Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

CoS-basierte IPsec-VPNs

Sie können CoS-Funktionen (Class-of-Service) von Junos so konfigurieren, dass mehrere Serviceklassen für VPNs bereitgestellt werden. Auf dem Gerät können Sie mehrere Weiterleitungsklassen für die Übertragung von Paketen konfigurieren, definieren, welche Pakete in jede Ausgabewarteschlange gestellt werden, den Übertragungsservicelevel für jede Warteschlange planen und Überlastungen verwalten.

Grundlegendes zu CoS-basierten IPsec-VPNs mit mehreren IPsec-Sicherheitszuordnungen

CoS-Weiterleitungsklassen (FCs), die auf der Firewall der SRX-Serie konfiguriert sind, können IPsec-Sicherheitszuordnungen (SAs) zugeordnet werden. Die Pakete für jeden FC werden einer anderen IPsec-SA zugeordnet, wodurch eine CoS-Behandlung auf dem lokalen Gerät und auf zwischengeschalteten Routern möglich ist.

Vorteile von CoS-basierten IPsec-VPNs mit mehreren IPsec-Sicherheitszuordnungen

  • Hilft Ihnen, unterschiedliche Datenströme sicherzustellen, wobei jeder Tunnel einen separaten Satz von Sicherheitszuordnungen verwendet.

  • Erleichtert IPsec-VPN-Bereitstellungen, bei denen differenzierter Datenverkehr erforderlich ist, z. B. Voice-over-IP.

Überblick

Diese Funktion ist proprietär von Juniper Networks und funktioniert mit unterstützten SRX-Plattformen und Junos OS-Versionen. Bei dem VPN-Peer-Gerät muss es sich um eine Firewall- oder vSRX-Virtual-Firewall-Instanz der SRX-Serie handeln, die diese Funktion unterstützt, oder um ein anderes Produkt, das dieselbe Funktionalität auf die gleiche Weise wie die Firewall der SRX-Serie unterstützt.

Zuordnen von FCs zu IPsec-Sicherheitszuordnungen

Bis zu 8 Weiterleitungsklassen (FC) können für ein VPN auf der Hierarchieebene [] konfiguriert werden.multi-sa forwarding-classesedit security ipsec vpn vpn-name Die Anzahl der IPsec-Sicherheitszuordnungen, die mit einem Peer-Gateway ausgehandelt werden, basiert auf der Anzahl der für das VPN konfigurierten FCs. Die Zuordnung von FCs zu IPsec-Sicherheitszuordnungen gilt für alle Datenverkehrsselektoren, die für das VPN konfiguriert sind.

Alle IPsec-SAs, die für die FCs eines bestimmten VPN erstellt wurden, werden durch dieselbe Tunnel-ID dargestellt. Bei Ereignissen im Zusammenhang mit Tunneln werden der Status und die Statistiken aller IPsec-Sicherheitszuordnungen berücksichtigt. Alle IPsec-SAs, die sich auf einen Tunnel beziehen, sind auf Firewalls der SRX-Serie oder virtuellen vSRX-Firewall-Instanzen mit derselben SPU oder derselben Thread-ID verankert.

IPsec SA-Aushandlung

Wenn mehrere FCs für ein VPN konfiguriert sind, wird mit dem Peer für jeden FC eine eindeutige IPsec-SA ausgehandelt. Darüber hinaus wird eine standardmäßige IPsec-Sicherheitszuordnung ausgehandelt, um Pakete zu senden, die nicht mit einem konfigurierten FC übereinstimmen. Die Standard-IPsec-Adresse wird auch dann ausgehandelt, wenn das VPN-Peer-Gerät nicht für FCs konfiguriert ist oder die Zuordnung von FC zu IPsec SA nicht unterstützt. Die standardmäßige IPsec-Sicherheitszuordnung ist die erste IPsec-Sicherheitszuordnung, die ausgehandelt wird, und die letzte, die zerlegt wird.

