Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Gruppe VPNv1

Gruppen-VPN ist eine Reihe von Funktionen, die erforderlich sind, um den Datenverkehr von IP-Multicast-Gruppen oder Unicast-Datenverkehr über ein privates WAN zu sichern, der von einem Gerät stammt oder über ein Gerät fließt.

Group VPNv1 – Überblick

Eine IPsec Security Association (SA) ist eine unidirektionale Vereinbarung zwischen VPN-Teilnehmern (Virtual Private Network), die die Regeln definiert, die für Authentifizierungs- und Verschlüsselungsalgorithmen, wichtige Austauschmechanismen und sichere Kommunikation zu verwenden sind. Bei aktuellen VPN-Implementierungen ist die SA ein Punkt-zu-Punkt-Tunnel zwischen zwei Sicherheitsgeräten. Group VPNv1 erweitert die IPsec-Architektur, um SAs zu unterstützen, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden (siehe Abbildung 1).

Abbildung 1: Standard-IPsec-VPN und Gruppen-VPNv1Standard-IPsec-VPN und Gruppen-VPNv1

Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt. Mit Group VPNv1 wird any-to-Any-Konnektivität erreicht, indem die ursprünglichen Quell- und Ziel-IP-Adressen im äußeren Header erhalten bleiben. Sichere Multicast-Pakete werden genauso repliziert wie Cleartext-Multicast-Pakete im Core-Netzwerk.

Ab Junos OS Version 12.3X48-D30 können Mitglieder der Gruppe VPNv1 mit Gruppen-VPNv2-Servern zusammenarbeiten.

Group VPNv1 hat einige Anstandsbeschränkungen bezüglich RFC 6407, The Group Domain of Interpretation (GDOI). Um Gruppen-VPN ohne proprietäre Einschränkungen zu verwenden, aktualisieren Sie auf Group VPNv2. Group VPNv2 wird auf vSRX Virtual Firewall-Instanzen unterstützt, beginnend mit Junos OS Version 15.1X49-D30, Firewalls der SRX-Serie ab Junos OS Version 15.1X49-D40 und Geräte der MX-Serie ab Junos OS Version 15.1r2.

Verständnis des GDOI-Protokolls für Group VPNv1

Group VPNv1 basiert auf RFC 3547, The Group Domain of Interpretation (GDOI). Dieser RFC beschreibt das Protokoll zwischen Gruppenmitgliedern und einem Gruppenserver, um SAs unter den Gruppenmitgliedern einzurichten. GDOI-Nachrichten erstellen, pflegen oder löschen SAs für eine Gruppe von Geräten. Das GDOI-Protokoll läuft auf Port 848.

Das Internet Security Association and Key Management Protocol (ISAKMP) definiert zwei Verhandlungsphasen zum Einrichten von SAs für einen AutoKey IKE IPsec-Tunnel. Phase 1 ermöglicht es zwei Geräten, eine ISAKMP SA einzurichten. Phase 2 richtet SAs für andere Sicherheitsprotokolle wie GDOI ein.

Mit Gruppen-VPN wird Phase 1 ISAKMP SA-Aushandlung zwischen einem Gruppenserver und einem Gruppenmitglied durchgeführt. Server und Mitglied müssen dieselbe ISAKMP-Richtlinie verwenden. In Phase 2 richten GDOI-Austausche zwischen Server und Mitglied die SAs ein, die mit anderen Gruppenmitgliedern geteilt werden. Ein Gruppenmitglied muss keine IPsec mit anderen Gruppenmitgliedern aushandeln. Der Austausch von GDOI in Phase 2 muss durch ISAKMP Phase-1-SAs geschützt werden.

Es gibt zwei Arten von GDOI-Austausch:

  • Der groupkey-pull Exchange ermöglicht es einem Mitglied, SAs und Schlüssel anzufordern, die von der Gruppe vom Server freigegeben werden.

  • Der groupkey-push Exchange ist eine einzelne Neuschlüsselnachricht, die es dem Server ermöglicht, Gruppen-SAs und -Schlüssel an Mitglieder zu senden, bevor bestehende Gruppen-SAs ablaufen. Rekey-Nachrichten sind unerwünschte Nachrichten, die vom Server an Mitglieder gesendet werden.

Grundlegendes zu Gruppen-VPNv1-Einschränkungen

Die Folgenden werden in dieser Version für Gruppen-VPNv1 nicht unterstützt:

  • Nicht standardmäßige Routing-Instanzen

  • Gehäuse-Cluster

  • Server-Cluster

  • Routenbasiertes Gruppen-VPN

  • Öffentliche internetbasierte Bereitstellung

  • SNMP

  • Richtlinien von Cisco GET VPN-Server ablehnen

  • J-Web-Schnittstelle für Konfiguration und Überwachung

Ab Junos OS Version 12.3X48-D30 können VPNv1-Mitglieder der Gruppe auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX550- und SRX650-Geräten mit Group VPNv2-Servern zusammenarbeiten. Wenn Sie Gruppen-VPNv1-Mitglieder für die Verwendung mit Gruppen-VPNv2-Servern konfigurieren, beachten Sie die folgenden Einschränkungen:

  • Group VPNv2 unterstützt den IETF-Entwurf für die Spezifikation IP Delivery Delay Detection Protocol für einen zeitbasierten Antireplay-Mechanismus. Daher wird der protokollbasierte Antireplay-Schutz für IP-Bereitstellungsverzögerung auf Mitgliedern der Gruppe VPNv1 nicht unterstützt und muss auf dem Gruppen-VPNv2-Server mit dem deactivate security group-vpn server group group-name anti-replay-time-window Befehl deaktiviert werden.

  • Der Gruppen-VPNv2-Server unterstützt keine Colocation, wobei die Gruppenserver- und Gruppenmitgliedsfunktionen auf demselben Gerät vorhanden sind.

  • Der VPNv2-Server der Gruppe unterstützt keine Herzschlagübertragungen. Heartbeat muss auf dem Mitglied der Gruppe VPNv1 mit dem deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold Befehl deaktiviert werden. Wir empfehlen die Verwendung von Gruppen-VPNv2-Serverclustern, um Auswirkungen auf den Datenverkehr aufgrund von Neustarts oder anderen Unterbrechungen auf dem Gruppen-VPNv2-Server zu vermeiden.

  • Vom Group VPNv2-Server gesendete Groupkey-Push-Nachrichten basieren auf RFC 6407, Der Gruppendomäne der Interpretation (GDOI) und werden von Gruppen-VPNv1-Mitgliedern nicht unterstützt. Daher müssen Gruppenschlüssel-Push-Nachrichten auf dem Gruppen-VPNv2-Server mit dem deactivate security group-vpn server group group-name server-member-communication Befehl deaktiviert werden.

