CoS-basierte IPsec-VPNs
In diesem Thema erfahren Sie mehr über CoS-basierte IPsec-VPNs und darüber, wie Sie die Funktion in Junos OS-Geräten konfigurieren können.
Wir unterstützen die Junos Class-of-Service-Funktion (CoS), die mehrere Serviceklassen für VPNs bereitstellen kann . Auf dem Gerät können Sie mehrere Weiterleitungsklassen für die Übertragung von Paketen konfigurieren, definieren, welche Pakete in jede Ausgabewarteschlange gestellt werden, den Übertragungsservicelevel für jede Warteschlange planen und Überlastungen verwalten. IKE handelt einen IPsec-Tunnel für jede Weiterleitungsklasse (FC) aus, und jeder FC wird einer Reihe von DSCP-Werten (Differentiated Services Code Point) zugeordnet.
Informationen zu CoS-basierten IPsec-VPNs mit mehreren IPsec-Zertifizierungsstellen
In diesem Thema lernen Sie Konzepte kennen, die sich auf Classof Service (CoS)- basierte IPsec-VPNs beziehen.
- Überblick
- Vorteile
- Zuordnen von FCs zu IPsec-Zertifizierungsstellen
- IPsec SA-Aushandlung
- Neu eingeben
- Hinzufügen oder Löschenvon e FCs aus einem VPN
- Dead Peer Detection (DPD)
- Befehle
- Unterstützte VPN-Funktionen
Überblick
Die CoS-Weiterleitungsklassen (FCs), die auf dem Junos OS-Gerät konfiguriert sind, können IPsec-Sicherheitszuordnungen (SAs) zugeordnet werden. Die Pakete für jeden FC werden einer anderen IPsec-SA zugeordnet, wodurch eine CoS-Behandlung auf dem lokalen Gerät und auf zwischengeschalteten Routern möglich ist. Diese Funktion ist Eigentum von Juniper Networks und funktioniert mit unterstützten Junos OS-Geräten und Junos OS-Versionen. Bei dem VPN-Peer-Gerät muss es sich um ein Junos OS-Gerät handeln, das diese Funktion unterstützt, oder um ein anderes Produkt, das dieselbe Funktionalität auf die gleiche Weise wie das Junos OS-Gerät unterstützt.
Vorteile
-
Hilft Ihnen, unterschiedliche Datenströme sicherzustellen, wobei jeder Tunnel einen separaten Satz von Sicherheitszuordnungen verwendet.
-
Erleichtert IPsec-VPN-Bereitstellungen, bei denen differenzierter Datenverkehr erforderlich ist, z. B. Voice-over-IP.
Zuordnen von FCs zu IPsec-Zertifizierungsstellen
Sie können up bis 8 Weiterleitungsklassen (FC) für ein VPN mit der multi-sa forwarding-classes Konfigurationsanweisung auf der Hierarchieebene [edit security ipsec vpn vpn-name] konfigurieren. Die Anzahl der IPsec-Sicherheitszuordnungen, die mit einem Peer-Gateway ausgehandelt werden, basiert auf der Anzahl der für das VPN konfigurierten FCs. Die Zuordnung von FCs zu IPsec-Sicherheitszuordnungen gilt für alle Datenverkehrsselektoren , die für das VPN konfiguriert sind.
Alle IPsec-SAs, die für die FCs eines bestimmten VPN erstellt wurden, werden durch dieselbe Tunnel-ID dargestellt. Bei Ereignissen im Zusammenhang mit Tunneln werden der Status und die Statistiken aller IPsec-Sicherheitszuordnungen berücksichtigt. Alle IPsec-SAs, die sich auf einen Tunnel beziehen, sind mit derselben SPU oder derselben Thread-ID auf dem Junos OS-Gerät verbunden.
Die Reihenfolge der FC-Konfiguration muss nicht in beiden Peers identisch sein. Junos OS garantiert also nicht das gleiche IPsec-SA-Paar für denselben FC an beiden Enden des VPN-Tunnels.
IPsec SA-Aushandlung
Wenn Sie mehrere FCs für ein VPN konfigurieren, wird für jeden FC eine eindeutige IPsec-SA mit dem Peer ausgehandelt. Darüber hinaus wird eine standardmäßige IPsec-Sicherheitszuordnung ausgehandelt, um Pakete zu senden, die nicht mit einem konfigurierten FC übereinstimmen. Die Standard-IPsec wird auch dann ausgehandelt, wenndas VPN-Peer-Gerät nicht für FCs konfiguriert ist oder die Zuordnung von FC-zu-IPsec-SA nicht unterstützt. Die standardmäßige IPsec-Sicherheitszuordnung ist die erste IPsec-Sicherheitszuordnung, die ausgehandelt wird, und die letzte, die zerlegt wird.
Abhängig von der Anzahl der konfigurierten FCs, beidenen IPsec-Sicherheitszuordnungen ausgehandelt werden, können Pakete mit einem FC eintreffen, für den noch eine IPsec-Sicherheitszuordnung ausgehandelt werden muss. Bis eine IPsec-Sicherheitszuordnung für einen bestimmten FC ausgehandelt wurde, wird der Datenverkehr an die standardmäßige IPsec-Sicherheitszuordnung gesendet. Ein Paket mit einem FC, der mit keiner der IPsec-Sicherheitszuordnungen übereinstimmt, wird an die Standard-IPsec-Sicherheitszuordnung gesendet.