Abhängig von der Anzahl der konfigurierten FCs. Wenn IPsec-Sicherheitszuordnungen ausgehandelt werden, können Pakete mit einem FC eintreffen, für den noch keine IPsec-Sicherheitszuordnung ausgehandelt wurde. Bis eine IPsec-Sicherheitszuordnung für einen bestimmten FC ausgehandelt wurde, wird der Datenverkehr an die standardmäßige IPsec-Sicherheitszuordnung gesendet. Ein Paket mit einem FC, der mit keiner der installierten IPsec-Sicherheitszuordnungen übereinstimmt, wird über die standardmäßige IPsec-Sicherheitszuordnung gesendet.

Die Zuordnung von FCs zu IPsec-Sicherheitszuordnungen erfolgt auf dem lokalen VPN-Gateway. Für die lokalen Gateways und Peer-Gateways sind FCs möglicherweise in einer anderen Reihenfolge konfiguriert. Jedes Peer-Gateway ordnet FCs in der Reihenfolge zu, in der die IPsec-SA-Verhandlungen abgeschlossen sind. Daher können die lokalen Gateways und die Peer-Gateways unterschiedliche FC-zu-IPsec-SA-Zuordnungen aufweisen. Ein Gateway beendet die Aushandlung neuer IPsec-SAs, sobald die konfigurierte Anzahl von FCs erreicht ist. Ein Peer-Gateway initiiert möglicherweise mehr IPsec-Sicherheitszuordnungen als die Anzahl der auf dem lokalen Gateway konfigurierten FCs. In diesem Fall akzeptiert das lokale Gateway die zusätzlichen IPsec-SA-Anforderungen – bis zu 18 IPsec-SAs. Das lokale Gateway verwendet die anderen IPsec-Sicherheitszuordnungen nur zum Entschlüsseln des eingehenden IPsec-Datenverkehrs. Wenn ein Paket mit einem FC empfangen wird, der mit keinem konfigurierten FC übereinstimmt, wird das Paket über die standardmäßige FC-IPsec-Sicherheitszuordnung gesendet.

Wenn vom Peergerät eine Löschbenachrichtigung für die standardmäßige IPsec-Sicherheitszuordnung empfangen wird, wird nur die standardmäßige IPsec-Sicherheitszuordnung gelöscht, und die standardmäßige IPsec-Sicherheitszuordnung wird neu ausgehandelt. Während dieser Zeit wird der Datenverkehr, der möglicherweise über die standardmäßige IPsec-Sicherheitszuordnung erfolgt, verworfen. Der VPN-Tunnel wird nur unterbrochen, wenn die standardmäßige IPsec-Sicherheitszuordnung die letzte Sicherheitszuordnung ist.

Wenn die Option für das VPN konfiguriert und festgeschrieben ist, handelt die Firewall der SRX-Serie IPsec-SA aus, ohne auf den eintreffenden Datenverkehr zu warten.establish-tunnels immediately Wenn die Verhandlungen für eine IPsec-Sicherheitszuordnung für einen konfigurierten FC nicht abgeschlossen werden, werden die Verhandlungen alle 60 Sekunden wiederholt.

Wenn die Option für das VPN konfiguriert ist, handelt die Firewall der SRX-Serie IPsec-SAs aus, wenn das erste Datenpaket eintrifft; der FC für das erste Paket spielt keine Rolle.establish-tunnels on-traffic Bei beiden Optionen wird zuerst die standardmäßige IPsec-Sicherheitszuordnung ausgehandelt, dann wird jede IPsec-Sicherheitszuordnung nacheinander in der Reihenfolge ausgehandelt, in der die FCs auf dem Gerät konfiguriert sind.

Neu eingeben

Bei Verwendung von Multi-Sicherheitszuordnungen mit DSCP-Datenverkehrssteuerung (Differentiated Services Code Point) mit Datenverkehrsselektoren tritt während der erneuten Schlüsselerstellung das folgende Verhalten auf. Wenn der Datenverkehrsselektor eine erneute Schlüsselerstellung durchführt und einer oder mehrere der Datenverkehrsselektoren aus irgendeinem Grund nicht in der Lage sind, die Schlüssel neu zu schlüsseln, wird die spezifische Sicherheitszuordnung nach Ablauf der Lebensdauer heruntergefahren. In diesem Fall wird Datenverkehr, der mit der spezifischen Sicherheitszuordnung übereinstimmt, stattdessen über die Standarddatenverkehrsauswahl gesendet.