    Rekeys werden mit Gruppenschlüssel-Pull-Nachrichten unterstützt. Wenn Es Skalierungsprobleme gibt, bei denen Mitglieder der Gruppe VPNv1 den GroupKey-Pull-Vorgang nicht vor Ablauf der harten Lebensdauer von TEK abschließen können, empfehlen wir, die TEK-Lebensdauer zu erhöhen, damit die Mitglieder ausreichend Zeit haben, den GroupKey-Pull-Vorgang abzuschließen. Die Skalierungszahlen von Juniper sind mit einer TEK-Lebensdauer von 2 Stunden qualifiziert.

  • Wenn der Gruppen-VPNv2-Server neu gestartet oder aktualisiert wird oder die SAs für die Gruppe deaktiviert sind, können neue Mitglieder erst dann zum Netzwerk hinzugefügt werden, wenn der nächste Umschlüssel für vorhandene Mitglieder erfolgt. Neue Mitglieder können Datenverkehr nicht an bestehende Mitglieder mit alten Schlüsseln senden. Löschen Sie als Problemumgehung die SAs für die vorhandenen Mitglieder der Gruppe VPNv1 mit dem clear security group-vpn member ipsec security-associations Befehl.

  • Da Multicast-Datenverkehr von Gruppen-VPNv2-Mitgliedern nicht unterstützt wird, kann Multicast-Datenverkehr nicht verwendet werden, wenn Gruppen VPNv1- und Group VPNv2-Mitglieder im Netzwerk für dieselbe Gruppe koexistieren.

Grundlegendes zu Gruppen-VPNv1-Servern und -Mitgliedern

Der Mittelpunkt eines Gruppen-VPN ist der Gruppenserver. Der Gruppenserver führt folgende Aufgaben aus:

  • Steuerung der Gruppenmitgliedschaft

  • Generiert Verschlüsselungsschlüssel

  • Verwaltet Gruppen-SAs und -Schlüssel und verteilt sie an Gruppenmitglieder

Gruppenmitglieder verschlüsseln den Datenverkehr basierend auf den Gruppen-SAs und Schlüsseln, die vom Gruppenserver bereitgestellt werden.

Ein Gruppenserver kann mehrere Gruppen bedienen. Ein einzelnes Sicherheitsgerät kann Mitglied mehrerer Gruppen sein.

Jede Gruppe wird durch einen Gruppenbezeichner dargestellt, bei dem es sich um eine Zahl zwischen 1 und 65.535 handelt. Gruppenserver und Gruppenmitglieder sind durch den Gruppenbezeichner miteinander verbunden. Es kann nur einen Gruppenbezeichner pro Gruppe geben, und mehrere Gruppen können denselben Gruppenbezeichner nicht verwenden.

Im Folgenden erhalten Sie eine allgemeine Ansicht der Gruppen-VPN-Server- und Mitgliederaktionen:

  1. Der Gruppenserver überwacht den UDP-Port 848, um sich zu registrieren. Ein Mitgliedsgerät muss die korrekte IKE Phase 1-Authentifizierung bereitstellen, um der Gruppe beitreten zu können. Pre-Sharing-Schlüsselauthentifizierung auf Mitgliederbasis wird unterstützt.

  2. Nach erfolgreicher Authentifizierung und Registrierung ruft das Mitgliedsgerät Gruppen-SAs und Schlüssel vom Server mit einem GDOI-Austausch groupkey-pull ab.

  3. Der Server fügt das Mitglied der Mitgliedschaft für die Gruppe hinzu.

  4. Gruppenmitglieder tauschen Pakete aus, die mit Gruppen-SA-Schlüsseln verschlüsselt sind.

Der Server sendet in regelmäßigen Abständen SA- und Schlüsselaktualisierungen mit GDOI-Nachrichten (Rekey groupkey-push) an Gruppenmitglieder. Umschlüsselungsnachrichten werden vor Ablauf der SAs gesendet. so wird sichergestellt, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.

Der Server sendet außerdem Neuschlüsselnachrichten, um den Mitgliedern neue Schlüssel bereitzustellen, wenn sich die Gruppenmitgliedschaft ändert oder die Gruppen-SA geändert wurde.

Grundlegendes zur Gruppen-VPNv1-Server-Mitglieder-Kommunikation

Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt. Die Kommunikation mit den Servermitgliedern ermöglicht es dem Server, GDOI-Nachrichten groupkey-push an mitglieder zu senden. Wenn die Kommunikation zwischen Servermitgliedern für die Gruppe nicht konfiguriert ist, können Mitglieder GDOI-Nachrichten groupkey-pull senden, um sich beim Server zu registrieren und erneut anzumelden, aber der Server ist nicht in der Lage, Umschlüsselnachrichten an Mitglieder zu senden.

Die Kommunikation mit Server-Membern wird für die Gruppe mithilfe der server-member-communication Konfigurationsaussage in der Hierarchie [edit security group-vpn server] konfiguriert. Folgende Optionen können definiert werden:

  • Verschlüsselungsalgorithmus, der für die Kommunikation zwischen Server und Mitglied verwendet wird. Sie können 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc oder des-cbc angeben. Es gibt keinen Standardalgorithmus.

  • Authentifizierungsalgorithmus (md5 oder sha1), der zur Authentifizierung des Mitglieds beim Server verwendet wird. Es gibt keinen Standardalgorithmus.

  • Ob der Server Unicast- oder Multicast-Neuschlüsselnachrichten an Gruppenmitglieder und Parameter sendet, die sich auf den Kommunikationstyp beziehen.

  • Intervall, in dem der Server Herzschläge-Nachrichten an das Gruppenmitglied sendet. Auf diese Weise kann der Member feststellen, ob der Server neu gestartet wurde, was eine erneute Registrierung beim Server erfordern würde. Der Standard ist 300 Sekunden.

  • Lebensdauer des Schlüsselverschlüsselungsschlüssels (KEK). Der Standard ist 3600 Sekunden.

Die Konfiguration der Server-Member-Kommunikation ist notwendig, damit der Gruppenserver Neuschlüsselnachrichten an Mitglieder senden kann, aber es kann vorkommen, dass dieses Verhalten nicht erwünscht ist. Wenn es sich beispielsweise um dynamische Peers handelt (z. B. im Homeoffice), sind die Geräte nicht immer betriebsbereit und die IP-Adresse eines Geräts kann bei jedem Einschalten anders sein. Die Konfiguration der Server-Member-Kommunikation für eine Gruppe dynamischer Peers kann zu unnötigen Übertragungen durch den Server führen. Wenn Sie möchten, dass die IKE Phase 1 SA-Aushandlung immer zum Schutz der GDOI-Aushandlung durchgeführt werden soll, konfigurieren Sie die Kommunikation zwischen Servermitarbeitern nicht.