Die Zuordnung von FCs zu IPsec-Sicherheitszuordnungen erfolgt auf dem lokalen VPN-Gateway. Für die lokalen Gateways und Peer-Gateways können FCs in einer anderen Reihenfolge konfiguriert sein. Jedes Peer-Gateway ordnet FCs in der Reihenfolge zu, in der die IPsec-SA-Verhandlungen abgeschlossen sind. Daher können die lokalen Gateways und die Peer-Gateways unterschiedliche FC-zu-IPsec-SA-Zuordnungen aufweisen. Ein Gateway beendet die Aushandlung neuer IPsec-SAs, sobald die konfigurierte Anzahl von FCs erreicht ist. Ein Peer-Gateway initiiert möglicherweise mehr IPsec-Sicherheitszuordnungen als die Anzahl der auf dem lokalen Gateway konfigurierten FCs. In diesem Fall akzeptiert das lokale Gateway die zusätzlichen IPsec-SA-Anforderungen – bis zu 18 IPsec-SAs. Das lokale Gateway verwendet die anderen IPsec-Sicherheitszuordnungen nur zum Entschlüsseln des eingehenden IPsec-Datenverkehrs. Wenn ein Paket mit einem FC empfangen wird, der mit keinem konfigurierten FC übereinstimmt, wird das Paket über die standardmäßige FC-IPsec-Sicherheitszuordnung gesendet.
Wenn vom Peergerät eine Löschbenachrichtigung für die standardmäßige IPsec-Sicherheitszuordnung empfangen wird, wird nur die standardmäßige IPsec-Sicherheitszuordnung gelöscht, und die standardmäßige IPsec-Sicherheitszuordnung wird neu ausgehandelt. Während dieser Zeit wird der Datenverkehr, der möglicherweise über die standardmäßige IPsec-Sicherheitszuordnung erfolgt, verworfen. Der VPN-Tunnel wird nur unterbrochen, wenn die standardmäßige IPsec-Sicherheitszuordnung die letzte Sicherheitszuordnung ist.
Wenn die establish-tunnels immediately Option für das VPN konfiguriert und festgelegt ist, handelt das Junos OS-Gerät die IPsec-Sicherheitszuordnung aus, ohne auf das Eintreffen von Datenverkehr zu warten. Wenn die Verhandlungen für eine IPsec-Sicherheitszuordnung für einen konfigurierten FC nicht abgeschlossen werden, werden die Verhandlungen alle 60 Sekunden wiederholt.
Wenn die establish-tunnels on-traffic Option für das VPN konfiguriert ist, handelt das Junos OS-Gerät IPsec-SAs aus, wenn das erste Datenpaket eintrifft; der FC für das erste Paket spielt keine Rolle. Bei beiden Optionen wird zuerst die standardmäßige IPsec-Sicherheitszuordnung ausgehandelt, dann wird jede IPsec-Sicherheitszuordnung nacheinander in der Reihenfolge ausgehandelt, in der die FCs auf dem Gerät konfiguriert sind.
Neu eingeben
Wenn Sie mehrere Sicherheitszuordnungen mit DSCP-Datenverkehrssteuerung (Differentiated Services Code Point) mit Datenverkehrsselektoren verwenden, tritt während der erneuten Verschlüsselung das folgende Verhalten auf: Wenn die Datenverkehrsselektoren eine Neuschlüsselung durchführen und einer oder mehrere der Datenverkehrsselektoren aus irgendeinem Grund nicht in der Lage sind, einen neuen Schlüssel zu erstellen, wird die spezifische SA heruntergefahren, wenn die Lebensdauer abläuft. In diesem Fall wird Datenverkehr, der mit der spezifischen Sicherheitszuordnung übereinstimmt, stattdessen über die Standarddatenverkehrsauswahl gesendet.
Hinzufügen oder Löschenvon e FCs aus einem VPN
Wenn FCs zu einem VPN hinzugefügt oder gelöscht werden, werden die IKE- und IPsec-Sicherheitszuordnungen für das VPN hoch- oder heruntergefahren und die Verhandlungen werden neu gestartet. Mit dem clear security ipsec security-associations Befehl werden alle IPsec-Sicherheitszuordnungen gelöscht.
Dead Peer Detection (DPD)
Wenn DPD mit dieser Funktion konfiguriert ist, sendet der optimized Modus nur dann Sonden, wenn ausgehender Datenverkehr und kein eingehender Datenverkehr in einer der IPsec-Sicherheitszuordnungen vorhanden ist. probe-idle Der Modus sendet Tests nur, wenn kein ausgehender und kein eingehender Datenverkehr auf einer der IPsec-Sicherheitszuordnungen vorhanden ist. Die VPN-Überwachung wird mit der DPD-Funktion nicht unterstützt.
Befehle
Der show security ipsec sa details index tunnel-id Befehl zeigt alle IPsec-SA-Details einschließlich des FC-Namens an.
Der show security ipsec stats index tunnel-id Befehl zeigt Statistiken für jeden FC an.
Unterstützte VPN-Funktionen
Die folgenden VPN-Funktionen werden von CoS-basierten IPsec-VPNs unterstützt:
-
Routenbasierte Site-to-Site-VPNs. Richtlinienbasierte VPNs werden nicht unterstützt.
-
Traffic-Selektoren.
-
AutoVPN.
-
Auto Discovery VPNs (ADVPNs).
-
IKEv2. IKEv1 wird nicht unterstützt.
-
Dead Peer Detection (DPD). VPN-Überwachung wird nicht unterstützt.
-
PMI wird nicht unterstützt.
Siehe auch
Grundlegendes zu Datenverkehrsselektoren und CoS-basierten IPsec-VPNs
Ein Datenverkehrsselektor ist eine Vereinbarung zwischen den IKE-Peers, um Datenverkehr über einen VPN-Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar von lokalen und Remoteadressen übereinstimmt. Nur Datenverkehr, der einer Datenverkehrsauswahl entspricht, wird über die zugeordnete Sicherheitszuordnung (Security Association, SA) zugelassen.
Die CoS-basierte IPsec-VPN-Funktion unterstützt die folgenden Szenarien
-
Ein oder mehrere Datenverkehrsselektoren in einem routenbasierten Site-to-Site-VPN mit denselben FCs.
-
Mehrere Datenverkehrsselektoren mit unterschiedlichen FCs für jeden Datenverkehrsselektor. Für dieses Szenario sind separate VPN-Konfigurationen erforderlich.
In diesem Thema werden die VPN-Konfigurationen und die IPsec-Sicherheitszuordnung beschrieben, die für jedes Szenario ausgehandelt werden.
