Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Gruppen-VPNv1

Group VPN besteht aus einer Reihe von Funktionen, die zum Sichern des IP-Multicastgruppen-Datenverkehrs oder des Unicast-Datenverkehrs über ein privates WAN erforderlich sind, der von einem Gerät aus oder durch ein Gerät fließt.

Gruppen-VPNv1 - Überblick

Eine IPsec Security Association (SA) ist eine unidirektionale Vereinbarung zwischen Teilnehmern virtueller privater Netzwerke (VPN), die die Regeln für die Authentifizierung und Verschlüsselungsalgorithmen, schlüsselen Austauschmechanismen und die sichere Kommunikation definiert. Bei aktuellen VPN-Implementierungen ist der SA ein Point-to-Point-Tunnel zwischen zwei Sicherheitsgeräten. Group VPNv1 erweitert die IPsec-Architektur zur Unterstützung von Sicherheitsas, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden Abbildung 1 (siehe).

Abbildung 1: Standard-IPSec-VPN und Gruppen-VPNv1Standard-IPSec-VPN und Gruppen-VPNv1

Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650 unterstützt. Mit Group VPNv1 können Any-to-Any-Konnektivität Quell- und Ziel-IP-Adressen im äußeren Header beibehalten werden. Sichere Multicast-Pakete werden genauso repliziert wie Cleartext-Multicast-Pakete im Kernnetzwerk.

Ab dem Junos OS Veröffentlichungs-12.3X48-D30 können Gruppen-VPNv1-Mitglieder mit Group VPNv2-Servern zusammenarbeiten.

Group VPNv1 hat einige Beschränkungen bezüglich RFC 6407, The Group Domain of Interpretation (GDOI). Um Group VPN ohne proprietäre Einschränkungen zu verwenden, aktualisieren Sie auf Group VPNv2. Group VPNv2 wird auf vSRX-Instanzen unterstützt, beginnend ab Junos OS Release 15.1X49-D30, Geräten der SRX-Serie ab Junos OS Release 15.1X49-D40 und Geräten der MX-Serie ab Junos OS Version 15.1r2.

Grundlegendes zum GDOI-Protokoll für Gruppen-VPNv1

Group VPNv1 basiert auf RFC 3547, The Group Domain of Interpretation (GDOI). Dieser RFC beschreibt das Protokoll zwischen Gruppenmitgliedern und einem Gruppenserver, um SAs zwischen Gruppenmitgliedern zu erstellen. GDOI-Nachrichten erstellen, pflegen oder löschen SAs für eine Gerätegruppe. Das GDOI-Protokoll läuft auf Port 848.

Die Internet Security Association und das Key Management Protocol (ISAKMP) definiert zwei Aushandlungs phasen, um SAs für einen AutoKey IKE-IPsec-Tunnel zu erstellen. In Phase 1 können zwei Geräte eine ISAKMP-SICHERHEITSzuordnung einrichten. In Phase 2 werden SAs für andere Sicherheitsprotokolle wie GDOI festgelegt.

Mit Gruppen-VPN wird die 1. Phase der ISAKMP-SA-Aushandlung zwischen einem Gruppenserver und einem Gruppenmitglied ausgeführt. Server und Mitglied müssen die gleiche ISAKMP-Richtlinie verwenden. In Phase 2 legen GDOI-Tausch zwischen Server und Mitglied die AAs fest, die von anderen Gruppenmitgliedern gemeinsam genutzt werden. Ein Gruppenmitglied muss ipSec nicht mit anderen Gruppenmitgliedern aushandeln. GDOI-Börsen in Phase 2 müssen durch ISAKMP Phase 1-SAs geschützt werden.

Es gibt zwei Arten von GDOI-Börsen:

  • Über den Austausch kann ein Mitglied SAs und Schlüssel anfordern, die von der groupkey-pull Gruppe vom Server gemeinsam genutzt werden.

  • Der Austausch ist eine einzige Rekey-Nachricht, mit der der Server Gruppen-SAs und Schlüssel an Mitglieder senden kann, bevor vorhandene groupkey-push Gruppen-SAs ablaufen. Rekey-Nachrichten sind unerwünschte Nachrichten, die vom Server an Mitglieder gesendet werden.

Grundlegende Informationen zu Gruppen-VPNv1-Beschränkungen

Für Gruppen-VPNv1 wird Folgendes nicht unterstützt:

  • Nicht standardmäßige Routinginstanzen

  • Gehäuse-Cluster

  • Servercluster

  • Routenbasiertes Gruppen-VPN

  • Bereitstellung in öffentlichem Internet

  • SNMP

  • Richtlinien vom Cisco GET VPN-Server verweigern

  • J-Web-Schnittstelle für Konfiguration und Überwachung

Ab Junos OS Release 12.3X48-D30 können VPNv1-Mitglieder der Gruppe auf Geräten von SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 und SRX650 mit Gruppen-VPNv2-Servern zusammenarbeiten. Wenn Sie Gruppen-VPNv1-Mitglieder für die Verwendung mit Group VPNv2-Servern konfigurieren, beachten Sie die folgenden Einschränkungen:

  • Group VPNv2 unterstützt den Entwurf IETF SPEZIFIKATION IP-Delivery Delay Detection Protocol für einen zeitbasierten Antireplay-Mechanismus. Daher wird auf dem IP-Delivery Delay Detection Protocol-basiertes Antireplay auf Gruppen-VPNv1-Mitgliedern nicht unterstützt und muss auf dem Group VPNv2-Server mit dem Befehl deaktiviert deactivate security group-vpn server group group-name anti-replay-time-window werden.

  • Der Group VPNv2-Server unterstützt keine Kollokation, wenn die Funktionen für Gruppenserver und Gruppengeräte im selben Gerät vorhanden sind.

  • Der Group-VPNv2-Server unterstützt keine Heartbeat-Übertragungen. Heartbeat muss auf dem Group VPNv1-Mitglied mit dem Befehl deaktiviert deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold sein. Wir empfehlen die Verwendung von Gruppen-VPNv2-Serverclustern, um Auswirkungen auf den Datenverkehr durch Neustarts oder andere Unterbrechungen des Group VPNv2-Servers zu vermeiden.

  • Vom Group VPNv2-Server gesendete Groupkey-Push-Nachrichten basieren auf RFC 6407, The Group Domain of Interpretation (GDOI) und werden von Group VPNv1-Mitgliedern nicht unterstützt. Daher müssen Groupkey-Push-Nachrichten auf dem Group VPNv2-Server mit dem Befehl deaktiviert deactivate security group-vpn server group group-name server-member-communication sein.

    Rekeys werden mit Groupkey-Pull-Nachrichten unterstützt. Wenn Skalierungsprobleme vorhanden sind, bei denen Gruppen-VPNv1-Mitglieder den Groupkey-Pull-Betrieb nicht vor Ablauf der TEK-Hardlebensdauer abschließen können, empfehlen wir, die Lebensdauer von TEK zu erhöhen, um ausreichend Zeit für Mitglieder zum Abschließen des Groupkey-Pull-Betriebs zu lassen. Juniper die Skalierungszahlen von TEK werden mit einer Lebensdauer von 2 Stunden qualifiziert.

