Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

CoS-basierte IPsec-VPNs

Sie können Junos Class-of-Service (CoS)-Funktionen konfigurieren, um mehrere Serviceklassen für VPNs bereitzustellen. Auf dem Gerät können Sie mehrere Weiterleitungsklassen für die Paketübertragung konfigurieren, definieren, welche Pakete in jede Ausgabewarteschlange eingeordnet werden, die Übertragungsservicestufe für jede Warteschlange planen und überlasten.

Grundlegendes zu CoS-basierten IPsec-VPNs mit mehreren IPsec-SAs

Class of Service Forwarding Classes (FCs), die auf dem Gerät der SRX-Serie konfiguriert sind, können IPsec Security Associations (SAs) zugeordnet werden. Die Pakete für jeden FC werden einer anderen IPsec-SA zugeordnet, wodurch eine CoS-Behandlung auf dem lokalen Gerät und auf zwischengeschalteten Routern ermöglicht wird.

Vorteile von CoS-basierten IPsec-VPNs mit mehreren IPsec-SAs

  • Hilft Ihnen, unterschiedliche Datenströme zu gewährleisten, wobei jeder Tunnel eine separate Reihe von Sicherheitszuordnungen verwendet.

  • Unterstützt Sie bei der Vereinfachung von IPsec-VPN-Bereitstellungen, bei denen differenzierter Datenverkehr erforderlich ist, wie z. B. Voice-over-IP.

Überblick

Diese Funktion ist eigentum von Juniper Networks und funktioniert mit unterstützten SRX-Plattformen und Junos OS-Versionen. Das VPN-Peer-Gerät muss ein Gerät der SRX-Serie oder eine vSRX-Instanz sein, das diese Funktion oder ein anderes Produkt unterstützt, das dieselbe Funktionalität unterstützt wie ein Gerät der SRX-Serie.

Zuweisung von FCs zu IPsec-SAs

Bis zu 8 Forwarding Classes (FC) können für ein VPN mit der multi-sa forwarding-classes Hierarchieebene [edit security ipsec vpn vpn-name] konfiguriert werden. Die Anzahl der mit einem Peer-Gateway ausgehandelten IPsec-SAs basiert auf der Anzahl der für das VPN konfigurierten FCs. Die Zuordnung von FCs zu IPsec-SAs gilt für den gesamten Datenverkehr, der für das VPN konfiguriert ist.

Alle für die FCs eines bestimmten VPN erstellten IPsec-SAs werden durch dieselbe Tunnel-ID dargestellt. Tunnelbezogene Ereignisse berücksichtigen den Status und die Statistiken aller IPsec-SAs. Alle IPsec-SAs, die sich auf einen Tunnel beziehen, sind auf Geräten der SRX-Serie oder vSRX-Instanzen an derselben SPU oder thread-ID verankert.

IPsec-SA-Aushandlung

Wenn mehrere FCs für ein VPN konfiguriert sind, wird für jeden FC eine eindeutige IPsec-SA mit dem Peer ausgehandelt. Darüber hinaus wird eine Standard-IPsec-SA ausgehandelt, um Pakete zu senden, die nicht mit einer konfigurierten FC übereinstimmen. Die Standard-IPsec wird auch dann ausgehandelt, wenn das VPN-Peer-Gerät nicht für FCs konfiguriert ist oder die Zuordnung von FC zu IPsec SA nicht unterstützt. Die Standard-IPsec-SA ist die erste IPsec-SA, die ausgehandelt wird, und die letzte SA, die abgerissen wurde.

Abhängig von der Anzahl der konfigurierten FCs. Wenn IPsec-SAs verhandelt werden, können Pakete mit einer FC eingehen, für die noch eine IPsec-SA ausgehandelt werden muss. Bis eine IPsec-SA für einen bestimmten FC ausgehandelt ist, wird der Datenverkehr an die Standard-IPsec-SA gesendet. Ein Paket mit einem FC, das keiner der installierten IPsec-SAs entspricht, wird auf der Standard-IPsec-SA gesendet.