Hinzufügen oder Löschen von FCs aus einem VPN

Wenn FCs zu einem VPN hinzugefügt oder gelöscht werden, werden die IKE- und IPsec-Sicherheitszuordnungen für das VPN hoch- oder heruntergefahren und die Verhandlungen werden neu gestartet. Mit dem Befehl werden alle IPsec-Sicherheitszuordnungen gelöscht.clear security ipsec security-associations

Dead Peer Detection (DPD)

Wenn DPD mit dieser Funktion konfiguriert ist, sendet der Modus nur dann Sonden, wenn ausgehender Datenverkehr und kein eingehender Datenverkehr in einer der IPsec-Sicherheitszuordnungen vorhanden ist.optimized Der Modus sendet Tests nur, wenn kein ausgehender und kein eingehender Datenverkehr auf einer der IPsec-Sicherheitszuordnungen vorhanden ist.probe-idle Die VPN-Überwachung wird mit der DPD-Funktion nicht unterstützt.

Befehle

Der Befehl zeigt alle IPsec-SA-Details einschließlich des FC-Namens an.show security ipsec sa details index tunnel-id Der Befehl zeigt Statistiken für jeden FC an.show security ipsec stats index tunnel-id

Unterstützte VPN-Funktionen

Die folgenden VPN-Funktionen werden von CoS-basierten IPsec-VPNs unterstützt:

  • Routenbasierte Site-to-Site-VPNs. Richtlinienbasierte VPNs werden nicht unterstützt.

  • AutoVPN.

  • Traffic-Selektoren.

  • Auto Discovery VPNs (ADVPNs).

  • IKEv2. IKEv1 wird nicht unterstützt.

  • Dead Peer Detection (DPD). VPN-Überwachung wird nicht unterstützt.

Grundlegendes zu Datenverkehrsselektoren und CoS-basierten IPsec-VPNs

Ein Datenverkehrsselektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen VPN-Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar von lokalen und Remoteadressen übereinstimmt. Nur Datenverkehr, der einer Datenverkehrsauswahl entspricht, wird über die zugeordnete Sicherheitszuordnung (Security Association, SA) zugelassen.

Die CoS-basierte IPsec-VPN-Funktion unterstützt die folgenden Szenarien

  • Ein oder mehrere Datenverkehrsselektoren in einem routenbasierten Site-to-Site-VPN mit denselben FCs.

  • Mehrere Datenverkehrsselektoren mit unterschiedlichen FCs für jeden Datenverkehrsselektor. Für dieses Szenario sind separate VPN-Konfigurationen erforderlich.

In diesem Thema werden die VPN-Konfigurationen und die IPsec-Sicherheitszuordnung beschrieben, die für jedes Szenario ausgehandelt werden.

In den folgenden Szenarien werden drei FCs auf der Firewall der SRX-Serie konfiguriert:

Im ersten Szenario wird VPN vpn1 mit einem einzelnen Datenverkehrsselektor ts1 und den drei FCs konfiguriert:

In der obigen Konfiguration werden vier IPsec-Sicherheitszuordnungen für den Datenverkehrsselektor ts1 ausgehandelt: eine für die standardmäßige IPsec-Sicherheitszuordnung und drei für die IPsec-Sicherheitszuordnungen, die FCs zugeordnet sind.

Im zweiten Szenario wird VPN vpn1 mit den beiden Datenverkehrsselektoren ts1 und ts2 und den drei FCs konfiguriert:

In der obigen Konfiguration werden vier IPsec-Sicherheitszuordnungen für den Datenverkehrsselektor ts1 und vier IPsec-Sicherheitszuordnungen für den Datenverkehrsselektor ts2 ausgehandelt. Für jeden Datenverkehrsselektor wird eine IPsec-Sicherheitszuordnung für die standardmäßige IPsec-Sicherheitszuordnung und drei IPsec-Sicherheitszuordnungen für die IPsec-Sicherheitszuordnungen, die FCs zugeordnet sind, ausgehandelt.

