CoS-basierte IPsec-VPNs
Sie können Junos Class-of-Service (CoS)-Funktionen konfigurieren, um mehrere Serviceklassen für VPNs bereitzustellen. Auf dem Gerät können Sie mehrere Weiterleitungsklassen für die Paketübertragung konfigurieren, definieren, welche Pakete in jede Ausgabewarteschlange eingeordnet werden, die Übertragungsservicestufe für jede Warteschlange planen und überlasten.
Grundlegendes zu CoS-basierten IPsec-VPNs mit mehreren IPsec-SAs
Class of Service Forwarding Classes (FCs), die auf dem Gerät der SRX-Serie konfiguriert sind, können IPsec Security Associations (SAs) zugeordnet werden. Die Pakete für jeden FC werden einer anderen IPsec-SA zugeordnet, wodurch eine CoS-Behandlung auf dem lokalen Gerät und auf zwischengeschalteten Routern ermöglicht wird.
- Vorteile von CoS-basierten IPsec-VPNs mit mehreren IPsec-SAs
- Überblick
- Zuweisung von FCs zu IPsec-SAs
- IPsec-SA-Aushandlung
- Erneuter Schlüssel
- Hinzufügen oder Löschen von FCs aus einem VPN
- Dead Peer Detection (DPD)
- Befehle
- Unterstützte VPN-Funktionen
Vorteile von CoS-basierten IPsec-VPNs mit mehreren IPsec-SAs
Hilft Ihnen, unterschiedliche Datenströme zu gewährleisten, wobei jeder Tunnel eine separate Reihe von Sicherheitszuordnungen verwendet.
Unterstützt Sie bei der Vereinfachung von IPsec-VPN-Bereitstellungen, bei denen differenzierter Datenverkehr erforderlich ist, wie z. B. Voice-over-IP.
Überblick
Diese Funktion ist eigentum von Juniper Networks und funktioniert mit unterstützten SRX-Plattformen und Junos OS-Versionen. Das VPN-Peer-Gerät muss ein Gerät der SRX-Serie oder eine vSRX-Instanz sein, das diese Funktion oder ein anderes Produkt unterstützt, das dieselbe Funktionalität unterstützt wie ein Gerät der SRX-Serie.
Zuweisung von FCs zu IPsec-SAs
Bis zu 8 Forwarding Classes (FC) können für ein VPN mit der multi-sa forwarding-classes
Hierarchieebene [edit security ipsec vpn vpn-name
] konfiguriert werden. Die Anzahl der mit einem Peer-Gateway ausgehandelten IPsec-SAs basiert auf der Anzahl der für das VPN konfigurierten FCs. Die Zuordnung von FCs zu IPsec-SAs gilt für den gesamten Datenverkehr, der für das VPN konfiguriert ist.
Alle für die FCs eines bestimmten VPN erstellten IPsec-SAs werden durch dieselbe Tunnel-ID dargestellt. Tunnelbezogene Ereignisse berücksichtigen den Status und die Statistiken aller IPsec-SAs. Alle IPsec-SAs, die sich auf einen Tunnel beziehen, sind auf Geräten der SRX-Serie oder vSRX-Instanzen an derselben SPU oder thread-ID verankert.
IPsec-SA-Aushandlung
Wenn mehrere FCs für ein VPN konfiguriert sind, wird für jeden FC eine eindeutige IPsec-SA mit dem Peer ausgehandelt. Darüber hinaus wird eine Standard-IPsec-SA ausgehandelt, um Pakete zu senden, die nicht mit einer konfigurierten FC übereinstimmen. Die Standard-IPsec wird auch dann ausgehandelt, wenn das VPN-Peer-Gerät nicht für FCs konfiguriert ist oder die Zuordnung von FC zu IPsec SA nicht unterstützt. Die Standard-IPsec-SA ist die erste IPsec-SA, die ausgehandelt wird, und die letzte SA, die abgerissen wurde.
Abhängig von der Anzahl der konfigurierten FCs. Wenn IPsec-SAs verhandelt werden, können Pakete mit einer FC eingehen, für die noch eine IPsec-SA ausgehandelt werden muss. Bis eine IPsec-SA für einen bestimmten FC ausgehandelt ist, wird der Datenverkehr an die Standard-IPsec-SA gesendet. Ein Paket mit einem FC, das keiner der installierten IPsec-SAs entspricht, wird auf der Standard-IPsec-SA gesendet.
Die Zuordnung von FCs zu IPsec-SAs erfolgt über das lokale VPN-Gateway. Die lokalen und Peer-Gateways können FCs in einer anderen Reihenfolge konfiguriert haben. Jedes Peer-Gateway ordnet FCs in der Reihenfolge zu, in der IPsec-SA-Verhandlungen abgeschlossen sind. Daher können lokale und Peer-Gateways unterschiedliche FC- und IPsec-SA-Zuordnungen haben. Ein Gateway beendet das Aushandeln neuer IPsec-SAs, sobald die konfigurierte Anzahl von FCs erreicht ist. Ein Peer-Gateway kann mehr IPsec-SAs initiieren als die Anzahl der auf dem lokalen Gateway konfigurierten FCs. In diesem Fall akzeptiert das lokale Gateway die zusätzlichen IPsec-SA-Anforderungen – bis zu 18 IPsec-SAs. Das lokale Gateway verwendet die anderen IPsec-SAs nur für die Entschlüsselung eingehenden IPsec-Datenverkehrs. Wenn ein Paket mit einem FC empfangen wird, das nicht mit einer konfigurierten FC übereinstimmt, wird das Paket auf der Standard-FC-IPsec SA gesendet.
