike-policy1 set security ike gateway spoke-to-hub-gw address 1.1.1.1 set security ike gateway spoke-to-hub-gw local-identity distinguished-name set security ike gateway spoke-to-hub-gw remote-identity distinguished-name set security ike gateway spoke-to-hub-gw external-interface ge-0/0/1.0 set security ipsec proposal ipsec-proposal protocol esp set security ipsec proposal ipsec-proposal authentication-algorithm hmac-md5-96 set security ipsec proposal ipsec-proposal encryption-algorithm des-cbc set security ipsec policy vpn-policy1 perfect-forward-secrecy keys group14 set security ipsec policy vpn-policy1 proposals ipsec-proposal set security ipsec vpn spoke-to-hub bind-interface st0.0 set security ipsec vpn spoke-to-hub ike gateway spoke-to-hub-gw set security ipsec vpn spoke-to-hub ike ipsec-policy vpn-policy1 set security ipsec vpn spoke-to-hub establish-tunnels immediately set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces fe-0/0/4.0 set security policies default-policy permit-all set security pki ca-profile ca-profile1 ca-identity ca-profile1 set security pki ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll set security pki ca-profile ca-profile1 revocation-check disable
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie Spoke 2:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 3.3.3.1/30 user@host# set fe-0/0/4 unit 0 family inet address 70.70.70.1/24 user@host# set st0 unit 0 multipoint user@host# set st0 unit 0 family inet address 10.10.10.3/24
Konfigurieren Sie das Routing-Protokoll.
[edit protocols ospf] user@host# set area 0.0.0.0 interface st0.0 interface-type p2mp user@host# set area 0.0.0.0 interface st0.0 neighbor 10.10.10.1 user@host# set area 0.0.0.0 interface fe-0/0/4.0 [edit routing-options] user@host# set static route 1.1.1.1/32 next-hop 3.3.3.2
Konfiguration der Phase 1-Optionen
[edit security ike proposal ike-proposal] user@host# set authentication-method rsa-signatures user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-128-cbc [edit security ike policy ike-policy1] user@host# set mode main user@host# set proposals ike-proposal user@host# set certificate local-certificate Local1 [edit security ike gateway spoke-to-hub-gw] user@host# set ike-policy ike-policy1 user@host# set address 1.1.1.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name user@host# set external-interface ge-0/0/1.0
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal ipsec-proposal] user@host# set protocol esp user@host# set authentication-algorithm hmac-md5-96 user@host# set encryption-algorithm des-cbc [edit security ipsec policy vpn-policy1] user@host# set perfect-forward-secrecy keys group14 user@host# set proposals ipsec-proposal [edit security ipsec vpn spoke-to-hub] user@host# set bind-interface st0.0 user@host# set ike gateway spoke-to-hub-gw user@host# set ike ipsec-policy vpn-policy1 user@host# set establish-tunnels immediately
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces fe-0/0/4.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ca-profile1 ca-identity ca-profile1 user@host# set ca-profile ca-profile1 enrollment url http://pc4/certsrv/mscep/mscep.dll user@host# set ca-profile ca-profile1 revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 3.3.3.1/30;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 70.70.70.1/24;
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
address 10.10.10.3/24;
}
}
}
[edit]
user@host# show protocols
ospf {
area 0.0.0.0 {
interface st0.0 {
interface-type p2mp;
neighbor 10.10.10.1;
}
interface fe-0/0/4.0;
}
}
[edit]
user@host# show routing-options
static {
route 1.1.1.1/32 next-hop 3.3.3.2;
}
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method rsa-signatures;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy1 {
mode main;
proposals ike-proposal;
certificate {
local-certificate Local1;
}
}
gateway spoke-to-hub-gw {
ike-policy ike-policy1;
address 1.1.1.1;
local-identity distinguished-name;
remote-identity distinguished-name;
external-interface ge-0/0/1.0;
}
[edit]
user@host# show security ipsec
proposal ipsec-proposal {
protocol esp;
authentication-algorithm hmac-md5-96;
encryption-algorithm des-cbc;
}
policy vpn-policy1 {
perfect-forward-secrecy {
keys group14;
}
proposals ipsec-proposal;
}
vpn spoke-to-hub {
bind-interface st0.0;
ike {
gateway spoke-to-hub-gw;
ipsec-policy vpn-policy1;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ca-profile1 {
ca-identity ca-profile1;
enrollment {
url http://pc4/certsrv/mscep/mscep.dll;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung des Status IKE Phase 1
- Überprüfung des IPsec-Phase-2-Status
- Überprüfung von IPsec Next-Hop-Tunneln
- Überprüfung der OSPF
- Überprüfen gelernter Routen
Überprüfung des Status IKE Phase 1
Zweck
Überprüfen Sie den IKE Phase 1-Status.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein.
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 5480159 UP 22432fb6f7fbc389 412b751f79b45099 Main 2.2.2.1 5480161 UP d455050707bc3eaf b3dde111232270d2 Main 3.3.3.1
Bedeutung
Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter für den Vorschlag in Phase 1 müssen auf dem Hub und den Spokes abgestimmt sein.
Überprüfung des IPsec-Phase-2-Status
Zweck
Überprüfen des IPsec-Phase-2-Status
Aktion
Geben Sie im Betriebsmodus den Befehl security ipsec security-associations ein.
user@host> security ipsec security-associations Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway <268173400 ESP:des/ md5 f38eea12 2954/ unlim - root 500 2.2.2.1 >268173400 ESP:des/ md5 bb48d228 2954/ unlim - root 500 2.2.2.1 <268173401 ESP:des/ md5 bcd1390b 3530/ unlim - root 500 3.3.3.1 >268173401 ESP:des/ md5 77fcf6e2 3530/ unlim - root 500 3.3.3.1
Bedeutung
Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub und den Spokes abgestimmt sein.
Überprüfung von IPsec Next-Hop-Tunneln
Zweck
Überprüfen der IPsec-Next-Hop-Tunnel
Aktion
Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 10.10.10.2 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 10.10.10.3 st0.0 hub-to-spoke-vpn Auto C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2
Bedeutung
Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.
Überprüfung der OSPF
Zweck
Stellen Sie sicher OSPF dass sie auf die IP-Adressen für die st0 Spokes-Schnittstellen verweisen.
Aktion
Geben Sie im Betriebsmodus den Befehl show ospf neighbor ein.
user@host> show ospf neighbor Address Interface State ID Pri Dead 10.10.10.3 st0.0 Full 10.255.226.179 128 32 10.10.10.2 st0.0 Full 10.207.36.182 128 38
Überprüfen gelernter Routen
Zweck
Stellen Sie sicher, dass Routen zu den Spokes gelernt wurden.
Aktion
Geben Sie im Betriebsmodus den Befehl show route 60.60.60.0 ein.
user@host> show route 60.60.60.0
inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
60.60.60.0/24 *[OSPF/10] 00:51:13, metric 2
> to 10.10.10.2 via st0.0
Geben Sie im Betriebsmodus den Befehl show route 70.70.70.0 ein.
user@host> show route 70.70.70.0
inet.0: 48 destinations, 48 routes (47 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
70.70.70.0/24 *[OSPF/10] 00:51:48, metric 2
> to 10.10.10.3 via st0.0
Beispiel: Konfiguration von AutoVPN mit OSPFv3 für IPv6-Datenverkehr
In diesem Beispiel wird gezeigt, wie ein AutoVPN-Hub konfiguriert wird, um als einzelner Terminierungspunkt zu fungieren, und dann zwei Spokes zu konfigurieren, die als Tunnel zu Remote-Standorten fungieren. In diesem Beispiel wird AutoVPN für IPv6-Umgebung mit OSPFv3 konfiguriert, um Pakete über die VPN-Tunnel zu übertragen.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei unterstützte Geräte der SRX-Serie als AutoVPN-Hub und Spokes.
Junos OS Release 18.1R1 und späteren Versionen.
Bevor Sie beginnen:
Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen.
Sie sollten mit dem dynamischen Routingprotokoll vertraut sein, das für die Weiterleitung von Paketen über die VPN-Tunnel verwendet wird.
Überblick
In diesem Beispiel wird die Konfiguration eines AutoVPN mit OSPFv3 Routing-Protokoll auf Hub und die nachfolgenden Konfigurationen von zwei Spokes gezeigt.
In diesem Beispiel ist der erste Schritt die Registrierung digitaler Zertifikate in jedem Gerät mithilfe des SCEP (Simple Certificate Enrollment Protocol). Die Zertifikate für die Spokes enthalten den Wert "SLT" der Organisationseinheit (OU) im Betreff. der Hub wird mit einer Gruppen-IKE-ID konfiguriert, die dem Wert "SLT" im OU-Feld entsprechend an abgestimmt ist.
Die Spokes ermöglichen IPSec-VPN-Verbindungen zum Hub und ermöglichen so die Kommunikation untereinander sowie Zugriff auf Ressourcen auf dem Hub. Phase 1- und Phase 2 IKE-Tunneloptionen, die auf dem AutoVPN-Hub konfiguriert sind und alle Spokes müssen über die gleichen Werte verfügen. Tabelle 16 zeigt die in diesem Beispiel verwendeten Optionen an.
Option |
Wert |
|---|---|
IKE Angebot: |
|
Authentifizierungsmethode |
Digitale Zertifikate von RSA |
Diffie-Hellman (DH)-Gruppe |
19 |
Authentifizierungsalgorithmus |
SHA-384 |
Verschlüsselungsalgorithmus |
AES 256 CBC |
IKE Richtlinien: |
|
Modus |
Wichtigsten |
IPsec-Angebot: |
|
Protokoll |
Esp |
Lebensdauersekunden |
3000 |
Verschlüsselungsalgorithmus |
AES 256 GCM |
IPsec-Richtlinie: |
|
Perfect Forward Secrecy (PFS)-Gruppe |
19 |
Auf allen Geräten wird dieselbe Zertifizierungsstelle (CA) konfiguriert.
Tabelle 17 zeigt die auf dem Hub und auf allen Spokes konfigurierten Optionen an.
Option |
Hub |
Alle Spokes |
|---|---|---|
IKE-Gateway: |
||
Remote-IP-Adresse |
Dynamische |
2001:db8:2000::1 |
Remote-IKE-ID |
Ausgezeichneter Name (DN) auf dem Spoke-Zertifikat mit dem String |
DN auf dem Zertifikat des Hubs |
Lokale IKE-ID |
DN auf dem Zertifikat des Hubs |
DN auf dem Spoke-Zertifikat |
Externe Schnittstelle |
ge-0/0/0 |
Spoke 1: ge-0/0/0.0 Spoke 2: ge-0/0/0.0 |
Vpn: |
||
Bindungsschnittstelle |
st0.1 |
st0.1 |
Tunnel einrichten |
(nicht konfiguriert) |
Sofort bei Konfigurations-Commit |
Tabelle 18 zeigt die Konfigurationsoptionen auf, die sich auf jedem Spoke unterscheiden.
Option |
Spoke 1 |
Spoke 2 |
|---|---|---|
St0.1-Schnittstelle |
2001:db8:7000::2/64 |
2001:db8:7000::3/64 |
Schnittstelle zum internen Netzwerk |
(ge-0/0/1.0) 2001:db8:4000::1/64 |
(ge-0/0/1.0) 2001:db8:6000::1/64 |
Schnittstelle zum Internet |
(ge-0/0/0.0) 2001:db8:3000::2/64 |
(ge-0/0/0.0) 2001:db8:5000::2/64 |
Routing-Informationen für alle Geräte werden über die VPN-Tunnel ausgetauscht.