Im dritten Szenario unterstützen die Datenverkehrsselektoren ts1 und ts2 unterschiedliche Sätze von FCs. Die Datenverkehrsselektoren müssen für verschiedene VPNs konfiguriert werden:

In der obigen Konfiguration werden vier IPsec-Sicherheitszuordnungen für den Datenverkehrsselektor ts1 in VPN vpn1 ausgehandelt: eine für die standardmäßige IPsec-Sicherheitszuordnung und drei für die IPsec-Sicherheitszuordnungen, die FCs zugeordnet sind.

Beispiel: Konfigurieren von CoS-basierten IPsec-VPNs

In diesem Beispiel wird gezeigt, wie ein CoS-basiertes IPsec-VPN mit mehreren IPsec-Sicherheitszuordnungen konfiguriert wird, um die Zuordnung von Paketen für jede Weiterleitungsklasse zu einer anderen IPsec-Sicherheitszuordnung zu ermöglichen und so eine CoS-Behandlung auf dem lokalen Gerät und auf Zwischenroutern bereitzustellen.

Diese Funktion ist proprietär von Juniper Networks und funktioniert nur mit unterstützten SRX-Plattformen und Junos OS-Versionen. Bei dem VPN-Peer-Gerät muss es sich um eine Firewall der SRX-Serie oder eine virtuelle vSRX-Firewall-Instanz handeln, die diese Funktion unterstützt.

Anforderungen

In diesem Beispiel wird die folgende Hardware verwendet:

  • Jede Firewall der SRX-Serie

Bevor Sie beginnen:

  • Erfahren Sie, wie CoS-Weiterleitungsklassen (FCs), die auf der Firewall der SRX-Serie konfiguriert sind, IPsec-Sicherheitszuordnungen (SAs) zugeordnet werden können. Weitere Informationen finden Sie unter Grundlegendes zu CoS-basierten IPsec-VPNs mit mehreren IPsec-SAs.

  • Informieren Sie sich über Datenverkehrsselektoren und CoS-basierte IPsec-VPNs. Weitere Informationen finden Sie unter Grundlegendes zu Datenverkehrsselektoren und CoS-basierten IPsec-VPNs.

Überblick

In diesem Beispiel konfigurieren Sie ein routenbasiertes IPsec-VPN für eine Zweigstelle in Chicago, da Sie keine Tunnelressourcen sparen oder viele Sicherheitsrichtlinien konfigurieren müssen, um den Datenverkehr durch den Tunnel zu filtern. Die Benutzer in der Niederlassung in Chicago werden das VPN verwenden, um sich mit ihrer Unternehmenszentrale in Sunnyvale zu verbinden.

Abbildung 1 zeigt ein Beispiel für eine IPsec-Routen-basierte VPN-Topologie. In dieser Topologie befindet sich eine Firewall der SRX-Serie in Sunnyvale und eine Firewall der SRX-Serie in Chicago.

Abbildung 1: Routenbasierte IPsec-VPN-TopologieRoutenbasierte IPsec-VPN-Topologie

In diesem Beispiel konfigurieren Sie Schnittstellen, eine IPv4-Standardroute und Sicherheitszonen. Anschließend konfigurieren Sie IKE, IPsec, eine Sicherheitsrichtlinie und CoS-Parameter. Durchschauen .Tabelle 1Tabelle 4

Tabelle 1: Informationen zu Schnittstelle, statischer Route und Sicherheitszone

Funktion

Name

Konfigurationsparameter

Schnittstellen

GE-0/0/0.0

192.0.2.1/24

GE-0/0/3.0

10.1.1.2/30

ST0.0 (Tunnel-Schnittstelle)

10.10.11.10/24

Statische Routen

0.0.0.0/0 (Standardroute)

Der nächste Hop ist st0.0.

Sicherheitszonen

Vertrauen

  • Alle Systemdienste sind erlaubt.