Wenn eine Löschbenachrichtigung für die Standard-IPsec-SA vom Peergerät empfangen wird, wird nur die Standard-IPsec-SA gelöscht und die Standard-IPsec-SA neu ausgehandelt. Während dieser Zeit wird der Datenverkehr, der möglicherweise auf standard-IPsec SA übertragen wird, unterbrochen. Der VPN-Tunnel wird nur heruntergefahren, wenn die Standard-IPsec-SA die letzte SA ist.
Wenn die establish-tunnels immediately
Option für das VPN konfiguriert und festgelegt wurde, handelt das Gerät der SRX-Serie IPsec SA aus, ohne darauf zu warten, dass der Datenverkehr ankommt. Wenn die Verhandlungen für eine IPsec-SA für einen konfigurierten FC nicht abgeschlossen sind, werden die Verhandlungen alle 60 Sekunden erneut durchgeführt.
Wenn die establish-tunnels on-traffic
Option für das VPN konfiguriert ist, verhandelt das Gerät der SRX-Serie IPsec-SAs, wenn das erste Datenpaket eintrifft. Die FC für das erste Paket spielt keine Rolle. Bei beiden Optionen wird zuerst die Standard-IPsec-SA ausgehandelt, dann wird jeder IPsec-SA nacheinander in der Reihenfolge ausgehandelt, in der die FCs auf dem Gerät konfiguriert sind.
Erneuter Schlüssel
Bei der Verwendung von Multi-SAs mit Differenzierter Services Code Point (DSCP)-Datenverkehrssteuerung mit Datenverkehrsauswahl tritt beim erneuten Schlüssel das folgende Verhalten auf. Wenn die Datenverkehrs-Selektoren eine erneute Schlüsselung ausführt und eine oder mehrere der Datenverkehrs-Selektoren aus irgendeinem Grund nicht erneut schlüsseln können, wird die spezifische SA heruntergefahren, wenn die Lebensdauer abläuft. In diesem Fall wird der Datenverkehr, der der spezifischen SA entspricht, stattdessen über die Standarddatenauswahl gesendet.
Hinzufügen oder Löschen von FCs aus einem VPN
Wenn FCs hinzugefügt oder aus einem VPN gelöscht werden, werden die IKE- und IPsec-SAs für das VPN hoch- oder heruntergefahren und starten die Verhandlungen neu. Der clear security ipsec security-associations
Befehl löscht alle IPsec-SAs.
Dead Peer Detection (DPD)
Wenn DPD mit dieser Funktion konfiguriert ist, sendet der optimized
Modus Probes nur, wenn ausgehender Datenverkehr und kein eingehender Datenverkehr auf einer der IPsec-SA erfolgt. Während der probe-idle
Modus Sondierungen nur sendet, wenn auf einer der IPsec-SAs kein ausgehender und kein eingehender Datenverkehr vorhanden ist. Die VPN-Überwachung wird mit der DPD-Funktion nicht unterstützt.
Befehle
Der show security ipsec sa details index tunnel-id
Befehl zeigt alle IPsec-SA-Details einschließlich des FC-Namens an. Der show security ipsec stats index tunnel-id
Befehl zeigt Statistiken für jeden FC an.
Unterstützte VPN-Funktionen
Die folgenden VPN-Funktionen werden von CoS-basierten IPsec-VPNs unterstützt:
Routenbasierte Site-to-Site-VPNs. Richtlinienbasierte VPNs werden nicht unterstützt.
AutoVPN.
Datenverkehrs-Selektoren.
AUTOMATISCHE Erkennung von VPNs (ADVPNs).
IKEv2. IKEv1 wird nicht unterstützt.
Dead Peer Detection (DPD). VPN-Überwachung wird nicht unterstützt.
Siehe auch
Informationen zu Datenverkehrs-Selektoren und CoS-basierten IPsec-VPNs
Ein Datenverkehrsauswahl ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr über einen VPN-Tunnel zuzulassen, wenn der Datenverkehr einem angegebenen Paar von lokalen und Remote-Adressen entspricht. Nur Datenverkehr, der mit einer Datenverkehrsauswahl übereinstimmt, ist über die zugehörige Sicherheitszuordnung (Security Association, SA) zulässig.
Die CoS-basierte IPsec-VPN-Funktion unterstützt die folgenden Szenarien
Ein oder mehrere Datenverkehrs-Selektoren in einem routenbasierten Site-to-Site-VPN mit denselben FCs.
Mehrere Datenverkehrs-Selektoren mit unterschiedlichen FCs für jeden Datenverkehrsselektor. Dieses Szenario erfordert separate VPN-Konfigurationen.
In diesem Thema werden die VPN-Konfigurationen und die IPsec-SA beschrieben, die für jedes Szenario ausgehandelt werden.
In den folgenden Szenarien sind drei FCs auf dem Gerät der SRX-Serie konfiguriert:
forwarding-classes { queue 7 voip-data; queue 6 web-data; queue 5 control-data; }
Im ersten Szenario wird VPN vpn1 mit einer einzigen Datenverkehrsauswahl ts1 und den drei FCs konfiguriert:
ipsec { vpn vpn1 { ts1 { local-ip 3.3.3.0/24; remote-ip 4.4.4.0/24; } multi-sa { forwarding-class web-data; forwarding-class voip-data forwarding-class control-data; } } }
In der obigen Konfiguration werden für die Datenverkehrsauswahl ts1 vier IPsec-SAs ausgehandelt – eine für die Standard-IPsec-SA und drei für die IPsec-SAs, die FCs zugeordnet sind.