In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien.
Topologie
Abbildung 6 zeigt in diesem Beispiel die Konfiguration von Geräten der SRX-Serie für AutoVPN.
Konfiguration
Um AutoVPN zu konfigurieren, führen Sie diese Aufgaben aus:
Im ersten Abschnitt wird beschrieben, wie CA und lokale Zertifikate online mithilfe des SCEP (Simple Certificate Enrollment Protocol) auf Hub-and-Spoke-Geräten erhalten werden.
- Gerätezertifikate mit SCEP registrieren
- Konfigurieren des Hubs
- Konfigurieren von Spoke 1
- Konfigurieren von Spoke 2
Gerätezertifikate mit SCEP registrieren
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP auf dem Hub:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email hub@example.net ip-address 1.1.1.1 subject DC=example.net,CN=hub,OU=SLT,O=example,L=Bangalore,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a6d5f300000000258d Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Bangalore, Common name: hub, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Bangalore, O=example, OU=SLT, CN=hub Alternate subject: "hub@example.net", example.net, 1.1.1.1 Validity: Not before: 11- 6-2012 09:39 Not after: 11- 6-2013 09:49 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:c9:c9:cc:30:b6:7a:86:12:89:b5:18:b3:76 01:2d:cc:65:a8:a8:42:78:cd:d0:9a:a2:c0:aa:c4:bd:da:af:88:f3 2a:78:1f:0a:58:e6:11:2c:81:8f:0e:7c:de:86:fc:48:4c:28:5b:8b 34:91:ff:2e:91:e7:b5:bd:79:12:de:39:46:d9:fb:5c:91:41:d1:da 90:f5:09:00:9b:90:07:9d:50:92:7d:ff:fb:3f:3c:bc:34:e7:e3:c8 ea:cb:99:18:b4:b6:1d:a8:99:d3:36:b9:1b:36:ef:3e:a1:fd:48:82 6a:da:22:07:da:e0:d2:55:ef:57:be:09:7a:0e:17:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: e1:f7:a1:a6:1e:c3:97:69:a5:07:9b:09:14:1a:c7:ae:09:f1:f6:35 (sha1) a0:02:fa:8d:5c:63:e5:6d:f7:f4:78:56:ac:4e:b2:c4 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not started
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP on Spoke 1:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke1@example.net ip-address 2.2.2.1 subject DC=example.net,CN=spoke1,OU=SLT,O=example,L=Mysore,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40a7975f00000000258e Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Mysore, Common name: spoke1, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Mysore, O=example, OU=SLT, CN=spoke1 Alternate subject: "spoke1@example.net", example.net, 2.2.2.1 Validity: Not before: 11- 6-2012 09:40 Not after: 11- 6-2013 09:50 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:d8:45:09:77:cd:36:9a:6f:58:44:18:91:db b0:c7:8a:ee:c8:d7:a6:d2:e2:e7:20:46:2b:26:1a:92:e2:4e:8a:ce c9:25:d9:74:a2:81:ad:ea:e0:38:a0:2f:2d:ab:a6:58:ac:88:35:f4 90:01:08:33:33:75:2c:44:26:f8:25:18:97:96:e4:28:de:3b:35:f2 4a:f5:92:b7:57:ae:73:4f:8e:56:71:ab:81:54:1d:75:88:77:13:64 1b:6b:01:96:15:0a:1c:54:e3:db:f8:ec:ec:27:5b:86:39:c1:09:a1 e4:24:1a:19:0d:14:2c:4b:94:a4:04:91:3f:cb:ef:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: b6:24:2a:0e:96:5d:8c:4a:11:f3:5a:24:89:7c:df:ea:d5:c0:80:56 (sha1) 31:58:7f:15:bb:d4:66:b8:76:1a:42:4a:8a:16:b3:a9 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not startedDie im Betreff angezeigte Organisationseinheit (OU)
SLTist. Die IKE des Hubs enthältou=SLTdie Spoke-Konfiguration.
Schritt-für-Schritt-Verfahren
So registrieren Sie digitale Zertifikate mit SCEP on Spoke 2:
Konfiguration der CA.
[edit] user@host# set security pki ca-profile ca-profile1 ca-identity ca-profile1 user@host# set security pki ca-profile ca-profile1 enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set security pki ca-profile ca-profile1 revocation-check disable user@host# commit
Registrieren Sie sich CA Zertifikat.
user@host> request security pki ca-certificate enroll ca-profile ca-profile1
Geben yes Sie an der Eingabeaufforderung ein, um das CA zu laden.
Schlüsselpaare generieren.
user@host> request security pki generate-key-pair certificate-id Local1
Melden Sie sich für das lokale Zertifikat an.
user@host> request security pki local-certificate enroll ca-profile ca-profile1 certificate-id Local1 domain-name example.net email spoke2@example.net ip-address 3.3.3.1 subject DC=example.net,CN=spoke2,OU=SLT,O=example,L=Tumkur,ST=KA,C=IN challenge-password <password>
Lokales Zertifikat verifizieren.
user@host> show security pki local-certificate detail Certificate identifier: Local1 Certificate version: 3 Serial number: 40bb71d400000000258f Issuer: Common name: CASERVER1, Domain component: net, Domain component: internal Subject: Organization: example, Organizational unit: SLT, Country: IN, State: KA, Locality: Tumkur, Common name: spoke2, Domain component: example.net Subject string: C=IN, DC=example.net, ST=KA, L=Tumkur, O=example, OU=SLT, CN=spoke2 Alternate subject: "spoke2@example.net", example.net, 3.3.3.1 Validity: Not before: 11- 6-2012 10:02 Not after: 11- 6-2013 10:12 Public key algorithm: rsaEncryption(1024 bits) 30:81:89:02:81:81:00:b6:2e:e2:da:e6:ac:57:e4:5d:ff:de:f6:89 27:d6:3e:1b:4a:3f:b2:2d:b3:d3:61:ed:ed:6a:07:d9:8a:d2:24:03 77:1a:fe:84:e1:12:8a:2d:63:6e:bf:02:6b:15:96:5a:4f:37:a0:46 44:09:96:c0:fd:bb:ab:79:2c:5d:92:bd:31:f0:3b:29:51:ce:89:8e 7c:2b:02:d0:14:5b:0a:a9:02:93:21:ea:f9:fc:4a:e7:08:bc:b1:6d 7c:f8:3e:53:58:8e:f1:86:13:fe:78:b5:df:0b:8e:53:00:4a:46:11 58:4a:38:e9:82:43:d8:25:47:7d:ef:18:f0:ef:a7:02:03:01:00:01 Signature algorithm: sha1WithRSAEncryption Distribution CRL: http://ca-server1/CertEnroll/CASERVER1.crl file://\\ca-server1\CertEnroll\CASERVER1.crl Fingerprint: 1a:6d:77:ac:fd:94:68:ce:cf:8a:85:f0:39:fc:e0:6b:fd:fe:b8:66 (sha1) 00:b1:32:5f:7b:24:9c:e5:02:e6:72:75:9e:a5:f4:77 (md5) Auto-re-enrollment: Status: Disabled Next trigger time: Timer not startedDie im Betreff angezeigte Organisationseinheit (OU)
SLTist. Die IKE des Hubs enthältou=SLTdie Spoke-Konfiguration.
Konfigurieren des Hubs
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate HUB set security ike gateway IKE_GWA_1 ike-policy IKE_POL set security ike gateway IKE_GWA_1 dynamic distinguished-name wildcard OU=SLT set security ike gateway IKE_GWA_1 dead-peer-detection always-send set security ike gateway IKE_GWA_1 dead-peer-detection interval 10 set security ike gateway IKE_GWA_1 dead-peer-detection threshold 3 set security ike gateway IKE_GWA_1 local-identity distinguished-name set security ike gateway IKE_GWA_1 external-interface ge-0/0/0 set security ike gateway IKE_GWA_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPNA_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPNA_1 ike gateway IKE_GWA_1 set security ipsec vpn IPSEC_VPNA_1 ike ipsec-policy IPSEC_POL set security policies default-policy permit-all set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces st0.1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 set interfaces st0 unit 1 multipoint set interfaces st0 unit 1 family inet6 address 2001:db8:7000::1/64 set routing-options rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::2 set routing-options rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::2 set protocols ospf3 traceoptions file ospf set protocols ospf3 traceoptions flag all set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie den Hub:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:2000::1/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:1000::2/64 user@host# set st0 unit 1 multipoint user@host# set st0 unit 1 family inet6 address 2001:db8:7000::1/64
Konfigurieren Sie das Routing-Protokoll.
[edit protocols ospf3] user@host# set traceoptions file ospf user@host# set traceoptions flag all user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:3000::/64 next-hop 2001:db8:2000::2 user@host# set rib inet6.0 static route 2001:db8:5000::/64 next-hop 2001:db8:2000::2
Konfiguration der Phase 1-Optionen
[edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate HUB [edit security ike gateway IKE_GWA_1] user@host# set ike-policy IKE_POL user@host# set dynamic distinguished-name wildcard OU=SLT user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/0 user@host# set version v1-only
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal IPSEC_PROP] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPNA_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GWA_1 user@host# set ike ipsec-policy IPSEC_POL
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/1.0 user@host# set interfaces st0.1 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set pki ca-profile ROOT-CA revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:2000::1/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:1000::2/64;
}
}
}
st0 {
unit 1 {
family inet6 {
address 2001:db8:7000::1/64;
}
}
}
[edit]
user@host# show protocols
ospf3 {
traceoptions {
file ospf;
flag all;
}
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
demand-circuit;
dynamic-neighbors;
}
interface ge-0/0/1.0;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 2001:db8:3000::/64 next-hop 2001:db8::2;
route 2001:db8:5000::/64 next-hop 2001:db8::2;
}
}
[edit]
user@host# show security ike
traceoptions {
file ik;
flag all;
}
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate HUB;
}
}
gateway IKE_GWA_1 {
ike-policy IKE_POL;
dynamic {
distinguished-name {
wildcard OU=SLT;
}
}
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
external-interface ge-0/0/0.0;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
authentication-algorithm aes-256-gcm;
set lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPNA_1 {
bind-interface st0.1;
ike {
gateway IKE_GWA_1;
ipsec-policy IPSEC_POL;
}
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren von Spoke 1
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE1 set security ike gateway IKE_GW_SPOKE_1 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_1 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_1 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_1 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_1 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_1 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_1 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_1 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike gateway IKE_GW_SPOKE_1 set security ipsec vpn IPSEC_VPN_SPOKE_1 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_1 establish-tunnels immediately set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::2/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1 set protocols ospf3 traceoptions file ospf set protocols ospf3 traceoptions flag all set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie Spoke 1:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:3000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:4000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::2/64
Konfigurieren Sie das Routing-Protokoll.
