Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Gruppe VPNv1

Gruppen-VPN umfasst eine Reihe von Funktionen, die erforderlich sind, um IP-Multicast-Gruppendatenverkehr oder Unicast-Datenverkehr über ein privates WAN zu sichern, das von einem Gerät stammt oder durch ein Gerät fließt.

Gruppen-VPNv1 – Übersicht

Eine IPsec-Sicherheitszuordnung (Security Association, SA) ist eine unidirektionale Vereinbarung zwischen VPN-Teilnehmern (Virtual Private Network), die die Regeln definiert, die für Authentifizierungs- und Verschlüsselungsalgorithmen, Schlüsselaustauschmechanismen und sichere Kommunikation verwendet werden sollen. Bei aktuellen VPN-Implementierungen ist die SA ein Punkt-zu-Punkt-Tunnel zwischen zwei Sicherheitsgeräten. Group VPNv1 erweitert die IPsec-Architektur, um Sicherheitszuordnungen zu unterstützen, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden (siehe Abbildung 1).

Abbildung 1: Standard-IPsec-VPN und Gruppen-VPNv1Standard-IPsec-VPN und Gruppen-VPNv1

Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt. Mit Group VPNv1 wird eine Any-to-Any-Konnektivität erreicht, indem die ursprünglichen Quell- und Ziel-IP-Adressen im äußeren Header beibehalten werden. Sichere Multicast-Pakete werden auf die gleiche Weise repliziert wie Klartext-Multicast-Pakete im Kernnetzwerk.

Ab Junos OS Version 12.3X48-D30 können Mitglieder der Gruppe VPNv1 mit Server der Gruppe VPNv2 zusammenarbeiten.

Group VPNv1 weist einige Einschränkungen bezüglich der Korrektheit in Bezug auf RFC 6407, The Group Domain of Interpretation (GDOI) auf. Um Gruppen-VPN ohne proprietäre Einschränkungen zu verwenden, führen Sie ein Upgrade auf Gruppen-VPNv2 durch. Gruppen-VPNv2 wird auf virtuellen vSRX-Firewall-Instanzen ab Junos OS Version 15.1X49-D30, Firewalls der SRX-Serie ab Junos OS Version 15.1X49-D40 und Geräten der MX-Serie ab Junos OS Version 15.1r2 unterstützt.

Grundlegendes zum GDOI-Protokoll für Gruppen-VPNv1

Group VPNv1 basiert auf RFC 3547, The Group Domain of Interpretation (GDOI). Dieser RFC beschreibt das Protokoll zwischen Gruppenmitgliedern und einem Gruppenserver zum Einrichten von Sicherheitszuordnungen zwischen Gruppenmitgliedern. GDOI-Nachrichten erstellen, verwalten oder löschen Sicherheitszuordnungen für eine Gruppe von Geräten. Das GDOI-Protokoll wird auf Port 848 ausgeführt.

Das Internet Security Association and Key Management Protocol (ISAKMP) definiert zwei Aushandlungsphasen zum Einrichten von Sicherheitszuordnungen für einen AutoKey IKE IPsec-Tunnel. Phase 1 ermöglicht es zwei Geräten, eine ISAKMP-SA zu gründen. In Phase 2 werden Sicherheitszuordnungen für andere Sicherheitsprotokolle, wie z. B. GDOI, eingerichtet.

Bei einem Gruppen-VPN wird die ISAKMP SA-Aushandlung der Phase 1 zwischen einem Gruppenserver und einem Gruppenmitglied durchgeführt. Der Server und das Mitglied müssen dieselbe ISAKMP-Richtlinie verwenden. In Phase 2 werden durch den GDOI-Austausch zwischen dem Server und dem Mitglied die Sicherheitszuordnungen eingerichtet, die für andere Gruppenmitglieder freigegeben werden. Ein Gruppenmitglied muss IPsec nicht mit anderen Gruppenmitgliedern aushandeln. GDOI-Börsen in Phase 2 müssen durch ISAKMP Phase 1 SAs geschützt werden.

Es gibt zwei Arten von GDOI-Austausch:

  • Der Austausch ermöglicht es einem Mitglied, SAs und Schlüssel anzufordern, die von der Gruppe gemeinsam genutzt werden, vom Server.groupkey-pull

  • Bei dem Austausch handelt es sich um eine einzelne Rekey-Nachricht, die es dem Server ermöglicht, Gruppen-Sicherheitszuordnungen und Schlüssel an Mitglieder zu senden, bevor vorhandene Gruppen-Sicherheitszuordnungen ablaufen.groupkey-push Rekey-Nachrichten sind unerwünschte Nachrichten, die vom Server an Mitglieder gesendet werden.