Im zweiten Szenario wird VPN vpn1 mit zwei Datenverkehrs-Selektoren ts1 und ts2 und den drei FCs konfiguriert:
ipsec { vpn vpn1 { ts1 { local-ip 3.3.3.0/24; remote-ip 4.4.4.0/24; } ts2 { local-ip 6.6.6.0/24; remote-ip 7.7.7.0/24; } multi-sa { forwarding-class web-data; forwarding-class voip-data forwarding-class control-data; } } }
In der obigen Konfiguration werden vier IPsec-SAs für datenverkehrselektor ts1 und vier IPsec-SAs für datenverkehrselektor ts2 ausgehandelt. Für jeden Datenverkehrselektor gibt es eine für die Standard-IPsec-SA ausgehandelte IPsec-SA und drei für die IPsec-SAs, die FCs zugeordnet sind, ausgehandelte IPsec-SAs.
Im dritten Szenario unterstützen die Datenverkehrs-Selektoren ts1 und ts2 verschiedene Gruppen von FCs. Die Datenverkehrs-Selektoren müssen für verschiedene VPNs konfiguriert werden:
ipsec { vpn vpn1 { bind-interface st0.0; ts1 { local-ip 3.3.3.0/24; remote-ip 4.4.4.0/24; } multi-sa { forwarding-class web-data; forwarding-class voip-data; forwarding-class control-data; } vpn vpn2 { bind-interface st0.0; ts2 { local-ip 6.6.6.0/24; remote-ip 7.7.7.0/24; } multi-sa { forwarding-class web-data; forwarding-class voip-data; } }
In der obigen Konfiguration werden vier IPsec-SAs für die Datenverkehrsauswahl ts1 in VPN vpn1 ausgehandelt – eine für die Standard-IPsec-SA und drei für die IPsec-SAs, die FCs zugeordnet sind.
Siehe auch
Beispiel: Konfigurieren von CoS-basierten IPsec-VPNs
In diesem Beispiel wird gezeigt, wie Sie CoS-basierte IPsec-VPNs mit mehreren IPsec-SAs konfigurieren, um Paketzuordnungen für jede Weiterleitungsklasse zu einer anderen IPsec SA zu ermöglichen, wodurch eine CoS-Behandlung auf dem lokalen Gerät und auf zwischengeschalteten Routern ermöglicht wird.
Diese Funktion ist eigentum von Juniper Networks und funktioniert nur mit unterstützten SRX-Plattformen und Junos OS-Versionen. Das VPN-Peer-Gerät muss ein Gerät der SRX-Serie oder eine vSRX-Instanz sein, die diese Funktion unterstützt.
Anforderungen
In diesem Beispiel wird die folgende Hardware verwendet:
Jedes Gerät der SRX-Serie
Bevor Sie beginnen:
Erfahren Sie, wie auf dem Gerät der SRX-Serie konfigurierte Class of Service (CoS)-Weiterleitungsklassen (Class of Service) auf IPsec-Sicherheitszuordnungen (SAs) abgebildet werden können. Siehe Grundlegendes zu CoS-basierten IPsec-VPNs mit mehreren IPsec-SAs.
Verstehen Sie Datenverkehrs-Selektoren und CoS-basierte IPsec-VPNs. Siehe Grundlegendes zu Datenverkehrs-Selektoren und CoS-basierten IPsec-VPNs.
Überblick
In diesem Beispiel konfigurieren Sie ein IPsec-routenbasiertes VPN für eine Zweigstelle in Chicago, da Sie keine Tunnelressourcen sparen oder viele Sicherheitsrichtlinien konfigurieren müssen, um den Datenverkehr durch den Tunnel zu filtern. Benutzer im Büro in Chicago nutzen das VPN, um sich mit ihrer Unternehmenszentrale in Sunnyvale zu verbinden.
Abbildung 1 zeigt ein Beispiel für eine routenbasierte IPPsec-VPN-Topologie. In dieser Topologie befindet sich ein Gerät der SRX-Serie in Sunnyvale und ein Gerät der SRX-Serie in Chicago.

In diesem Beispiel konfigurieren Sie Schnittstellen, eine IPv4-Standardroute und Sicherheitszonen. Dann konfigurieren Sie IKE, IPsec, eine Sicherheitsrichtlinie und CoS-Parameter. Sehen Sie Tabelle 1 durch Tabelle 4.
Funktion |
Name |
Konfigurationsparameter |
---|---|---|
Schnittstellen |
ge-0/0/0.0 |
192.0.2.1/24 |
ge-0/0/3.0 |
10.1.1.2/30 |
|
st0.0 (Tunnelschnittstelle) |
10.10.11.10/24 |
|
Statische Routen |
0.0.0.0/0 (Standardroute) |
Der nächste Hop ist st0.0. |
Sicherheitszonen |
Vertrauen |
|
nicht vertrauenswürdig |
|
|
Vpn |
Die st0.0-Schnittstelle ist an diese Zone gebunden. |
Funktion |
Name |
Konfigurationsparameter |
---|---|---|
Vorschlag |
ike-Vorschlag |
|
Richtlinien |
IKE-Richtlinie |
|
Gateway |
gw-sunnyvale |
|
Funktion |
Name |
Konfigurationsparameter |
---|---|---|
Vorschlag |
ipsec_prop |
|
Richtlinien |
ipsec_pol |
|
VPN |
ipsec_vpn1 |
|
Zweck |
Name |
Konfigurationsparameter |
---|---|---|
Die Sicherheitsrichtlinie erlaubt den Datenverkehr von der Trust Zone zur VPN-Zone. |
Vpn |
|
Die Sicherheitsrichtlinie erlaubt den Datenverkehr von der VPN-Zone zur Trust Zone. |
Vpn |
|
Konfiguration
- Konfigurieren von grundlegenden Netzwerk- und Sicherheitszoneninformationen
- Konfiguration von CoS
- Konfiguration von IKE
- Konfigurieren von IPsec
- Konfigurieren von Sicherheitsrichtlinien
Konfigurieren von grundlegenden Netzwerk- und Sicherheitszoneninformationen
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.10.11.10/24 set routing-options static route 0.0.0.0/0 next-hop st0.0 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn-chicago interfaces st0.0 set security zones security-zone vpn-chicago host-inbound-traffic protocols all set security zones security-zone vpn-chicago host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone untrust host-inbound-traffic protocols all
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Schnittstellen-, statische Routen- und Sicherheitszoneninformationen:
Konfigurieren Sie Die Ethernet-Schnittstelleninformationen.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@host# set interfaces st0 unit 0 family inet address 10.10.11.10/24
Konfigurieren Sie statische Routeninformationen.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop st0.0
Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.