Wenn die Kommunikation zwischen Servermitgliedern für eine Gruppe nicht konfiguriert ist, zeigt die show security group-vpn server registered-members vom Befehl angezeigte Mitgliedschaftsliste Gruppenmitglieder an, die sich beim Server registriert haben; Mitglieder können aktiv sein oder nicht. Wenn die Kommunikation zwischen Servern und Mitgliedern für eine Gruppe konfiguriert ist, wird die Liste der Gruppenmitglieder deaktiviert. Wenn der Kommunikationstyp als Unicast konfiguriert ist, zeigt der show security group-vpn server registered-members Befehl nur aktive Member an. Wenn der Kommunikationstyp als Multicast konfiguriert ist, zeigt der Befehl Die show security group-vpn server registered-members Mitglieder an, die sich nach der Konfiguration beim Server registriert haben. Die Mitgliederliste repräsentiert nicht unbedingt aktive Mitglieder, da Mitglieder nach der Registrierung möglicherweise aussteigen.

Grundlegendes zu Group VPNv1 Group Key Operations

Dieses Thema enthält die folgenden Abschnitte:

Gruppenschlüssel

Der Gruppenserver unterhält eine Datenbank, um die Beziehung zwischen VPN-Gruppen, Gruppenmitgliedern und Gruppenschlüsseln zu verfolgen. Es gibt zwei Arten von Gruppenschlüsseln, die der Server an Mitglieder herunterlädt:

  • Key Encryption Key (KEK): Wird zur Verschlüsselung von Neuschlüsselmeldungen verwendet. Pro Gruppe wird ein KEK unterstützt.

  • Traffic Encryption Key (TEK): Wird zur Ver- und Entschlüsselung des IPsec-Datenverkehrs zwischen Gruppenmitgliedern verwendet.

Der einer SA zugeordnete Schlüssel wird von einem Gruppenmitglied nur akzeptiert, wenn eine übereinstimmende Bereichsrichtlinie auf dem Mitglied konfiguriert ist. Für das Gruppen-VPN wird ein akzeptierter Schlüssel installiert, während ein abgelehnter Schlüssel verworfen wird.

Nachrichten neu schlüsseln

Wenn die Gruppe für die Kommunikation zwischen Servermitgliedern konfiguriert ist, sendet der Server in regelmäßigen Abständen SA- und Schlüsselaktualisierungen mit GDOI-Nachrichten groupkey-push(Rekey) an Gruppenmitglieder. Umschlüsselungsnachrichten werden vor Ablauf der SAs gesendet. so wird sichergestellt, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.

Der Server sendet auch Neuschlüsselnachrichten, um den Mitgliedern neue Schlüssel bereitzustellen, wenn eine Änderung der Gruppenmitgliedschaft erfolgt oder die Gruppen-SA geändert wurde (z. B. wird eine Gruppenrichtlinie hinzugefügt oder gelöscht).

Kommunikationsoptionen für Servermitglieder müssen auf dem Server konfiguriert werden, damit der Server Neuschlüsselnachrichten an Gruppenmitglieder senden kann. Diese Optionen geben den Typ der Nachricht und die Intervalle an, in denen die Nachrichten gesendet werden, wie in den folgenden Abschnitten erläutert:

Es gibt zwei Arten von Neuschlüsselmeldungen:

  • Unicast-Neuschlüsselmeldungen: Der Gruppenserver sendet eine Kopie der Neuschlüsselnachricht an jedes Gruppenmitglied. Nach Erhalt der Neuschlüsselnachricht müssen mitglieder eine Bestätigung (ACK) an den Server senden. Wenn der Server keine ACK von einem Mitglied erhält (einschließlich der erneuten Übertragung von Neuschlüsselmeldungen), betrachtet der Server den Member als inaktiv und entfernt sie aus der Mitgliederliste. Der Server sendet keine Neuschlüsselnachrichten mehr an das Mitglied.

    retransmission-period Die number-of-retransmission Konfigurationsanweisungen für die Kommunikation mit Servermitarbeitern steuern das erneute Senden von Neuschlüsselnachrichten durch den Server, wenn keine ACK von einem Mitglied empfangen wird.

  • Multicast-Neuschlüsselmeldungen: Der Gruppenserver sendet eine Kopie der Neuschlüsselnachricht von der angegebenen ausgehenden Schnittstelle an die konfigurierte Multicast-Gruppenadresse. Mitglieder senden keine Bestätigung des Eingangs von Multicast-Neuschlüsselnachrichten. Die Liste der registrierten Mitglieder repräsentiert nicht unbedingt aktive Mitglieder, da Mitglieder nach der ersten Registrierung möglicherweise aussteigen. Alle Mitglieder der Gruppe müssen so konfiguriert sein, dass sie Multicast-Nachrichten unterstützen.

    IP-Multicast-Protokolle müssen so konfiguriert sein, dass sie die Bereitstellung von Multicast-Datenverkehr im Netzwerk ermöglichen. Ausführliche Informationen zur Konfiguration von Multicast-Protokollen auf Geräten von Juniper Networks finden Sie im Benutzerhandbuch zu Multicast-Protokollen .

Das Intervall, in dem der Server Neuschlüsselmeldungen sendet, wird basierend auf den Werten der lifetime-secondsactivation-time-delay Konfigurationsanweisungen in der Hierarchie [edit security group-vpn server group] berechnet. Das Intervall wird als lifetime-seconds minus 4*(activation-time-delay)berechnet.

Der lifetime-seconds für den KEK wird als Teil der Server-Member-Kommunikation konfiguriert; der Standardwert ist 3600 Sekunden. Der lifetime-seconds für die TEK ist für den IPsec-Vorschlag konfiguriert; der Standardwert beträgt 3600 Sekunden. Die activation-time-delay Ist für die Gruppe auf dem Server konfiguriert; der Standard ist 15 Sekunden. Unter Verwendung der Standardwerte für lifetime-seconds und activation-time-delay, beträgt das Intervall, in dem der Server Neuschlüsselnachrichten 3600 minus 4*15sendet, oder 3540 Sekunden.

Mitgliederregistrierung

Wenn ein Gruppenmitglied vor Ablauf des aktuellen Schlüssels keinen neuen SA-Schlüssel vom Server erhält, muss sich das Mitglied beim Server erneut anmelden und aktualisierte Schlüssel über einen GDOI-Austausch groupkey-pull erhalten. In diesem Fall wird das Intervall, in dem der Server Neuschlüsselmeldungen sendet, wie folgt berechnet: lifetime-seconds minus 3*(activation-time-delay). Unter Verwendung der Standardwerte für lifetime-seconds und activation-time-delaybeträgt das Intervall, in dem der Server Neuschlüsselnachrichten sendet, 3600 minus 3*15 oder 3555 Sekunden.

Eine erneute Registrierung eines Mitglieds kann aus folgenden Gründen erfolgen:

  • Das Mitglied erkennt einen Serverneustart durch das Fehlen von Herzschlägen, die vom Server empfangen werden.

  • Die Nachricht zum Erneutschlüssel vom Gruppenserver geht verloren oder verzögert, und die Lebensdauer von TEK ist abgelaufen.