[edit protocols ospf3] user@host# set traceoptions file ospf user@host# set traceoptions flag all user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:3000::1
Konfiguration der Phase 1-Optionen
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE1 [edit security ike gateway IKE_GW_SPOKE_1] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set version v1-only
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_1] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_1 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels immediately
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:3000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:4000::1/64;
}
}
}
st0 {
unit 1 {
family inet6 {
address 2001:db8:7000::2/64;
}
}
}
[edit]
user@host# show protocols
ospf3 {
traceoptions {
file ospf;
flag all;
}
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
demand-circuit;
dynamic-neighbors;
}
interface ge-0/0/1.0;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ];
}
}
[edit]
user@host# show security ike
traceoptions {
file ik;
flag all;
}
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate SPOKE1;
}
}
gateway IKE_GW_SPOKE_1 {
ike-policy IKE_POL;
address 2001:db8:2000::1;
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
remote-identity distinguished-name container OU=SLT;
external-interface ge-0/0/0.0;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPN_SPOKE_1 {
bind-interface st0.1;
ike {
gateway IKE_GW_SPOKE_1;
ipsec-policy IPSEC_POL;
}
establish-tunnels immediately;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.1;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren von Spoke 2
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security pki ca-profile ROOT-CA ca-identity ROOT-CA set security pki ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll set security pki ca-profile ROOT-CA enrollment retry 5 set security pki ca-profile ROOT-CA enrollment retry-interval 0 set security pki ca-profile ROOT-CA revocation-check disable set security ike traceoptions file ik set security ike traceoptions flag all set security ike proposal IKE_PROP authentication-method rsa-signatures set security ike proposal IKE_PROP dh-group group19 set security ike proposal IKE_PROP authentication-algorithm sha-384 set security ike proposal IKE_PROP encryption-algorithm aes-256-cbc set security ike proposal IKE_PROP lifetime-seconds 6000 set security ike policy IKE_POL mode main set security ike policy IKE_POL proposals IKE_PROP set security ike policy IKE_POL certificate local-certificate SPOKE2 set security ike gateway IKE_GW_SPOKE_2 ike-policy IKE_POL set security ike gateway IKE_GW_SPOKE_2 address 2001:db8:2000::1 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection always-send set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection interval 10 set security ike gateway IKE_GW_SPOKE_2 dead-peer-detection threshold 3 set security ike gateway IKE_GW_SPOKE_2 local-identity distinguished-name set security ike gateway IKE_GW_SPOKE_2 remote-identity distinguished-name container OU=SLT set security ike gateway IKE_GW_SPOKE_2 external-interface ge-0/0/0.0 set security ike gateway IKE_GW_SPOKE_2 version v1-only set security ipsec proposal IPSEC_PROP protocol esp set security ipsec proposal IPSEC_PROP encryption-algorithm aes-256-gcm set security ipsec proposal IPSEC_PROP lifetime-seconds 3000 set security ipsec policy IPSEC_POL perfect-forward-secrecy keys group19 set security ipsec policy IPSEC_POL proposals IPSEC_PROP set security ipsec vpn IPSEC_VPN_SPOKE_2 bind-interface st0.1 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike gateway IKE_GW_SPOKE_2 set security ipsec vpn IPSEC_VPN_SPOKE_2 ike ipsec-policy IPSEC_POL set security ipsec vpn IPSEC_VPN_SPOKE_2 establish-tunnels on-traffic set security policies default-policy permit-all set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols ospf3 set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols ospf3 set security zones security-zone untrust interfaces st0.1 set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 set interfaces ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 set interfaces st0 unit 1 family inet6 address 2001:db8:7000::3/64 set routing-options rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1 set protocols ospf3 traceoptions file ospf set protocols ospf3 traceoptions flag all set protocols ospf3 area 0.0.0.0 interface st0.1 interface-type p2mp set protocols ospf3 area 0.0.0.0 interface st0.1 demand-circuit set protocols ospf3 area 0.0.0.0 interface st0.1 dynamic-neighbors set protocols ospf3 area 0.0.0.0 interface ge-0/0/1.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
So konfigurieren Sie Spoke 2:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:db8:5000::2/64 user@host# set ge-0/0/1 unit 0 family inet6 address 2001:db8:6000::1/64 user@host# set st0 unit 1 family inet6 address 2001:db8:7000::3/64
Konfigurieren Sie das Routing-Protokoll.
[edit protocols ospf3] user@host# set traceoptions file ospf user@host# set traceoptions flag all user@host# set area 0.0.0.0 interface st0.1 interface-type p2mp user@host# set area 0.0.0.0 interface st0.1 demand-circuit user@host# set area 0.0.0.0 interface st0.1 dynamic-neighbors user@host# set area 0.0.0.0 interface ge-0/0/1.0 [edit routing-options] user@host# set rib inet6.0 static route 2001:db8:2000::/64 next-hop 2001:db8:5000::1
Konfiguration der Phase 1-Optionen
[edit security ike proposal IKE_PROP] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set authentication-algorithm sha-384 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 6000 [edit security ike traceoptions] user@host# set file ik user@host# set flag all [edit security ike policy IKE_POL] user@host# set mode main user@host# set proposals IKE_PROP user@host# set certificate local-certificate SPOKE2 [edit security ike gateway IKE_GW_SPOKE_2] user@host# set ike-policy IKE_POL user@host# set address 2001:db8:2000::1 user@host# set dead-peer-detection always-send user@host# set dead-peer-detection interval 10 user@host# set dead-peer-detection threshold 3 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container OU=SLT user@host# set external-interface ge-0/0/0.0 user@host# set version v1-only
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal IPSEC_PROPl] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm user@host# set lifetime-seconds 3000 [edit security ipsec policy IPSEC_POL] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals IPSEC_PROP [edit security ipsec vpn IPSEC_VPN_SPOKE_2] user@host# set bind-interface st0.1 user@host# set ike gateway IKE_GW_SPOKE_2 user@host# set ike ipsec-policy IPSEC_POL user@host# set establish-tunnels on-traffic
Konfiguration von Zonen
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/1.0 [edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols ospf3 user@host# set interfaces ge-0/0/0.0
Konfigurieren Sie die Standardsicherheitsrichtlinie.
[edit security policies] user@host# set default-policy permit-all
Konfigurieren Sie das CA Profil.
[edit security pki] user@host# set ca-profile ROOT-CA ca-identity ROOT-CA user@host# set ca-profile ROOT-CA enrollment url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll user@host# set ca-profile ROOT-CA enrollment retry 5 user@host# set ca-profile ROOT-CA enrollment retry-interval 0 user@host# set ca-profile ROOT-CA revocation-check disable
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , , , und Befehle show protocolsshow routing-optionsshow security ikeshow security ipsecshow security zonesshow security policiesshow security pki eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:db8:5000::2/64;
}
}
}
ge-0/0/1 {
unit 0 {
family inet6 {
address 2001:db8:6000::1/64;
}
}
}
st0 {
unit 1 {
family inet6 {
address 2001:db8:7000::3/64;
}
}
}
[edit]
user@host# show protocols
ospf3 {
traceoptions {
file ospf;
flag all;
}
area 0.0.0.0 {
interface st0.1 {
interface-type p2mp;
demand-circuit;
dynamic-neighbors;
}
interface ge-0/0/1.0;
}
}
[edit]
user@host# show routing-options
rib inet6.0 {
static {
route 2001:db8:2000::/64 next-hop [ 2001:db8:3000::1 2001:db8:5000::1 ];
}
}
[edit]
user@host# show security ike
traceoptions {
file ik;
flag all;
}
proposal IKE_PROP {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-384;
encryption-algorithm aes-256-cbc;
lifetime-seconds 6000;
}
policy IKE_POL {
mode main;
proposals IKE_PROP;
certificate {
local-certificate SPOKE2;
}
}
gateway IKE_GW_SPOKE_2 {
ike-policy IKE_POL;
address 2001:db8:2000::1;
dead-peer-detection {
always-send;
interval 10;
threshold 3;
}
local-identity distinguished-name;
remote-identity distinguished-name container OU=SLT;
external-interface ge-0/0/0.0;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal IPSEC_PROP {
protocol esp;
encryption-algorithm aes-256-gcm;
lifetime-seconds 3000;
}
policy IPSEC_POL {
perfect-forward-secrecy {
keys group19;
}
proposals IPSEC_PROP;
}
vpn IPSEC_VPN_SPOKE_2 {
bind-interface st0.1;
ike {
gateway IKE_GW_SPOKE_2;
ipsec-policy IPSEC_POL;
}
establish-tunnels on-traffic;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/1.0;
st0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
ospf3;
}
}
interfaces {
ge-0/0/0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security pki
ca-profile ROOT-CA {
ca-identity ROOT-CA;
enrollment {
url http://2001:db8:1710:f00::2/certsrv/mscep/mscep.dll;
retry 5;
retry-interval 0;
}
revocation-check {
disable;
}
}
Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung des IKE Status
- Überprüfung des IPsec-Status
- Überprüfung von IPsec Next-Hop-Tunneln
- Überprüfung von OSPFv3
Überprüfung des IKE Status
Zweck
Überprüfen Sie den IKE Status.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ike sa ein.
user@host> show security ike sa Index State Initiator cookie Responder cookie Mode Remote Address 493333 UP 2001:db8:88b49d915e684c93 2001:db8:fe890b1cac8522b5 Main 2001:db8:3000::2 493334 UP 2001:db8:26e40244ad3d722d 2001:db8:68b4d9f94097d32e Main 2001:db8:5000::2
Bedeutung
Im show security ike sa Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter für den Vorschlag in Phase 1 müssen auf dem Hub und den Spokes abgestimmt sein.
Überprüfung des IPsec-Status
Zweck
IPsec-Status überprüfen.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ipsec sa ein.
user@host> show security ipsec sa Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway >67108885 ESP:aes-gcm-256/None fdef4dab 2918/ unlim - root 500 2001:db8:3000::2 >67108885 ESP:aes-gcm-256/None e785dadc 2918/ unlim - root 500 2001:db8:3000::2 >67108887 ESP:aes-gcm-256/None 34a787af 2971/ unlim - root 500 2001:db8:5000::2 >67108887 ESP:aes-gcm-256/None cf57007f 2971/ unlim - root 500 2001:db8:5000::2
Bedeutung
Im show security ipsec sa Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub und den Spokes abgestimmt sein.
Überprüfung von IPsec Next-Hop-Tunneln
Zweck
Überprüfen der IPsec-Next-Hop-Tunnel
Aktion
Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.
user@host> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag IKE-ID XAUTH username 2001:db8:9000::2 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8:9000::3 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available 2001:db8::5668:ad10:fcd8:163c st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE1 Not-Available 2001:db8::5668:ad10:fcd8:18a1 st0.1 IPSEC_VPNA_1 Auto C=US, DC=example.net, ST=CA, L=Sunnyvale, O=example, OU=SLT, CN=SPOKE2 Not-Available
Bedeutung
Die Next-Hop-Gateways sind die IP-Adressen für die st0 Schnittstellen der Spokes. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden.
Überprüfung von OSPFv3
Zweck
Stellen Sie sicher, dass OSPFv3 auf die IP-Adressen für die st0 Schnittstellen der Spokes verweist.
Aktion
Geben Sie im Betriebsmodus den Befehl show ospf3 neighbor detail ein.