[edit ] user@host# edit security zones security-zone untrust
Geben Sie zulässige Systemservices für die nicht vertrauenswürdige Sicherheitszone an.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all
Weisen Sie der Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/3.0
Geben Sie die zulässigen Systemservices für die Sicherheitszone an.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike
Konfigurieren Sie die Vertrauenssicherheitszone.
[edit] user@host# edit security zones security-zone trust
Weisen Sie der Trust Security Zone eine Schnittstelle zu.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/0.0
Geben Sie zulässige Systemservices für die Vertrauenssicherheitszone an.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all
Konfigurieren Sie die VPN-Sicherheitszone.
[edit] user@host# edit security zones security-zone vpn
Weisen Sie der Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone vpn-chicago] user@host# set interfaces st0.0 user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces
Befehle und show security zones
show routing-options
die Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.0.2.1/24; } } } ge-0/0/3 { unit 0 { family inet { address 10.1.1.2/30; } } } st0 { unit 0 { family inet { address 10.10.11.10/24; } } }
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn-chicago {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit
.
Konfiguration von CoS
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set class-of-service classifiers dscp ba-classifier import default set class-of-service classifiers dscp ba-classifier forwarding-class best-effort loss-priority high code-points 000000 set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points 000001 set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points 001010 set class-of-service classifiers dscp ba-classifier forwarding-class network-control loss-priority high code-points 000011 set class-of-service classifiers dscp ba-classifier forwarding-class res-class loss-priority high code-points 000100 set class-of-service classifiers dscp ba-classifier forwarding-class web-data loss-priority high code-points 000101 set class-of-service classifiers dscp ba-classifier forwarding-class control-data loss-priority high code-points 000111 set class-of-service classifiers dscp ba-classifier forwarding-class voip-data loss-priority high code-points 000110 set class-of-service forwarding-classes queue 7 voip-data set class-of-service forwarding-classes queue 6 control-data set class-of-service forwarding-classes queue 5 web-data set class-of-service forwarding-classes queue 4 res-class set class-of-service forwarding-classes queue 2 af-class set class-of-service forwarding-classes queue 1 ef-class set class-of-service forwarding-classes queue 0 best-effort set class-of-service forwarding-classes queue 3 network-control set class-of-service interfaces ge-0/0/3 unit 0 classifiers dscp ba-classifier set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map sched_1 set class-of-service scheduler-maps sched_1 forwarding-class voip-data scheduler Q7 set class-of-service scheduler-maps sched_1 forwarding-class control-data scheduler Q6 set class-of-service scheduler-maps sched_1 forwarding-class web-data scheduler Q5 set class-of-service scheduler-maps sched_1 forwarding-class res-class scheduler Q4 set class-of-service scheduler-maps sched_1 forwarding-class af-class scheduler Q2 set class-of-service scheduler-maps sched_1 forwarding-class ef-class scheduler Q1 set class-of-service scheduler-maps sched_1 forwarding-class best-effort scheduler Q0 set class-of-service scheduler-maps sched_1 forwarding-class network-control scheduler Q3 set class-of-service schedulers Q7 transmit-rate percent 5 set class-of-service schedulers Q7 priority strict-high set class-of-service schedulers Q6 transmit-rate percent 25 set class-of-service schedulers Q6 priority high set class-of-service schedulers Q5 transmit-rate remainder set class-of-service schedulers Q5 priority high set class-of-service schedulers Q4 transmit-rate percent 25 set class-of-service schedulers Q4 priority medium-high set class-of-service schedulers Q3 transmit-rate remainder set class-of-service schedulers Q3 priority medium-high set class-of-service schedulers Q2 transmit-rate percent 10 set class-of-service schedulers Q2 priority medium-low set class-of-service schedulers Q1 transmit-rate percent 10 set class-of-service schedulers Q1 priority medium-low set class-of-service schedulers Q0 transmit-rate remainder set class-of-service schedulers Q0 priority low
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie CoS:
Konfigurieren Sie Verhaltensklassifizierer für DiffServ CoS.
[edit class-of-service] user@host# edit classifiers dscp ba-classifier user@host# set import default
Konfigurieren Sie einen Klassenbesendifizierer der Weiterleitung mit bestem Aufwand.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class best-effort loss-priority high code-points 000000
Definieren Sie den DSCP-Wert, der der Weiterleitungsklasse zugewiesen werden soll.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority high code-points 000001 user@host# set forwarding-class af-class loss-priority high code-points 001010 user@host# set forwarding-class network-control loss-priority high code-points 000011 user@host# set forwarding-class res-class loss-priority high code-points 000100 user@host# set forwarding-class web-data loss-priority high code-points 000101 user@host# set forwarding-class control-data loss-priority high code-points 000111 user@host# set forwarding-class voip-data loss-priority high code-points 000110
Definieren Sie acht Weiterleitungsklassen (Warteschlangennamen) für die acht Warteschlangen.