Grundlegendes zu den Einschränkungen von Gruppen-VPNv1

Folgendes wird in dieser Version für die Gruppe VPNv1 nicht unterstützt:

  • Nicht standardmäßige Routing-Instanzen

  • Chassis-Cluster

  • Server-Cluster

  • Routenbasiertes Gruppen-VPN

  • Öffentliche internetbasierte Bereitstellung

  • SNMP

  • Richtlinie vom Cisco GET VPN-Server ablehnen

  • J-Web-Schnittstelle zur Konfiguration und Überwachung

Ab Junos OS Version 12.3X48-D30 können Gruppen-VPNv1-Mitglieder auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX550- und SRX650-Geräten mit Gruppen-VPNv2-Servern zusammenarbeiten. Beachten Sie bei der Konfiguration von Gruppen-VPNv1-Mitgliedern für die Verwendung mit Gruppen-VPNv2-Servern die folgenden Einschränkungen:

  • Group VPNv2 unterstützt den IETF-Spezifikationsentwurf IP Delivery Delay Detection Protocol für einen zeitbasierten Anti-Replay-Mechanismus. Daher wird das protokollbasierte Antireplay zur Erkennung von IP-Übermittlungsverzögerungen auf Mitgliedern der Gruppe VPNv1 nicht unterstützt und muss auf dem Server der Gruppe VPNv2 mit dem Befehl deaktiviert werden.deactivate security group-vpn server group group-name anti-replay-time-window

  • Der Gruppen-VPNv2-Server unterstützt keine Kollokation, bei der die Funktionen des Gruppenservers und der Gruppenmitglieder auf demselben Gerät vorhanden sind.

  • Der Gruppen-VPNv2-Server unterstützt keine Heartbeat-Übertragungen. Heartbeat muss auf dem Mitglied der Gruppe VPNv1 mit dem Befehl deaktiviert werden.deactivate security group-vpn member ipsec vpn vpn-name heartbeat-threshold Es wird empfohlen, Gruppen-VPNv2-Servercluster zu verwenden, um Auswirkungen auf den Datenverkehr aufgrund von Neustarts oder anderen Unterbrechungen auf dem Gruppen-VPNv2-Server zu vermeiden.

  • Groupkey-Push-Nachrichten, die vom Group VPNv2-Server gesendet werden, basieren auf RFC 6407, The Group Domain of Interpretation (GDOI) und werden von Mitgliedern der Gruppe VPNv1 nicht unterstützt. Daher müssen groupkey-push-Nachrichten auf dem Group VPNv2-Server mit dem Befehl deaktiviert werden.deactivate security group-vpn server group group-name server-member-communication

    Erneute Schlüssel werden mit Groupkey-Pull-Nachrichten unterstützt. Wenn es Skalierungsprobleme gibt, bei denen Gruppen-VPNv1-Mitglieder den Groupkey-Pull-Vorgang nicht vor Ablauf der harten TEK-Lebensdauer abschließen können, empfehlen wir, die TEK-Lebensdauer zu erhöhen, damit die Mitglieder genügend Zeit haben, den Groupkey-Pull-Vorgang abzuschließen. Die Skalierungszahlen von Juniper sind mit einer TEK-Lebensdauer von 2 Stunden qualifiziert.

  • Wenn der Gruppen-VPNv2-Server neu gestartet oder aktualisiert wird oder die Sicherheitszuordnungen für die Gruppe gelöscht werden, können dem Netzwerk erst bei der nächsten Neuschlüsselung für vorhandene Mitglieder neue Mitglieder hinzugefügt werden. Neue Mitglieder können keinen Datenverkehr an vorhandene Mitglieder senden, die über alte Schlüssel verfügen. Um dieses Problem zu umgehen, löschen Sie die Sicherheitszuordnungen auf den vorhandenen Mitgliedern der Gruppe VPNv1 mit dem Befehl.clear security group-vpn member ipsec security-associations

  • Da Multicast-Datenverkehr von Gruppen-VPNv2-Mitgliedern nicht unterstützt wird, kann Multicast-Datenverkehr nicht verwendet werden, wenn Gruppen-VPNv1- und Gruppen-VPNv2-Mitglieder im Netzwerk für dieselbe Gruppe koexistieren.

Grundlegendes zu Gruppen-VPNv1-Servern und -Mitgliedern

Das Zentrum eines Gruppen-VPN ist der Gruppenserver. Der Gruppenserver führt die folgenden Aufgaben aus:

  • Steuert die Gruppenmitgliedschaft

  • Generiert Verschlüsselungsschlüssel

  • Verwaltet Gruppen-SAs und -Schlüssel und verteilt sie an Gruppenmitglieder

Gruppenmitglieder verschlüsseln den Datenverkehr basierend auf den vom Gruppenserver bereitgestellten Gruppenzuordnungen und Schlüsseln.

Ein Gruppenserver kann mehrere Gruppen bedienen. Ein einzelnes Sicherheitsgerät kann Mitglied mehrerer Gruppen sein.