Die Zuordnung von FCs zu IPsec-SAs erfolgt über das lokale VPN-Gateway. Die lokalen und Peer-Gateways können FCs in einer anderen Reihenfolge konfiguriert haben. Jedes Peer-Gateway ordnet FCs in der Reihenfolge zu, in der IPsec-SA-Verhandlungen abgeschlossen sind. Daher können lokale und Peer-Gateways unterschiedliche FC- und IPsec-SA-Zuordnungen haben. Ein Gateway beendet das Aushandeln neuer IPsec-SAs, sobald die konfigurierte Anzahl von FCs erreicht ist. Ein Peer-Gateway kann mehr IPsec-SAs initiieren als die Anzahl der auf dem lokalen Gateway konfigurierten FCs. In diesem Fall akzeptiert das lokale Gateway die zusätzlichen IPsec-SA-Anforderungen – bis zu 18 IPsec-SAs. Das lokale Gateway verwendet die anderen IPsec-SAs nur für die Entschlüsselung eingehenden IPsec-Datenverkehrs. Wenn ein Paket mit einem FC empfangen wird, das nicht mit einer konfigurierten FC übereinstimmt, wird das Paket auf der Standard-FC-IPsec SA gesendet.

Wenn eine Löschbenachrichtigung für die Standard-IPsec-SA vom Peergerät empfangen wird, wird nur die Standard-IPsec-SA gelöscht und die Standard-IPsec-SA neu ausgehandelt. Während dieser Zeit wird der Datenverkehr, der möglicherweise auf standard-IPsec SA übertragen wird, unterbrochen. Der VPN-Tunnel wird nur heruntergefahren, wenn die Standard-IPsec-SA die letzte SA ist.

Wenn die establish-tunnels immediately Option für das VPN konfiguriert und festgelegt wurde, handelt das Gerät der SRX-Serie IPsec SA aus, ohne darauf zu warten, dass der Datenverkehr ankommt. Wenn die Verhandlungen für eine IPsec-SA für einen konfigurierten FC nicht abgeschlossen sind, werden die Verhandlungen alle 60 Sekunden erneut durchgeführt.

Wenn die establish-tunnels on-traffic Option für das VPN konfiguriert ist, verhandelt das Gerät der SRX-Serie IPsec-SAs, wenn das erste Datenpaket eintrifft. Die FC für das erste Paket spielt keine Rolle. Bei beiden Optionen wird zuerst die Standard-IPsec-SA ausgehandelt, dann wird jeder IPsec-SA nacheinander in der Reihenfolge ausgehandelt, in der die FCs auf dem Gerät konfiguriert sind.

Erneuter Schlüssel

Bei der Verwendung von Multi-SAs mit Differenzierter Services Code Point (DSCP)-Datenverkehrssteuerung mit Datenverkehrsauswahl tritt beim erneuten Schlüssel das folgende Verhalten auf. Wenn die Datenverkehrs-Selektoren eine erneute Schlüsselung ausführt und eine oder mehrere der Datenverkehrs-Selektoren aus irgendeinem Grund nicht erneut schlüsseln können, wird die spezifische SA heruntergefahren, wenn die Lebensdauer abläuft. In diesem Fall wird der Datenverkehr, der der spezifischen SA entspricht, stattdessen über die Standarddatenauswahl gesendet.

Hinzufügen oder Löschen von FCs aus einem VPN

Wenn FCs hinzugefügt oder aus einem VPN gelöscht werden, werden die IKE- und IPsec-SAs für das VPN hoch- oder heruntergefahren und starten die Verhandlungen neu. Der clear security ipsec security-associations Befehl löscht alle IPsec-SAs.

Dead Peer Detection (DPD)

Wenn DPD mit dieser Funktion konfiguriert ist, sendet der optimized Modus Probes nur, wenn ausgehender Datenverkehr und kein eingehender Datenverkehr auf einer der IPsec-SA erfolgt. Während der probe-idle Modus Sondierungen nur sendet, wenn auf einer der IPsec-SAs kein ausgehender und kein eingehender Datenverkehr vorhanden ist. Die VPN-Überwachung wird mit der DPD-Funktion nicht unterstützt.

Befehle

Der show security ipsec sa details index tunnel-id Befehl zeigt alle IPsec-SA-Details einschließlich des FC-Namens an. Der show security ipsec stats index tunnel-id Befehl zeigt Statistiken für jeden FC an.