Hub:
user@host> show ospf3 neighbor detail ID Interface State Pri Dead 2001:db8:128.221.129.22 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:18a1 Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:01:35, adjacent 00:01:31 Hello suppressed 00:01:31 ago 2001:db8:128.221.129.124 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:163c Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:01:41, adjacent 00:01:37 Hello suppressed 00:01:37 ago
Spoke 1:
user@host> show ospf3 neighbor detail ID Interface State Pri Dead 2001:db8:128.221.130.33 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:1946 Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:05:38, adjacent 00:05:38 Hello suppressed 00:05:34 ago
Spoke 2:
user@host> show ospf3 neighbor detail ID Interface State Pri Dead 2001:db8:128.221.130.33 st0.1 Full 128 - Neighbor-address 2001:db8::5668:ad10:fcd8:1946 Area 0.0.0.0, opt 0x33, OSPF3-Intf-Index 2 DR-ID 0.0.0.0, BDR-ID 0.0.0.0 Up 00:04:44, adjacent 00:04:44 Hello suppressed 00:04:40 ago
Beispiel: Weiterleitung des Datenverkehrs über einen AutoVPN-Tunnel mit Datenverkehrs-Selektoren
In diesem Beispiel wird gezeigt, wie Sie Datenverkehrs-Selektoren anstelle von dynamischen Routingprotokollen konfigurieren, um Pakete über einen VPN-Tunnel in einer AutoVPN-Bereitstellung weiterzuleiten. Wenn Datenverkehrs-Selektoren konfiguriert sind, muss sich die Secure Tunnel (st0)-Schnittstelle im Punkt-zu-Punkt-Modus befinden. Datenverkehrs-Selektoren werden sowohl auf den Hub- als auch den Spoke-Geräten konfiguriert.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei Geräte der SRX-Serie sind in einem Gehäuse-Cluster verbunden und konfiguriert. Der Gehäuse-Cluster ist der AutoVPN-Hub.
Ein Gerät der SRX-Serie, das als AutoVPN-Spoke konfiguriert ist.
Junos OS Release-12.3X48-D10 oder höher.
Digitale Zertifikate, die für den Hub und die Spoke-Geräte registriert sind, damit die Geräte sich gegenseitig authentifizieren können.
Bevor Sie beginnen:
Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen. Weitere Informationen zu lokalen Zertifikatsanforderungen findenSie unter.
Registrieren Sie die digitalen Zertifikate auf jedem Gerät. Siehe Beispiel: Manuelle CA und lokaler Zertifikate.
Überblick
In diesem Beispiel sind Datenverkehrs-Selektoren auf dem AutoVPN Hub-and-Spoke-Server konfiguriert. Nur Datenverkehr, der dem konfigurierten Datenverkehrs-Selektor entspricht, wird durch den Tunnel weitergeleitet. Auf dem Hub wird der Datenverkehrs-Selektor mit der lokalen IP-Adresse 192.0.0.0/8 und der Remote-IP-Adresse 172.0.0.0/8 konfiguriert. Auf dem Spoke wird der Datenverkehrs-Selektor mit der lokalen IP-Adresse 172.0.0.0/8 und der Remote-IP-Adresse 192.0.0.0/8 konfiguriert.
Die auf dem Spoke konfigurierten Datenverkehrs-Selektor-IP-Adressen können eine Untergruppe der auf dem Hub konfigurierten Datenverkehrs-Selektor-IP-Adressen sein. Dies wird als Datenverkehrs-Selektor-flexible Übereinstimmung bezeichnet.
Bestimmte tunneloptionen für Phase 1 IKE Phase 2, die auf den AutoVPN-Hubs und Spokes konfiguriert sind, müssen die gleichen Werte haben. Tabelle 19 zeigt die in diesem Beispiel verwendeten Werte:
Option |
Wert |
|---|---|
IKE Angebot: |
|
Authentifizierungsmethode |
rsa-signatures |
Diffie-Hellman (DH)-Gruppe |
group5 |
Authentifizierungsalgorithmus |
sha-1 |
Verschlüsselungsalgorithmus |
aes-256-cbc |
IKE Richtlinien: |
|
Modus |
Wichtigsten |
Zertifikat |
lokales Zertifikat |
IKE-Gateway: |
|
Dynamische |
Ausgezeichneter Name Wildcard DC=Common_component |
IKE-Typ |
Gruppen-IKE-ID |
Lokale Identität |
Ausgezeichneter Name |
Version |
v1-only |
IPsec-Angebot: |
|
Protokoll |
Esp |
Authentifizierungsalgorithmus |
hmac-sha1-96 |
Verschlüsselungsalgorithmus |
aes-192-cbc |
Lebensdauer |
3600 Sekunden 150.000 KB |
IPsec-Richtlinie: |
|
Perfect Forward Secrecy (PFS)-Gruppe |
group5 |
Topologie
Abbildung 7 zeigt die Konfiguration der Geräte der SRX-Serie an.
Konfiguration
Konfigurieren des Hubs
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/2 gigether-options redundant-parent reth1 set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-8/0/2 gigether-options redundant-parent reth1 set interfaces ge-8/0/3 gigether-options redundant-parent reth0 set interfaces lo0 unit 0 family inet address 10.100.1.100/24 set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.168.81.1/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 10.2.2.1/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ikepol1 mode main set security ike policy ikepol1 proposals prop_ike set security ike policy ikepol1 certificate local-certificate Hub_ID set security ike gateway HUB_GW ike-policy ikepol1 set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Domain_component set security ike gateway HUB_GW dynamic ike-user-type group-ike-id set security ike gateway HUB_GW local-identity distinguished-name set security ike gateway HUB_GW external-interface reth1 set security ike gateway HUB_GW version v1-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-192-cbc set security ipsec proposal prop_ipsec lifetime-seconds 3600 set security ipsec proposal prop_ipsec lifetime-kilobytes 150000 set security ipsec policy ipsecpol1 perfect-forward-secrecy keys group5 set security ipsec policy ipsecpol1 proposals prop_ipsec set security ipsec vpn HUB_VPN bind-interface st0.1 set security ipsec vpn HUB_VPN ike gateway HUB_GW set security ipsec vpn HUB_VPN ike ipsec-policy ipsecpol1 set security ipsec vpn HUB_VPN traffic-selector ts1 local-ip 192.0.0.0/8 set security ipsec vpn HUB_VPN traffic-selector ts1 remote-ip 172.0.0.0/8 set security pki ca-profile rsa ca-identity rsa set security pki ca-profile rsa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces lo0.0 set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
Beginnend mit Junos OS Release 15.1X49-D120 können Sie die CLI-Option auf der [ ] Hierarchieebene konfigurieren, um eine vorhandene Tunnelsitzung zu behalten und Aushandlungsanforderungen für einen neuen Tunnel mit derselben reject-duplicate-connectionedit security ike gateway gateway-name dynamic IKE-ID abzulehnen. Standardmäßig wird ein vorhandener Tunnel deaktiviert, wenn ein neuer Tunnel mit derselben IKE ID eingerichtet wird. Die Option wird nur unterstützt, wenn die Gateway-IKE konfiguriert ist. Die Konfiguration wird reject-duplicate-connection von dieser Option nicht ike-user-type group-ike-idike-user-type shared-ike-idaaa access-profile profile-name unterstützt.
Verwenden Sie die CLI-Option nur, wenn Sie sicher sind, dass die Wiedereinrichtung eines neuen Tunnels mit derselben reject-duplicate-connection IKE-ID abgelehnt werden sollte.
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.
So konfigurieren Sie den Hub:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set ge-0/0/2 gigether-options redundant-parent reth1 user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-8/0/2 gigether-options redundant-parent reth1 user@host# set ge-8/0/3 gigether-options redundant-parent reth0 user@host# set lo0 unit 0 family inet address 10.100.1.100/24 user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.168.81.1/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 10.2.2.1/24 user@host# set st0 unit 1 family inet
Konfiguration der Phase 1-Optionen
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ikepol1] user@host# set mode main user@host# set proposals prop_ike user@host# set certificate local-certificate Hub_ID [edit security ike gateway HUB_GW] user@host# set ike-policy ikepol1 user@host# set dynamic distinguished-name wildcard DC=Domain_component user@host# set dynamic ike-user-type group-ike-id user@host# set local-identity distinguished-name user@host# set external-interface reth1 user@host# set version v1-only
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-192-cbc user@host# set lifetime-seconds 3600 user@host# set lifetime-kilobytes 150000 [edit security ipsec policy ipsecpol1] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec HUB_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway HUB_GW user@host# set ike ipsec-policy ipsecpol1 user@host# set traffic-selector ts1 local-ip 192.0.0.0/8 user@host# set traffic-selector ts1 remote-ip 172.0.0.0/8
Konfigurieren Sie Zertifikatsinformationen.
[edit security pki] user@host# set ca-profile rsa ca-identity rsa user@host# set ca-profile rsa revocation-check disable
Konfiguration von Sicherheitszonen
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces lo0.0 user@host# set interfaces reth1.0 [edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , und Befehle show security ikeshow security ipsecshow security pkishow security zonesshow security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/3 {
gigether-options {
redundant-parent reth0;
}
}
lo0 {
unit 0 {
family inet {
address 10.100.1.100/24;
}
}
redundant-pseudo-interface-options {
redundancy-group 1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.168.81.1/8;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 10.2.2.1/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@host# show security ike
proposal prop_ike {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ikepol1 {
mode main;
proposals prop_ike;
certificate {
local-certificate Hub_ID;
}
}
gateway HUB_GW {
ike-policy ikepol1;
dynamic distinguished-name wildcard DC=Domain_component;
dynamic ike-user-type group-ike-id;
local-identity distinguished-name;
external-interface reth1;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal prop_ipsec {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-192-cbc;
lifetime-seconds 3600;
lifetime-kilobytes 150000;
}
policy ipsecpol1 {
perfect-forward-secrecy {
keys group5;
}
proposals prop_ipsec;
}
vpn HUB_VPN {
bind-interface st0.1;
ike {
gateway HUB_GW;
ipsec-policy ipsecpol1;
}
traffic-selector ts1 {
local-ip 192.0.0.0/8;
remote-ip 172.0.0.0/8;
}
}
[edit]
user@host# show security pki
ca-profile rsa {
ca-identity rsa;
revocation-check {
disable;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
reth0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
lo0.0;
reth1.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren des Spoke
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/1 unit 0 family inet address 172.16.1.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.2.2.253/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ikepol1 mode main set security ike policy ikepol1 proposals prop_ike set security ike policy ikepol1 certificate local-certificate Spoke1_ID set security ike gateway SPOKE_GW ike-policy ikepol1 set security ike gateway SPOKE_GW address 10.2.2.1 set security ike gateway SPOKE_GW local-identity distinguished-name set security ike gateway SPOKE_GW remote-identity distinguished-name container DC=Domain_component set security ike gateway SPOKE_GW external-interface ge-0/0/3.0 set security ike gateway SPOKE_GW version v1-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-192-cbc set security ipsec proposal prop_ipsec lifetime-seconds 3600 set security ipsec proposal prop_ipsec lifetime-kilobytes 150000 set security ipsec policy ipsecpol1 perfect-forward-secrecy keys group5 set security ipsec policy ipsecpol1 proposals prop_ipsec set security ipsec vpn SPOKE_VPN bind-interface st0.1 set security ipsec vpn SPOKE_VPN ike gateway SPOKE_GW set security ipsec vpn SPOKE_VPN ike ipsec-policy ipsecpol1 set security ipsec vpn SPOKE_VPN traffic-selector ts1 local-ip 172.0.0.0/8 set security ipsec vpn SPOKE_VPN traffic-selector ts1 remote-ip 192.0.0.0/8 set security ipsec vpn SPOKE_VPN establish-tunnels immediately set security pki ca-profile rsa ca-identity rsa set security pki ca-profile rsa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/1.0 set security policies default-policy permit-all
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.