In den folgenden Szenarien werden auf dem Junos OS-Gerät drei FCs konfiguriert:
forwarding-classes {
queue 7 voip-data;
queue 6 web-data;
queue 5 control-data;
}Im ersten Szenario wird VPN vpn1 mit einem einzelnen Datenverkehrsselektor ts1 und den drei FCs konfiguriert. In dieser Konfiguration werden vier IPsec-Sicherheitszuordnungen für den Datenverkehrsselektor ts1 ausgehandelt – eine für die Standard-IPsec-Sicherheitszuordnung und drei für die IPsec-Sicherheitszuordnungen, die FCs zugeordnet sind.
ipsec {
vpn vpn1 {
ts1 {
local-ip 192.168.3.0/24;
remote-ip 192.168.4.0/24;
}multi-sa {
forwarding-class web-data;
forwarding-class voip-data
forwarding-class control-data;
}
}
}
Im zweiten Szenario wird VPN vpn1 mit den beiden Datenverkehrsselektoren ts1 und ts2 und den drei FCs konfiguriert. In dieser Konfiguration werden vier IPsec-SAs für den Datenverkehrsselektor ts1 und vier IPsec-SAs für den Datenverkehrsselektor ts2 ausgehandelt. Für jeden Datenverkehrsselektor wird eine IPsec-Sicherheitszuordnung für die standardmäßige IPsec-Sicherheitszuordnung und drei IPsec-Sicherheitszuordnungen für die IPsec-Sicherheitszuordnungen, die FCs zugeordnet sind, ausgehandelt.
ipsec {
vpn vpn1 {
ts1 {
local-ip 192.168.3.0/24;
remote-ip 192.168.4.0/24;
}
ts2 {
local-ip 192.168.6.0/24;
remote-ip 192.168.7.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data
forwarding-class control-data;
}
}
}
Im dritten Szenario unterstützen die Datenverkehrsselektoren ts1 und ts2 unterschiedliche Sätze von FCs. Die Datenverkehrsselektoren müssen für verschiedene VPNs konfiguriert werden. In dieser Konfiguration werden vier IPsec-Sicherheitszuordnungen für den Datenverkehrsselektor ts1 in VPN vpn1 ausgehandelt – eine für die Standard-IPsec-Sicherheitszuordnung und drei für die IPsec-Sicherheitszuordnungen, die FCs zugeordnet sind.
ipsec {
vpn vpn1 {
bind-interface st0.0;
ts1 {
local-ip 192.168.3.0/24;
remote-ip 192.168.4.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data;
forwarding-class control-data;
}
vpn vpn2 {
bind-interface st0.0;
ts2 {
local-ip 192.168.6.0/24;
remote-ip 192.168.7.0/24;
}
multi-sa {
forwarding-class web-data;
forwarding-class voip-data;
}
}
Siehe auch
Beispiel: Konfigurationvon CoS-basierten IPsec-VPNs
In diesem Beispiel wird gezeigt, wie ein CoS-basiertes IPsec-VPN mit mehreren IPsec-Sicherheitszuordnungen konfiguriert wird, um die Zuordnung von Paketen für jede Weiterleitungsklasse zu einer anderen IPsec-Sicherheitszuordnung zu ermöglichen und so eine CoS-Behandlung auf dem lokalen Gerät und auf Zwischenroutern bereitzustellen.
Diese Funktion ist Eigentum von Juniper Networks und funktioniert nur mit unterstützten Junos OS-Geräten und Junos OS-Versionen. Bei dem VPN-Peer-Gerät muss es sich um ein Junos OS-Gerät handeln, das diese Funktion unterstützt.
Anforderungen
In diesem Beispiel wird die folgende Hardware verwendet:
Junos OS-Geräte wie die Firewall der SRX-Serie
Bevor Sie beginnen:
Erfahren Sie, wie CoS-Weiterleitungsklassen (FCs), die auf der Firewall der SRX-Serie konfiguriert sind, IPsec-Sicherheitszuordnungen (SAs) zugeordnet werden können. Weitere Informationen finden Sie unter Grundlegendes zu CoS-basierten IPsec-VPNs mit mehreren IPsec-SAs.
Informieren Sie sich über Datenverkehrsselektoren und CoS-basierte IPsec-VPNs. Weitere Informationen finden Sie unter Grundlegendes zu Datenverkehrsselektoren und CoS-basierten IPsec-VPNs.
Überblick
In diesem Beispiel konfigurieren Sie ein routenbasiertes IPsec-VPN für eine Zweigstelle in Chicago, da Sie keine Tunnelressourcen sparen oder viele Sicherheitsrichtlinien konfigurieren müssen, um den Datenverkehr durch den Tunnel zu filtern. Die Benutzer in der Niederlassung in Chicago werden das VPN verwenden, um sich mit ihrer Unternehmenszentrale in Sunnyvale zu verbinden.
Abbildung 1 zeigt ein Beispiel für eine IPsec-Routen-basierte VPN-Topologie. In dieser Topologie befindet sich eine Firewall der SRX-Serie in Sunnyvale und eine Firewall der SRX-Serie in Chicago.