Unterstützte VPN-Funktionen

Die folgenden VPN-Funktionen werden von CoS-basierten IPsec-VPNs unterstützt:

  • Routenbasierte Site-to-Site-VPNs. Richtlinienbasierte VPNs werden nicht unterstützt.

  • AutoVPN.

  • Datenverkehrs-Selektoren.

  • AUTOMATISCHE Erkennung von VPNs (ADVPNs).

  • IKEv2. IKEv1 wird nicht unterstützt.

  • Dead Peer Detection (DPD). VPN-Überwachung wird nicht unterstützt.

Informationen zu Datenverkehrs-Selektoren und CoS-basierten IPsec-VPNs

Ein Datenverkehrsauswahl ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr über einen VPN-Tunnel zuzulassen, wenn der Datenverkehr einem angegebenen Paar von lokalen und Remote-Adressen entspricht. Nur Datenverkehr, der mit einer Datenverkehrsauswahl übereinstimmt, ist über die zugehörige Sicherheitszuordnung (Security Association, SA) zulässig.

Die CoS-basierte IPsec-VPN-Funktion unterstützt die folgenden Szenarien

  • Ein oder mehrere Datenverkehrs-Selektoren in einem routenbasierten Site-to-Site-VPN mit denselben FCs.

  • Mehrere Datenverkehrs-Selektoren mit unterschiedlichen FCs für jeden Datenverkehrsselektor. Dieses Szenario erfordert separate VPN-Konfigurationen.

In diesem Thema werden die VPN-Konfigurationen und die IPsec-SA beschrieben, die für jedes Szenario ausgehandelt werden.

In den folgenden Szenarien sind drei FCs auf dem Gerät der SRX-Serie konfiguriert:

Im ersten Szenario wird VPN vpn1 mit einer einzigen Datenverkehrsauswahl ts1 und den drei FCs konfiguriert:

In der obigen Konfiguration werden für die Datenverkehrsauswahl ts1 vier IPsec-SAs ausgehandelt – eine für die Standard-IPsec-SA und drei für die IPsec-SAs, die FCs zugeordnet sind.

Im zweiten Szenario wird VPN vpn1 mit zwei Datenverkehrs-Selektoren ts1 und ts2 und den drei FCs konfiguriert:

In der obigen Konfiguration werden vier IPsec-SAs für datenverkehrselektor ts1 und vier IPsec-SAs für datenverkehrselektor ts2 ausgehandelt. Für jeden Datenverkehrselektor gibt es eine für die Standard-IPsec-SA ausgehandelte IPsec-SA und drei für die IPsec-SAs, die FCs zugeordnet sind, ausgehandelte IPsec-SAs.

Im dritten Szenario unterstützen die Datenverkehrs-Selektoren ts1 und ts2 verschiedene Gruppen von FCs. Die Datenverkehrs-Selektoren müssen für verschiedene VPNs konfiguriert werden:

In der obigen Konfiguration werden vier IPsec-SAs für die Datenverkehrsauswahl ts1 in VPN vpn1 ausgehandelt – eine für die Standard-IPsec-SA und drei für die IPsec-SAs, die FCs zugeordnet sind.

Beispiel: Konfigurieren von CoS-basierten IPsec-VPNs

In diesem Beispiel wird gezeigt, wie Sie CoS-basierte IPsec-VPNs mit mehreren IPsec-SAs konfigurieren, um Paketzuordnungen für jede Weiterleitungsklasse zu einer anderen IPsec SA zu ermöglichen, wodurch eine CoS-Behandlung auf dem lokalen Gerät und auf zwischengeschalteten Routern ermöglicht wird.

Diese Funktion ist eigentum von Juniper Networks und funktioniert nur mit unterstützten SRX-Plattformen und Junos OS-Versionen. Das VPN-Peer-Gerät muss ein Gerät der SRX-Serie oder eine vSRX-Instanz sein, die diese Funktion unterstützt.

Anforderungen

In diesem Beispiel wird die folgende Hardware verwendet:

  • Jedes Gerät der SRX-Serie

Bevor Sie beginnen:

  • Erfahren Sie, wie auf dem Gerät der SRX-Serie konfigurierte Class of Service (CoS)-Weiterleitungsklassen (Class of Service) auf IPsec-Sicherheitszuordnungen (SAs) abgebildet werden können. Siehe Grundlegendes zu CoS-basierten IPsec-VPNs mit mehreren IPsec-SAs.