So konfigurieren Sie den Hub:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 172.16.1.1/24 user@host# set ge-0/0/3 unit 0 family inet address 10.2.2.253/24 user@host# set st0 unit 1 family inet
Konfiguration der Phase 1-Optionen
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ikepol1] user@host# set mode main user@host# set proposals prop_ike user@host# set certificate local-certificate Spoke1_ID [edit security ike gateway SPOKE_GW] user@host# set ike-policy ikepol1 user@host# set address 10.2.2.1 user@host# set local-identity distinguished-name user@host# set remote-identity distinguished-name container DC=Domain_component user@host# set external-interface ge-0/0/3.0 user@host# set version v1-only
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-192-cbc user@host# set lifetime-seconds 3600 user@host# set lifetime-kilobytes 150000 [edit security ipsec policy ipsecpol1] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec SPOKE_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway SPOKE_GW user@host# set ike ipsec-policy ipsecpol1 user@host# set traffic-selector ts1 local-ip 172.0.0.0/8 user@host# set traffic-selector ts1 remote-ip 192.0.0.0/8 user@host# set establish-tunnels immediately
Konfigurieren Sie Zertifikatsinformationen.
[edit security pki] user@host# set ca-profile rsa ca-identity rsa user@host# set ca-profile rsa revocation-check disable
Konfiguration von Sicherheitszonen
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/3.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces ge-0/0/1.0 [edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , , und Befehle show security ikeshow security ipsecshow security pkishow security zonesshow security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.1.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.2.2.253/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@host# show security ike
proposal prop_ike {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ikepol1 {
mode main;
proposals prop_ike;
certificate {
local-certificate Spoke1_ID;
}
}
gateway SPOKE_GW {
ike-policy ikepol1;
address 10.2.2.1;
local-identity distinguished-name;
remote-identity distinguished-name container DC=Domain_component;
external-interface ge-0/0/3.0;
version v1-only;
}
[edit]
user@host# show security ipsec
proposal prop_ipsec {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-192-cbc;
lifetime-seconds 3600;
lifetime-kilobytes 150000;
}
policy ipsecpol1 {
perfect-forward-secrecy {
keys group5;
}
proposals prop_ipsec;
}
vpn SPOKE_VPN {
bind-interface st0.1;
ike {
gateway SPOKE_GW;
ipsec-policy ipsecpol1;
}
traffic-selector ts1 {
local-ip 172.0.0.0/8;
remote-ip 192.0.0.0/8;
}
establish-tunnels immediately;
}
[edit]
user@host# show security pki
ca-profile rsa {
ca-identity rsa;
revocation-check {
disable;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
ge-0/0/3.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfung von Tunneln
Zweck
Stellen Sie sicher, dass Tunnel zwischen AutoVPN Hub und Spoke eingerichtet werden.
Aktion
Geben Sie im Betriebsmodus die show security ike security-associations Befehle und die Befehle auf dem Hub show security ipsec security-associations ein.
user@host> show security ike security-associations
node0:
--------------------------------------------------------------------------
Index State Initiator cookie Responder cookie Mode Remote Address
1350248074 UP d195bce6ccfcf9af 8f1569c6592c8408 Main 10.2.2.253
user@host> show security ipsec security-associations
node0:
--------------------------------------------------------------------------
Total active tunnels: 1
ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway
<77594650 ESP:aes-cbc-192/sha1 ac97cb1 2799/ 150000 - root 500 10.2.2.253
>77594650 ESP:aes-cbc-192/sha1 828dc013 2798/ 150000 - root 500 10.2.2.253
user@host> show security ipsec security-associations detail
node0:
--------------------------------------------------------------------------
ID: 77594650 Virtual-system: root, VPN Name: HUB_VPN
Local Gateway: 10.2.2.1, Remote Gateway: 10.2.2.253
Traffic Selector Name: ts1
Local Identity: ipv4(192.0.0.0-192.255.255.255)
Remote Identity: ipv4(172.0.0.0-172.255.255.255)
Version: IKEv1
DF-bit: clear, Bind-interface: st0.1
Port: 500, Nego#: 2, Fail#: 0, Def-Del#: 0 Flag: 0x24608b29
Tunnel events:
Tue Dec 30 2014 11:30:21 -0800: IPSec SA negotiation successfully completed (1 times)
Tue Dec 30 2014 11:30:20 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Tue Dec 30 2014 11:30:20 -0800: IKE SA negotiation successfully completed (3 times)
Location: FPC 5, PIC 0, KMD-Instance 1
Direction: inbound, SPI: ac97cb1, AUX-SPI: 0
Hard lifetime: Expires in 2796 seconds
Lifesize Remaining: 150000 kilobytes
Soft lifetime: Expires in 2211 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Location: FPC 5, PIC 0, KMD-Instance 1
Direction: outbound, SPI: 828dc013, AUX-SPI: 0
Hard lifetime: Expires in 2796 seconds
Lifesize Remaining: 150000 kilobytes
Soft lifetime: Expires in 2211 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Geben Sie im Betriebsmodus die show security ike security-associations Befehle und die Befehle auf dem Spoke show security ipsec security-associations ein.
user@host> show security ike security-associations
Index State Initiator cookie Responder cookie Mode Remote Address
276505646 UP d195bce6ccfcf9af 8f1569c6592c8408 Main 10.2.2.1
user@host> show security ipsec security-associations
Total active tunnels: 1
ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway
<69206018 ESP:aes-cbc-192/sha1 828dc013 2993/ 150000 - root 500 10.2.2.1
>69206018 ESP:aes-cbc-192/sha1 ac97cb1 2993/ 150000 - root 500 10.2.2.1
user@host> show security ipsec security-associations detail
ID: 69206018 Virtual-system: root, VPN Name: SPOKE_VPN
Local Gateway: 10.2.2.253, Remote Gateway: 10.2.2.1
Traffic Selector Name: ts1
Local Identity: ipv4(172.0.0.0-172.255.255.255)
Remote Identity: ipv4(192.0.0.0-192.255.255.255)
Version: IKEv1
DF-bit: clear, Bind-interface: st0.1
Port: 500, Nego#: 0, Fail#: 0, Def-Del#: 0 Flag: 0x2c608b29
Tunnel events:
Tue Dec 30 2014 11:30:20 -0800: IPSec SA negotiation successfully completed (1 times)
Tue Dec 30 2014 11:30:20 -0800: IKE SA negotiation successfully completed (1 times)
Tue Dec 30 2014 11:26:11 -0800: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Location: FPC 1, PIC 0, KMD-Instance 1
Direction: inbound, SPI: 828dc013, AUX-SPI: 0
Hard lifetime: Expires in 2991 seconds
Lifesize Remaining: 150000 kilobytes
Soft lifetime: Expires in 2369 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Location: FPC 1, PIC 0, KMD-Instance 1
Direction: outbound, SPI: ac97cb1, AUX-SPI: 0
Hard lifetime: Expires in 2991 seconds
Lifesize Remaining: 150000 kilobytes
Soft lifetime: Expires in 2369 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (192 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Bedeutung
Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Der Hub zeigt einen aktiven Tunnel zum Spoke, während der Spoke einen aktiven Tunnel zum Hub zeigt.
Wenn für die phase 1 keine IKE aufgeführt sind, dann gab es ein Problem mit der Einrichtung der ersten Phase. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Angebot in Phase 1 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.
Wenn für IKE Phase 2 keine AAs aufgelistet sind, dann gab es ein Problem bei der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Parameter der Vorschläge in Phase 2 müssen auf dem Hub-and-Spoke-Hub abgestimmt sein.
Datenverkehrs-Selektoren verifizieren
Zweck
Überprüfen Sie die Datenverkehrs-Selektoren.
Aktion
Geben Sie im Betriebsmodus den show security ipsec traffic-selector interface-name st0.1 Befehl auf dem Hub ein.
user@host> show security ipsec traffic-selector interface-name st0.1 node0: -------------------------------------------------------------------------- Source IP Destination IP Interface Tunnel-id IKE-ID 192.0.0.0-192.255.255.255 172.0.0.0-172.255.255.255 st0.1 77594650 DC=Domain_component, CN=Spoke1_ID, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US
Geben Sie im Betriebsmodus den show security ipsec traffic-selector interface-name st0.1 Befehl auf dem Spoke ein.
user@host> show security ipsec traffic-selector interface-name st0.1 Source IP Destination IP Interface Tunnel-id IKE-ID 172.0.0.0-172.255.255.255 192.0.0.0-192.255.255.255 st0.1 69206018 DC=Domain_component, CN=Hub_ID, OU=Sales, O=XYZ, L=Sunnyvale, ST=CA, C=US
Bedeutung
Ein Datenverkehrs-Selektor ist eine Vereinbarung zwischen IKE, um Datenverkehr durch einen Tunnel zu ermöglichen, wenn der Datenverkehr einem bestimmten Paar lokaler und Remote-Adressen entspricht. Nur Datenverkehr, der einem Datenverkehrs-Selektor entspricht, ist über eine Sicherheitszuordnung zulässig. Datenverkehrs-Selektoren werden zwischen dem Benutzer und dem Responder (dem Hub der SRX-Serie) ausgehandelt.
Beispiel: Sicherstellen der VPN-Tunnelverfügbarkeit mit AutoVPN und Datenverkehrs-Selektoren
Bei Georedundanz handelt es sich um die Bereitstellung von mehreren geografisch entfernten Standorten, sodass der Datenverkehr weiterhin über ein Provider-Netzwerk fließen kann, selbst wenn ein Stromausfall, eine Naturkatastrophe oder ein anderes katastrophales Ereignis, das einen Standort an betrifft, zu beeinträchtigen ist. In Mobilnetzanbieter Gateways der SRX-Serie können mehrere Evolved Node B (eNodeB)-Geräte über georedundante IPsec-VPN-Gateways mit dem Core-Netzwerk verbunden werden. Die alternativen Routen zu den eNodeB-Geräten werden mithilfe eines dynamischen Routingprotokolls an das Core-Netzwerk verteilt.
In diesem Beispiel werden AutoVPN-Hubs mit mehreren Datenverkehrs-Selektoren auf Geräten der SRX-Serie konfiguriert, um sicherzustellen, dass georedundante IPsec-VPN-Gateways zu eNodeB-Geräten verfügbar sind. Mit dem autoroute Insertion (ARI) werden automatisch Routen zu den eNodeB-Geräten in die Routingtabellen auf den Hubs eingefügt. ARI-Routen werden dann über eine Netzwerkroute an das Core-Netzwerk des BGP.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei Geräte der SRX-Serie sind in einem Gehäuse-Cluster verbunden und konfiguriert. Der Gehäuse-Cluster ist AutoVPN Hub A.
Ein Gerät der SRX-Serie als AutoVPN Hub B konfiguriert.
Junos OS Release-12.3X48-D10 oder höher.
eNodeB-Geräte, die IPSec-VPN-Tunnel mit AutoVPN-Hubs einrichten können. eNodeB-Geräte sind Anbieter von Netzwerkgeräten von Drittanbietern, die einen VPN-Tunnel mit AutoVPN-Hubs initiieren.
Digitale Zertifikate, die in den Hubs registriert sind, und die eNodeB-Geräte, die es den Geräten ermöglichen, sich gegenseitig zu authentifizieren.