  • Wenn der GRUPPEN-VPNv2-Server neu gestartet oder aktualisiert wird oder die Netzwerksicherheits-As für die Gruppe genehmigt werden, können neue Mitglieder erst dann dem Netzwerk hinzugefügt werden, wenn für vorhandene Mitglieder der nächste Rekey-Server eintritt. Neue Mitglieder können den Datenverkehr nicht an vorhandene Mitglieder mit alten Schlüsseln senden. Als Umgehungslösung können Sie die SAs für die vorhandenen VPNv1-Mitglieder der Gruppe mit dem Befehl clear security group-vpn member ipsec security-associations löschen.

  • Da Multicast-Datenverkehr von Gruppen-VPNv2-Mitgliedern nicht unterstützt wird, kann Multicast-Datenverkehr nicht verwendet werden, wenn Gruppen-VPNv1- und Group VPNv2-Mitglieder im Netzwerk für die gleiche Gruppe koexistär sind.

Grundlegende Informationen zu VPNv1-Servern und -Mitgliedern der Gruppe

Das Zentrum eines Gruppen-VPN ist der Gruppenserver. Der Gruppenserver führt die folgenden Aufgaben aus:

  • Steuert die Gruppenmitgliedschaft

  • Generiert Verschlüsselungsschlüssel

  • Verwaltet Gruppen-SAs und -Schlüssel und verteilt diese an Gruppenmitglieder

Gruppenmitglieder verschlüsseln Datenverkehr basierend auf den vom Gruppenserver bereitgestellten Gruppen-SAs und Schlüsseln.

Ein Gruppenserver kann mehrere Gruppen nutzen. Ein einzelnes Sicherheitsgerät kann ein Mitglied mehrerer Gruppen sein.

Jede Gruppe wird durch eine Gruppenkennung dargestellt, die eine Zahl zwischen 1 und 65.535 ist. Der Gruppenserver und die Gruppenmitglieder werden über die Gruppenkennung verknüpft. Pro Gruppe kann nur eine Gruppenkennung verwendet werden, und mehrere Gruppen können nicht die gleiche Gruppenkennung verwenden.

Im Folgenden finden Sie eine high-level-Ansicht der Aktionen für Gruppen-VPN-Server und Mitglieder:

  1. Der Gruppenserver hört den UDP-Port 848 an, damit sich Mitglieder registrieren können. Ein Mitglied muss für die IKE Der Gruppe die richtige Phase-1-Authentifizierung bereitstellen. Preshared Key-Authentifizierung pro Mitglied wird unterstützt.

  2. Nach der erfolgreichen Authentifizierung und Registrierung ruft das Mitgliedgerät die Gruppen-SAs und Schlüssel über einen GDOI-Austausch vom Server groupkey-pull ab.

  3. Der Server fügt das Mitglied zur Mitgliedschaft der Gruppe hinzu.

  4. Gruppenmitglieder tauschen mit Gruppen-SA-Schlüsseln verschlüsselte Pakete aus.

Der Server sendet regelmäßig SA- und Schlüsselaktualisierungen an Gruppenmitglieder mit Rekey-Nachrichten groupkey-push (GDOI). Rekey-Nachrichten werden vor Ablauf der SAs gesendet. Dadurch wird sichergestellt, dass für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern gültige Schlüssel verfügbar sind.

Der Server sendet auch Rekey-Nachrichten, um den Mitgliedern neue Schlüssel zur Verfügung zu stellen, wenn eine Änderung der Gruppenmitgliedschaft oder eine Änderung der Gruppenzuordnung erforderlich ist.

Understanding Group VPNv1 Server-Member Communication

Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650 unterstützt. Die Kommunikation zwischen Servern ermöglicht dem Server, GDOI-Nachrichten groupkey-push an Mitglieder zu senden. Wenn die Kommunikation zwischen Servern nicht für die Gruppe konfiguriert ist, können Mitglieder GDOI-Nachrichten zur Registrierung und erneuten Registrierung beim Server senden. Der Server kann aber keine Rekey-Nachrichten an Mitglieder groupkey-pull senden.

Die Kommunikation zwischen Servern wird für die Gruppe mithilfe der Konfigurationserklärung server-member-communication in der [ ] edit security group-vpn server Hierarchie konfiguriert. Folgende Optionen können definiert werden:

  • Verschlüsselungsalgorithmus für die Kommunikation zwischen Server und Mitglied. Sie können 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc oder des-cbc angeben. Es ist kein Standardalgorithmus festgelegt.

  • Authentifizierungsalgorithmus (md5 oder sha1) zur Authentifizierung des Mitglieds am Server. Es ist kein Standardalgorithmus festgelegt.

  • Unabhängig davon, ob der Server Unicast- oder Multicast-Rekey-Nachrichten an Gruppenmitglieder und Parameter des Kommunikationstyps sendet.

  • Intervall, in dem der Server Heartbeat-Nachrichten an das Gruppenmitglied sendet. Auf diese Weise kann das Mitglied feststellen, ob der Server neu gestartet wurde. Dies erfordert eine erneute Registrierung beim Server. Sie beträgt standardmäßig 300 Sekunden.

  • Lebensdauer des Schlüsselverschlüsselungsschlüssels (KEK). Sie beträgt standardmäßig 3600 Sekunden.

Die Konfiguration der Kommunikation zwischen Servern ist erforderlich, damit der Gruppenserver Rekey-Nachrichten an Mitglieder sendet. In bestimmten Situationen ist dieses Verhalten jedoch nicht erwünscht. Wenn beispielsweise Gruppenelemente dynamische Peers sind (z. B. in einer Heimbüros), sind die Geräte nicht immer verfügbar, und die IP-Adresse eines Geräts kann bei jeder Stromversorgung anders sein. Die Konfiguration der Kommunikation zwischen Servern für eine Gruppe dynamischer Peers kann zu einer unnötigen Übertragung durch den Server führen. Wenn sie die IKE 1. Phase der SA-Aushandlung immer zum Schutz der GDOI-Aushandlung ausführen möchten, konfigurieren Sie die Kommunikation zwischen Servern nicht.

Wenn die Kommunikation zwischen Servern für eine Gruppe nicht konfiguriert ist, zeigt die Mitgliedschaftsliste an, die von den Befehlen für Gruppenmitglieder angezeigt wird, die sich beim Server registriert haben. Mitglieder können aktiv sein show security group-vpn server registered-members oder nicht. Wenn die Kommunikation zwischen Servern für eine Gruppe konfiguriert ist, wird die Gruppenmitgliedschaftsliste löschen. Wenn der Kommunikationstyp als Unicast konfiguriert ist, werden show security group-vpn server registered-members nur aktive Mitglieder im Befehl gezeigt. Wenn der Kommunikationstyp als Multicast konfiguriert ist, zeigt der Befehl Teilnehmer, die sich nach der Konfiguration beim Server registriert haben. Die Mitgliedschaftsliste bedeutet nicht notwendigerweise aktive Mitglieder, da Mitglieder nach der Registrierung möglicherweise aus dem Weg show security group-vpn server registered-members fallen.