  • Verstehen Sie Datenverkehrs-Selektoren und CoS-basierte IPsec-VPNs. Siehe Grundlegendes zu Datenverkehrs-Selektoren und CoS-basierten IPsec-VPNs.

Überblick

In diesem Beispiel konfigurieren Sie ein IPsec-routenbasiertes VPN für eine Zweigstelle in Chicago, da Sie keine Tunnelressourcen sparen oder viele Sicherheitsrichtlinien konfigurieren müssen, um den Datenverkehr durch den Tunnel zu filtern. Benutzer im Büro in Chicago nutzen das VPN, um sich mit ihrer Unternehmenszentrale in Sunnyvale zu verbinden.

Abbildung 1 zeigt ein Beispiel für eine routenbasierte IPPsec-VPN-Topologie. In dieser Topologie befindet sich ein Gerät der SRX-Serie in Sunnyvale und ein Gerät der SRX-Serie in Chicago.

Abbildung 1: IPsec-routenbasierte VPN-TopologieIPsec-routenbasierte VPN-Topologie

In diesem Beispiel konfigurieren Sie Schnittstellen, eine IPv4-Standardroute und Sicherheitszonen. Dann konfigurieren Sie IKE, IPsec, eine Sicherheitsrichtlinie und CoS-Parameter. Sehen Sie Tabelle 1 durch Tabelle 4.

Tabelle 1: Informationen zu Schnittstellen, statischen Routen und Sicherheitszonen

Funktion

Name

Konfigurationsparameter

Schnittstellen

ge-0/0/0.0

192.0.2.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0 (Tunnelschnittstelle)

10.10.11.10/24

Statische Routen

0.0.0.0/0 (Standardroute)

Der nächste Hop ist st0.0.

Sicherheitszonen

Vertrauen

  • Alle Systemservices sind zulässig.

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

nicht vertrauenswürdig

  • Alle Systemservices sind zulässig.

  • Die ge-0/0/3.0-Schnittstelle ist an diese Zone gebunden.

Vpn

Die st0.0-Schnittstelle ist an diese Zone gebunden.

Tabelle 2: IKE-Konfigurationsparameter

Funktion

Name

Konfigurationsparameter

Vorschlag

ike-Vorschlag

  • Authentifizierungsmethode: rsa-Signaturen

  • Diffie-Hellman-Gruppe: group14

  • Authentifizierungsalgorithmus: sha-256

  • Verschlüsselungsalgorithmus: aes-256-cbc

Richtlinien

IKE-Richtlinie

  • Modus: Wichtigsten

  • Referenz für den Vorschlag: ike-Vorschlag

  • IKE-Richtlinienauthentifizierungsmethode: rsa-Signaturen

Gateway

gw-sunnyvale

  • IKE-Richtlinienreferenz: IKE-Richtlinie

  • Externe Schnittstelle: ge-0/0/3.0

  • Gateway-Adresse: 10.2.2.2

Tabelle 3: IPsec-Konfigurationsparameter

Funktion

Name

Konfigurationsparameter

Vorschlag

ipsec_prop

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-sha-256

  • Verschlüsselungsalgorithmus: aes-256-cbc

Richtlinien

ipsec_pol

  • Referenz für den Vorschlag: ipsec_prop

VPN

ipsec_vpn1

  • IKE-Gateway-Referenz: gw-chicago

  • IPsec-Richtlinienreferenz: ipsec_pol

Tabelle 4: Konfigurationsparameter für Sicherheitsrichtlinien

Zweck

Name

Konfigurationsparameter

Die Sicherheitsrichtlinie erlaubt den Datenverkehr von der Trust Zone zur VPN-Zone.

Vpn

  • Übereinstimmungskriterien:

    • Quelladresse sunnyvale

    • Zieladresse chicago

    • Anwendung beliebiger

  • Aktion: Genehmigung

Die Sicherheitsrichtlinie erlaubt den Datenverkehr von der VPN-Zone zur Trust Zone.