Bevor Sie beginnen:
Sie erhalten die Adresse der Zertifizierungsstelle (CA) und die benötigten Informationen (wie das Challenge-Kennwort), wenn Sie Anfragen nach lokalen Zertifikaten stellen. Weitere Informationen zu lokalen Zertifikatsanforderungen findenSie unter.
Registrieren Sie die digitalen Zertifikate auf jedem Gerät. Siehe Beispiel: Manuelle CA und lokaler Zertifikate.
In diesem Beispiel wird das BGP Routing-Protokoll zur Ankündigung von Routen zu den eNodeB-Geräten zum Core-Netzwerk verwendet.
Überblick
In diesem Beispiel werden zwei AutoVPN-Hubs mit mehreren Datenverkehrs-Selektoren auf Geräten der SRX-Serie konfiguriert, um georedundante IPsec-VPN-Gateways für eNodeB-Geräte zur Verfügung zu stellen. ARI fügt automatisch Routen zu den eNodeB-Geräten in die Routingtabellen auf den Hubs ein. ARI-Routen werden dann über eine Netzwerkroute an das Core-Netzwerk des BGP.
Bestimmte auf AutoVPN-Hubs und eNodeB-Geräten konfigurierte Tunneloptionen für Phase 1 IKE Phase 2 müssen über die gleichen Werte verfügen. Tabelle 20 zeigt die in diesem Beispiel verwendeten Werte:
Option |
Wert |
|---|---|
IKE Angebot: |
|
Authentifizierungsmethode |
rsa-signatures |
Diffie-Hellman (DH)-Gruppe |
group5 |
Authentifizierungsalgorithmus |
sha-1 |
Verschlüsselungsalgorithmus |
aes-256-cbc |
IKE Richtlinien: |
|
Zertifikat |
lokales Zertifikat |
IKE-Gateway: |
|
Dynamische |
Ausgezeichneter Name Wildcard DC=Common_component |
IKE-Typ |
Gruppen-IKE-ID |
Dead Peer Detection |
Probe-Idle-Tunnel |
Lokale Identität |
Ausgezeichneter Name |
Version |
v2-only |
IPsec-Angebot: |
|
Protokoll |
Esp |
Authentifizierungsalgorithmus |
hmac-sha1-96 |
Verschlüsselungsalgorithmus |
aes-256-cbc |
IPsec-Richtlinie: |
|
Perfect Forward Secrecy (PFS)-Gruppe |
group5 |
In diesem Beispiel wird die Standardsicherheitsrichtlinie, die den sämtlichen Datenverkehr ermöglicht, für alle Geräte verwendet. Es sollten mehr restriktive Sicherheitsrichtlinien für Produktionsumgebungen konfiguriert werden. Siehe Übersicht über Sicherheitsrichtlinien. Der Einfachheit halber lässt die Konfiguration auf den Geräten der SRX-Serie alle Arten von eingehendem Datenverkehr zu. wird diese Konfiguration für Produktionsumgebungen nicht empfohlen.
Topologie
Abbildung 8 zeigt die Konfiguration der Geräte der SRX-Serie an.
Konfiguration
Konfigurieren von Hub A
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/2 gigether-options redundant-parent reth1 set interfaces ge-0/0/3 gigether-options redundant-parent reth0 set interfaces ge-8/0/2 gigether-options redundant-parent reth1 set interfaces ge-8/0/3 gigether-options redundant-parent reth0 set interfaces lo0 unit 0 family inet address 100.100.1.100/24 set interfaces lo0 redundant-pseudo-interface-options redundancy-group 1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 172.168.2.1/16 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 2.2.2.1/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ph1_ike_policy proposals prop_ike set security ike policy ph1_ike_policy certificate local-certificate HubA_certificate set security ike gateway HUB_GW ike-policy ph1_ike_policy set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Common_component set security ike gateway HUB_GW dynamic ike-user-type group-ike-id set security ike gateway HUB_GW dead-peer-detection probe-idle-tunnel set security ike gateway HUB_GW local-identity distinguished-name set security ike gateway HUB_GW external-interface reth1 set security ike gateway HUB_GW version v2-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-256-cbc set security ipsec policy ph2_ipsec_policy perfect-forward-secrecy keys group5 set security ipsec policy ph2_ipsec_policy proposals prop_ipsec set security ipsec vpn HUB_VPN bind-interface st0.1 set security ipsec vpn HUB_VPN ike gateway HUB_GW set security ipsec vpn HUB_VPN ike ipsec-policy ph2_ipsec_policy set security ipsec vpn HUB_VPN traffic-selector ts1 local-ip 172.0.0.0/8 set security ipsec vpn HUB_VPN traffic-selector ts1 remote-ip 50.0.0.0/8 set security ipsec vpn HUB_VPN traffic-selector ts2 local-ip 172.0.0.0/8 set security ipsec vpn HUB_VPN traffic-selector ts2 remote-ip 30.0.0.0/8 set protocols bgp group internal-peers type internal set protocols bgp group internal-peers local-address 172.168.2.1 set protocols bgp group internal-peers export inject_ts1_routes set protocols bgp group internal-peers export inject_ts2_routes set protocols bgp group internal-peers export inject_up_routes set protocols bgp group internal-peers neighbor 172.168.2.4 set policy-options policy-statement inject_ts1_routes term cp_allow from protocol static set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 30.1.2.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 30.1.1.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow then next-hop self set policy-options policy-statement inject_ts1_routes term cp_allow then accept set policy-options policy-statement inject_ts2_routes term mp_allow from protocol static set policy-options policy-statement inject_ts2_routes term mp_allow from route-filter 50.1.1.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow from route-filter 50.1.2.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow then next-hop self set policy-options policy-statement inject_ts2_routes term mp_net_allow then accept set policy-options policy-statement inject_up_routes term up_allow from protocol static set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.168.1.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.168.2.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow then next-hop self set policy-options policy-statement inject_up_routes term up_allow then accept set security pki ca-profile csa ca-identity csa set security pki ca-profile csa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces lo0.0 set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.
So konfigurieren Sie Hub A:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set ge-0/0/2 gigether-options redundant-parent reth1 user@host# set ge-0/0/3 gigether-options redundant-parent reth0 user@host# set ge-8/0/2 gigether-options redundant-parent reth1 user@host# set ge-8/0/3 gigether-options redundant-parent reth0 user@host# set lo0 unit 0 family inet address 100.100.1.100/24 user@host# set lo0 redundant-pseudo-interface-options redundancy-group 1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 172.168.2.1/16 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 2.2.2.1/24 user@host# set st0 unit 1 family inet
Konfiguration der Phase 1-Optionen
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ph1_ike_policy] user@host# set proposals prop_ike user@host# set certificate local-certificate HubA_certificate [edit security ike gateway HUB_GW] user@host# set ike-policy ph1_ike_policy user@host# set dynamic distinguished-name wildcard DC=Common_component user@host# set dynamic ike-user-type group-ike-id user@host# set dead-peer-detection probe-idle-tunnel user@host# set local-identity distinguished-name user@host# set external-interface reth1 user@host# set version v2-only
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy ph2_ipsec_policy] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec vpn HUB_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway HUB_GW user@host# set ike ipsec-policy ph2_ipsec_policy user@host# set traffic-selector ts1 local-ip 172.0.0.0/8 user@host# set traffic-selector ts1 remote-ip 50.0.0.0/8 user@host# set traffic-selector ts2 local-ip 172.0.0.0/8 user@host# set traffic-selector ts2 remote-ip 30.0.0.0/8
Konfigurieren Sie BGP Routing-Protokoll.
[edit protocols bgp group internal-peers] user@host# set type internal user@host# set local-address 172.168.2.1 user@host# set export inject_ts1_routes user@host# set export inject_ts2_routes user@host# set export inject_up_routes user@host# set neighbor 172.168.2.4
Konfigurieren Sie Routing-Optionen.
[edit policy-options policy-statement inject_ts1_routes] user@host# set term cp_allow from protocol static user@host# set term cp_allow from route-filter 30.1.2.0/24 orlonger user@host# set term cp_allow from route-filter 30.1.1.0/24 orlonger user@host# set term cp_allow then next-hop self user@host# set term cp_allow then accept [edit policy-options policy-statement inject_ts2_routes] user@host# set term mp_allow from protocol static user@host# set term mp_allow from route-filter 50.1.1.0/24 orlonger user@host# set term mp_allow from route-filter 50.1.2.0/24 orlonger user@host# set term mp_allow then next-hop self user@host# set term mp_allow then accept [edit policy-options policy-statement inject_up_routes] user@host# set term up_allow from protocol static user@host# set term up_allow from route-filter 172.168.1.0/24 orlonger user@host# set term up_allow from route-filter 172.168.2.0/24 orlonger user@host# set term up_allow then next-hop self user@host# set term up_allow then accept
Konfigurieren Sie Zertifikatsinformationen.