Schlüsselaktivierung

Wenn ein Mitglied einen neuen Schlüssel vom Server erhält, wartet es eine Zeit lang, bevor es den Schlüssel für die Verschlüsselung verwendet. Dieser Zeitraum wird durch die activation-time-delay Konfigurationsaussage bestimmt und ob der Schlüssel durch eine vom Server gesendete Neuschlüsselnachricht empfangen wird oder aufgrund der erneuten Registrierung des Mitglieds beim Server.

Wenn der Schlüssel durch eine vom Server gesendete Neuschlüsselnachricht empfangen wird, wartet der Mitglied 2*(activation-time-delay) Sekunden, bevor er den Schlüssel verwendet. Wenn der Schlüssel durch die erneute Registrierung des Mitglieds empfangen wird, wartet der Member die anzahl der Sekunden, die durch den activation-time-delay Wert angegeben wird.

Ein Mitglied behält die zwei zuletzt vom Server gesendeten Schlüssel für jede auf dem Mitglied installierte Gruppen-SA. Beide Schlüssel können für die Entschlüsselung verwendet werden, während der neueste Schlüssel für die Verschlüsselung verwendet wird. Der vorherige Schlüssel wird in der Anzahl der Sekunden entfernt, die durch den activation-time-delay Wert angegeben wird, nachdem der neue Schlüssel aktiviert wurde.

Der Standard für die activation-time-delay Konfigurationsaussage ist 15 Sekunden. Wenn dieser Zeitraum zu klein ist, kann dies dazu führen, dass ein Paket bei einem Remotegruppenmitglied abgelegt wird, bevor der neue Schlüssel installiert wird. Berücksichtigen Sie die Netzwerktopologie und die Verzögerungen bei der Systemübertragung, wenn Sie den activation-time-delay Wert ändern. Bei Unicast-Übertragungen ist die Systemübertragungsverzögerung proportional zur Anzahl der Gruppenmitglieder.

Ein VPNv1-Gruppenserver kann als Antwort auf eine Anfrage mehrere Datenverkehrsverschlüsselungsschlüssel (TEKs) an ein groupkey-pull VPNv1-Mitglied der Gruppe senden. Im Folgenden wird beschrieben, wie das VPNv1-Mitglied der Gruppe die vorhandenen TEK und die TEKs verwaltet, die es vom Server erhält:

  • Wenn das VPNv1-Mitglied der Gruppe zwei oder mehr TEKs erhält, enthält es die letzten beiden TEKs und löscht die vorhandene TEK. Von den beiden gehaltenen TEKs wird die ältere TEK sofort aktiviert, und die neuere TEK wird aktiviert, nachdem die activation-time-delay Konfiguration auf dem Gruppen-VPNv1-Server abgelaufen ist (der Standard ist 15 Sekunden).

  • Wenn das VPNv1-Mitglied der Gruppe nur eine TEK erhält oder wenn es eine TEK durch eine groupkey-push Nachricht vom Server erhält, wird die vorhandene TEK erst gelöscht, wenn die harte Lebensdauer abläuft. Die Lebensdauer wird für die bestehende TEK nicht verkürzt.

Das VPNv1-Mitglied der Gruppe installiert immer noch eine empfangene TEK, auch wenn die TEK-Lebensdauer weniger als das Zweifache des activation-time-delay Werts beträgt.

Understanding Group VPNv1 Heartbeat Messages

Wenn die Kommunikation zwischen Servermitgliedern konfiguriert ist, sendet der VPNv1-Server der Gruppe Herzschläge-Nachrichten in bestimmten Intervallen an die Mitglieder (das Standardintervall beträgt 300 Sekunden). Der Herzschlagmechanismus ermöglicht es Mitgliedern, sich erneut beim Server zu registrieren, wenn die angegebene Anzahl von Herzschlägen nicht empfangen wird. Beispielsweise erhalten Mitglieder während eines Serverneustarts keine Herzschlagnachrichten. Wenn der Server neu gestartet wurde, melden sich die Mitglieder erneut beim Server an.

Herzschläge werden durch groupkey-push Nachrichten übertragen. Die Sequenznummer wird auf jeder Herzschlagnachricht inkrementiert, was die Mitglieder vor Antwortangriffen schützt. Im Gegensatz zu Neuschlüsselnachrichten werden Herzschläge nicht von den Empfängern bestätigt und nicht vom Server übermittelt.

Herzschläge-Nachrichten enthalten die folgenden Informationen:

  • Aktueller Status und Konfiguration der Schlüssel auf dem Server

  • Relative Zeit, wenn Antireplay aktiviert ist

Durch den Vergleich der Informationen in den Herzschlägen kann ein Mitglied erkennen, ob es Serverinformationen verpasst oder Nachrichten neu schlüsselt. Das Mitglied registriert sich neu, um sich mit dem Server zu synchronisieren.

Herzschläge-Nachrichten können die Netzwerküberlastung erhöhen und unnötige Neuregistrierungen von Mitglied verursachen. So kann bei Bedarf die Herzschlagerkennung auf dem Member deaktiviert werden.

Grundlegendes zum Gruppen-VPNv1-Server-Colocation-Modus

Gruppenserver und Gruppenmitgliedsfunktionen sind voneinander getrennt und überschneiden sich nicht. Server- und Memberfunktionen können in demselben physischen Gerät koexistieren, das als Colocation-Modus bezeichnet wird. Im Colocation-Modus gibt es keine Änderungen in Bezug auf die Funktionalität und das Verhalten des Servers oder eines Mitglieds, aber dem Server und dem Mitglied müssen jeweils unterschiedliche IP-Adressen zugewiesen werden, damit Pakete ordnungsgemäß übermittelt werden können. Im Colocation-Modus kann dem Server nur eine IP-Adresse und eine IP-Adresse zugewiesen werden, die dem Mitglied gruppenübergreifend zugewiesen wird.

Gruppen-VPNv1-Konfiguration – Übersicht

In diesem Thema werden die wichtigsten Aufgaben für die Konfiguration der Gruppe VPNv1 beschrieben.

Konfigurieren Sie auf dem Gruppenserver Folgendes:

  1. IKE Phase 1-Aushandlung. Verwenden Sie die [edit security group-vpn server ike]-Hierarchie, um die IKE Phase 1 SA zu konfigurieren. Siehe Grundlegendes zur IKE-Phase-1-Konfiguration für Group VPNv2 .
  2. Phase 2 IPsec SA. Siehe Grundlegendes zur IPsec-SA-Konfiguration für Group VPNv1.
  3. VPN-Gruppe. Siehe Gruppen-VPNv1-Konfiguration– Übersicht.

Konfigurieren Sie für das Gruppenmitglied Folgendes:

  1. IKE Phase 1-Aushandlung. Verwenden Sie die [edit security group-vpn member ike] Hierarchie, um IKE Phase 1 SA zu konfigurieren. Siehe Grundlegendes zur IKE-Phase-1-Konfiguration für Group VPNv1 .