In diesem Beispiel konfigurieren Sie Schnittstellen, eine IPv4-Standardroute und Sicherheitszonen. Anschließend konfigurieren Sie IKE, IPsec, eine Sicherheitsrichtlinie und CoS-Parameter. Tabelle 4Durchschauen .Tabelle 1
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Schnittstellen |
GE-0/0/0.0 |
192.0.2.1/24 |
|
GE-0/0/3.0 |
10.1.1.2/30 |
|
|
ST0.0 (Tunnel-Schnittstelle) |
10.10.11.10/24 |
|
|
Statische Routen |
0.0.0.0/0 (Standardroute) |
Der nächste Hop ist st0.0. |
|
Sicherheitszonen |
Vertrauen |
|
|
Unglaubwürdigkeit |
|
|
|
vpn |
Die Schnittstelle st0.0 ist an diese Zone gebunden. |
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
ike-Vorschlag |
|
|
Richtlinien |
ike-policy |
|
|
Gateway |
GW-Sunnyvale |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
ipsec_prop |
|
|
Richtlinien |
ipsec_pol |
|
|
VPN |
ipsec_vpn1 |
|
|
Zweck |
Name |
Konfigurationsparameter |
|---|---|---|
|
Die Sicherheitsrichtlinie lässt Datenverkehr von der Vertrauenszone zur VPN-Zone zu. |
vpn |
|
|
Die Sicherheitsrichtlinie lässt Datenverkehr von der VPN-Zone zur Vertrauenszone zu. |
vpn |
|
Konfiguration
- Konfigurieren grundlegender Netzwerk- und Sicherheitszoneninformationen
- CoS konfigurieren
- Konfigurieren von IKE
- Konfigurieren von IPsec
- Konfigurieren von Sicherheitsrichtlinien
Konfigurieren grundlegender Netzwerk- und Sicherheitszoneninformationen
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.10.11.10/24 set routing-options static route 0.0.0.0/0 next-hop st0.0 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn-chicago interfaces st0.0 set security zones security-zone vpn-chicago host-inbound-traffic protocols all set security zones security-zone vpn-chicago host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone untrust host-inbound-traffic protocols all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Schnittstellen-, statische Routen- und Sicherheitszoneninformationen:
Konfigurieren Sie die Ethernet-Schnittstelleninformationen.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@host# set interfaces st0 unit 0 family inet address 10.10.11.10/24
Konfigurieren Sie statische Routeninformationen.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop st0.0
Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.
[edit ] user@host# edit security zones security-zone untrust
Geben Sie die zulässigen Systemdienste für die nicht vertrauenswürdige Sicherheitszone an.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic protocols all
Weisen Sie der Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone untrust] user@host# set interfaces ge-0/0/3.0
Geben Sie die zulässigen Systemdienste für die Sicherheitszone an.
[edit security zones security-zone untrust] user@host# set host-inbound-traffic system-services ike
Konfigurieren Sie die Sicherheitszone für die Vertrauensstellung.
[edit] user@host# edit security zones security-zone trust
Weisen Sie der Vertrauenssicherheitszone eine Schnittstelle zu.
[edit security zones security-zone trust] user@host# set interfaces ge-0/0/0.0
Geben Sie die zulässigen Systemdienste für die Vertrauenssicherheitszone an.
[edit security zones security-zone trust] user@host# set host-inbound-traffic system-services all user@host# set host-inbound-traffic protocols all
Konfigurieren Sie die VPN-Sicherheitszone.
[edit] user@host# edit security zones security-zone vpn
Weisen Sie der Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone vpn-chicago] user@host# set interfaces st0.0 user@host# set host-inbound-traffic protocols all user@host# set host-inbound-traffic system-services all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , show routing-optionsund show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30;
}
}
}
st0 {
unit 0 {
family inet {
address 10.10.11.10/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop st0.0;
}
[edit]
user@host# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
protocols {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn-chicago {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
st0.0;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
CoS konfigurieren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set class-of-service classifiers dscp ba-classifier import default set class-of-service classifiers dscp ba-classifier forwarding-class best-effort loss-priority high code-points 000000 set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points 000001 set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points 001010 set class-of-service classifiers dscp ba-classifier forwarding-class network-control loss-priority high code-points 000011 set class-of-service classifiers dscp ba-classifier forwarding-class res-class loss-priority high code-points 000100 set class-of-service classifiers dscp ba-classifier forwarding-class web-data loss-priority high code-points 000101 set class-of-service classifiers dscp ba-classifier forwarding-class control-data loss-priority high code-points 000111 set class-of-service classifiers dscp ba-classifier forwarding-class voip-data loss-priority high code-points 000110 set class-of-service forwarding-classes queue 7 voip-data set class-of-service forwarding-classes queue 6 control-data set class-of-service forwarding-classes queue 5 web-data set class-of-service forwarding-classes queue 4 res-class set class-of-service forwarding-classes queue 2 af-class set class-of-service forwarding-classes queue 1 ef-class set class-of-service forwarding-classes queue 0 best-effort set class-of-service forwarding-classes queue 3 network-control set class-of-service interfaces ge-0/0/3 unit 0 classifiers dscp ba-classifier set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map sched_1 set class-of-service scheduler-maps sched_1 forwarding-class voip-data scheduler Q7 set class-of-service scheduler-maps sched_1 forwarding-class control-data scheduler Q6 set class-of-service scheduler-maps sched_1 forwarding-class web-data scheduler Q5 set class-of-service scheduler-maps sched_1 forwarding-class res-class scheduler Q4 set class-of-service scheduler-maps sched_1 forwarding-class af-class scheduler Q2 set class-of-service scheduler-maps sched_1 forwarding-class ef-class scheduler Q1 set class-of-service scheduler-maps sched_1 forwarding-class best-effort scheduler Q0 set class-of-service scheduler-maps sched_1 forwarding-class network-control scheduler Q3 set class-of-service schedulers Q7 transmit-rate percent 5 set class-of-service schedulers Q7 priority strict-high set class-of-service schedulers Q6 transmit-rate percent 25 set class-of-service schedulers Q6 priority high set class-of-service schedulers Q5 transmit-rate remainder set class-of-service schedulers Q5 priority high set class-of-service schedulers Q4 transmit-rate percent 25 set class-of-service schedulers Q4 priority medium-high set class-of-service schedulers Q3 transmit-rate remainder set class-of-service schedulers Q3 priority medium-high set class-of-service schedulers Q2 transmit-rate percent 10 set class-of-service schedulers Q2 priority medium-low set class-of-service schedulers Q1 transmit-rate percent 10 set class-of-service schedulers Q1 priority medium-low set class-of-service schedulers Q0 transmit-rate remainder set class-of-service schedulers Q0 priority low
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie CoS:
Konfigurieren Sie Verhaltensaggregatklassifikatoren für DiffServ CoS.