[edit class-of-service forwarding-classes] user@host# set queue 7 voip-data user@host# set queue 6 control-data user@host# set queue 5 web-data user@host# set queue 4 res-class user@host# set queue 2 af-class user@host# set queue 1 ef-class user@host# set queue 0 best-effort user@host# set queue 3 network-control
Konfigurieren Sie Klassifizierer auf den Eingangsschnittstellen (Ge).
[edit class-of-service] user@host# set interfaces ge-0/0/3 unit 0 classifiers dscp ba-classifier
Wenden Sie die Scheduler-Karte auf die Ge-Schnittstelle an.
[edit class-of-service] user@host# set interfaces ge-0/0/3 unit 0 scheduler-map sched_1
Konfigurieren Sie die Schedulerzuordnung, um Scheduler mit definierten Weiterleitungsklassen zu verknüpfen.
[edit class-of-service] user@host# set scheduler-maps sched_1 forwarding-class voip-data scheduler Q7 user@host# set scheduler-maps sched_1 forwarding-class control-data scheduler Q6 user@host# set scheduler-maps sched_1 forwarding-class web-data scheduler Q5 user@host# set scheduler-maps sched_1 forwarding-class res-class scheduler Q4 user@host# set scheduler-maps sched_1 forwarding-class af-class scheduler Q2 user@host# set scheduler-maps sched_1 forwarding-class ef-class scheduler Q1 user@host# set scheduler-maps sched_1 forwarding-class best-effort scheduler Q0 user@host# set scheduler-maps sched_1 forwarding-class network-control scheduler Q3
Definieren Sie die Scheduler mit Priorität und Übertragungsraten.
[edit set class-of-service] user@host# set schedulers Q7 transmit-rate percent 5 user@host# set schedulers Q7 priority strict-high user@host# set schedulers Q6 transmit-rate percent 25 user@host# set schedulers Q6 priority high user@host# set schedulers Q5 transmit-rate remainder user@host# set schedulers Q5 priority high user@host# set schedulers Q4 transmit-rate percent 25 user@host# set schedulers Q4 priority medium-high user@host# set schedulers Q3 transmit-rate remainder user@host# set schedulers Q3 priority medium-high user@host# set schedulers Q2 transmit-rate percent 10 user@host# set schedulers Q2 priority medium-low user@host# set schedulers Q1 transmit-rate percent 10 user@host# set schedulers Q1 priority medium-low user@host# set schedulers Q0 transmit-rate remainder user@host# set schedulers Q0 priority low
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show class-of-service
Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show class-of-service classifiers { dscp ba-classifier { import default; forwarding-class best-effort { loss-priority high code-points 000000; } forwarding-class ef-class { loss-priority high code-points 000001; } forwarding-class af-class { loss-priority high code-points 001010; } forwarding-class network-control { loss-priority high code-points 000011; } forwarding-class res-class { loss-priority high code-points 000100; } forwarding-class web-data { loss-priority high code-points 000101; } forwarding-class control-data { loss-priority high code-points 000111; } forwarding-class voip-data { loss-priority high code-points 000110; } } } forwarding-classes { queue 7 voip-data; queue 6 control-data; queue 5 web-data; queue 4 res-class; queue 2 af-class; queue 1 ef-class; queue 0 best-effort; queue 3 network-control; } interfaces { ge-0/0/3 { unit 0 { classifiers { dscp ba-classifier; } } } ge-0/0/3 { unit 0 { scheduler-map sched_1; } } } scheduler-maps { sched_1 { forwarding-class voip-data scheduler Q7; forwarding-class control-data scheduler Q6; forwarding-class web-data scheduler Q5; forwarding-class res-class scheduler Q4; forwarding-class af-class scheduler Q2; forwarding-class ef-class scheduler Q1; forwarding-class best-effort scheduler Q0; forwarding-class network-control scheduler Q3; } } schedulers { Q7 { transmit-rate percent 5; priority strict-high; } Q6 { transmit-rate percent 25; priority high; } Q5 { transmit-rate { remainder; } priority high; } Q4 { transmit-rate percent 25; priority medium-high; } Q3 { transmit-rate { remainder; } priority medium-high; } Q2 { transmit-rate percent 10; priority medium-low; } Q1 { transmit-rate percent 10; priority medium-low; } Q0 { transmit-rate { remainder; } priority low; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit
.
Konfiguration von IKE
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set security ike proposal ike-proposal authentication-method pre-shared-keys set security ike proposal ike-proposal dh-group group14 set security ike proposal ike-proposal authentication-algorithm sha-256 set security ike proposal ike-proposal encryption-algorithm aes-256-cbc set security ike policy ike-policy mode main set security ike policy ike-policy proposals ike-proposal set security ike policy ike-policy pre-shared-key ascii-text $ABC123 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike policy ike-policy set security ike gateway gw-sunnyvale address 10.2.2.2 set security ike gateway gw-sunnyvale version v2-only
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IKE:
Erstellen Sie den IKE-Vorschlag.
[edit security ike] user@host# set proposal ike-proposal
Definieren sie die Authentifizierungsmethode für IKE-Vorschläge.
[edit security ike proposal ike-proposal] user@host# set authentication-method pre-shared-keys
Definieren Sie die IKE-Vorschlag Diffie-Hellman-Gruppe.
[edit security ike proposal ike-proposal] user@host# set dh-group group14
Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike-proposal] user@host# set authentication-algorithm sha-256
Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike-proposal] user@host# set encryption-algorithm aes-256-cbc
Erstellen Sie eine IKE-Richtlinie.
[edit security ike] user@host# set policy ike-policy
Legen Sie den IKE-Richtlinienmodus fest.
[edit security ike policy ike-policy] user@host# set mode main
Geben Sie einen Verweis auf den IKE-Vorschlag an.