Grundlegende Informationen zu Gruppen-VPNv1-Gruppen-Schlüsselvorgängen

Dieses Thema enthält die folgenden Abschnitte:

Gruppenschlüssel

Der Gruppenserver verwaltet eine Datenbank zum Verfolgen der Beziehung zwischen VPN-Gruppen, Gruppenmitgliedern und Gruppenschlüsseln. Es gibt zwei Arten von Gruppenschlüsseln, die der Server an Mitglieder herunterlädt:

  • Schlüsselverschlüsselungsschlüssel (KEK): Für die Verschlüsselung von Rekey-Nachrichten verwendet. Pro Gruppe wird ein KEK unterstützt.

  • Datenverkehrsverschlüsselungsschlüssel (Traffic Encryption Key, TEK): Wird zur Verschlüsselung und Entschlüsselung des IPSec-Datenverkehrs zwischen Gruppenmitgliedern verwendet.

Der mit einer Sicherheitszuordnung verbundene Schlüssel wird von einem Gruppenmitglied nur akzeptiert, wenn dem Mitglied eine entsprechende Bereichsrichtlinie konfiguriert ist. Ein akzeptierter Schlüssel wird für das Gruppen-VPN installiert, während ein abgelehnter Schlüssel verworfen wird.

Rekey-Nachrichten

Wenn die Gruppe für die Kommunikation zwischen Servern konfiguriert ist, sendet der Server regelmäßig SA- und Schlüsselaktualisierungen mit GDOI-Nachrichten groupkey-push (Rekey). Rekey-Nachrichten werden vor Ablauf der SAs gesendet. Dadurch wird sichergestellt, dass für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern gültige Schlüssel verfügbar sind.

Der Server sendet auch Rekey-Nachrichten, um den Mitgliedern neue Schlüssel zur Verfügung zu stellen, wenn eine Gruppenmitgliedschaft oder die Gruppenzuordnung geändert wurde (z. B. eine Gruppenrichtlinie hinzugefügt oder gelöscht wird).

Kommunikationsoptionen für Servermitglieder müssen auf dem Server konfiguriert werden, damit der Server Rekey-Nachrichten an Gruppenmitglieder senden kann. Diese Optionen enthalten den Nachrichtentyp und die Intervals, in denen die Nachrichten gesendet werden, wie in den folgenden Abschnitten erläutert:

Es gibt zwei Arten von Rekey-Nachrichten:

  • Unicast-Rekey-Nachrichten: Der Gruppenserver sendet eine Kopie der Rekey-Nachricht an jedes Gruppenmitglied. Nachdem die Neueinschrift erhalten wurde, müssen die Mitglieder eine Bestätigung (ACK) an den Server senden. Wenn der Server keinen ACK von einem Mitglied erhält (einschließlich der erneuten Übertragung von Rekey-Nachrichten), sieht der Server die Inaktive des Servers aus der Mitgliedschaftsliste aus. Der Server sendet nicht mehr Rekey-Nachrichten an den Member.

    Die Konfigurationserklärungen für die Kommunikation zwischen Servern kontrollieren die erneute Verrechnung von number-of-retransmission Rekey-Nachrichten durch den Server, wenn kein ACK von einem Mitglied retransmission-period empfangen wird.

  • Multicast-Rekey-Nachrichten: Der Gruppenserver sendet eine Kopie der Rekey-Nachricht von der angegebenen ausgehenden Schnittstelle an die konfigurierte Multicastgruppenadresse. Mitglieder senden keinen Bestätigungszugang für Multicast-Rekey-Nachrichten. Die registrierte Mitgliedschaftsliste ist nicht notwendigerweise aktive Mitglieder, da Mitglieder nach der ersten Registrierung möglicherweise aus dem Weg fallen. Alle Mitglieder der Gruppe müssen so konfiguriert werden, dass sie Multicastnachrichten unterstützen.

    IP-Multicast-Protokolle müssen so konfiguriert werden, dass Multicast-Datenverkehr im Netzwerk übertragen werden kann. Ausführliche Informationen zur Konfiguration von Multicastprotokollen auf Juniper Networks Geräten finden Sie im Benutzerhandbuch für Multicast-Protokolle.

Das Intervall, in dem der Server Rekey-Nachrichten sendet, wird auf grundlage der Werte der Konfigurationserklärungen in der [ ] Hierarchie lifetime-secondsactivation-time-delayedit security group-vpn server group berechnet. Das Intervall wird als lifetime-seconds minus 4*(activation-time-delay) berechnet.

Der für KEK wird als Teil der Kommunikation zwischen Servern konfiguriert. Der Standard beträgt lifetime-seconds 3600 Sekunden. Der lifetime-seconds TEK ist für den IPsec-Vorschlag konfiguriert. Der Standard beträgt 3600 Sekunden. Sie wird für die Gruppe auf dem activation-time-delay Server konfiguriert. Sie beträgt standardmäßig 15 Sekunden. Verwenden der Standardwerte für und des Intervalls, in dem der Server lifetime-secondsactivation-time-delay Rekey-Nachrichten sendet, oder 3600 minus 4*15 3.540 Sekunden.

Registrierung von Mitglieder

Wenn ein Gruppenmitglied keinen neuen SA-Schlüssel vom Server erhält, bevor der aktuelle Schlüssel abläuft, muss sich das Mitglied beim Server erneut registrieren und die aktualisierten Schlüssel bei einem GDOI-Austausch groupkey-pull erhalten. In diesem Fall wird das Intervall, in dem der Server Rekey-Nachrichten sendet, wie folgt berechnet: lifetime-seconds minus 3*( activation-time-delay ) Unter Verwendung der Standardwerte für und beträgt das Intervall, in dem der Server Rekey-Nachrichten sendet, lifetime-secondsactivation-time-delay 3600 minus 3 *15 oder 3.555 Sekunden.

Die erneute Infektion von Mitglieder kann aus folgenden Gründen erfolgen:

  • Der Member erkennt einen Server-Neustart, wenn vom Server keine Heartbeats empfangen wurden.

  • Die Nachricht mit dem Schlüssel auf dem Gruppenserver geht verloren oder wird nicht mehr unterstützt, und die Lebensdauer von TEK ist abgelaufen.

Schlüsselaktivierung

Wenn ein Mitglied einen neuen Schlüssel vom Server empfängt, wird erst nach einer bestimmten Zeitspanne der Schlüssel zur Verschlüsselung verwendet. Dieser Zeitraum wird anhand activation-time-delay der Konfigurationserklärung bestimmt und davon, ob der Schlüssel durch eine vom Server gesendete Rekey-Nachricht oder als Folge der erneuten Registrierung des Mitglieds beim Server empfangen wird.

Wenn der Schlüssel über eine vom Server gesendete Rekey-Nachricht empfangen wird, wartet das Mitglied 2*( ) Sekunden, bevor er activation-time-delay den Schlüssel verwendet. Wenn der Schlüssel durch die erneute Errungen der Mitglieder empfangen wird, wartet das Mitglied auf die vom Wert angegebene Anzahl von activation-time-delay Sekunden.