[edit class-of-service] user@host# edit classifiers dscp ba-classifier user@host# set import default
Konfigurieren Sie einen Best-Effort-Weiterleitungsklassenklassifizierer.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class best-effort loss-priority high code-points 000000
Definieren Sie den DSCP-Wert, der der Weiterleitungsklasse zugewiesen werden soll.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority high code-points 000001 user@host# set forwarding-class af-class loss-priority high code-points 001010 user@host# set forwarding-class network-control loss-priority high code-points 000011 user@host# set forwarding-class res-class loss-priority high code-points 000100 user@host# set forwarding-class web-data loss-priority high code-points 000101 user@host# set forwarding-class control-data loss-priority high code-points 000111 user@host# set forwarding-class voip-data loss-priority high code-points 000110
Definieren Sie acht Weiterleitungsklassen (Warteschlangennamen) für die acht Warteschlangen.
[edit class-of-service forwarding-classes] user@host# set queue 7 voip-data user@host# set queue 6 control-data user@host# set queue 5 web-data user@host# set queue 4 res-class user@host# set queue 2 af-class user@host# set queue 1 ef-class user@host# set queue 0 best-effort user@host# set queue 3 network-control
Konfigurieren Sie Klassifizierer auf den Eingangsschnittstellen (ge).
[edit class-of-service] user@host# set interfaces ge-0/0/3 unit 0 classifiers dscp ba-classifier
Wenden Sie die Scheduler-Zuordnung auf die GE-Schnittstelle an.
[edit class-of-service] user@host# set interfaces ge-0/0/3 unit 0 scheduler-map sched_1
Konfigurieren Sie die Scheduler-Zuordnung so, dass Scheduler definierten Weiterleitungsklassen zugeordnet werden.
[edit class-of-service] user@host# set scheduler-maps sched_1 forwarding-class voip-data scheduler Q7 user@host# set scheduler-maps sched_1 forwarding-class control-data scheduler Q6 user@host# set scheduler-maps sched_1 forwarding-class web-data scheduler Q5 user@host# set scheduler-maps sched_1 forwarding-class res-class scheduler Q4 user@host# set scheduler-maps sched_1 forwarding-class af-class scheduler Q2 user@host# set scheduler-maps sched_1 forwarding-class ef-class scheduler Q1 user@host# set scheduler-maps sched_1 forwarding-class best-effort scheduler Q0 user@host# set scheduler-maps sched_1 forwarding-class network-control scheduler Q3
Definieren Sie die Scheduler mit Priorität und Übertragungsraten.
[edit set class-of-service] user@host# set schedulers Q7 transmit-rate percent 5 user@host# set schedulers Q7 priority strict-high user@host# set schedulers Q6 transmit-rate percent 25 user@host# set schedulers Q6 priority high user@host# set schedulers Q5 transmit-rate remainder user@host# set schedulers Q5 priority high user@host# set schedulers Q4 transmit-rate percent 25 user@host# set schedulers Q4 priority medium-high user@host# set schedulers Q3 transmit-rate remainder user@host# set schedulers Q3 priority medium-high user@host# set schedulers Q2 transmit-rate percent 10 user@host# set schedulers Q2 priority medium-low user@host# set schedulers Q1 transmit-rate percent 10 user@host# set schedulers Q1 priority medium-low user@host# set schedulers Q0 transmit-rate remainder user@host# set schedulers Q0 priority low
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show class-of-service Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class best-effort {
loss-priority high code-points 000000;
}
forwarding-class ef-class {
loss-priority high code-points 000001;
}
forwarding-class af-class {
loss-priority high code-points 001010;
}
forwarding-class network-control {
loss-priority high code-points 000011;
}
forwarding-class res-class {
loss-priority high code-points 000100;
}
forwarding-class web-data {
loss-priority high code-points 000101;
}
forwarding-class control-data {
loss-priority high code-points 000111;
}
forwarding-class voip-data {
loss-priority high code-points 000110;
}
}
}
forwarding-classes {
queue 7 voip-data;
queue 6 control-data;
queue 5 web-data;
queue 4 res-class;
queue 2 af-class;
queue 1 ef-class;
queue 0 best-effort;
queue 3 network-control;
}
interfaces {
ge-0/0/3 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map sched_1;
}
}
}
scheduler-maps {
sched_1 {
forwarding-class voip-data scheduler Q7;
forwarding-class control-data scheduler Q6;
forwarding-class web-data scheduler Q5;
forwarding-class res-class scheduler Q4;
forwarding-class af-class scheduler Q2;
forwarding-class ef-class scheduler Q1;
forwarding-class best-effort scheduler Q0;
forwarding-class network-control scheduler Q3;
}
}
schedulers {
Q7 {
transmit-rate percent 5;
priority strict-high;
}
Q6 {
transmit-rate percent 25;
priority high;
}
Q5 {
transmit-rate {
remainder;
}
priority high;
}
Q4 {
transmit-rate percent 25;
priority medium-high;
}
Q3 {
transmit-rate {
remainder;
}
priority medium-high;
}
Q2 {
transmit-rate percent 10;
priority medium-low;
}
Q1 {
transmit-rate percent 10;
priority medium-low;
}
Q0 {
transmit-rate {
remainder;
}
priority low;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von IKE
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security ike proposal ike-proposal authentication-method pre-shared-keys set security ike proposal ike-proposal dh-group group14 set security ike proposal ike-proposal authentication-algorithm sha-256 set security ike proposal ike-proposal encryption-algorithm aes-256-cbc set security ike policy ike-policy mode main set security ike policy ike-policy proposals ike-proposal set security ike policy ike-policy pre-shared-key ascii-text $ABC123 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike policy ike-policy set security ike gateway gw-sunnyvale address 10.2.2.2 set security ike gateway gw-sunnyvale version v2-only
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IKE:
Erstellen Sie den IKE-Vorschlag.
[edit security ike] user@host# set proposal ike-proposal
Definieren Sie die Authentifizierungsmethode für den IKE-Vorschlag.
[edit security ike proposal ike-proposal] user@host# set authentication-method pre-shared-keys
Definieren Sie die Diffie-Hellman-Gruppe des IKE-Vorschlags.