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

Unglaubwürdigkeit

  • Alle Systemdienste sind erlaubt.

  • Die ge-0/0/3.0-Schnittstelle ist an diese Zone gebunden.

Vpn

Die Schnittstelle st0.0 ist an diese Zone gebunden.

Tabelle 2: IKE-Konfigurationsparameter

Funktion

Name

Konfigurationsparameter

Vorschlag

ike-Vorschlag

  • Authentifizierungsmethode: RSA-Signaturen

  • Diffie-Hellman-Gruppe: group14

  • Authentifizierungsalgorithmus: sha-256

  • Verschlüsselungsalgorithmus: AES-256-CBC

Richtlinien

ike-policy

  • Modus: Wichtigsten

  • Referenz des Vorschlags: ike-Vorschlag

  • Authentifizierungsmethode für IKE-Richtlinien: RSA-Signaturen

Gateway

GW-Sunnyvale

  • Referenz zur IKE-Richtlinie: ike-policy

  • Externe Schnittstelle: GE-0/0/3.0

  • Gateway-Adresse: 10.2.2.2

Tabelle 3: IPsec-Konfigurationsparameter

Funktion

Name

Konfigurationsparameter

Vorschlag

ipsec_prop

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-sha-256

  • Verschlüsselungsalgorithmus: AES-256-CBC

Richtlinien

ipsec_pol

  • Referenz des Vorschlags: ipsec_prop

VPN

ipsec_vpn1

  • IKE-Gateway-Referenz: GW-Chicago

  • IPsec-Richtlinienreferenz: ipsec_pol

Tabelle 4: Konfigurationsparameter für Sicherheitsrichtlinien

Zweck

Name

Konfigurationsparameter

Die Sicherheitsrichtlinie lässt Datenverkehr von der Vertrauenszone zur VPN-Zone zu.

Vpn

  • Übereinstimmungskriterien:

    • Quelle: Sunnyvale

    • Zieladresse Chicago

    • Anwendung beliebig

  • Aktion: Genehmigung

Die Sicherheitsrichtlinie lässt Datenverkehr von der VPN-Zone zur Vertrauenszone zu.

Vpn

  • Übereinstimmungskriterien:

    • Quelle-Adresse Chicago

    • Zieladresse Sunnyvale

    • Anwendung beliebig

  • Aktion: Genehmigung

Konfiguration

Konfigurieren grundlegender Netzwerk- und Sicherheitszoneninformationen

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie Schnittstellen-, statische Routen- und Sicherheitszoneninformationen:

  1. Konfigurieren Sie die Ethernet-Schnittstelleninformationen.

  2. Konfigurieren Sie statische Routeninformationen.

  3. Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.

  4. Geben Sie die zulässigen Systemdienste für die nicht vertrauenswürdige Sicherheitszone an.

  5. Weisen Sie der Sicherheitszone eine Schnittstelle zu.

  6. Geben Sie die zulässigen Systemdienste für die Sicherheitszone an.

  7. Konfigurieren Sie die Sicherheitszone für die Vertrauensstellung.

  8. Weisen Sie der Vertrauenssicherheitszone eine Schnittstelle zu.

  9. Geben Sie die zulässigen Systemdienste für die Vertrauenssicherheitszone an.

  10. Konfigurieren Sie die VPN-Sicherheitszone.

  11. Weisen Sie der Sicherheitszone eine Schnittstelle zu.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , und eingeben.show interfacesshow routing-optionsshow security zones Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

CoS konfigurieren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie CoS:

  1. Konfigurieren Sie Verhaltensaggregatklassifikatoren für DiffServ CoS.

  2. Konfigurieren Sie einen Best-Effort-Weiterleitungsklassenklassifizierer.

  3. Definieren Sie den DSCP-Wert, der der Weiterleitungsklasse zugewiesen werden soll.

  4. Definieren Sie acht Weiterleitungsklassen (Warteschlangennamen) für die acht Warteschlangen.

  5. Konfigurieren Sie Klassifizierer auf den Eingangsschnittstellen (ge).

  6. Wenden Sie die Scheduler-Zuordnung auf die GE-Schnittstelle an.

  7. Konfigurieren Sie die Scheduler-Zuordnung so, dass Scheduler definierten Weiterleitungsklassen zugeordnet werden.

  8. Definieren Sie die Scheduler mit Priorität und Übertragungsraten.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show class-of-service Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Konfigurieren von IKE