  2. Phase 2 IPsec SA. Siehe Grundlegendes zur IPsec-SA-Konfiguration für Group VPNv1.

  3. Bereichsrichtlinie, die bestimmt, welche Gruppenrichtlinien auf dem Mitglied installiert sind. Siehe Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1.

Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, die Schnittstelle, die vom Gruppenmitglied zur Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine maximale MTU-Größe (Transmission Unit) zu konfigurieren, die nicht größer als 1400 Bytes ist. Verwenden Sie die set interface mtu Konfigurationsaussage, um die MTU-Größe festzulegen.

Die VPN-Gruppe wird auf dem Server mit der group Konfigurationsaussage in der Hierarchie [edit security group-vpn server] konfiguriert.

Die Gruppeninformationen bestehen aus den folgenden Informationen:

  • Gruppenbezeichner: Ein Wert zwischen 1 und 65.535, der die VPN-Gruppe identifiziert. Dieselbe Gruppenkennung muss für das Gruppenmitglied für Autokey-IKE konfiguriert werden.

  • Gruppenmitglieder, wie mit der ike-gateway Konfigurationsaussage konfiguriert. Es kann mehrere Instanzen dieser Konfigurationsaussage geben, eine für jedes Mitglied der Gruppe.

  • IP-Adresse des Servers (die Loopback-Schnittstellenadresse wird empfohlen).

  • Gruppenrichtlinien: Richtlinien, die für Mitglieder heruntergeladen werden sollen. Gruppenrichtlinien beschreiben den Datenverkehr, auf den die SA und die Schlüssel angewendet werden. Siehe Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1.

  • Kommunikation mit Servermitgliedern– Optionale Konfiguration, die es dem Server ermöglicht, Neuschlüsselnachrichten an Mitglieder zu senden. Siehe Group VPNv1 – Übersicht.

  • Antireplay: Optionale Konfiguration zur Erkennung von Paketabfangen und -wiedergabe. Siehe Understanding Antireplay for Group VPNv1.See Understanding Antireplay for Group VPNv1.

Grundlegendes zur IKE-Phase-1-Konfiguration für Group VPNv1

Eine IKE Phase 1 SA zwischen dem Gruppenserver und einem Gruppenmitglied schafft einen sicheren Kanal zum Aushandeln von IPsec-SAs, die von einer Gruppe gemeinsam genutzt werden. Für Standard-IPsec-VPNs auf Sicherheitsgeräten von Juniper Networks besteht die Phase-1-SA-Konfiguration aus der Festlegung eines IKE-Vorschlags, einer Richtlinie und eines Gateways. Für Gruppe VPNv1 ähnelt die IKE Phase 1 SA-Konfiguration der Konfiguration für Standard-IPsec-VPNs, wird jedoch in der [edit security group-vpn]-Hierarchie durchgeführt.

In der IKE-Vorschlagskonfiguration haben Sie die Authentifizierungsmethode und die Authentifizierungs- und Verschlüsselungsalgorithmen festgelegt, die verwendet werden sollen, um einen sicheren Kanal zwischen den Teilnehmern zu öffnen. In der IKE-Richtlinienkonfiguration legen Sie den Modus (Haupt- oder Aggressivmodus) fest, in dem der Phase-1-Kanal ausgehandelt wird, geben die Art des zu verwendenden Schlüsselaustauschs an und verweisen auf den Phase-1-Vorschlag. In der IKE-Gateway-Konfiguration verweisen Sie auf die Phase-1-Richtlinie.

Da Group VPNv2 nur starke Algorithmen unterstützt, wird die Authentifizierungsalgorithmus-Option für Mitglieder der sha-256 Gruppe VPNv1 auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX550- und SRX650-Geräten unterstützt. Wenn Gruppen-VPNv1-Mitglieder mit Gruppen-VPNv2-Servern zusammenarbeiten, muss diese Option auf Gruppen-VPNv1-Mitgliedern mit dem edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 Befehl konfiguriert werden. Auf dem Gruppen-VPNv2-Server authentication-algorithm sha-256 muss für IKE-Vorschläge konfiguriert und authentication-algorithm hmac-sha-256-128 für IPsec-Vorschläge konfiguriert werden.

Wenn ein IKE-Gateway auf einem Gruppen-VPNv1-Mitglied mit mehr als einer Gateway-Adresse konfiguriert ist, wird die Fehlermeldung "Nur eine Remoteadresse darf pro IKE-Gateway-Konfiguration konfiguriert werden" angezeigt, wenn die Konfiguration festgelegt wird.

Die IKE Phase 1-Konfiguration auf dem Gruppenserver muss mit der IKE Phase 1-Konfiguration für Gruppenmitglieder übereinstimmen.

Grundlegendes zur IPsec-SA-Konfiguration für Group VPNv1

Nachdem Server und Mitglied in Phase 1-Aushandlung einen sicheren und authentifizierten Kanal eingerichtet haben, fahren sie durch Phase 2. Phase 2-Aushandlung legt die IPsec-SAs fest, die von Gruppenmitgliedern gemeinsam genutzt werden, um Daten zu sichern, die zwischen Mitgliedern übertragen werden. Während die IPsec SA-Konfiguration für Gruppen-VPN der Konfiguration für Standard-VPNs ähnelt, muss ein Gruppenmitglied die SA nicht mit anderen Gruppenmitgliedern aushandeln.

Phase 2 IPsec-Konfiguration für Gruppe VPNv1 besteht aus den folgenden Informationen:

  • Ein Vorschlag für das Sicherheitsprotokoll, die Authentifizierung und den Verschlüsselungsalgorithmus, die für die SA verwendet werden sollen. Der IPsec-SA-Vorschlag wird auf dem Gruppenserver mit der proposal Konfigurationsaussage in der Hierarchie [edit security group-vpn server ipsec] konfiguriert.

  • Eine Gruppenrichtlinie, die auf den Vorschlag verweist. Eine Gruppenrichtlinie gibt den Datenverkehr (Protokoll, Quelladresse, Quellport, Zieladresse und Zielport) an, auf den die SA und die Schlüssel angewendet werden. Die Gruppenrichtlinie wird auf dem Server mit der ipsec-sa Konfigurationsaussage in der Hierarchie [edit security group-vpn server group ] konfiguriert.

  • Ein automatischer IKE, der auf den Gruppenbezeichner, den Gruppenserver (mit der ike-gateway Konfigurationsaussage konfiguriert) und die Schnittstelle verweist, die vom Mitglied zur Verbindung mit der Gruppe verwendet wird. Der autokey-IKE wird auf dem Member mit der ipsec vpn Konfigurationsaussage in der Hierarchie [edit security group-vpn member] konfiguriert.

Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1

Der Gruppenserver verteilt Gruppen-SAs und -Schlüssel an Mitglieder einer angegebenen Gruppe. Alle Mitglieder, die derselben Gruppe angehören, können den gleichen Satz von IPsec-SAs teilen. Aber nicht alle für eine Gruppe konfigurierten SAs sind auf jedem Gruppenmitglied installiert. Die auf einem bestimmten Mitglied installierte SA wird durch die Richtlinie bestimmt, die der Gruppen-SA zugeordnet ist, und den auf dem Mitglied konfigurierten Sicherheitsrichtlinien.