[edit security ike proposal ike-proposal] user@host# set dh-group group14
Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike-proposal] user@host# set authentication-algorithm sha-256
Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike-proposal] user@host# set encryption-algorithm aes-256-cbc
Erstellen Sie eine IKE-Richtlinie.
[edit security ike] user@host# set policy ike-policy
Legen Sie den IKE-Richtlinienmodus fest.
[edit security ike policy ike-policy] user@host# set mode main
Geben Sie einen Verweis auf den IKE-Vorschlag an.
[edit security ike policy ike-policy] user@host# set proposals ike-proposal
Definieren Sie die Authentifizierungsmethode für die IKE-Richtlinie.
[edit security ike policy ike-policy] user@host# set pre-shared-key ascii-text $ABC123
Erstellen Sie ein IKE-Gateway, und definieren Sie dessen externe Schnittstelle.
[edit security ike] user@host# set gateway gw-sunnyvale external-interface ge-0/0/3.0
Definieren Sie die IKE-Richtlinienreferenz.
[edit security ike gateway gw-sunnyvale] user@host# set ike policy ike-policy
Definieren Sie die Adresse des IKE-Gateways.
[edit security ike gateway gw-sunnyvale] user@host# set address 10.2.2.2
Definieren Sie die Version des IKE-Gateways.
[edit security ike gateway gw-sunnyvale] user@host# set version v2-only
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security ike Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security ike
proposal ike-proposal {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy ike-policy {
mode main;
proposals ike-proposal;
pre-shared-key ascii-text "$ABC123";
}
gateway gw-sunnyvale {
ike policy ike-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
version v2-only;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von IPsec
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security ipsec traceoptions flag all set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha-256 set security ipsec proposal ipsec_prop encryption-algorithm aes256-cbc set security ipsec proposal ipsec_prop lifetime-seconds 3600 set security ipsec policy ipsec_pol proposals ipsec_prop set security ipsec vpn ipsec_vpn1 bind-interface st0.0 set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class ef-class set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class af-class set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class res-class set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class web-data set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class control-data set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class voip-data set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class network-control set security ipsec vpn ipsec_vpn1 multi-sa forwarding-class best-effort set security ipsec vpn ipsec_vpn1 ike gateway gw_sunnyvale set security ipsec vpn ipsec_vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn ipsec_vpn1 establish-tunnels immediately set security ipsec vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 local-ip 203.0.113.2/25 set security ipsec vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 remote-ip 192.0.2.30/24
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IPsec:
Aktivieren Sie IPsec-Ablaufverfolgungsoptionen.
[edit] user@host# set security ipsec traceoptions flag all
Erstellen Sie einen IPsec-Vorschlag.
[edit] user@host# set security ipsec proposal ipsec_prop
Geben Sie das IPsec-Vorschlagsprotokoll an.
[edit security ipsec proposal ipsec_prop] user@host# set protocol esp
Geben Sie den Authentifizierungsalgorithmus für den IPsec-Vorschlag an.
[edit security ipsec proposal ipsec_prop] user@host# set authentication-algorithm hmac-sha-256
Geben Sie den Verschlüsselungsalgorithmus für den IPsec-Vorschlag an.
[edit security ipsec proposal ipsec_prop] user@host# set encryption-algorithm aes256-cbc
Geben Sie die Lebensdauer (in Sekunden) einer IPsec-Sicherheitszuordnung (SA) an.
[set security ipsec proposal ipsec_prop] user@host# set lifetime-seconds 3600
Erstellen Sie die IPsec-Richtlinie.
[edit security ipsec] user@host# set policy ipsec_pol
Geben Sie den IPsec-Vorschlagsverweis an.
[edit security ipsec policy ipsec_pol] user@host# set proposals ipsec_prop
Geben Sie die Schnittstelle an, die gebunden werden soll.
[edit security ipsec] user@host# set vpn ipsec_vpn1 bind-interface st0.0
Konfigurieren Sie die Weiterleitungsklasse für die mehrere IPsec-Sicherheitszuordnungen.
[edit security ipsec] user@host# set vpn ipsec_vpn1 multi-sa forwarding-class ef-class user@host# set vpn ipsec_vpn1 multi-sa forwarding-class af-class user@host# set vpn ipsec_vpn1 multi-sa forwarding-class res-class user@host# set vpn ipsec_vpn1 multi-sa forwarding-class web-data user@host# set vpn ipsec_vpn1 multi-sa forwarding-class control-data user@host# set vpn ipsec_vpn1 multi-sa forwarding-class voip-data user@host# set vpn ipsec_vpn1 multi-sa forwarding-class network-control user@host# set vpn ipsec_vpn1 multi-sa forwarding-class best-effort
Geben Sie das IKE-Gateway an.
[edit security ipsec] user@host# set vpn ipsec_vpn1 ike gateway gw_sunnyvale
Geben Sie die IPsec-Richtlinien an.
[edit security ipsec] user@host# set vpn ipsec_vpn1 ike ipsec-policy ipsec_pol
Geben Sie an, dass der Tunnel sofort hochgefahren wird, um IPsec-SA auszuhandeln, wenn das erste Datenpaket zum Senden eintrifft.
[edit security ipsec] user@host# set vpn ipsec_vpn1 establish-tunnels immediately
Konfigurieren Sie lokale IP-Adressen für eine Datenverkehrsauswahl.
[edit security ipsec] user@host# set vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 local-ip 203.0.113.2/25
Konfigurieren Sie Remote-IP-Adressen für eine Datenverkehrsauswahl.