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie IKE:

  1. Erstellen Sie den IKE-Vorschlag.

  2. Definieren Sie die Authentifizierungsmethode für den IKE-Vorschlag.

  3. Definieren Sie die Diffie-Hellman-Gruppe des IKE-Vorschlags.

  4. Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.

  5. Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.

  6. Erstellen Sie eine IKE-Richtlinie.

  7. Legen Sie den IKE-Richtlinienmodus fest.

  8. Geben Sie einen Verweis auf den IKE-Vorschlag an.

  9. Definieren Sie die Authentifizierungsmethode für die IKE-Richtlinie.

  10. Erstellen Sie ein IKE-Gateway, und definieren Sie dessen externe Schnittstelle.

  11. Definieren Sie die IKE-Richtlinienreferenz.

  12. Definieren Sie die Adresse des IKE-Gateways.

  13. Definieren Sie die Version des IKE-Gateways.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security ike Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Konfigurieren von IPsec

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie IPsec:

  1. Aktivieren Sie IPsec-Ablaufverfolgungsoptionen.

  2. Erstellen Sie einen IPsec-Vorschlag.

  3. Geben Sie das IPsec-Vorschlagsprotokoll an.

  4. Geben Sie den Authentifizierungsalgorithmus für den IPsec-Vorschlag an.

  5. Geben Sie den Verschlüsselungsalgorithmus für den IPsec-Vorschlag an.

  6. Geben Sie die Lebensdauer (in Sekunden) einer IPsec-Sicherheitszuordnung (SA) an.

  7. Erstellen Sie die IPsec-Richtlinie.

  8. Geben Sie den IPsec-Vorschlagsverweis an.

  9. Geben Sie die Schnittstelle an, die gebunden werden soll.

  10. Konfigurieren Sie die Weiterleitungsklasse für die mehrere IPsec-Sicherheitszuordnungen.

  11. Geben Sie das IKE-Gateway an.

  12. Geben Sie die IPsec-Richtlinien an.

  13. Geben Sie an, dass der Tunnel sofort hochgefahren wird, um IPsec-SA auszuhandeln, wenn das erste Datenpaket zum Senden eintrifft.

  14. Konfigurieren Sie lokale IP-Adressen für eine Datenverkehrsauswahl.

  15. Konfigurieren Sie Remote-IP-Adressen für eine Datenverkehrsauswahl.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security ipsec Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Konfigurieren von Sicherheitsrichtlinien

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Aktivieren Sie Trace-Optionen für Sicherheitsrichtlinien, um richtlinienbezogene Probleme zu beheben.

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie Sicherheitsrichtlinien:

  1. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone zur VPN-Zone zuzulassen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Vertrauenszone zuzulassen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen von IPsec-Sicherheitszuordnungen

Zweck

Überprüfen Sie den IPsec-Status.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security ipsec security-associations Nachdem Sie eine Indexnummer aus dem Befehl abgerufen haben, verwenden Sie die Befehle und .show security ipsec security-associations index 131073 detailshow security ipsec statistics index 131073

Der Kürze halber werden in den Ausgaben des Befehls show nicht alle Werte der Konfiguration angezeigt. Es wird nur eine Teilmenge der Konfiguration angezeigt. Der Rest der Konfiguration auf dem System wurde durch Auslassungspunkte (...) ersetzt.

Bedeutung

Die Ausgabe des Befehls listet die folgenden Informationen auf:show security ipsec security-associations

  • Die ID-Nummer lautet 131073. Verwenden Sie diesen Wert mit dem Befehl show security ipsec security-associations index, um weitere Informationen zu dieser bestimmten Sicherheitszuordnung abzurufen.