[edit security pki] user@host# set ca-profile csa ca-identity csa user@host# set ca-profile csa revocation-check disable
Konfiguration von Sicherheitszonen
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces reth0.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces lo0.0 user@host# set interfaces reth1.0 [edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces show security ike , , , , und Befehle show security ipsecshow protocols bgpshow policy-optionsshow security pkishow security zonesshow security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/3 {
gigether-options {
redundant-parent reth0;
}
}
ge-8/0/2 {
gigether-options {
redundant-parent reth1;
}
}
ge-8/0/3 {
gigether-options {
redundant-parent reth0;
}
}
lo0 {
unit 0 {
family inet {
address 100.100.1.100/24;
}
}
redundant-pseudo-interface-options {
redundancy-group 1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 172.168.2.1/16;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 2.2.2.1/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@host# show security ike
proposal prop_ike {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ph1_ike_policy {
proposals prop_ike;
certificate {
local-certificate HubA_certificate;
}
}
gateway HUB_GW {
ike-policy ph1_ike_policy;
dynamic {
distinguished-name {
wildcard DC=Common_component;
}
ike-user-type group-ike-id;
}
dead-peer-detection {
probe-idle-tunnel;
}
local-identity distinguished-name;
external-interface reth1;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal prop_ipsec {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy ph2_ipsec_policy {
perfect-forward-secrecy {
keys group5;
}
proposals prop_ipsec;
}
vpn HUB_VPN {
bind-interface st0.1;
ike {
gateway HUB_GW;
ipsec-policy ph2_ipsec_policy;
}
traffic-selector ts1 {
local-ip 172.0.0.0/8;
remote-ip 50.0.0.0/8;
}
traffic-selector ts2 {
local-ip 172.0.0.0/8;
remote-ip 30.0.0.0/8;
}
}
[edit]
user@host# show protocols bgp
group internal-peers {
type internal;
local-address 172.168.2.1;
export [ inject_ts1_routes inject_ts2_routes inject_up_routes ];
neighbor 172.168.2.4;
}
[edit]
user@host# show policy-options
policy-statement inject_ts1_routes {
term cp_allow {
from {
protocol static;
route-filter 30.1.2.0/24 orlonger;
route-filter 30.1.1.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
policy-statement inject_ts2_routes {
term mp_allow {
from {
protocol static;
route-filter 50.1.1.0/24 orlonger;
route-filter 50.1.2.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
policy-statement inject_up_routes {
term up_allow {
from {
protocol static;
route-filter 172.168.1.0/24 orlonger;
route-filter 172.168.2.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
[edit]
user@host# show security pki
ca-profile csa {
ca-identity csa;
revocation-check {
disable;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
reth0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
lo0.0;
reth1.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren von Hub B
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/1 unit 0 family inet address 4.4.4.1/24 set interfaces ge-0/0/2 unit 0 family inet address 172.169.1.1/16 set interfaces lo0 unit 0 family inet address 100.100.1.101/24 set interfaces st0 unit 1 family inet set security ike proposal prop_ike authentication-method rsa-signatures set security ike proposal prop_ike dh-group group5 set security ike proposal prop_ike authentication-algorithm sha1 set security ike proposal prop_ike encryption-algorithm aes-256-cbc set security ike policy ph1_ike_policy proposals prop_ike set security ike policy ph1_ike_policy certificate local-certificate HubB_certificate set security ike gateway HUB_GW ike-policy ph1_ike_policy set security ike gateway HUB_GW dynamic distinguished-name wildcard DC=Common_component set security ike gateway HUB_GW dynamic ike-user-type group-ike-id set security ike gateway HUB_GW dead-peer-detection probe-idle-tunnel set security ike gateway HUB_GW local-identity distinguished-name set security ike gateway HUB_GW external-interface ge-0/0/1 set security ike gateway HUB_GW version v2-only set security ipsec proposal prop_ipsec protocol esp set security ipsec proposal prop_ipsec authentication-algorithm hmac-sha1-96 set security ipsec proposal prop_ipsec encryption-algorithm aes-256-cbc set security ipsec policy ph2_ipsec_policy perfect-forward-secrecy keys group5 set security ipsec policy ph2_ipsec_policy proposals prop_ipsec set security ipsec vpn HUB_VPN bind-interface st0.1 set security ipsec vpn HUB_VPN ike gateway HUB_GW set security ipsec vpn HUB_VPN ike ipsec-policy ph2_ipsec_policy set security ipsec vpn HUB_VPN traffic-selector ts1 local-ip 172.0.0.0/8 set security ipsec vpn HUB_VPN traffic-selector ts1 remote-ip 50.0.0.0/8 set security ipsec vpn HUB_VPN traffic-selector ts2 local-ip 172.0.0.0/8 set security ipsec vpn HUB_VPN traffic-selector ts2 remote-ip 30.0.0.0/8 set protocols bgp group internal-peers type internal set protocols bgp group internal-peers local-address 172.169.1.1 set protocols bgp group internal-peers export inject_ts1_routes set protocols bgp group internal-peers export inject_ts2_routes set protocols bgp group internal-peers export inject_up_routes set policy-options policy-statement inject_ts1_routes term cp_allow from protocol static set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 30.1.2.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow from route-filter 30.1.1.0/24 orlonger set policy-options policy-statement inject_ts1_routes term cp_allow then next-hop self set policy-options policy-statement inject_ts1_routes term cp_allow then accept set policy-options policy-statement inject_ts2_routes term mp_allow from protocol static set policy-options policy-statement inject_ts2_routes term mp_allow from route-filter 50.1.1.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow from route-filter 50.1.2.0/24 orlonger set policy-options policy-statement inject_ts2_routes term mp_net_allow then next-hop self set policy-options policy-statement inject_ts2_routes term mp_net_allow then accept set policy-options policy-statement inject_up_routes term up_allow from protocol static set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.169.1.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow from route-filter 172.169.2.0/24 orlonger set policy-options policy-statement inject_up_routes term up_allow then next-hop self set policy-options policy-statement inject_up_routes term up_allow then accept set security pki ca-profile csa ca-identity csa set security pki ca-profile csa revocation-check disable set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces st0.1 set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces lo0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security policies default-policy permit-all
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.
So konfigurieren Sie Hub B:
Schnittstellen konfigurieren.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 4.4.4.1/24 user@host# set ge-0/0/2 unit 0 family inet address 172.169.1.1/16 user@host# set lo0 unit 0 family inet address 100.100.1.101/24 user@host# set st0 unit 1 family inet
Konfiguration der Phase 1-Optionen
[edit security ike proposal prop_ike] user@host# set authentication-method rsa-signatures user@host# set dh-group group5 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm aes-256-cbc [edit security ike policy ph1_ike_policy] user@host# set proposals prop_ike user@host# set certificate local-certificate HubB_certificate [edit security ike gateway HUB_GW] user@host# set ike-policy ph1_ike_policy user@host# set dynamic distinguished-name wildcard DC=Common_component user@host# set dynamic ike-user-type group-ike-id user@host# set dead-peer-detection probe-idle-tunnel user@host# set local-identity distinguished-name user@host# set external-interface ge-0/0/1 user@host# set version v2-only
Konfiguration der Phase 2-Optionen
[edit security ipsec proposal prop_ipsec] user@host# set protocol esp user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm aes-256-cbc [edit security ipsec policy ph2_ipsec_policy] user@host# set perfect-forward-secrecy keys group5 user@host# set proposals prop_ipsec [edit security ipsec vpn HUB_VPN] user@host# set bind-interface st0.1 user@host# set ike gateway HUB_GW user@host# set ike ipsec-policy ph2_ipsec_policy user@host# set traffic-selector ts1 local-ip 172.0.0.0/8 user@host# set traffic-selector ts1 remote-ip 50.0.0.0/8 user@host# set traffic-selector ts2 local-ip 172.0.0.0/8 user@host# set traffic-selector ts2 remote-ip 30.0.0.0/8
Konfigurieren Sie BGP Routing-Protokoll.
[edit protocols bgp group internal-peers] user@host# set type internal user@host# set local-address 172.169.1.1 user@host# set export inject_ts1_routes user@host# set export inject_ts2_routes user@host# set export inject_up_routes user@host# set neighbor 172.169.1.2
Konfigurieren Sie Routing-Optionen.
[edit policy-options policy-statement inject_ts1_routes] user@host# set term cp_allow from protocol static user@host# set term cp_allow from route-filter 30.1.2.0/24 orlonger user@host# set term cp_allow from route-filter 30.1.1.0/24 orlonger user@host# set term cp_allow then next-hop self user@host# set term cp_allow then accept [edit policy-options policy-statement inject_ts2_routes] user@host# set term mp_allow from protocol static user@host# set term mp_allow from route-filter 50.1.1.0/24 orlonger user@host# set term mp_allow from route-filter 50.1.2.0/24 orlonger user@host# set term mp_allow then next-hop self user@host# set term mp_allow then accept [edit policy-options policy-statement inject_up_routes] user@host# set term up_allow from protocol static user@host# set term up_allow from route-filter 172.169.1.0/24 orlonger user@host# set term up_allow from route-filter 172.169.2.0/24 orlonger user@host# set term up_allow then next-hop self user@host# set term up_allow then accept
Konfigurieren Sie Zertifikatsinformationen.
[edit security pki] user@host# set ca-profile csa ca-identity csa user@host# set ca-profile csa revocation-check disable
Konfiguration von Sicherheitszonen
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces st0.1 user@host# set interfaces ge-0/0/2.0 [edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all user@host# set interfaces lo0.0 user@host# set interfaces ge-0/0/1.0 [edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces show security ike , , , und Befehle show security ipsecshow protocols bgpshow security pkishow security zonesshow security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 4.4.4.1/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 172.169.1.1/16;
}
}
}
lo0 {
unit 0 {
family inet {
address 100.100.1.101/24;
}
}
}
st0 {
unit 1 {
family inet;
}
}
[edit]
user@host# show security ike
proposal prop_ike {
authentication-method rsa-signatures;
dh-group group5;
authentication-algorithm sha1;
encryption-algorithm aes-256-cbc;
}
policy ph1_ike_policy {
proposals prop_ike;
certificate {
local-certificate HubB_certificate;
}
}
gateway HUB_GW {
ike-policy ph1_ike_policy;
dynamic {
distinguished-name {
wildcard DC=Common_component;
}
ike-user-type group-ike-id;
}
dead-peer-detection {
probe-idle-tunnel;
}
local-identity distinguished-name;
external-interface reth1;
version v2-only;
}
[edit]
user@host# show security ipsec
proposal prop_ipsec {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-256-cbc;
}
policy ph2_ipsec_policy {
perfect-forward-secrecy {
keys group5;
}
proposals prop_ipsec;
}
vpn HUB_VPN {
bind-interface st0.1;
ike {
gateway HUB_GW;
ipsec-policy ph2_ipsec_policy;
}
traffic-selector ts1 {
local-ip 172.0.0.0/8;
remote-ip 50.0.0.0/8;
}
traffic-selector ts2 {
local-ip 172.0.0.0/8;
remote-ip 30.0.0.0/8;
}
}
[edit]
user@host# show protocols bgp
group internal-peers {
type internal;
local-address 172.169.1.1;
export [ inject_ts1_routes inject_ts2_routes inject_up_routes ];
neighbor 172.169.1.2;
}
user@host# show policy-options
policy-statement inject_ts1_routes {
term cp_allow {
from {
protocol static;
route-filter 30.1.2.0/24 orlonger;
route-filter 30.1.1.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
policy-statement inject_ts2_routes {
term mp_allow {
from {
protocol static;
route-filter 50.1.1.0/24 orlonger;
route-filter 50.1.2.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
policy-statement inject_up_routes {
term up_allow {
from {
protocol static;
route-filter 172.169.1.0/24 orlonger;
route-filter 172.169.2.0/24 orlonger;
}
then {
next-hop self;
accept;
}
}
}
[edit]
user@host# show security pki
ca-profile csa {
ca-identity csa;
revocation-check {
disable;
}
}
[edit]
user@host# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.1;
ge-0/0/2.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
lo0.0;
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfiguration von eNodeB (Beispielkonfiguration)
Schritt-für-Schritt-Verfahren
Die eNodeB-Konfiguration in diesem Beispiel wird als Referenz bereitgestellt. Detaillierte eNodeB-Konfigurationsinformationen gehen über den Rahmen dieses Dokuments hinaus. Die eNodeB-Konfiguration muss die folgenden Informationen enthalten:
Lokales Zertifikat (X.509v3) und IKE-Identitätsinformationen
SrX-Serie IKE Identitätsinformationen und öffentliche IP-Adresse
Angebote für Phase 1 und Phase 2, die mit den Konfigurationen auf den Hubs der SRX-Serie übereinstimmen
Ergebnisse
Die eNodeB-Geräte in diesem Beispiel verwenden strongSwan Open Source-Software für IPsec-basierte VPN-Verbindungen:
config setup
plutostart=yes
plutodebug=all
charondebug="ike 4, cfg 4, chd 4, enc 1"
charonstart=yes #ikev2 deamon"
nat_traversal=yes #<======= need to enable even no nat_t
conn %default
ikelifetime=60m
keylife=45m
rekeymargin=2m
keyingtries=4
mobike=no
conn Hub_A
keyexchange=ikev2
authby=pubkey
ike=aes256-sha-modp1536
esp=aes256-sha1-modp1536
leftcert=/usr/local/etc/ipsec.d/certs/fight02Req.pem.Email.crt
left=5.5.5.1 # self if
leftsubnet=30.1.1.0/24 # left subnet
leftid="CN=fight02, DC=Common_component, OU=Dept, O=Company, L=City, ST=CA, C=US " # self id
right=2.2.2.1 # peer if
rightsubnet=80.1.1.0/24 # peer net for proxy id
rightid="DC=Domain_component, CN=HubA_certificate, OU=Dept, O=Company, L=City, ST=CA, C=US " # peer id
auto=add
leftfirewall=yes
dpdaction=restart
dpddelay=10
dpdtimeout=120
rekeyfuzz=10%
reauth=no
conn Hub_B
keyexchange=ikev2
authby=pubkey
ike=aes256-sha-modp1536
esp=aes192-sha1-modp1536
leftcert=/usr/local/etc/ipsec.d/certs/fight02Req.pem.Email.crt
left=5.5.5.1 # self if
leftsubnet=30.1.1.0/24 # self net for proxy id
leftid="CN=fight02, DC=Common_component, OU=Dept, O=Company, L=City, ST=CA, C=US " # self id
right=4.4.4.1 # peer if
rightsubnet=80.1.1.0/24 # peer net for proxy id
rightid="DC=Domain_component, CN=HubB_certificate, OU=Dept, O=Company, L=City, ST=CA, C=US " # peer id
auto=add
leftfirewall=yes
dpdaction=restart
dpddelay=10
dpdtimeout=120
rekeyfuzz=10%
reauth=no
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung von Tunneln auf AutoVPN-Hubs
- Datenverkehrs-Selektoren verifizieren
- Überprüfen von ARI-Routen
Überprüfung von Tunneln auf AutoVPN-Hubs
Zweck
Stellen Sie sicher, dass Tunnel zwischen dem AutoVPN-Hub und eNodeB-Geräten eingerichtet werden.