Ein Mitglied behält die beiden letzten Schlüssel, die vom Server für jede auf dem Mitglied installierte Gruppenzuordnung gesendet werden. Beide Schlüssel können für die Entschlüsselung verwendet werden, während der neueste Schlüssel für die Verschlüsselung verwendet wird. Im vorherigen Schlüssel wird die vom Wert angegebene Anzahl von Sekunden nach der activation-time-delay Aktivierung des neuen Schlüssels entfernt.

Die Konfigurationsaussprache activation-time-delay beträgt standardmäßig 15 Sekunden. Wenn dieser Zeitraum zu klein wird, kann es dazu führen, dass Pakete vor der Installation des neuen Schlüssels an einem Remotegruppenmitglied verworfen werden. Berücksichtigen Sie die Netzwerktopologie und Transportverzögerungen im System, wenn Sie den Wert activation-time-delay ändern. Bei Unicast-Übertragungen ist die Systemübertragungsverzögerung proportional zur Anzahl der Gruppenmitglieder.

Ein Gruppen-VPNv1-Server kann als Antwort auf eine Anforderung mehrere Verschlüsselungsschlüssel für den Datenverkehr (TEKs) an ein GRUPPEN-VPNv1-Mitglied groupkey-pull senden. Im Folgenden wird beschrieben, wie das Gruppen-VPNv1-Mitglied mit der vorhandenen TEK und den TEKs umkommt, die es vom Server erhält:

  • Wenn das Gruppen-VPNv1-Mitglied zwei oder mehr TEKs empfängt, verfügt es über die jüngsten beiden TEKs und löscht die vorhandene TEK. Der ältere TEK wird sofort aktiviert, und der neuere TEK wird aktiviert, nachdem der konfigurierte Gruppen-VPNv1-Server verstrichen ist activation-time-delay (Standard: 15 Sekunden).

  • Wenn das Gruppen-VPNv1-Mitglied nur einen TEK empfängt oder ein TEK durch eine Nachricht vom Server empfängt, wird die vorhandene TEK erst nach Ablauf der schweren Lebensdauer groupkey-push gelöscht. Für einen bestehenden TEK wird die Lebensdauer nicht verkürzt.

Das Gruppen-VPNv1-Mitglied installiert weiterhin einen empfangenen TEK, auch wenn die Lebensdauer von TEK weniger als zwei Mal so activation-time-delay wichtig ist.

Grundlegende Informationen zu Gruppen-VPNv1-Heartbeat-Nachrichten

Wenn die Kommunikation zwischen Servern konfiguriert ist, sendet der VPNv1-Server der Gruppe Heartbeat-Nachrichten in bestimmten Intervals (das Standardintervall beträgt 300 Sekunden). Über den Heartbeat-Mechanismus können sich Mitglieder erneut beim Server registrieren, wenn die angegebene Anzahl von Heartbeats nicht empfangen wird. Beispielsweise erhalten Mitglieder bei einem Server-Neustart keine Heartbeat-Nachrichten. Wenn der Server neu gestartet wurde, registrieren sich die Mitglieder erneut beim Server.

Heartbeats werden durch Nachrichten groupkey-push übertragen. Die Folgenummer wird bei jeder Heartbeat-Nachricht erhöht, um die Mitglieder vor Antwortangriffen zu schützen. Im Gegensatz zu Rekey-Nachrichten werden Heartbeat-Nachrichten nicht von den Empfängern bestätigt und vom Server nicht erneut übermittelt.

Heartbeat-Nachrichten enthalten folgende Informationen:

  • Aktueller Status und Konfiguration der Schlüssel auf dem Server

  • Relative Zeit, wenn Antireplay aktiviert ist

Durch den Vergleich der Kernbeatsinformationen erkennt ein Mitglied, ob er Serverinformationen verpasst hat oder neue Schlüsselmeldungen verpasst hat. Der Member registriert sich erneut, um sich selbst mit dem Server zu synchronisieren.

Heartbeat-Nachrichten können eine Netzwerküberlastung verursachen und unnötige Nachbehandlungen durch Mitglieder verursachen. Somit kann die Heartbeat-Erkennung bei Bedarf deaktiviert werden.

Verstehen des Gruppen-VPNv1 Server-Member-Colocation-Modus

Die Funktionen von Gruppenservern und Mitgliedergruppen sind voneinander getrennt und überschneiden sich nicht. Die Server- und Memberfunktionen können im selben physischen Gerät koexistär sein, was als Colocation-Modus bezeichnet wird. Im Colocation-Modus gibt es keine Änderungen hinsichtlich der Funktionen und des Verhaltens des Servers oder eines Mitglieds. Server und Mitglieder müssen jedoch jeder adresse bzw. dem Server zugewiesen werden, um Pakete ordnungsgemäß zu übertragen. Im Colocation-Modus kann dem Server nur eine IP-Adresse und gruppenübergreifend eine IP-Adresse zugewiesen werden.

Gruppen-VPNv1-Konfigurationsübersicht

In diesem Thema werden die Wichtigsten Aufgaben für die Konfiguration von Gruppen-VPNv1 erläutert.

Konfigurieren Sie auf dem Gruppenserver Folgendes:

  1. IKE phase 1-Aushandlung. Verwenden Sie die [ edit security group-vpn server ike ] Hierarchie, um die IKE 1. Sicherheitszuordnung zu konfigurieren. Weitere Informationen zur IKE 1 Konfiguration für Group VPNv2finden Sie unter.
  2. Phase 2 IPsec SA. Informationen zur IPsec SA-Konfiguration für Group VPNv1 finden Sie unter Verstehen der IPsec SA-Konfiguration.
  3. VPN-Gruppe. Siehe Gruppen-VPNv1-Konfigurationsübersicht.

Konfigurieren Sie im Gruppenmitglied Folgendes:

  1. IKE phase 1-Aushandlung. Verwenden Sie die [ ] Hierarchie, um eine IKE edit security group-vpn member ike 1. Phase zu konfigurieren. Weitere Informationen zur IKE 1-Konfiguration für Group VPNv1 finden Sie unter.

  2. Phase 2 IPsec SA. Informationen zur IPsec SA-Konfiguration für Group VPNv1 finden Sie unter Verstehen der IPsec SA-Konfiguration.

  3. Scope-Richtlinie, die bestimmt, welche Gruppenrichtlinien auf dem Mitglied installiert sind. Weitere Informationen finden Sie unter Verstehen dynamischer Richtlinien für Gruppen-VPNv1.

Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, dass die Schnittstelle, die vom Gruppenmitglied für die Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine Größe von MTU (MTU) konfiguriert wird, die nicht größer als 1.400 Bytes ist. Verwenden Sie set interface mtu die Konfigurationserklärung, um die Größe MTU festlegen.

Die VPN-Gruppe wird auf dem Server mit der group Konfigurationserklärung in der [ edit security group-vpn server ] Hierarchie konfiguriert.