  • Es gibt ein IPsec-SA-Paar, das Port 500 verwendet.

  • Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensdauer in KB) werden für beide Richtungen angezeigt. Der Wert 1949/ unlim gibt an, dass die Phasenlebensdauer in 1949 Sekunden abläuft und dass keine Lebensdauer angegeben wurde, was darauf hinweist, dass sie unbegrenzt ist.

  • Die VPN-Überwachung ist für diese Sicherheitszuordnung nicht aktiviert, wie durch einen Bindestrich in der Spalte Mon angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiv ist, und D gibt an, dass die Überwachung nicht verfügbar ist.

Der Befehl listet zusätzliche Informationen über die Sicherheitszuordnung mit der Indexnummer 131073 auf:show security ike security-associations index 131073 detail

  • Die lokale Identität und die Remoteidentität bilden die Proxy-ID für die SA. Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phasenausfall. Wenn keine IPsec-Sicherheitszuordnung aufgeführt ist, vergewissern Sie sich, dass die Phasenvorschläge, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind.

  • Zeigt alle Details der untergeordneten Sicherheitszuordnung an, einschließlich des Namens der Weiterleitungsklassen.

Der Befehl listet Statistiken für jeden Weiterleitungsklassennamen auf.show security ipsec statistics index 131073

  • Ein Fehlerwert von Null in der Ausgabe weist auf einen normalen Zustand hin.

  • Wir empfehlen, diesen Befehl mehrmals auszuführen, um Probleme mit Paketverlusten in einem VPN zu beobachten. In der Ausgabe dieses Befehls werden auch die Statistiken für verschlüsselte und entschlüsselte Paketzähler, Fehlerzähler usw. angezeigt.

  • Sie müssen Optionen für die Ablaufverfolgung des Sicherheitsdatenstroms aktivieren, um zu untersuchen, bei welchen ESP-Paketen Fehler auftreten und warum.

Grundlegendes zur CoS-Unterstützung auf st0-Schnittstellen

Ab Junos OS Version 15.1X49-D60 und Junos OS Version 17.3R1 können Class of Service (CoS)-Funktionen wie Classifier, Policer, Warteschlangen, Planung, Shapen, Umschreiben von Markern und virtuelle Kanäle jetzt auf der sicheren Tunnelschnittstelle (ST0) für Punkt-zu-Punkt-VPNs konfiguriert werden.

Die st0-Tunnelschnittstelle ist eine interne Schnittstelle, die von routenbasierten VPNs verwendet werden kann, um Klartext-Datenverkehr an einen IPsec-VPN-Tunnel weiterzuleiten. Die folgenden CoS-Funktionen werden auf der st0-Schnittstelle auf allen verfügbaren Firewalls der SRX-Serie und vSRX2.0 unterstützt:

  • Klassifizierungen

  • Policer

  • Warteschlangen, Planung und Gestaltung

  • Marker umschreiben

  • Virtuelle Kanäle

Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 wird die st0-Schnittstelle für SRX5400-, SRX5600- und SRX5800 Geräte um Unterstützung für Warteschlangen, Planung, Shaping und virtuelle Kanäle erweitert. Unterstützung für alle aufgeführten CoS-Funktionen wurde für die st0-Schnittstelle für SRX1500-, SRX4100- und SRX4200 Geräte hinzugefügt. Ab Junos OS Version 17.4R1 wird Unterstützung für aufgeführte CoS-Funktionen für die st0-Schnittstelle für SRX4600 Geräte hinzugefügt.

Einschränkungen der CoS-Unterstützung auf VPN st0-Schnittstellen

Die folgenden Einschränkungen gelten für die CoS-Unterstützung auf VPN st0-Schnittstellen:

  • Die maximale Anzahl für Softwarewarteschlangen beträgt 2048. Wenn die Anzahl der st0-Schnittstellen 2048 überschreitet, können nicht genügend Software-Warteschlangen für alle st0-Schnittstellen erstellt werden.

  • Nur routenbasierte VPNs können CoS-Funktionen auf st0-Schnittstellen anwenden. Tabelle 5 beschreibt die Unterstützung der st0-CoS-Funktion für verschiedene Arten von VPNs.