[edit security ipsec] user@host# set vpn ipsec_vpn1 traffic-selector ipsec_vpn1_TS1 remote-ip 192.0.2.30/24
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security ipsec Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security ipsec
traceoptions {
flag all;
}
proposal ipsec_prop {
protocol esp;
authentication-algorithm hmac-sha-256;
encryption-algorithm aes256-cbc;
}
proposal ipsec_prop {
lifetime-seconds 3600;
}
policy ipsec_pol {
proposals ipsec_prop;
}
vpn ipsec_vpn1 {
bind-interface st0.0;
multi-sa {
forwarding-class ef-class;
forwarding-class af-class;
forwarding-class res-class;
forwarding-class web-data;
forwarding-class control-data;
forwarding-class voip-data;
forwarding-class network-control;
forwarding-class best-effort;
}
ike {
gateway gw_sunnyvale;
ipsec-policy ipsec_pol;
}
traffic-selector ipsec_vpn1_TS1 {
local-ip 203.0.113.2/25;
remote-ip 192.0.2.30/24;
}
establish-tunnels immediately;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von Sicherheitsrichtlinien
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security policies from-zone trust to-zone vpn policy vpn match source-address sunnyvale set security policies from-zone trust to-zone vpn policy vpn match destination-address chicago set security policies from-zone trust to-zone vpn policy vpn match application any set security policies from-zone trust to-zone vpn policy vpn then permit set security policies from-zone vpn to-zone trust policy vpn match source-address chicago set security policies from-zone vpn to-zone trust policy vpn match destination-address sunnyvale set security policies from-zone vpn to-zone trust policy vpn match application any set security policies from-zone vpn to-zone trust policy vpn then permit
Aktivieren Sie Trace-Optionen für Sicherheitsrichtlinien, um richtlinienbezogene Probleme zu beheben.
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsrichtlinien:
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone zur VPN-Zone zuzulassen.
[edit security policies from-zone trust to-zone vpn] user@host# set policy vpn match source-address sunnyvale user@host# set policy vpn match destination-address chicago user@host# set policy vpn match application any user@host# set policy vpn then permit
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Vertrauenszone zuzulassen.
[edit security policies from-zone vpn to-zone trust] user@host# set policy vpn match source-address chicago user@host# set policy vpn match destination-address sunnyvale user@host# set policy vpn match application any user@host# set policy vpn then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone trust to-zone vpn {
policy vpn {
match {
source-address sunnyvale;
destination-address chicago;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy vpn {
match {
source-address chicago;
destination-address sunnyvale;
application any;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen von IPsec-Sicherheitszuordnungen
Zweck
Überprüfen Sie den IPsec-Status.
Action!
Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Nachdem Sie eine Indexnummer aus dem Befehl abgerufen haben, verwenden Sie die show security ipsec security-associations index 131073 detail Befehle und show security ipsec statistics index 131073 .
Der Kürze halber werden in den Ausgaben des Befehls show nicht alle Werte der Konfiguration angezeigt. Es wird nur eine Teilmenge der Konfiguration angezeigt. Der Rest der Konfiguration auf dem System wurde durch Auslassungspunkte (...) ersetzt.
user@host> show security ipsec security-associations Total active tunnels: 2 Total Ipsec sas: 18 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <131073 ESP:aes256/sha256 2d8e710b 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 5f3a3239 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 5d227e19 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 5490da 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 211fb8bc 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 dde29cd0 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 49b64080 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 314afea0 1949/ unlim - root 500 5.0.0.1 <131073 ESP:aes256/sha256 fec6f6ea 1949/ unlim - root 500 5.0.0.1 >131073 ESP:aes256/sha256 428a3a0d 1949/ unlim - root 500 5.0.0.1 ...
user@host> show security ipsec security-associations index 131073 detail
ID: 131073 Virtual-system: root, VPN Name: IPSEC_VPN1
Local Gateway: 4.0.0.1, Remote Gateway: 5.0.0.1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Version: IKEv2
DF-bit: clear, Copy-Outer-DSCP Disabled, Bind-interface: st0.0
Port: 500, Nego#: 18, Fail#: 0, Def-Del#: 0 Flag: 0x600a39
Multi-sa, Configured SAs# 9, Negotiated SAs#: 9
Tunnel events:
Mon Apr 23 2018 22:20:54 -0700: IPSec SA negotiation successfully completed (1 times)
Mon Apr 23 2018 22:20:54 -0700: IKE SA negotiation successfully completed (2 times)
Mon Apr 23 2018 22:20:18 -0700: User cleared IKE SA from CLI, corresponding IPSec SAs cleared (1 times)
Mon Apr 23 2018 22:19:55 -0700: IPSec SA negotiation successfully completed (2 times)
Mon Apr 23 2018 22:19:23 -0700: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Mon Apr 23 2018 22:19:23 -0700: Bind-interface's zone received. Information updated (1 times)
Mon Apr 23 2018 22:19:23 -0700: External interface's zone received. Information updated (1 times)
Direction: inbound, SPI: 2d8e710b, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1563 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Multi-sa FC Name: default
Direction: outbound, SPI: 5f3a3239, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1563 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Multi-sa FC Name: default
Direction: inbound, SPI: 5d227e19, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1551 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Multi-sa FC Name: best-effort
Direction: outbound, SPI: 5490da, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 1930 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 1551 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha-256, Encryption: aes-256-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
...user@host> show security ipsec statistics index 131073 ESP Statistics: Encrypted bytes: 952 Decrypted bytes: 588 Encrypted packets: 7 Decrypted packets: 7 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0 FC Name Encrypted Pkts Decrypted Pkts Encrypted bytes Decrypted bytes best-effort 7 7 952 588 custom_q1 0 0 0 0 custom_q2 0 0 0 0 network-control 0 0 0 0 custom_q4 0 0 0 0 custom_q5 0 0 0 0 custom_q6 0 0 0 0 custom_q7 0 0 0 0 default 0 0 0 0
Bedeutung
Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:
Die ID-Nummer lautet 131073. Verwenden Sie diesen Wert mit dem Befehl show security ipsec security-associations index, um weitere Informationen zu dieser bestimmten Sicherheitszuordnung abzurufen.
Es gibt ein IPsec-SA-Paar, das Port 500 verwendet.
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensdauer in KB) werden für beide Richtungen angezeigt. Der Wert 1949/ unlim gibt an, dass die Phasenlebensdauer in 1949 Sekunden abläuft und dass keine Lebensdauer angegeben wurde, was darauf hinweist, dass sie unbegrenzt ist.