[edit security ike policy ike-policy] user@host# set proposals ike-proposal
Definieren Sie die IKE-Richtlinienauthentifizierungsmethode.
[edit security ike policy ike-policy] user@host# set pre-shared-key ascii-text $ABC123
Erstellen Sie ein IKE-Gateway und definieren Sie dessen externe Schnittstelle.
[edit security ike] user@host# set gateway gw-sunnyvale external-interface ge-0/0/3.0
Definieren Sie die IKE-Richtlinienreferenz.
[edit security ike gateway gw-sunnyvale] user@host# set ike policy ike-policy
Definieren Sie die IKE-Gateway-Adresse.
[edit security ike gateway gw-sunnyvale] user@host# set address 10.2.2.2
Definieren Sie die Version des IKE-Gateways.
[edit security ike gateway gw-sunnyvale] user@host# set version v2-only
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike
Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike-policy {
mode main;
proposals ike-proposal;
pre-shared-key ascii-text "$ABC123";
}
gateway gw-sunnyvale {
ike policy ike-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
version v2-only;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit
.
Konfigurieren von IPsec
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set security ipsec traceoptions flag all set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha-256 set security ipsec proposal ipsec_prop encryption-algorithm aes256-cbc set security ipsec proposal ipsec_prop lifetime-seconds 3600 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn ipsec_vpn1 bind-interface st0.0 set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class ef-class set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class af-class set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class res-class set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class web-data set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class control-data set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class voip-data set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class network-control set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class best-effort set security ipsec vpn ipsec_vpn1 ike gateway gw_sunnyvale set security ipsec vpn ipsec_vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn ipsec_vpn1 establish-tunnels immediately set security ipsec vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 local-ip 203.0.113.2/25 set security ipsec vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 remote-ip 192.0.2.30/24
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IPsec:
Aktivieren Sie IPsec-Trace-Optionen.
[edit] user@host# set security ipsec traceoptions flag all
Erstellen Sie einen IPsec-Vorschlag.
[edit] user@host# set security ipsec proposal ipsec_prop
Geben Sie das IPsec-Vorschlagsprotokoll an.
[edit security ipsec proposal ipsec_prop] user@host# set protocol esp
Geben Sie den IPsec-Vorschlagsauthentifizierungsalgorithmus an.
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-sha-256
Geben Sie den IPsec-Vorschlagsverschlüsselungsalgorithmus an.
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm aes256-cbc
Geben Sie die Lebensdauer (in Sekunden) einer IPsec-Sicherheitszuordnung (SA) an.
[set security ipsec proposal ipsec_prop] user@host# set lifetime-seconds 3600
Erstellen Sie die IPsec-Richtlinie.
[edit security ipsec] user@host# set policy ipsec_pol
Geben Sie die IPsec-Vorschlagsreferenz an.
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
Geben Sie die Schnittstelle an, die gebunden werden soll.
[edit security ipsec] user@host# set vpn ipsec_vpn1 bind-interface st0.0
Konfigurieren Sie die Weiterleitungsklasse für die mehrere IPsec-SA.
[edit security ipsec] user@host# set vpn ipsec_vpn1 multi-sa forwarding-class ef-class user@host# set vpn ipsec_vpn1 multi-sa forwarding-class af-class user@host# set vpn ipsec_vpn1 multi-sa forwarding-class res-class user@host# set vpn ipsec_vpn1 multi-sa forwarding-class web-data user@host# set vpn ipsec_vpn1 multi-sa forwarding-class control-data user@host# set vpn ipsec_vpn1 multi-sa forwarding-class voip-data user@host# set vpn ipsec_vpn1 multi-sa forwarding-class network-control user@host# set vpn ipsec_vpn1 multi-sa forwarding-class best-effort
Geben Sie das IKE-Gateway an.
[edit security ipsec] user@host# set vpn ipsec_vpn1 ike gateway gw_sunnyvale
Geben Sie die IPsec-Richtlinien an.
[edit security ipsec] user@host# set vpn ipsec_vpn1 ike ipsec-policy ipsec_pol
Geben Sie an, dass der Tunnel sofort eingerichtet wird, um IPsec SA auszuhandeln, wenn das erste Datenpaket zum Senden ankommt.
[edit security ipsec] user@host# set vpn ipsec_vpn1 establish-tunnels immediately
Konfigurieren Sie lokale IP-Adressen für eine Datenverkehrsauswahl.
[edit security ipsec] user@host# set vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 local-ip 203.0.113.2/25
Konfigurieren Sie Remote-IP-Adressen für eine Datenverkehrsauswahl.
[edit security ipsec] user@host# set vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 remote-ip 192.0.2.30/24
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec
Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security ipsec
traceoptions {
flag all;
}
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha-256;
encryption-algorithm aes256-cbc;
}
proposal ipsec_prop {
lifetime-seconds 3600;
}
policy ipsec_pol {
proposals ipsec_prop;
}
vpn ipsec_vpn1 {
bind-interface st0.0;
multi-sa {
forwarding-class ef-class;
forwarding-class af-class;
forwarding-class res-class;
forwarding-class web-data;
forwarding-class control-data;
forwarding-class voip-data;
forwarding-class network-control;
forwarding-class best-effort;
}
ike {
gateway gw_sunnyvale;
ipsec-policy ipsec_pol;
}
traffic-selector ipsec_vpn1_TS1 {
local-ip 203.0.113.2/25;
remote-ip 192.0.2.30/24;
}
establish-tunnels immediately;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit
.