Vpn

  • Übereinstimmungskriterien:

    • Source-Address Chicago

    • Zieladresse sunnyvale

    • Anwendung beliebiger

  • Aktion: Genehmigung

Konfiguration

Konfigurieren von grundlegenden Netzwerk- und Sicherheitszoneninformationen

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Schnittstellen-, statische Routen- und Sicherheitszoneninformationen:

  1. Konfigurieren Sie Die Ethernet-Schnittstelleninformationen.

  2. Konfigurieren Sie statische Routeninformationen.

  3. Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.

  4. Geben Sie zulässige Systemservices für die nicht vertrauenswürdige Sicherheitszone an.

  5. Weisen Sie der Sicherheitszone eine Schnittstelle zu.

  6. Geben Sie die zulässigen Systemservices für die Sicherheitszone an.

  7. Konfigurieren Sie die Vertrauenssicherheitszone.

  8. Weisen Sie der Trust Security Zone eine Schnittstelle zu.

  9. Geben Sie zulässige Systemservices für die Vertrauenssicherheitszone an.

  10. Konfigurieren Sie die VPN-Sicherheitszone.

  11. Weisen Sie der Sicherheitszone eine Schnittstelle zu.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show security zonesshow routing-optionsdie Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration von CoS

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie CoS:

  1. Konfigurieren Sie Verhaltensklassifizierer für DiffServ CoS.

  2. Konfigurieren Sie einen Klassenbesendifizierer der Weiterleitung mit bestem Aufwand.

  3. Definieren Sie den DSCP-Wert, der der Weiterleitungsklasse zugewiesen werden soll.

  4. Definieren Sie acht Weiterleitungsklassen (Warteschlangennamen) für die acht Warteschlangen.

  5. Konfigurieren Sie Klassifizierer auf den Eingangsschnittstellen (Ge).

  6. Wenden Sie die Scheduler-Karte auf die Ge-Schnittstelle an.

  7. Konfigurieren Sie die Schedulerzuordnung, um Scheduler mit definierten Weiterleitungsklassen zu verknüpfen.

  8. Definieren Sie die Scheduler mit Priorität und Übertragungsraten.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show class-of-service Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration von IKE

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IKE:

  1. Erstellen Sie den IKE-Vorschlag.

  2. Definieren sie die Authentifizierungsmethode für IKE-Vorschläge.

  3. Definieren Sie die IKE-Vorschlag Diffie-Hellman-Gruppe.

  4. Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.

  5. Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.

  6. Erstellen Sie eine IKE-Richtlinie.

  7. Legen Sie den IKE-Richtlinienmodus fest.

  8. Geben Sie einen Verweis auf den IKE-Vorschlag an.

  9. Definieren Sie die IKE-Richtlinienauthentifizierungsmethode.

  10. Erstellen Sie ein IKE-Gateway und definieren Sie dessen externe Schnittstelle.

  11. Definieren Sie die IKE-Richtlinienreferenz.

  12. Definieren Sie die IKE-Gateway-Adresse.

  13. Definieren Sie die Version des IKE-Gateways.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IPsec

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IPsec:

  1. Aktivieren Sie IPsec-Trace-Optionen.

  2. Erstellen Sie einen IPsec-Vorschlag.

  3. Geben Sie das IPsec-Vorschlagsprotokoll an.

  4. Geben Sie den IPsec-Vorschlagsauthentifizierungsalgorithmus an.

  5. Geben Sie den IPsec-Vorschlagsverschlüsselungsalgorithmus an.

  6. Geben Sie die Lebensdauer (in Sekunden) einer IPsec-Sicherheitszuordnung (SA) an.

  7. Erstellen Sie die IPsec-Richtlinie.

  8. Geben Sie die IPsec-Vorschlagsreferenz an.

  9. Geben Sie die Schnittstelle an, die gebunden werden soll.

  10. Konfigurieren Sie die Weiterleitungsklasse für die mehrere IPsec-SA.

  11. Geben Sie das IKE-Gateway an.

  12. Geben Sie die IPsec-Richtlinien an.

  13. Geben Sie an, dass der Tunnel sofort eingerichtet wird, um IPsec SA auszuhandeln, wenn das erste Datenpaket zum Senden ankommt.