Die VPN-Überwachung ist für diese Sicherheitszuordnung nicht aktiviert, wie durch einen Bindestrich in der Spalte Mon angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiv ist, und D gibt an, dass die Überwachung nicht verfügbar ist.
Der show security ike security-associations index 131073 detail Befehl listet zusätzliche Informationen über die Sicherheitszuordnung mit der Indexnummer 131073 auf:
Die lokale Identität und die Remoteidentität bilden die Proxy-ID für die SA. Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phasenausfall. Wenn keine IPsec-Sicherheitszuordnung aufgeführt ist, vergewissern Sie sich, dass die Phasenvorschläge, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind.
Zeigt alle Details der untergeordneten Sicherheitszuordnung an, einschließlich des Namens der Weiterleitungsklassen.
Der show security ipsec statistics index 131073 Befehl listet Statistiken für jeden Weiterleitungsklassennamen auf.
Ein Fehlerwert von Null in der Ausgabe weist auf einen normalen Zustand hin.
Wir empfehlen, diesen Befehl mehrmals auszuführen, um Probleme mit Paketverlusten in einem VPN zu beobachten. In der Ausgabe dieses Befehls werden auch die Statistiken für verschlüsselte und entschlüsselte Paketzähler, Fehlerzähler usw. angezeigt.
Sie müssen Optionen für die Ablaufverfolgung des Sicherheitsdatenstroms aktivieren, um zu untersuchen, bei welchen ESP-Paketen Fehler auftreten und warum.
Grundlegendes zur CoS-Unterstützung auf st0-Schnittstellen
Ab Junos OS Version 15.1X49-D60 und Junos OS Version 17.3R1 können Class of Service (CoS)-Funktionen wie Classifier, Policer, Warteschlangen, Planung, Shapen, Umschreiben von Markern und virtuelle Kanäle jetzt auf der sicheren Tunnelschnittstelle (ST0) für Punkt-zu-Punkt-VPNs konfiguriert werden.
Die st0-Tunnelschnittstelle ist eine interne Schnittstelle, die von routenbasierten VPNs verwendet werden kann, um Klartext-Datenverkehr an einen IPsec-VPN-Tunnel weiterzuleiten. Die folgenden CoS-Funktionen werden auf der st0-Schnittstelle auf allen verfügbaren Firewalls der SRX-Serie und vSRX2.0 unterstützt:
Klassifizierungen
Policer
Warteschlangen, Planung und Gestaltung
Marker umschreiben
Virtuelle Kanäle
Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 wird die st0-Schnittstelle für SRX5400-, SRX5600- und SRX5800 Geräte um Unterstützung für Warteschlangen, Planung, Shaping und virtuelle Kanäle erweitert. Unterstützung für alle aufgeführten CoS-Funktionen wurde für die st0-Schnittstelle für SRX1500-, SRX4100- und SRX4200 Geräte hinzugefügt. Ab Junos OS Version 17.4R1 wird Unterstützung für aufgeführte CoS-Funktionen für die st0-Schnittstelle für SRX4600 Geräte hinzugefügt.
Einschränkungen der CoS-Unterstützung auf VPN st0-Schnittstellen
Die folgenden Einschränkungen gelten für die CoS-Unterstützung auf VPN st0-Schnittstellen:
Die maximale Anzahl für Softwarewarteschlangen beträgt 2048. Wenn die Anzahl der st0-Schnittstellen 2048 überschreitet, können nicht genügend Software-Warteschlangen für alle st0-Schnittstellen erstellt werden.
Nur routenbasierte VPNs können CoS-Funktionen auf st0-Schnittstellen anwenden. Tabelle 5 beschreibt die Unterstützung der st0-CoS-Funktion für verschiedene Arten von VPNs.
Tabelle 5: Unterstützung von CoS-Funktionen für VPN Klassifikator-Funktionen Site-to-Site-VPN (P2P) AutoVPN (P2P) Site-to-Site/Auto VPN /AD-VPN (P2MP) Klassifizierer, Policer und Umschreibungsmarker
Unterstützt
Unterstützt
Unterstützt
Warteschlangenbildung, Planung und Strukturierung basierend auf logischen st0-Schnittstellen
Unterstützt
Nicht unterstützt
Nicht unterstützt
Warteschlangenbildung, Planung und Gestaltung basierend auf virtuellen Kanälen
Unterstützt
Unterstützt
Unterstützt
Auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten kann eine logische st0-Schnittstelle mit mehreren VPN-Tunneln verbunden werden. Die acht Warteschlangen für die logische Schnittstelle st0 können den Datenverkehr nicht zu anderen Tunneln umleiten, sodass Pre-Tunneling nicht unterstützt wird.
Die Funktion des virtuellen Kanals kann als Problemumgehung auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten verwendet werden.
Beachten Sie beim Definieren einer CoS-Shaping-Rate auf einer st0-Tunnelschnittstelle die folgenden Einschränkungen:
Die Shaping-Rate auf der Tunnelschnittstelle muss kleiner sein als die der physischen Ausgangsschnittstelle.
Die Shaping-Rate misst nur die Paketgröße, die das innere Layer-3-Klartextpaket mit einem ESP/AH-Header und einer äußeren IP-Header-Kapselung enthält. Die äußere Layer-2-Verkapselung, die durch die physikalische Schnittstelle hinzugefügt wird, wird bei der Messung der Formungsrate nicht berücksichtigt.
Das CoS-Verhalten funktioniert wie erwartet, wenn die physische Schnittstelle nur den geformten GRE- oder IP-IP-Tunnelverkehr überträgt. Wenn die physische Schnittstelle anderen Datenverkehr überträgt und dadurch die verfügbare Bandbreite für den Tunnelschnittstellenverkehr verringert wird, funktionieren die CoS-Funktionen nicht wie erwartet.
Auf SRX550M-, SRX5400-, SRX5600- und SRX5800-Geräten gelten die Grenzwerte für Bandbreitenlimit und Burst-Größe in einer Policer-Konfiguration pro SPU, nicht pro System. Dies ist das gleiche Policer-Verhalten wie auf der physischen Schnittstelle.
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.