Die Gruppeninformationen bestehen aus den folgenden Informationen:

  • Gruppenkennung: Ein Wert zwischen 1 und 65.535, der die VPN-Gruppe identifiziert. Dieselbe Gruppenkennung muss auf dem Gruppenmitglied für Autokey-IKE.

  • Gruppenmitglieder, wie mit der ike-gateway Konfigurationsauszug konfiguriert. Diese Konfigurationserklärung kann mehrere Instanzen haben (einen für jedes Mitglied der Gruppe).

  • IP-Adresse des Servers (die Loopback-Schnittstellenadresse wird empfohlen).

  • Gruppenrichtlinien: Richtlinien, die von Mitgliedern heruntergeladen werden sollen. Gruppenrichtlinien beschreiben den Datenverkehr, für den die Sicherheitszuordnung und die Schlüssel gelten. Weitere Informationen finden Sie unter Verstehen dynamischer Richtlinien für Gruppen-VPNv1.

  • Kommunikation zwischen Servern: Optionale Konfiguration, mit der der Server Rekey-Nachrichten an Mitglieder senden kann. Siehe Gruppen-VPNv1-Übersicht.

  • Antireplay: Optionale Konfiguration, die Paketfilterung und -wiedergabe erkennt. Weitere Informationen finden Sie unter Antireplay für Group VPNv1.

Verständnis IKE Phase 1-Konfiguration für Gruppen-VPNv1

Ein IKE Phase 1-Sicherheitszuordnung zwischen dem Gruppenserver und einem Gruppenmitglied stellt einen sicheren Kanal für die Aushandlung von IPsec-Sicherheitszuordnungen bereit, die von einer Gruppe gemeinsam genutzt werden. Für Standard-IPsec-VPNs auf Sicherheitsgeräten Juniper Networks Sicherheitsgeräten besteht die Konfiguration der 1. Phase aus der Angabe eines IKE Angebot, einer Richtlinie und eines Gateways. Bei Gruppen-VPNv1 entspricht die Konfiguration IKE 1 SA der Konfiguration von Standard-IPsec-VPNs, wird jedoch in der [ ] Hierarchie edit security group-vpn ausgeführt.

In der IKE-Konfigurationsvorschlags werden die Authentifizierungsmethode und die Authentifizierungs- und Verschlüsselungsalgorithmen festgelegt, die verwendet werden, um einen sicheren Kanal zwischen Den Teilnehmern zu öffnen. In der IKE Richtlinienkonfiguration geben Sie den Modus (Haupt- oder aggressiver) vor, in dem der Phase-1-Kanal ausgehandelt wird, geben Sie die Art des zu verwendenden Schlüsselaustauschs an und verweisen Sie auf den Vorschlag für Phase 1. In der IKE Gateway-Konfiguration verweisen Sie auf die Richtlinie für Phase 1.

Da Gruppen-VPNv2 nur starke Algorithmen unterstützt, wird die Option für den Authentifizierungsalgorithmus für sha-256 Gruppen-VPNv1-Mitglieder auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX550- und SRX650-Geräten unterstützt. Wenn Gruppen-VPNv1-Mitglieder mit Gruppen-VPNv2-Servern zusammenarbeiten, muss diese Option auf den Gruppen-VPNv1-Mitgliedern mit dem Befehl edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 konfiguriert werden. Auf dem Group VPNv2-Server müssen Sie für Angebote IKE und für authentication-algorithm sha-256authentication-algorithm hmac-sha-256-128 IPsec-Angebote konfiguriert werden.

Wenn ein IKE-Gateway auf einem Gruppen-VPNv1-Mitglied mit mehr als einer Gateway-Adresse konfiguriert ist, wird die Fehlermeldung "Pro IKE Gateway-Konfiguration kann nur eine Remoteadresse konfiguriert werden" angezeigt, wenn die Konfiguration zugesagt wird.

Die IKE Phase 1 der Konfiguration auf dem Gruppenserver muss der Konfiguration IKE Phase 1 der Gruppenmitglieder übereinstimmen.

Grundlegende Informationen zur IPsec SA-Konfiguration für Gruppen-VPNv1

Nachdem Server und Mitglied in Phase 1-Verhandlungen einen sicheren und authentifizierten Kanal eingerichtet haben, gehen sie durch Phase 2. Aushandlung in Phase 2 stellt die IPsec-Sicherheitsas fest, die von Gruppenmitgliedern gemeinsam genutzt werden, um Daten zu sichern, die zwischen Mitgliedern übertragen werden. Während die IPsec-SA-Konfiguration für Gruppen-VPN mit der Konfiguration von Standard-VPNs vergleichbar ist, muss ein Gruppenmitglied die Sicherheitszuordnung nicht mit anderen Gruppenmitgliedern aushandeln.

Phase 2: IPsec-Konfiguration für Gruppen-VPNv1 besteht aus den folgenden Informationen:

  • Ein Angebot für das Sicherheitsprotokoll, die Authentifizierung und den Verschlüsselungsalgorithmus, der für die Sicherheitszuordnung verwendet werden soll. Der IPsec SA-Vorschlag wird auf dem Gruppenserver mit der Konfigurationserklärung proposal in der [ ] Hierarchie edit security group-vpn server ipsec konfiguriert.

  • Eine Gruppenrichtlinie, die auf den Vorschlag referenziert. Eine Gruppenrichtlinie gibt den Datenverkehr (Protokoll, Quelladresse, Quellport, Zieladresse und Zielport) an, für den sa und Schlüssel gelten. Die Gruppenrichtlinie wird auf dem Server mit der Konfigurationsrichtlinie ipsec-sa in der [ ] Hierarchie edit security group-vpn server group konfiguriert.

  • Ein Autokey-IKE, der auf die Gruppenkennung, den Gruppenserver (mit der Konfigurationserklärung konfiguriert) und die vom Mitglied für die Verbindung mit der Gruppe verwendete Schnittstelle ike-gateway referenziert. Der Autokey-IKE wird auf dem Mitglied mit der Konfigurationserklärung in der ipsec vpn [ ] Hierarchie edit security group-vpn member konfiguriert.

Verstehen dynamischer Richtlinien für Gruppen-VPNv1

Der Gruppenserver verteilt Gruppen-SAs und Schlüssel an Mitglieder einer bestimmten Gruppe. Alle Mitglieder derselben Gruppe können die gleichen IPsec-SAs gemeinsam haben. Aber nicht alle für eine Gruppe konfigurierten SAs werden auf jedem Gruppenmitglied installiert. Die auf einem bestimmten Mitglied installierte Sicherheitszuordnung wird anhand der mit der Sicherheitszuordnung verbundenen Richtlinie und der auf dem Mitglied konfigurierten Sicherheitsrichtlinien ermittelt.

In einer VPN-Gruppe werden jede Sicherheitszuordnung der Gruppe und der Schlüssel, den der Server an ein Mitglied übermittelt, einer Gruppenrichtlinie zugeordnet. Die Gruppenrichtlinie beschreibt den Datenverkehr, für den der Schlüssel verwendet werden soll, einschließlich Protokoll, Quelladresse, Quell-Port, Zieladresse und Ziel-Port.