  14. Konfigurieren Sie lokale IP-Adressen für eine Datenverkehrsauswahl.

  15. Konfigurieren Sie Remote-IP-Adressen für eine Datenverkehrsauswahl.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von Sicherheitsrichtlinien

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Aktivieren Sie Optionen zur Rückverfolgung von Sicherheitsrichtlinien zur Fehlerbehebung der richtlinienbezogenen Probleme.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Sicherheitsrichtlinien:

  1. Erstellen Sie die Sicherheitsrichtlinie, um den Datenverkehr von der Trust Zone zur VPN-Zone zuzulassen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Trust Zone zuzulassen.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der IPsec-Sicherheitszuordnungen

Zweck

Überprüfen Sie den IPsec-Status.

Aktion

Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Nachdem Sie eine Indexnummer aus dem Befehl erhalten haben, verwenden Sie die show security ipsec security-associations index 131073 detail befehle und show security ipsec statistics index 131073 .

Aus Gründen der Kürze werden in den Show-Befehlsausgaben nicht alle Werte der Konfiguration angezeigt. Es wird nur ein Teil der Konfiguration angezeigt. Der Rest der Konfiguration auf dem System wurde durch Ellipsen ersetzt (...).

Bedeutung

Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:

  • Die ID-Nummer ist 131073. Verwenden Sie diesen Wert mit dem Befehl "Show security ipsec security-associations index", um weitere Informationen zu dieser bestimmten SA zu erhalten.

  • Es gibt ein IPsec SA-Paar mit Port 500.

  • Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 1949/unlim zeigt an, dass die Phasenlebensdauer in 1949 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist.

  • Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.

Der show security ike security-associations index 131073 detail Befehl listet zusätzliche Informationen zur SA mit einer Indexnummer von 131073 auf:

  • Die lokale und Remote-Identität machen die Proxy-ID für die SA aus. Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phasenfehler. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass die Phasenvorschläge, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind.

  • Zeigt alle untergeordneten SA-Details an, einschließlich des Weiterleitungsklassennamens.

Der show security ipsec statistics index 131073 Befehl listet Statistiken für jeden Weiterleitungsklassennamen auf.

  • Ein Fehlerwert von Null in der Ausgabe zeigt eine normale Bedingung an.

  • Wir empfehlen, diesen Befehl mehrmals auszuführen, um Paketverlustprobleme in einem VPN zu beobachten. Die Ausgabe aus diesem Befehl zeigt auch die Statistiken für verschlüsselte und entschlüsselte Paketzähler, Fehlerindikatoren usw. an.

  • Sie müssen Sicherheitsfluss-Trace-Optionen aktivieren, um zu untersuchen, welche ESP-Pakete Fehler auftreten und warum.

Grundlegendes zur CoS-Unterstützung auf st0-Schnittstellen

Ab Junos OS Version 15.1X49-D60 und Junos OS Version 17.3R1 können Class of Service-Funktionen (CoS) wie Klassifizierer, Policer, Warteschlangen, Planung, Shaping, Umschreibungsmarker und virtuelle Kanäle jetzt auf der sicheren Tunnelschnittstelle (st0) für Point-to-Point-VPNs konfiguriert werden.

Die st0-Tunnel-Schnittstelle ist eine interne Schnittstelle, die von routenbasierten VPNs verwendet werden kann, um Cleartext-Datenverkehr an einen IPsec-VPN-Tunnel zu leiten. Die folgenden CoS-Funktionen werden auf der st0-Schnittstelle auf allen verfügbaren Geräten der SRX-Serie und vSRX2.0 unterstützt:

  • Klassifizierungen

  • Policer

  • Warteschlangen, Planung und Shaping

  • Umschreiben von Markern

  • Virtuelle Kanäle

Ab Junos OS-Version 15.1X49-D70 und Junos OS Version 17.3R1 wird der st0-Schnittstelle für SRX5400-, SRX5600- und SRX5800-Geräte Unterstützung für Warteschlangen, Planung, Shaping und virtuelle Kanäle hinzugefügt. Unterstützung für alle aufgeführten CoS-Funktionen für die st0-Schnittstelle für SRX1500-, SRX4100- und SRX4200-Geräte hinzugefügt. Ab Junos OS Version 17.4R1 wird Unterstützung für die st0-Schnittstelle für SRX4600-Geräte hinzugefügt, die aufgeführten CoS-Funktionen.