In einer VPN-Gruppe sind jede Gruppe SA und der Schlüssel, den der Server an ein Mitglied pusht, mit einer Gruppenrichtlinie verknüpft. Die Gruppenrichtlinie beschreibt den Datenverkehr, für den der Schlüssel verwendet werden soll, einschließlich Protokoll, Quelladresse, Quellport, Zieladresse und Zielport.

Gruppenrichtlinien, die identisch sind (die mit derselben Quelladresse, Zieladresse, Quellport, Zielport und Protokollwerten konfiguriert sind), können für eine einzelne Gruppe nicht vorhanden sein. Ein Fehler wird zurückgegeben, wenn Sie versuchen, eine Konfiguration zu bestätigen, die identische Gruppenrichtlinien für eine Gruppe enthält. Wenn dies der Fall ist, müssen Sie eine der identischen Gruppenrichtlinien löschen.

Auf einem Gruppenmitglied muss eine Bereichsrichtlinie konfiguriert werden, die den Bereich der vom Server heruntergeladenen Gruppenrichtlinie definiert. Eine vom Server verteilte Gruppenrichtlinie wird mit den auf dem Member konfigurierten Bereichsrichtlinien verglichen. Damit eine Gruppenrichtlinie auf dem Mitglied installiert werden kann, müssen die folgenden Bedingungen erfüllt sein:

  • Alle in der Gruppenrichtlinie angegebenen Adressen müssen innerhalb des in der Bereichsrichtlinie angegebenen Adressbereichs liegen.

  • Quellport, Zielport und Protokoll, die in der Gruppenrichtlinie angegeben sind, müssen mit den in der Bereichsrichtlinie konfigurierten Protokollen übereinstimmen.

Eine Gruppenrichtlinie, die auf einem Mitglied installiert ist, wird als dynamische Richtlinie bezeichnet.

Eine Bereichsrichtlinie kann Teil einer geordneten Liste von Sicherheitsrichtlinien für einen bestimmten Zonen- und Zonenkontext sein. Junos OS führt eine Sicherheitsrichtliniensuche für eingehende Pakete durch, die von oben in der geordneten Liste beginnt.

Abhängig von der Position der Umfangsrichtlinie in der geordneten Liste der Sicherheitsrichtlinien gibt es mehrere Möglichkeiten für die dynamische Richtliniensuche:

  • Wenn das eingehende Paket mit einer Sicherheitsrichtlinie übereinstimmt, bevor die Bereichsrichtlinie berücksichtigt wird, erfolgt keine dynamische Richtliniensuche.

  • Wenn eine eingehende Richtlinie mit einer Bereichsrichtlinie übereinstimmt, wird der Suchvorgang nach einer passenden dynamischen Richtlinie fortgesetzt. Wenn es eine übereinstimmende dynamische Richtlinie gibt, wird diese Richtlinienaktion (Permit) durchgeführt. Wenn keine übereinstimmende dynamische Richtlinie vorhanden ist, wird bei der Suche weiterhin die Richtlinien unterhalb der Bereichsrichtlinie durchsucht.

    In dieser Version ist nur die tunnel Aktion für eine Bereichsrichtlinie zulässig. Andere Aktionen werden nicht unterstützt.

Sie konfigurieren eine Bereichsrichtlinie für ein Gruppenmitglied, indem Sie die policies Konfigurationsaussage in der Hierarchie [edit security] verwenden. Verwenden Sie die ipsec-group-vpn Konfigurationsaussage in der Regel "Tunnel zulassen", um auf das Gruppen-VPN zu verweisen. Dadurch können Gruppenmitglieder eine einzelne SA gemeinsam nutzen.

Understanding Antireplay for Group VPNv1

Antireplay ist eine IPsec-Funktion, die erkennen kann, wenn ein Paket abgefangen und dann von Angreifern wiedergegeben wird. Antireplay ist standardmäßig für Gruppen-VPNs aktiviert, kann aber für eine Gruppe mit der no-anti-replay Konfigurationsaussage deaktiviert werden.

Wenn antireplay aktiviert ist, synchronisiert der Gruppenserver die Zeit zwischen den Gruppenmitgliedern. Jedes IPsec-Paket enthält einen Zeitstempel. Das Gruppenmitglied prüft, ob der Zeitstempel des Pakets unter den konfigurierten anti-replay-time-window Wert fällt (der Standard ist 100 Sekunden). Ein Paket wird gelöscht, wenn der Zeitstempel den Wert übersteigt.

Beispiel: Konfigurieren von Gruppen-VPNv1-Server und -Mitgliedern

Dieses Beispiel zeigt, wie Sie die Gruppe VPNv1 konfigurieren, um die IPsec-Architektur zur Unterstützung von SAs zu erweitern, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden. Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.

Anforderungen

Bevor Sie beginnen:

Überblick

In Abbildung 2besteht ein Gruppen-VPN aus zwei Mitgliedsgeräten (member1 und member2) und einem Gruppenserver (die IP-Adresse der Loopback-Schnittstelle auf dem Server ist 20.0.0.1). Der Gruppenbezeichner ist 1.

Abbildung 2: Konfigurationsbeispiel für ServermitgliedKonfigurationsbeispiel für Servermitglied

Die Phase-2-Gruppen-VPN-SAs müssen durch eine Phase-1-SA geschützt werden. Daher muss die Gruppen-VPN-Konfiguration die Konfiguration von IKE Phase 1-Verhandlungen sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern umfassen. Außerdem muss dieselbe Gruppenkennung sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert werden.

Gruppenrichtlinien werden auf dem Gruppenserver konfiguriert. Alle für eine Gruppe konfigurierten Gruppenrichtlinien werden auf Gruppenmitglieder heruntergeladen. Für ein Gruppenmitglied konfigurierte Bereichsrichtlinien legen fest, welche Gruppenrichtlinien tatsächlich auf dem Mitglied installiert sind. In diesem Beispiel werden die folgenden Gruppenrichtlinien auf dem Gruppenserver zum Herunterladen an alle Gruppenmitglieder konfiguriert:

  • p1 – Erlaubt den gesamten Datenverkehr von 10.1.0.0/16 bis 10.2.0.0./16

  • p2 – Erlaubt den gesamten Datenverkehr von 10.2.0.0./16 bis 10.1.0.0/16

  • p3 – Ermöglicht Multicast-Datenverkehr ab 10.1.1.1/32

Das Member1-Gerät ist mit Bereichsrichtlinien konfiguriert, die den gesamten Unicast-Datenverkehr zum und vom 10.0.0.0/8-Subnetz zulassen. Auf Member1 ist keine Bereichsrichtlinie konfiguriert, um Multicast-Datenverkehr zu erlauben. daher ist die SA-Richtlinie P3 auf Member1 nicht installiert.