Konfigurieren von Sicherheitsrichtlinien
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit]
CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit
.
set security policies from-zone trust to-zone vpn policy vpn match source-address sunnyvale set security policies from-zone trust to-zone vpn policy vpn match destination-address chicago set security policies from-zone trust to-zone vpn policy vpn match application any set security policies from-zone trust to-zone vpn policy vpn then permit set security policies from-zone vpn to-zone trust policy vpn match source-address chicago set security policies from-zone vpn to-zone trust policy vpn match destination-address sunnyvale set security policies from-zone vpn to-zone trust policy vpn match application any set security policies from-zone vpn to-zone trust policy vpn then permit
Aktivieren Sie Optionen zur Rückverfolgung von Sicherheitsrichtlinien zur Fehlerbehebung der richtlinienbezogenen Probleme.
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsrichtlinien:
Erstellen Sie die Sicherheitsrichtlinie, um den Datenverkehr von der Trust Zone zur VPN-Zone zuzulassen.
[edit security policies from-zone trust to-zone vpn] user@host# set policy vpn match source-address sunnyvale user@host# set policy vpn match destination-address chicago user@host# set policy vpn match application any user@host# set policy vpn then permit
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Trust Zone zuzulassen.
[edit security policies from-zone vpn to-zone trust] user@host# set policy vpn match source-address chicago user@host# set policy vpn match destination-address sunnyvale user@host# set policy vpn match application any user@host# set policy vpn then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies
Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security policies from-zone trust to-zone vpn { policy vpn { match { source-address sunnyvale; destination-address chicago; application any; } then { permit; } } } from-zone vpn to-zone trust { policy vpn { match { source-address chicago; destination-address sunnyvale; application any; } then { permit; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit
.
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen der IPsec-Sicherheitszuordnungen
Zweck
Überprüfen Sie den IPsec-Status.
Aktion
Geben Sie im Betriebsmodus den show security ipsec security-associations
Befehl ein. Nachdem Sie eine Indexnummer aus dem Befehl erhalten haben, verwenden Sie die show security ipsec security-associations index 131073 detail
befehle und show security ipsec statistics index 131073
.
Aus Gründen der Kürze werden in den Show-Befehlsausgaben nicht alle Werte der Konfiguration angezeigt. Es wird nur ein Teil der Konfiguration angezeigt. Der Rest der Konfiguration auf dem System wurde durch Ellipsen ersetzt (...).
user@host> show security ipsec security-associations Total active tunnels: 2 Total Ipsec sas: 18 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:aes256/sha256 2d8e710b 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 5f3a3239 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 5d227e19 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 5490da 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 211fb8bc 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 dde29cd0 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 49b64080 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 314afea0 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 fec6f6ea 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 428a3a0d 1949/ unlim - root 500 5.0.0.1 ...
user@host> show security ipsec security-associations index 131073 detail ID: 131073 Virtual-system: root, VPN Name: IPSEC_VPN1 Local Gateway: 4.0.0.1, Remote Gateway: 5.0.0.1 Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0) Version: IKEv2 DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0 Port: 500, Nego#: 18, Fail#: 0, Def-Del#: 0 Flag: 0x600a39 Multi-sa, Configured SAs# 9, Negotiated SAs#: 9 Tunnel events: Mon Apr 23 2018 22:20:54 -0700: IPSec SA negotiation successfully completed (1 times) Mon Apr 23 2018 22:20:54 -0700: IKE SA negotiation successfully completed (2 times) Mon Apr 23 2018 22:20:18 -0700: User cleared IKE SA from CLI, corresponding IPSec SAs cleared (1 times) Mon Apr 23 2018 22:19:55 -0700: IPSec SA negotiation successfully completed (2 times) Mon Apr 23 2018 22:19:23 -0700: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times) Mon Apr 23 2018 22:19:23 -0700: Bind-interface's zone received. Information updated (1 times) Mon Apr 23 2018 22:19:23 -0700: External interface's zone received. Information updated (1 times) Direction: inbound, SPI: 2d8e710b, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 1930 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1563 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Multi-sa FC Name: default Direction: outbound, SPI: 5f3a3239, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 1930 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1563 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Multi-sa FC Name: default Direction: inbound, SPI: 5d227e19, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 1930 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1551 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc Anti-replay service: counter-based enabled, Replay window size: 64 Multi-sa FC Name: best-effort Direction: outbound, SPI: 5490da, AUX-SPI: 0 , VPN Monitoring: - Hard lifetime: Expires in 1930 seconds Lifesize Remaining: Unlimited Soft lifetime: Expires in 1551 seconds Mode: Tunnel(0 0), Type: dynamic, State: installed Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc Anti-replay service: counter-based enabled, Replay window size: 64 ...
user@host> show security ipsec statistics index 131073 ESP Statistics: Encrypted bytes: 952 Decrypted bytes: 588 Encrypted packets: 7 Decrypted packets: 7 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 FC Name Encrypted Pkts Decrypted Pkts Encrypted bytes Decrypted bytes best-effort 7 7 952 588 custom_q1 0 0 0 0 custom_q2 0 0 0 0 network-control 0 0 0 0 custom_q4 0 0 0 0 custom_q5 0 0 0 0 custom_q6 0 0 0 0 custom_q7 0 0 0 0 default 0 0 0 0
Bedeutung
Die Ausgabe des show security ipsec security-associations
Befehls listet die folgenden Informationen auf:
Die ID-Nummer ist 131073. Verwenden Sie diesen Wert mit dem Befehl "Show security ipsec security-associations index", um weitere Informationen zu dieser bestimmten SA zu erhalten.
Es gibt ein IPsec SA-Paar mit Port 500.
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 1949/unlim zeigt an, dass die Phasenlebensdauer in 1949 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist.
Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.
Der show security ike security-associations index 131073 detail
Befehl listet zusätzliche Informationen zur SA mit einer Indexnummer von 131073 auf:
Die lokale und Remote-Identität machen die Proxy-ID für die SA aus. Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phasenfehler. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass die Phasenvorschläge, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind.