Einschränkungen der CoS-Unterstützung auf VPN st0-Schnittstellen

Die folgenden Einschränkungen gelten für coS-Unterstützung auf VPN st0-Schnittstellen:

  • Die maximale Anzahl für Softwarewarteschlangen ist 2048. Wenn die Anzahl der st0-Schnittstellen 2048 übersteigt, können nicht genügend Softwarewarteschlangen für alle st0-Schnittstellen erstellt werden.

  • Nur routenbasierte VPNs können CoS-Funktionen auf st0-Schnittstellen anwenden. Tabelle 5 beschreibt die St0-CoS-Funktionsunterstützung für verschiedene Arten von VPNs.

    Tabelle 5: CoS-Funktionsunterstützung für VPN
    Klassifiziererfunktionen Site-to-Site-VPN (P2P) AutoVPN (P2P) Site-to-Site/Auto VPN /AD-VPN (P2MP)

    Klassifizierer, Policer und Umschreiben von Markern

    Routingprotokolle

    Routingprotokolle

    Routingprotokolle

    Warteschlangen, Planung und Shaping basierend auf st0 logischen Schnittstellen

    Routingprotokolle

    Nicht unterstützt

    Nicht unterstützt

    Warteschlangen, Planung und Shaping basierend auf virtuellen Kanälen

    Routingprotokolle

    Routingprotokolle

    Routingprotokolle

  • Auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten kann eine logische St0-Schnittstelle an mehrere VPN-Tunnel gebunden werden. Die acht Warteschlangen für die logische St0-Schnittstelle können den Datenverkehr nicht zu verschiedenen Tunneln umleiten, sodass Pre-Tunneling nicht unterstützt wird.

    Die Virtual Channel-Funktion kann als Problemumgehung auf Geräten mit SRX300, SRX320, SRX340, SRX345 und SRX550HM verwendet werden.

  • Berücksichtigen Sie beim Definieren einer CoS-Shaping-Rate auf einer st0-Tunnel-Schnittstelle die folgenden Einschränkungen:

    • Die Shaping-Rate auf der Tunnelschnittstelle muss geringer sein als die der physischen Ausgangsschnittstelle.

    • Die Shaping-Rate misst nur die Paketgröße, die das innere Layer-3-Cleartext-Paket mit einem ESP/AH-Header und einer äußeren IP-Header-Kapselung umfasst. Die äußere Layer-2-Kapselung, die durch die physische Schnittstelle hinzugefügt wird, wird nicht in die Messung der Shaping-Rate berücksichtigt.

    • Das CoS-Verhalten funktioniert wie erwartet, wenn die physische Schnittstelle nur den geformten GRE- oder IP-IP-Tunnelverkehr überträgt. Wenn die physische Schnittstelle anderen Datenverkehr transportiert, wodurch die verfügbare Bandbreite für den Tunnel-Schnittstellendatenverkehr verringert wird, funktionieren die CoS-Funktionen nicht wie erwartet.

  • Auf SRX550M-, SRX5400-, SRX5600- und SRX5800-Geräten sind die Grenzwerte für Bandbreitenbegrenzung und Burst-Größe in einer Policer-Konfiguration eine SPU-, nicht systemspezifische Einschränkung. Dies ist das gleiche Policer-Verhalten wie auf der physischen Schnittstelle.

Release-Verlaufstabelle
Release
Beschreibung
17.4R1
Ab Junos OS Version 17.4R1 wird Unterstützung für die st0-Schnittstelle für SRX4600-Geräte hinzugefügt, die aufgeführten CoS-Funktionen.
15.1X49-D70
Ab Junos OS-Version 15.1X49-D70 und Junos OS Version 17.3R1 wird der st0-Schnittstelle für SRX5400-, SRX5600- und SRX5800-Geräte Unterstützung für Warteschlangen, Planung, Shaping und virtuelle Kanäle hinzugefügt. Unterstützung für alle aufgeführten CoS-Funktionen für die st0-Schnittstelle für SRX1500-, SRX4100- und SRX4200-Geräte hinzugefügt.
15.1X49-D60
Ab Junos OS Version 15.1X49-D60 und Junos OS Version 17.3R1 können Class of Service-Funktionen (CoS) wie Klassifizierer, Policer, Warteschlangen, Planung, Shaping, Umschreibungsmarker und virtuelle Kanäle jetzt auf der sicheren Tunnelschnittstelle (st0) für Point-to-Point-VPNs konfiguriert werden.