Das Member2-Gerät ist mit Bereichsrichtlinien konfiguriert, die den Datenverkehr von 10.1.0.0/16 von der Vertrauenszone in die nicht vertrauenswürdige Zone und auf 10.1.0.0/16 von der nicht vertrauenswürdigen Zone in die Trust Zone ablegen. Daher ist die SA-Richtlinie p2 auf Member2 nicht installiert.

Konfiguration

Konfigurieren des Gruppenservers

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie den Gruppenserver:

  1. Konfigurieren Sie die Loopback-Adresse auf dem Gerät.

  2. Konfigurieren Sie IKE Phase 1 SA (diese Konfiguration muss mit der phase 1 SA übereinstimmen, die auf den Gruppenmitgliedern konfiguriert wurde).

  3. Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.

  4. Konfigurieren Sie den Phase-2-SA-Austausch.

  5. Konfigurieren Sie den Gruppenbezeichner und das IKE-Gateway.

  6. Konfigurieren Sie die Server-zu-Member-Kommunikation.

  7. Konfigurieren Sie die Gruppenrichtlinien, die an Gruppenmitglieder heruntergeladen werden sollen.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security group-vpn server Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration von Member1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Member1:

  1. Konfigurieren Sie Phase 1 SA (diese Konfiguration muss mit der phase 1 SA übereinstimmen, die auf dem Gruppenserver konfiguriert wurde).

  2. Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.

  3. Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für Member1.

    Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, die Schnittstelle, die von den Gruppenmitgliedern zur Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine MTU-Größe von nicht größer als 1400 Bytes zu konfigurieren. Verwenden Sie die set interface mtu Konfigurationsaussage, um die MTU-Größe festzulegen.

  4. Erstellen Sie Adressbücher und fügen Sie Zonen an.

  5. Konfigurieren Sie eine Bereichsrichtlinie von der Trust Zone zur nicht vertrauenswürdigen Zone, die Unicast-Datenverkehr zum und vom 10.0.0.0/8-Subnetz zulässt.

  6. Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone zur Vertrauenszone, die Unicast-Datenverkehr zum und vom 10.0.0.0/8-Subnetz ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show security group-vpn member befehle eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration von Member2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie Member2:

  1. Konfigurieren Sie Phase 1 SA (diese Konfiguration muss mit der phase 1 SA übereinstimmen, die auf dem Gruppenserver konfiguriert wurde).

  2. Definieren Sie die IKE-Richtlinie und legen Sie das Remote-Gateway fest.

  3. Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für Member2.

    Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, die Schnittstelle, die von den Gruppenmitgliedern zur Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine MTU-Größe von nicht größer als 1400 Bytes zu konfigurieren. Verwenden Sie die set interface mtu Konfigurationsaussage, um die MTU-Größe festzulegen.

  4. Erstellen Sie ein Adressbuch, und fügen Sie es der Vertrauenszone bei.

  5. Erstellen Sie ein weiteres Adressbuch, und hängen Sie es der nicht vertrauenswürdigen Zone an.

  6. Konfigurieren Sie eine Bereichsrichtlinie von der Trust Zone bis zur nicht vertrauenswürdigen Zone, die den Datenverkehr von 10.1.0.0/16 blockiert.

  7. Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone zur Vertrauenszone, die den Datenverkehr bis 10.1.0.0/16 blockiert.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show security group-vpn member befehle eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Führen Sie diese Aufgabe durch, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung dynamischer Richtlinien für Member1

Zweck

Zeigen Sie die auf Member1 installierten dynamischen Richtlinien an.

Aktion

Nachdem der Gruppenserver die Schlüssel zu Member1 heruntergeladen hat, geben Sie den show security dynamic-policies Befehl aus dem Betriebsmodus ein.

Bedeutung

Die Multicast-Richtlinie p3 vom Server ist auf Member1 nicht installiert, da auf Member1 keine Bereichsrichtlinie konfiguriert ist, die Multicast-Datenverkehr zulässt.

Überprüfung dynamischer Richtlinien für Member2

Zweck

Sehen Sie sich die auf Member 2 installierten dynamischen Richtlinien an.

Aktion

Nachdem der Gruppenserver die Schlüssel zu Member2 heruntergeladen hat, geben Sie den show security dynamic-policies Befehl aus dem Betriebsmodus ein.

Bedeutung

Die Richtlinie p2 (für Datenverkehr von 10.1.0.0/16 bis 10.2.0.0/16) vom Server ist auf Member2 nicht installiert, da sie mit der auf Member2 konfigurierten Sicherheitsrichtlinie deny2 übereinstimmt.

Beispiel: Konfigurieren der Gruppen-VPNv1-Server-Member-Kommunikation für Unicast-Rekey-Nachrichten

Dieses Beispiel zeigt, wie der Server Unicast-Neuschlüsselnachrichten an Gruppenmitglieder senden kann, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind. Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie den Gruppenserver und die Mitglieder für die IKE Phase 1-Aushandlung.

  • Konfigurieren Sie den Gruppenserver und die Mitglieder für Phase 2 IPsec SA.

  • Konfigurieren Sie die Gruppe g1 auf dem Gruppenserver.

Überblick

In diesem Beispiel geben Sie die folgenden Kommunikationsparameter für Servermitglied für Gruppe g1an:

  • Der Server sendet Unicast-Neuschlüsselmeldungen an Gruppenmitglieder.

  • 3des-cbc wird verwendet, um den Datenverkehr zwischen dem Server und den Mitgliedern zu verschlüsseln.

  • sha1 wird für die Mitgliederauthentifizierung verwendet.

Standardwerte werden für Server-Herzschläge, KEK-Lebensdauer und Erneute Übertragungen verwendet.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie die Kommunikation zwischen Servermitarbeitern:

  1. Legen Sie den Kommunikationstyp fest.

  2. Legen Sie den Verschlüsselungsalgorithmus fest.

  3. Legen Sie die Mitgliederauthentifizierung fest.

Überprüfung

Geben Sie den Befehl ein, um zu überprüfen, ob die show security group-vpn server group g1 server-member-communication Konfiguration ordnungsgemäß funktioniert.

Beispiel: Konfigurieren der Gruppen-VPNv1-Server-Member-Kommunikation für Multicast-Rekey-Nachrichten

Dieses Beispiel zeigt, wie der Server multicast-Neuschlüsselnachrichten an Gruppenmitglieder senden kann, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind. Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel geben Sie die folgende Server-Member-Kommunikation für Gruppe g1an:

  • Der Server sendet Multicast-Neuschlüsselnachrichten an Gruppenmitglieder über die Multicast-Adresse 226.1.1.1 und die Schnittstelle ge-0/0/1.0.

  • 3des-cbc wird verwendet, um den Datenverkehr zwischen dem Server und den Mitgliedern zu verschlüsseln.

  • sha1 wird für die Mitgliederauthentifizierung verwendet.