Zeigt alle untergeordneten SA-Details an, einschließlich des Weiterleitungsklassennamens.
Der show security ipsec statistics index 131073
Befehl listet Statistiken für jeden Weiterleitungsklassennamen auf.
Ein Fehlerwert von Null in der Ausgabe zeigt eine normale Bedingung an.
Wir empfehlen, diesen Befehl mehrmals auszuführen, um Paketverlustprobleme in einem VPN zu beobachten. Die Ausgabe aus diesem Befehl zeigt auch die Statistiken für verschlüsselte und entschlüsselte Paketzähler, Fehlerindikatoren usw. an.
Sie müssen Sicherheitsfluss-Trace-Optionen aktivieren, um zu untersuchen, welche ESP-Pakete Fehler auftreten und warum.
Grundlegendes zur CoS-Unterstützung auf st0-Schnittstellen
Ab Junos OS Version 15.1X49-D60 und Junos OS Version 17.3R1 können Class of Service-Funktionen (CoS) wie Klassifizierer, Policer, Warteschlangen, Planung, Shaping, Umschreibungsmarker und virtuelle Kanäle jetzt auf der sicheren Tunnelschnittstelle (st0) für Point-to-Point-VPNs konfiguriert werden.
Die st0-Tunnel-Schnittstelle ist eine interne Schnittstelle, die von routenbasierten VPNs verwendet werden kann, um Cleartext-Datenverkehr an einen IPsec-VPN-Tunnel zu leiten. Die folgenden CoS-Funktionen werden auf der st0-Schnittstelle auf allen verfügbaren Geräten der SRX-Serie und vSRX2.0 unterstützt:
Klassifizierungen
Policer
Warteschlangen, Planung und Shaping
Umschreiben von Markern
Virtuelle Kanäle
Ab Junos OS-Version 15.1X49-D70 und Junos OS Version 17.3R1 wird der st0-Schnittstelle für SRX5400-, SRX5600- und SRX5800-Geräte Unterstützung für Warteschlangen, Planung, Shaping und virtuelle Kanäle hinzugefügt. Unterstützung für alle aufgeführten CoS-Funktionen für die st0-Schnittstelle für SRX1500-, SRX4100- und SRX4200-Geräte hinzugefügt. Ab Junos OS Version 17.4R1 wird Unterstützung für die st0-Schnittstelle für SRX4600-Geräte hinzugefügt, die aufgeführten CoS-Funktionen.
Einschränkungen der CoS-Unterstützung auf VPN st0-Schnittstellen
Die folgenden Einschränkungen gelten für coS-Unterstützung auf VPN st0-Schnittstellen:
Die maximale Anzahl für Softwarewarteschlangen ist 2048. Wenn die Anzahl der st0-Schnittstellen 2048 übersteigt, können nicht genügend Softwarewarteschlangen für alle st0-Schnittstellen erstellt werden.
Nur routenbasierte VPNs können CoS-Funktionen auf st0-Schnittstellen anwenden. Tabelle 5 beschreibt die St0-CoS-Funktionsunterstützung für verschiedene Arten von VPNs.
Tabelle 5: CoS-Funktionsunterstützung für VPN Klassifiziererfunktionen Site-to-Site-VPN (P2P) AutoVPN (P2P) Site-to-Site/Auto VPN /AD-VPN (P2MP) Klassifizierer, Policer und Umschreiben von Markern
Routingprotokolle
Routingprotokolle
Routingprotokolle
Warteschlangen, Planung und Shaping basierend auf st0 logischen Schnittstellen
Routingprotokolle
Nicht unterstützt
Nicht unterstützt
Warteschlangen, Planung und Shaping basierend auf virtuellen Kanälen
Routingprotokolle
Routingprotokolle
Routingprotokolle
Auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten kann eine logische St0-Schnittstelle an mehrere VPN-Tunnel gebunden werden. Die acht Warteschlangen für die logische St0-Schnittstelle können den Datenverkehr nicht zu verschiedenen Tunneln umleiten, sodass Pre-Tunneling nicht unterstützt wird.
Die Virtual Channel-Funktion kann als Problemumgehung auf Geräten mit SRX300, SRX320, SRX340, SRX345 und SRX550HM verwendet werden.
Berücksichtigen Sie beim Definieren einer CoS-Shaping-Rate auf einer st0-Tunnel-Schnittstelle die folgenden Einschränkungen:
Die Shaping-Rate auf der Tunnelschnittstelle muss geringer sein als die der physischen Ausgangsschnittstelle.
Die Shaping-Rate misst nur die Paketgröße, die das innere Layer-3-Cleartext-Paket mit einem ESP/AH-Header und einer äußeren IP-Header-Kapselung umfasst. Die äußere Layer-2-Kapselung, die durch die physische Schnittstelle hinzugefügt wird, wird nicht in die Messung der Shaping-Rate berücksichtigt.
Das CoS-Verhalten funktioniert wie erwartet, wenn die physische Schnittstelle nur den geformten GRE- oder IP-IP-Tunnelverkehr überträgt. Wenn die physische Schnittstelle anderen Datenverkehr transportiert, wodurch die verfügbare Bandbreite für den Tunnel-Schnittstellendatenverkehr verringert wird, funktionieren die CoS-Funktionen nicht wie erwartet.
Auf SRX550M-, SRX5400-, SRX5600- und SRX5800-Geräten sind die Grenzwerte für Bandbreitenbegrenzung und Burst-Größe in einer Policer-Konfiguration eine SPU-, nicht systemspezifische Einschränkung. Dies ist das gleiche Policer-Verhalten wie auf der physischen Schnittstelle.