    Tabelle 5: Unterstützung von CoS-Funktionen für VPN
    Klassifikator-Funktionen Site-to-Site-VPN (P2P) AutoVPN (P2P) Site-to-Site/Auto VPN /AD-VPN (P2MP)

    Klassifizierer, Policer und Umschreibungsmarker

    Unterstützt

    Unterstützt

    Unterstützt

    Warteschlangenbildung, Planung und Strukturierung basierend auf logischen st0-Schnittstellen

    Unterstützt

    Nicht unterstützt

    Nicht unterstützt

    Warteschlangenbildung, Planung und Gestaltung basierend auf virtuellen Kanälen

    Unterstützt

    Unterstützt

    Unterstützt

  • Auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten kann eine logische st0-Schnittstelle mit mehreren VPN-Tunneln verbunden werden. Die acht Warteschlangen für die logische Schnittstelle st0 können den Datenverkehr nicht zu anderen Tunneln umleiten, sodass Pre-Tunneling nicht unterstützt wird.

    Die Funktion des virtuellen Kanals kann als Problemumgehung auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten verwendet werden.

  • Beachten Sie beim Definieren einer CoS-Shaping-Rate auf einer st0-Tunnelschnittstelle die folgenden Einschränkungen:

    • Die Shaping-Rate auf der Tunnelschnittstelle muss kleiner sein als die der physischen Ausgangsschnittstelle.

    • Die Shaping-Rate misst nur die Paketgröße, die das innere Layer-3-Klartextpaket mit einem ESP/AH-Header und einer äußeren IP-Header-Kapselung enthält. Die äußere Layer-2-Verkapselung, die durch die physikalische Schnittstelle hinzugefügt wird, wird bei der Messung der Formungsrate nicht berücksichtigt.

    • Das CoS-Verhalten funktioniert wie erwartet, wenn die physische Schnittstelle nur den geformten GRE- oder IP-IP-Tunnelverkehr überträgt. Wenn die physische Schnittstelle anderen Datenverkehr überträgt und dadurch die verfügbare Bandbreite für den Tunnelschnittstellenverkehr verringert wird, funktionieren die CoS-Funktionen nicht wie erwartet.

  • Auf SRX550M-, SRX5400-, SRX5600- und SRX5800-Geräten gelten die Grenzwerte für Bandbreitenlimit und Burst-Größe in einer Policer-Konfiguration pro SPU, nicht pro System. Dies ist das gleiche Policer-Verhalten wie auf der physischen Schnittstelle.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
23.4R1
Die Unterstützung für SRX1600- und SRX2300 Firewalls wurde in Junos OS Version 23.4R1 hinzugefügt. Die SRX1600- und SRX2300-Firewalls bieten alle IPsec-VPN-Funktionen mit dem iked-Prozess, die SRX1500 bzw. SRX4100 bieten. Unterstützung für richtlinienbasiertes VPN und Gruppen-VPN ist für diese Plattformen nicht verfügbar.
17.4R1
Ab Junos OS Version 17.4R1 wird Unterstützung für aufgeführte CoS-Funktionen für die st0-Schnittstelle für SRX4600 Geräte hinzugefügt.
15.1X49-D70
Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 wird die st0-Schnittstelle für SRX5400-, SRX5600- und SRX5800 Geräte um Unterstützung für Warteschlangen, Planung, Shaping und virtuelle Kanäle erweitert. Unterstützung für alle aufgeführten CoS-Funktionen wurde für die st0-Schnittstelle für SRX1500-, SRX4100- und SRX4200 Geräte hinzugefügt.
15.1X49-D60
Ab Junos OS Version 15.1X49-D60 und Junos OS Version 17.3R1 können Class of Service (CoS)-Funktionen wie Classifier, Policer, Warteschlangen, Planung, Shapen, Umschreiben von Markern und virtuelle Kanäle jetzt auf der sicheren Tunnelschnittstelle (ST0) für Punkt-zu-Punkt-VPNs konfiguriert werden.