Standardwerte werden für Server-Herzschläge, KEK-Lebensdauer und Erneute Übertragungen verwendet.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie die Kommunikation zwischen Servermitarbeitern für Multicast-Neuschlüsselmeldungen:

  1. Legen Sie den Kommunikationstyp fest.

  2. Legen Sie die Multicast-Gruppe fest.

  3. Legen Sie die Schnittstelle für ausgehende Multicast-Nachrichten fest.

  4. Legen Sie den Verschlüsselungsalgorithmus fest.

  5. Legen Sie die Mitgliederauthentifizierung fest.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security group-vpn server group g1 server-member-communication Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Verifizieren der Kommunikation zwischen Servermitarbeitern für Multicast-Neuschlüsselmeldungen

Zweck

Stellen Sie sicher, dass die Kommunikationsparameter der Servermitglieder für die Multicast-Neuschlüsselnachricht ordnungsgemäß konfiguriert sind, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.

Aktion

Geben Sie im Betriebsmodus den show security group-vpn server group g1 server-member-communication Befehl ein.

Beispiel: Konfigurieren der Gruppe VPNv1 mit Server-Member-Colocation

Dieses Beispiel zeigt, wie Sie ein Gerät für den Colocation-Modus konfigurieren, wodurch Server- und Memberfunktionen auf demselben physischen Gerät koexistieren können. Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.

Anforderungen

Bevor Sie beginnen:

Überblick

Wenn der Colocation-Modus konfiguriert ist, können Gruppenserver- und Gruppenmitgliedsfunktionen im selben Gerät koexistieren. Im Colocation-Modus müssen Server und Mitglied unterschiedliche IP-Adressen haben, damit die Pakete ordnungsgemäß zugestellt werden.

In Abbildung 3besteht ein Gruppen-VPN (Gruppenkennung ist 1) aus zwei Mitgliedern (member1 und member2) und einem Gruppenserver (die IP-Adresse der Loopback-Schnittstelle ist 20.0.0.1). Beachten Sie, dass Member1 auf demselben Gerät wie der Gruppenserver koexistiert. In diesem Beispiel wird der Schnittstelle, die Member1 zur Verbindung mit dem MPLS-Netzwerk (ge-0/1/0) verwendet, die IP-Adresse 10.1.0.1/32 zugewiesen.

Abbildung 3: Colocation-Beispiel für ServermitarbeiterColocation-Beispiel für Servermitarbeiter

In den Konfigurationsanweisungen in diesem Thema wird beschrieben, wie das Gerät der Gruppe server-member1 für den Colocation-Modus konfiguriert wird. Informationen zur Konfiguration von member2 finden Sie im Beispiel: Konfigurieren des Vpnv1-Servers und der Mitglieder der Gruppe.

Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, die Schnittstelle, die vom Gruppenmitglied für die Verbindung zum MPLS-Netzwerk verwendet wird, für eine MTU-Größe von nicht größer als 1400 Bytes zu konfigurieren. Verwenden Sie die set interface mtu Konfigurationsaussage, um die MTU-Größe festzulegen.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie ein Gruppen-VPN mit Server-Member-Colocation:

  1. Konfigurieren Sie die Loopback-Adresse auf dem Gerät.

  2. Konfigurieren Sie die Schnittstelle, die Member1 für die Verbindung mit dem MPLS-Netzwerk verwendet.

  3. Konfigurieren Sie die VPN-Colocation der Gruppe auf dem Gerät.

  4. Konfigurieren Sie IKE Phase 1 SA für den Server (diese Konfiguration muss mit der phase 1 SA übereinstimmen, die auf Gruppenmitgliedern konfiguriert wurde).

  5. Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.

  6. Konfigurieren Sie den Phase-2-SA-Austausch für den Server.

  7. Konfigurieren Sie die Gruppenkennung, das IKE-Gateway, die Antireplay-Zeit und die Serveradresse auf dem Server.

  8. Konfigurieren Sie die Kommunikation zwischen Server und Mitglied.

  9. Konfigurieren Sie die Gruppenrichtlinien, die an Gruppenmitglieder heruntergeladen werden sollen.

  10. Konfigurieren sie Phase 1 SA für Member1 (diese Konfiguration muss mit der phase 1 SA übereinstimmen, die für den Gruppenserver konfiguriert wurde).

  11. Definieren Sie die Richtlinie und legen Sie das Remote-Gateway für member1 fest.

  12. Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für Member1.

  13. Erstellen Sie Adressbücher und fügen Sie diese zonen an.

  14. Konfigurieren Sie eine Bereichsrichtlinie von der Trust Zone zur nicht vertrauenswürdigen Zone, die Unicast-Datenverkehr zum und vom 10.0.0.0/8-Subnetz zulässt.

  15. Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone zur Vertrauenszone, die Unicast-Datenverkehr zum und vom 10.0.0.0/8-Subnetz ermöglicht.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl und show security policies den show security group-vpn Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Stellen Sie in der Liste der konfigurierten Sicherheitsrichtlinien sicher, dass die Bereichsrichtlinien vor den Standardrichtlinien aufgeführt sind.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung der Registrierung von Gruppen-VPN-Mitglieder

Zweck

Stellen Sie sicher, dass die VPN-Mitglieder der Gruppe korrekt registriert sind.

Aktion

Geben Sie im Betriebsmodus den show security group-vpn registered-members Befehl ein.

Überprüfen von Gruppen-VPN-Serversicherheitszuordnungen für IKE

Zweck

Überprüfen Sie die SAs für den Gruppen-VPN-Server für IKE.

Aktion

Geben Sie im Betriebsmodus den show security group-vpn server ike security-associations Befehl ein.

Überprüfen von Gruppen-VPN-Serversicherheitszuordnungen für IPsec

Zweck

Überprüfen Sie die SAs für den Gruppen-VPN-Server für IPsec.

Aktion

Geben Sie im Betriebsmodus den show security group-vpn server ipsec security-associations Befehl ein.

Überprüfung der Sicherheitszuordnungen der VPN-Mitglieder der Gruppe für IKE

Zweck

Überprüfen Sie die SAs für die VPN-Gruppenmitglieder für IKE.

Aktion

Geben Sie im Betriebsmodus den show security group-vpn member ike security-associations Befehl ein.

Überprüfung der Sicherheitszuordnungen von VPN-Gruppenmitglieden für IPsec

Zweck

Überprüfen Sie die SAs für die VPN-Gruppenmitglieder für IPsec.

Aktion

Geben Sie im Betriebsmodus den show security group-vpn member ipsec security-associations Befehl ein.

Release-Verlaufstabelle
Release
Beschreibung
12.3X48-D30
Ab Junos OS Version 12.3X48-D30 können Mitglieder der Gruppe VPNv1 mit Gruppen-VPNv2-Servern zusammenarbeiten.
12.3X48-D30
Ab Junos OS Version 12.3X48-D30 können VPNv1-Mitglieder der Gruppe auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX550- und SRX650-Geräten mit Group VPNv2-Servern zusammenarbeiten.