Gruppenrichtlinien, die identisch sind (konfiguriert mit der gleichen Quelladresse, Zieladresse, Quell-Port, Ziel-Port und Protokollwerten), können nicht für eine einzige Gruppe vorhanden sein. Wenn Sie versuchen, eine Konfiguration zu commit, die identische Gruppenrichtlinien für eine Gruppe enthält, wird ein Fehler zurückgegeben. Wenn dies der Fall ist, müssen Sie eine identische Gruppenrichtlinien löschen.

Für ein Gruppenmitglied muss eine Scope-Richtlinie konfiguriert werden, die den Umfang der vom Server heruntergeladenen Gruppenrichtlinie definiert. Eine vom Server verteilte Gruppenrichtlinie wird mit den auf dem Mitglied konfigurierten Scope-Richtlinien verglichen. Damit eine Gruppenrichtlinie auf dem Mitglied installiert werden kann, müssen die folgenden Bedingungen erfüllt sein:

  • Alle in der Gruppenrichtlinie angegebenen Adressen müssen innerhalb des in der Scope-Richtlinie angegebenen Adressbereichs liegen.

  • Der in der Gruppenrichtlinie angegebene Quell-Port, Ziel-Port und das Protokoll müssen den in der Scope-Richtlinie konfigurierten Protokollen übereinstimmen.

Eine auf einem Mitglied installierte Gruppenrichtlinie wird als dynamische Richtlinie bezeichnet.

Eine Bereichsrichtlinie kann Teil einer geordneten Liste von Sicherheitsrichtlinien für einen bestimmten Zonen- und Zonenkontext sein. Junos OS führt eine Sicherheitsrichtliniensuche für eingehende Pakete von oben in der bestellten Liste durch.

Abhängig von der Position der Scope-Richtlinie innerhalb der geordneten Liste von Sicherheitsrichtlinien gibt es mehrere Möglichkeiten für die dynamische Richtliniensuche:

  • Wenn das eingehende Paket einer Sicherheitsrichtlinie entspricht, bevor die Scope-Richtlinie berücksichtigt wird, findet keine dynamische Richtliniensuche statt.

  • Wenn eine eingehende Richtlinie mit einer Scope-Richtlinie entspricht, wird der Suchprozess zur Anpassung einer dynamischen Richtlinie fortsetzt. Wenn eine übereinstimmende dynamische Richtlinie besteht, wird diese Richtlinienmaßnahmen durchgeführt (zulassen). Wenn keine übereinstimmende dynamische Richtlinie besteht, durchsucht der Suchprozess weiterhin die Richtlinien unter der Scope-Richtlinie.

    In dieser Version ist nur tunnel die Aktion für eine Bereichsrichtlinie zulässig. Andere Aktionen werden nicht unterstützt.

Sie konfigurieren eine Bereichsrichtlinie für ein Gruppenmitglied mithilfe der policies Konfigurationserklärung in der [ edit security ] Hierarchie. Verwenden Sie die Konfigurationsauszugsregel in der Permit-Tunnelregel, um auf das Gruppen-VPN zu verweisen. Auf diese Weise können Gruppenmitglieder eine ipsec-group-vpn einzelne Sicherheitszuordnung gemeinsam nutzen.

Grundlegendes Antireplay für Gruppen-VPNv1

Antireplay ist eine IPsec-Funktion, die erkennt, wenn ein Paket abgefangen und dann von Angreifern wiedergegeben wird. Antireplay ist standardmäßig für Gruppen-VPNs aktiviert, kann aber für eine Gruppe mit der Konfiguration no-anti-replay deaktiviert werden.

Wenn Antireplay aktiviert ist, synchronisiert der Gruppenserver die Zeit zwischen den Gruppenmitgliedern. Jedes IPsec-Paket enthält einen Zeitstempel. Der Gruppenmitglied überprüft, ob die Zeitstempel des Pakets unter den konfigurierten Wert anti-replay-time-window fällt (Standard beträgt 100 Sekunden). Wenn der Zeitstempel den Wert überschreitet, wird ein Paket gelöscht.

Beispiel: Konfigurieren von Gruppen-VPNv1-Server und -Mitgliedern

In diesem Beispiel wird gezeigt, wie Sie Gruppen-VPNv1 zur Erweiterung der IPsec-Architektur konfigurieren, um Sicherheitsanforderungen zu unterstützen, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650 unterstützt.

Anforderungen

Bevor Sie beginnen:

Überblick

In besteht ein Gruppen-VPN aus zwei Member-Geräten (Member1 und Member2) und einem Gruppenserver (die IP-Adresse der Loopback-Schnittstelle des Servers ist Abbildung 2 20.0.0.1). Die Gruppenkennung ist 1.

Abbildung 2: Konfigurationsbeispiel für Server-MitgliederKonfigurationsbeispiel für Server-Mitglieder

Die VPN-Sicherheitszuordnungen der Phase 2-Gruppe müssen durch eine Sicherheitszuordnung der Phase 1 geschützt werden. Daher muss die VPN-Gruppenkonfiguration die Konfiguration IKE Phase-1-Aus verhandlungen sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern beinhalten. Darüber hinaus muss dieselbe Gruppenkennung sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert werden.

Gruppenrichtlinien werden auf dem Gruppenserver konfiguriert. Alle für eine Gruppe konfigurierten Gruppenrichtlinien werden von Gruppenmitgliedern heruntergeladen. Bereichsrichtlinien, die auf einem Gruppenmitglied konfiguriert wurden, legen fest, welche Gruppenrichtlinien auf dem Mitglied installiert werden. In diesem Beispiel werden auf dem Gruppenserver die folgenden Gruppenrichtlinien zum Herunterladen auf alle Gruppenmitglieder konfiguriert:

  • p1– Ermöglicht den ganzen Datenverkehr von 10.1.0.0/16 bis 10.2.0.0./16

  • p2– Ermöglicht den ganzen Datenverkehr von 10.2.0.0./16 bis 10.1.0.0/16

  • p3– Ermöglicht Multicast-Datenverkehr von 10.1.1.1/32

Das Member1-Gerät ist mit Bereichsrichtlinien konfiguriert, die allen Unicast-Datenverkehr zum und vom 10.0.0/8-Subnetz ermöglichen. Für Member1 ist keine Bereichsrichtlinie zum Zulassen von Multicast-Datenverkehr konfiguriert. daher wird SA-Richtlinie p3 nicht auf Member1 installiert.

Das Member2-Gerät wird mit Bereichsrichtlinien konfiguriert, die Datenverkehr von 10.1.0.0/16 von der Trust Zone zur nicht vertrauenswürdigen Zone und bis zu 10.1.0.0/16 von der nicht vertrauenswürdigen Zone zur Trust Zone ablegen. Daher wird die SA-Richtlinie p2 nicht auf Member2 installiert.

Konfiguration

Konfigurieren des Gruppenservers

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie den Gruppenserver:

  1. Konfigurieren Sie die Loopback-Adresse auf dem Gerät.

  2. Konfiguration IKE Phase 1-Sicherheitszuordnung (diese Konfiguration muss den auf den Gruppenmitgliedern konfigurierten Phase-1-Sicherheitszuordnungen übereinstimmen).