Aktion
Geben Sie im Betriebsmodus die show security ike security-associations Befehle und die Befehle auf dem Hub show security ipsec security-associations ein.
user@host> show security ike security-associations node0: -------------------------------------------------------------------------- Index State Initiator cookie Responder cookie Mode Remote Address 276505706 UP 16d6e53f0866b5cc ccd8ca944da7b63e IKEv2 5.5.5.1 1350247532 UP d5f0cb3a3b18cb92 91269f05527217a0 IKEv2 1.1.1.1 user@host> show security ipsec security-associations node0: -------------------------------------------------------------------------- Total active tunnels: 2 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <77594626 ESP:aes-cbc-192/sha1 a82bbc3 3600/ 64 - root 500 1.1.1.1 >77594626 ESP:aes-cbc-192/sha1 c930a858 3600/ 64 - root 500 1.1.1.1 <69206018 ESP:aes-cbc-192/sha1 2b437fc 3600/ 64 - root 500 5.5.5.1 >69206018 ESP:aes-cbc-192/sha1 c6e02755 3600/ 64 - root 500 5.5.5.1
Bedeutung
Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Im show security ipsec security-associations Befehl werden alle aktiven IKE Phase 2-SAs aufgeführt. Der Hub zeigt zwei aktive Tunnel, einen zu jedem eNodeB-Gerät.
Wenn für die phase 1 keine IKE aufgeführt sind, dann gab es ein Problem mit der Einrichtung der ersten Phase. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter für Phase 1 müssen auf dem Hub und den eNodeB-Geräten übereinstimmen.
Wenn für IKE Phase 2 keine AAs aufgelistet sind, dann gab es ein Problem bei der Einrichtung in Phase 2. Überprüfen Sie IKE Richtlinienparameter und externe Schnittstelleneinstellungen in Ihrer Konfiguration. Die Vorschlagsparameter für Phase 2 müssen auf dem Hub und den eNodeB-Geräten übereinstimmen.
Datenverkehrs-Selektoren verifizieren
Zweck
Überprüfen Sie die Datenverkehrs-Selektoren.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ipsec traffic-selector interface-name st0.1 ein.
user@host> show security ipsec traffic-selector interface-name st0.1 node0: -------------------------------------------------------------------------- Source IP Destination IP Interface Tunnel-id IKE-ID 80.1.1.0-80.1.1.255 30.1.1.0-30.1.1.255 st0.1 69206018 DC=Common_component, CN=enodebA, OU=Dept, O=Company, L=City, ST=CA, C=US 80.1.1.0-80.1.1.255 50.1.1.0-50.1.1.255 st0.1 77594626 DC=Common_component, CN=enodebB, OU=Dept, O=Company, L=City, ST=CA, C=US
Bedeutung
Ein Datenverkehrs-Selektor ist eine Vereinbarung zwischen IKE, um Datenverkehr durch einen Tunnel zu ermöglichen, wenn der Datenverkehr einem bestimmten Paar lokaler und Remote-Adressen entspricht. Nur Datenverkehr, der einem Datenverkehrs-Selektor entspricht, ist über eine Sicherheitszuordnung zulässig. Datenverkehrs-Selektoren werden zwischen dem Benutzer und dem Responder (dem Hub der SRX-Serie) ausgehandelt.
Überprüfen von ARI-Routen
Zweck
Stellen Sie sicher, dass die ARI-Routen zur Routingtabelle hinzugefügt werden.
Aktion
Geben Sie im Betriebsmodus den Befehl show route ein.
user@host> show route
inet.0: 23 destinations, 23 routes (22 active, 0 holddown, 1 hidden)
+ = Active Route, - = Last Active, * = Both
1.1.0.0/16 *[Static/5] 02:57:57
> to 2.2.2.253 via reth1.0
2.2.2.0/24 *[Direct/0] 02:58:43
> via reth1.0
2.2.2.1/32 *[Local/0] 02:59:25
Local via reth1.0
5.5.0.0/16 *[Static/5] 02:57:57
> to 2.2.2.253 via reth1.0
10.0.0.0/8 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
10.157.64.0/19 *[Direct/0] 21:54:52
> via fxp0.0
10.157.75.117/32 *[Local/0] 21:54:52
Local via fxp0.0
10.254.75.117/32 *[Direct/0] 21:54:52
> via lo0.0
30.1.1.0/24 *[Static/5] 02:28:10 [ARI route added based on TSi]
> via st0.1
50.1.1.0/24 *[Static/5] 02:28:26
> via st0.1
66.129.230.0/24 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
66.129.236.0/24 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
80.0.0.0/8 *[Direct/0] 02:57:57
> via reth0.0
80.1.1.1/32 *[Local/0] 02:57:57
Local via reth0.0
100.100.1.0/24 *[Direct/0] 02:57:57
> via lo0.0
100.100.1.100/32 *[Local/0] 02:57:57
Local via lo0.0
102.100.1.0/24 *[Static/5] 02:57:57
> to 2.2.2.253 via reth1.0
104.100.1.0/24 *[Static/5] 02:57:57
> to 2.2.2.253 via reth1.0
172.16.0.0/12 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
192.168.0.0/16 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
207.17.136.0/24 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
207.17.137.227/32 *[Static/5] 21:54:52
> to 10.157.64.1 via fxp0.0
Bedeutung
Automatische Routenfügung (AUTO Route Insertion, ARI) fügt automatisch eine statische Route für das Remotenetzwerk und Hosts ein, die von einem Remote-Tunnelendpunkt geschützt werden. Es wird eine Route basierend auf der im Datenverkehrs-Selektor konfigurierten Remote-IP-Adresse erstellt. Bei Datenverkehrs-Selektoren wird die konfigurierte Remoteadresse in die Routinginstanz eingefügt, die der st0-Schnittstelle zugeordnet ist, die an das VPN gebunden ist.
Statische Routen zu den eNodeB-Zielen 30.1.1.0/24 und 50.1.1.0/24 werden der Routing-Tabelle auf dem Hub der SRX-Serie hinzugefügt. Diese Routen sind über die St0.1-Schnittstelle erreichbar.
Beispiel: Konfiguration von AutoVPN mit pre-shared Key
In diesem Beispiel wird gezeigt, wie verschiedene IKE Schlüssel konfiguriert werden, der vom VPN-Gateway zur Authentifizierung des Remote-Peers verwendet wird. In ähnlicher Weise muss derselbe preshared IKE Schlüssel konfiguriert werden, der vom VPN-Gateway zur Authentifizierung des Remote-Peers verwendet wird.
- Anforderungen
- Konfigurieren unterschiedlicher IKE Schlüssel
- Konfigurieren desselben IKE Preshared Key
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
- MX240, MX480 und MX960 mit MX-SPC3 und Junos OS Version 21.1R1, die AutoVPN unterstützen
- oder die SRX5000-Reihe der Geräte mit SPC3 und Junos OS Version 21.2R1, die AutoVPN unterstützen
- oder vSRX und Junos OS Version 21.2R1, die AutoVPN unterstützen
Konfigurieren unterschiedlicher IKE Schlüssel
Führen Sie diese Aufgaben aus, um verschiedene IKE Schlüssel zu konfigurieren, den das VPN-Gateway zur Authentifizierung des Remote-Peer verwendet.
- Konfigurieren Sie die seeded Preshared für IKE auf dem Gerät mit AutoVPN Hub.
[edit] user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ascii-text
oder
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal hexadecimal
Zum Beispiel:
user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ThisIsMySecretPreSharedkey
oder
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal 5468697349734d79536563726563745072655368617265646b6579
- Anzeige des
pre-shared keyfor Remote-Peer mit Gateway-Name und Benutzer-ID.[edit] user@host> show security ike pre-shared-key gateway gateway-name user-id user-id
Zum Beispiel:
user@host> show security ike pre-shared-key gateway-name HUB_GW user-id user1@juniper.net
Pre-shared key: 79e4ea39f5c06834a3c4c031e37c6de24d46798a - Konfigurieren Sie den generierten PSK ("79e4ea39f5c06834a3c4c031e37c6de24d46798a" in Schritt 2)in der ike-Richtlinie auf dem Remote-Peer-Gerät.
[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text generated-psk
Zum Beispiel:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- (optional) Um die IKE ID-Validierung zu umgehen und alle IKE-ID-Typen zu ermöglichen, konfigurieren Sie die Konfiguration der Konfiguration statement unter der dynamischen [edit security ike gateway
general-ikeidgateway_name]-Hierarchieebene im Gateway.[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
Ergebnis
Im Konfigurationsmodus bestätigen Sie Ihre Konfiguration, indem Sie den "Show Security"-Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$9$wo2oGk.569pDi9p0BSys24"; ## SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity user-at-hostname user1@juniper.net;
external-interface lo0;
local-address 11.0.0.1;
version v2-only;
}
}Konfigurieren desselben IKE Preshared Key
Führen Sie diese Aufgaben aus, um denselben IKE Schlüssel zu konfigurieren, den das VPN-Gateway zur Authentifizierung des Remote-Peer verwendet.
- Konfigurieren Sie die allgemeine
pre-shared-keyfor ike-Richtlinie im Gerät mit AutoVPN Hub.[edit] user@host# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
Zum Beispiel:
user@host# # set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- Konfigurieren Sie das allgemeine
pre-shared-key"ike"-Richtlinien für Remote-Peer-Geräte.[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
Zum Beispiel:
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- (optional) Um die IKE ID-Validierung zu umgehen und alle IKE-ID-Typen zu ermöglichen, konfigurieren Sie die Konfiguration der Konfiguration statement unter der dynamischen [edit security ike gateway
general-ikeidgateway_name]-Hierarchieebene im Gateway.[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
Ergebnis
Im Konfigurationsmodus bestätigen Sie Ihre Konfiguration, indem Sie den "Show Security"-Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
seeded-pre-shared-key ascii-text "$9$zoDln9pIEyWLN0BLNdboaFn/C0BRhSeM8"; ##SECRET-DATA
}
gateway r0r1_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity hostname hub.juniper.net;
external-interface lo0.0;
local-address 11.0.0.1;
version v2-only;
}
}