  3. Definieren Sie IKE Richtlinien und legen Sie die Remote-Gateways fest.

  4. Konfigurieren Sie den Phase-2-SA-Austausch.

  5. Konfigurieren Sie die Gruppenkennung und das IKE Gateway.

  6. Konfiguration der Kommunikation zwischen den Servern

  7. Konfigurieren Sie die Gruppenrichtlinien, die zum Herunterladen von Gruppenmitgliedern heruntergeladen werden sollen.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security group-vpn server eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfiguration von Mitglied1

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Mitglied1:

  1. Konfiguration von Phase 1-Sicherheitszuordnung (diese Konfiguration muss mit der auf dem Gruppenserver konfigurierten Phase 1-Sicherheitszuordnung übereinstimmen)

  2. Definieren Sie IKE Richtlinien und legen Sie die Remote-Gateways fest.

  3. Konfigurieren Sie Gruppenkennung, IKE-Gateway und Schnittstelle für Member1.

    Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, dass die Schnittstelle, die von den Gruppenmitgliedern für die Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine MTU größe von nicht mehr als 1400 Bytes konfiguriert wird. Verwenden Sie set interface mtu die Konfigurationserklärung, um die Größe MTU festlegen.

  4. Richten Sie Adressbücher ein, und fügen Sie Zonen mit diesen an.

  5. Konfigurieren Sie eine Bereichsrichtlinie von der Trust Zone bis zur nicht vertrauenswürdigen Zone, die Unicast-Datenverkehr zum 10.0.0.0/8-Subnetz ermöglicht.

  6. Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone bis zur Trust Zone, die Unicast-Datenverkehr zum 10.0.0.0/8-Subnetz ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security group-vpn membershow security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfiguration von Mitglied2

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Mitglied2:

  1. Konfiguration von Phase 1-Sicherheitszuordnung (diese Konfiguration muss mit der auf dem Gruppenserver konfigurierten Phase 1-Sicherheitszuordnung übereinstimmen)

  2. Definieren Sie IKE Richtlinien und legen Sie das Remote-Gateway fest.

  3. Konfigurieren Sie Gruppenkennung, IKE-Gateway und Schnittstelle für Member2.

    Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, dass die Schnittstelle, die von den Gruppenmitgliedern für die Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine MTU größe von nicht mehr als 1400 Bytes konfiguriert wird. Verwenden Sie set interface mtu die Konfigurationserklärung, um die Größe MTU festlegen.

  4. Erstellen Sie ein Adressbuch, und fügen Sie es der Trust Zone bei.

  5. Erstellen Sie ein weiteres Adressbuch, und fügen Sie es mit der Zone an, die nicht vertrauenswürdig ist.

  6. Konfigurieren Sie eine Bereichsrichtlinie von der Trust Zone bis zur nicht vertrauenswürdigen Zone, die Datenverkehr von 10.1.0.0/16 blockiert.

  7. Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone bis zur Trust Zone, die den Datenverkehr bis 10.1.0.0/16 blockiert.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show security group-vpn membershow security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie diese Aufgabe aus:

Überprüfung dynamischer Richtlinien für Mitglied1

Zweck

Zeigen Sie die auf dem Member1 installierten dynamischen Richtlinien an.

Aktion

Geben Sie den Befehl aus dem Betriebsmodus ein, nachdem der Gruppenserver die Schlüssel zu Member1 show security dynamic-policies heruntergeladen hat.

Bedeutung

Die Multicast-Richtlinie p3 des Servers wird auf Member1 nicht installiert, da auf member1 keine Bereichsrichtlinie konfiguriert ist, die Multicast-Datenverkehr zulässt.

Überprüfung dynamischer Richtlinien für Member2

Zweck

Zeigen Sie die auf Mitglied 2 installierten dynamischen Richtlinien an.

Aktion

Geben Sie den Befehl aus dem Betriebsmodus ein, nachdem der Gruppenserver die Schlüssel zu Member2 show security dynamic-policies heruntergeladen hat.

Bedeutung

Die Richtlinie p2 (für den Datenverkehr von 10.1.0.0/16 bis 10.2.0.0/16) vom Server wird nicht auf Member2 installiert, da sie der auf member2 konfigurierten "Deny2"-Sicherheitsrichtlinie entspricht.

Beispiel: Konfigurieren der Gruppen-VPNv1 Kommunikation zwischen Servern für Unicast Rekey-Nachrichten

In diesem Beispiel wird gezeigt, wie der Server Unicast-Rekey-Nachrichten an Gruppenmitglieder sendet, um sicherzustellen, dass für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern gültige Schlüssel verfügbar sind. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650 unterstützt.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie den Gruppenserver und die Mitglieder für IKE 1-Aushandlung.

  • Konfigurieren Sie den Gruppenserver und die Mitglieder für Phase 2-IPsec-SICHERHEITSzuordnung.

  • Konfigurieren Sie die g1 Gruppe auf dem Gruppenserver.

Überblick

In diesem Beispiel geben Sie die folgenden Kommunikationsparameter für Server an, die für die Gruppe verwendet g1 werden:

  • Der Server sendet Unicast-Rekey-Nachrichten an Gruppenmitglieder.

  • 3des-cbc wird zur Verschlüsselung des Datenverkehrs zwischen Server und Mitgliedern verwendet.

  • sha1 wird für die Mitgliederauthentifizierung verwendet.

Die Standardwerte werden für Server-Heartbeats, die KEK-Lebensdauer und erneute Übertragungen verwendet.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

Konfiguration der Kommunikation zwischen Servern:

  1. Legen Sie den Kommunikationstyp fest.

  2. Legen Sie den Verschlüsselungsalgorithmus fest.

  3. Festlegen der Mitgliederauthentifizierung.

Überprüfung

Geben Sie den Befehl ein, um sicherzustellen, dass die Konfiguration ordnungsgemäß show security group-vpn server group g1 server-member-communication funktioniert.

Beispiel: Konfigurieren der Gruppen-VPNv1 Kommunikation zwischen Servern für Multicast-Rekey-Nachrichten

In diesem Beispiel wird gezeigt, wie der Server Multicast-Rekey-Nachrichten an Gruppenmitglieder sendet, um sicherzustellen, dass für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern gültige Schlüssel verfügbar sind. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650 unterstützt.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel geben Sie die folgenden Kommunikationen von Servern für die Gruppe g1 an:

  • Der Server sendet Multicast-Rekey-Nachrichten an Gruppenmitglieder mit der Multicastadresse 226.1.1.1 und der Schnittstelle ge-0/0/1.0.

  • 3des-cbc wird zur Verschlüsselung des Datenverkehrs zwischen Server und Mitgliedern verwendet.

  • sha1 wird für die Mitgliederauthentifizierung verwendet.

Die Standardwerte werden für Server-Heartbeats, die KEK-Lebensdauer und erneute Übertragungen verwendet.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

Zur Konfiguration der Kommunikation von Servern für Multicast-Rekey-Nachrichten:

  1. Legen Sie den Kommunikationstyp fest.

  2. Multicastgruppe festlegen.

  3. Legen Sie die Schnittstelle für ausgehende Multicast-Nachrichten fest.

  4. Legen Sie den Verschlüsselungsalgorithmus fest.

  5. Festlegen der Mitgliederauthentifizierung.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security group-vpn server group g1 server-member-communication eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Kommunikation von Servern mit einem Mitglied für Multicast-Rekey-Nachrichten

Zweck

Stellen Sie sicher, dass die Kommunikationsparameter für die Multicast-Rekey-Nachricht des Servers korrekt konfiguriert wurden, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.

Aktion

Geben Sie im Betriebsmodus den Befehl show security group-vpn server group g1 server-member-communication ein.

Beispiel: Konfigurieren von Gruppen-VPNv1 mit Server-Member-Colocation

In diesem Beispiel wird gezeigt, wie ein Gerät für den Colocation-Modus konfiguriert wird, wodurch Server- und Mitgliederfunktionen auf demselben physischen Gerät koexistär sein können. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650 unterstützt.

Anforderungen

Bevor Sie beginnen:

Überblick

Wenn der Colocation-Modus konfiguriert ist, können Funktionen für Gruppenserver und Gruppenmitglied im selben Gerät koexistiert sein. Im Colocation-Modus müssen Server und Mitglied über unterschiedliche IP-Adressen verfügen, damit die Pakete ordnungsgemäß übermittelt werden.

In besteht eine Gruppen-VPN-Gruppe (Gruppenkennung 1) aus zwei Mitgliedern (Member1 und Member2) und einem Gruppenserver (die IP-Adresse der Loopback-Schnittstelle ist Abbildung 3 20.0.0.1). Beachten Sie, dass Member1 im selben Gerät wie der Gruppenserver koexistieren kann. In diesem Beispiel wird der Schnittstelle, die Member1 für die Verbindung mit dem MPLS-Netzwerk (ge-0/1/0) verwendet, die IP-Adresse 10.1.0.1/32 zugewiesen.

Abbildung 3: Beispiel für Server-Member-ColocationBeispiel für Server-Member-Colocation

In den Konfigurationsanweisungen in diesem Thema wird beschrieben, wie das Gerät für Gruppenserver-Mitglied1 für den Colocation-Modus konfiguriert wird. Zum Konfigurieren von Member2 finden Sie unter folgendem Beispiel: Konfigurieren von Gruppen-VPNv1-Server und -Mitgliedern

Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, dass die Schnittstelle, die vom Gruppenmitglied für die Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine MTU größe von nicht mehr als 1400 Bytes konfiguriert wird. Verwenden Sie set interface mtu die Konfigurationserklärung, um die Größe MTU festlegen.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

So konfigurieren Sie Gruppen-VPN mit Server-Member-Kollokation:

  1. Konfigurieren Sie die Loopback-Adresse auf dem Gerät.

  2. Konfigurieren Sie die Schnittstelle, die Member1 für die Verbindung mit dem Netzwerk MPLS verwendet.

  3. Konfigurieren Sie die Gruppen-VPN-Kollokation auf dem Gerät.

  4. Konfiguration IKE Phase 1-Sicherheitszuordnung für den Server (diese Konfiguration muss mit der auf Gruppenmitgliedern konfigurierten Phase-1-Sicherheitszuordnung übereinstimmen).

  5. Definieren Sie IKE Richtlinien, und legen Sie die Remote-Gateways fest.

  6. Konfigurieren Sie den Phase-2-SA-Austausch für den Server.

  7. Konfigurieren Sie die Gruppenkennung, IKE-Gateway, Antireplay-Zeit und die Serveradresse auf dem Server.

  8. Konfigurieren Sie den Server für die Kommunikation der Mitglieder.

  9. Konfigurieren Sie die Gruppenrichtlinien, die zum Herunterladen von Gruppenmitgliedern heruntergeladen werden sollen.

  10. Konfigurieren Sie Phase 1-Sicherheitszuordnung für Member1 (diese Konfiguration muss der für den Gruppenserver konfigurierten Phase-1-Sicherheitszuordnung übereinstimmen).

  11. Definieren Sie die Richtlinie und legen Sie das Remote-Gateway für Member1 fest.

  12. Konfigurieren Sie Gruppen-Identifier, IKE-Gateway und die Schnittstelle für Member1.

  13. Erstellen Sie Adressbücher, und fügen Sie sie mit Zonen an.

  14. Konfigurieren Sie eine Bereichsrichtlinie von der Trust Zone bis zur nicht vertrauenswürdigen Zone, die Unicast-Datenverkehr zum 10.0.0.0/8-Subnetz ermöglicht.

  15. Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone bis zur Trust Zone, die Unicast-Datenverkehr zum 10.0.0.0/8-Subnetz ermöglicht.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security group-vpn und den show security policies Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Stellen Sie in der Liste konfigurierter Sicherheitsrichtlinien sicher, dass die Scope-Richtlinien vor den Standardrichtlinien aufgeführt werden.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Verifizierung der Registrierung von Gruppen-VPN-Mitglieder

Zweck

Vergewissern Sie sich, dass die VPN-Mitglieder der Gruppe korrekt registriert wurden.

Aktion

Geben Sie im Betriebsmodus den Befehl show security group-vpn registered-members ein.

Überprüfung von Gruppen-VPN-Serversicherheitszuordnungen für IKE

Zweck

Überprüfen der SAs für den Gruppen-VPN-Server für IKE.

Aktion

Geben Sie im Betriebsmodus den Befehl show security group-vpn server ike security-associations ein.

Überprüfung von Gruppen-VPN-Serversicherheitszuordnungen für IPsec

Zweck

Überprüfen der SAs für den Gruppen-VPN-Server für IPsec

Aktion

Geben Sie im Betriebsmodus den Befehl show security group-vpn server ipsec security-associations ein.

Überprüfung der Sicherheitszuordnungen von GRUPPEN-VPN-IKE

Zweck

Überprüfen der SAs für die VPN-Mitglieder der Gruppe für IKE.

Aktion

Geben Sie im Betriebsmodus den Befehl show security group-vpn member ike security-associations ein.

Überprüfung von Gruppen-VPN-Member-Sicherheitszuordnungen für IPsec

Zweck

Überprüfen der SAs für die VPN-Mitglieder der Gruppe für IPsec

Aktion

Geben Sie im Betriebsmodus den Befehl show security group-vpn member ipsec security-associations ein.

Release-Verlaufstabelle
Release
Beschreibung
12.3X48-D30
Ab dem Junos OS Veröffentlichungs-12.3X48-D30 können Gruppen-VPNv1-Mitglieder mit Group VPNv2-Servern zusammenarbeiten.
12.3X48-D30
Ab Junos OS Release 12.3X48-D30 können VPNv1-Mitglieder der Gruppe auf Geräten von SRX100, SRX110, SRX210, SRX220, SRX240, SRX550 und SRX650 mit Gruppen-VPNv2-Servern zusammenarbeiten.