Jede Gruppe wird durch einen Gruppenbezeichner dargestellt, bei dem es sich um eine Zahl zwischen 1 und 65.535 handelt. Der Gruppenserver und die Gruppenmitglieder sind durch den Gruppenbezeichner miteinander verbunden. Es kann nur einen Gruppenbezeichner pro Gruppe geben, und mehrere Gruppen können nicht denselben Gruppenbezeichner verwenden.

Im Folgenden finden Sie eine allgemeine Übersicht über Gruppen-VPN-Server- und Mitgliederaktionen:

  1. Der Gruppenserver lauscht am UDP-Port 848 auf Mitglieder, die sich registrieren können. Ein Mitgliedsgerät muss über die korrekte IKE Phase 1-Authentifizierung verfügen, um der Gruppe beitreten zu können. Die Authentifizierung mit vorinstallierten Schlüsseln pro Mitglied wird unterstützt.

  2. Nach erfolgreicher Authentifizierung und Registrierung ruft das Mitgliedsgerät Gruppen-SAs und -Schlüssel vom Server mit einem GDOI-Austausch ab.groupkey-pull

  3. Der Server fügt das Mitglied der Mitgliedschaft für die Gruppe hinzu.

  4. Gruppenmitglieder tauschen Pakete aus, die mit Gruppen-SA-Schlüsseln verschlüsselt sind.

Der Server sendet in regelmäßigen Abständen Sicherheitszuordnungs- und Schlüsselaktualisierungen an Gruppenmitglieder mit Rekey-Nachrichten (GDOI ).groupkey-push Rekey-Nachrichten werden gesendet, bevor Sicherheitszuordnungen ablaufen. Dadurch wird sichergestellt, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.

Der Server sendet auch Rekey-Nachrichten, um Mitgliedern neue Schlüssel zur Verfügung zu stellen, wenn sich die Gruppenmitgliedschaft ändert oder wenn sich die Gruppenzuordnung geändert hat.

Grundlegendes zur Gruppen-VPNv1-Server-Mitglieder-Kommunikation

Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt. Die Kommunikation zwischen Servermitgliedern ermöglicht es dem Server, GDOI-Nachrichten an Mitglieder zu senden.groupkey-push Wenn die Server-Mitglieder-Kommunikation für die Gruppe nicht konfiguriert ist, können Mitglieder GDOI-Nachrichten senden, um sich beim Server zu registrieren und erneut zu registrieren, aber der Server ist nicht in der Lage, Rekey-Nachrichten an Mitglieder zu senden.groupkey-pull

Die Kommunikation zwischen Servermitgliedern und Servermitgliedern wird für die Gruppe mithilfe der configuration-Anweisung in der []-Hierarchie konfiguriert.server-member-communicationedit security group-vpn server Folgende Optionen können definiert werden:

  • Verschlüsselungsalgorithmus, der für die Kommunikation zwischen dem Server und dem Mitglied verwendet wird. Sie können 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc oder des-cbc angeben. Es gibt keinen Standardalgorithmus.

  • Authentifizierungsalgorithmus (md5 oder sha1), der zur Authentifizierung des Mitglieds gegenüber dem Server verwendet wird. Es gibt keinen Standardalgorithmus.

  • Gibt an, ob der Server Unicast- oder Multicast-Rekey-Nachrichten an Gruppenmitglieder und Parameter sendet, die sich auf den Kommunikationstyp beziehen.

  • Intervall, in dem der Server Heartbeat-Nachrichten an das Gruppenmitglied sendet. Auf diese Weise kann das Mitglied feststellen, ob der Server neu gestartet wurde, was eine erneute Registrierung des Mitglieds beim Server erfordern würde. Der Standardwert ist 300 Sekunden.

  • Lebensdauer des Schlüsselverschlüsselungsschlüssels (Key Encryption Key, KEK). Der Standardwert ist 3600 Sekunden.

Das Konfigurieren der Server-Member-Kommunikation ist erforderlich, damit der Gruppenserver Rekey-Nachrichten an Mitglieder senden kann, aber es kann Situationen geben, in denen dieses Verhalten nicht erwünscht ist. Wenn es sich bei Gruppenmitgliedern beispielsweise um dynamische Peers handelt (z. B. im Homeoffice), sind die Geräte nicht immer betriebsbereit und die IP-Adresse eines Geräts kann bei jedem Einschalten anders sein. Das Konfigurieren der Server-Member-Kommunikation für eine Gruppe dynamischer Peers kann zu unnötigen Übertragungen durch den Server führen. Wenn Sie möchten, dass die IKE-Phase-1-SA-Aushandlung immer durchgeführt wird, um die GDOI-Aushandlung zu schützen, konfigurieren Sie keine Server-Member-Kommunikation.

Wenn die Server-Mitglieder-Kommunikation für eine Gruppe nicht konfiguriert ist, zeigt die vom Befehl angezeigte Mitgliederliste Gruppenmitglieder an, die sich beim Server registriert haben; Mitglieder können aktiv sein oder nicht.show security group-vpn server registered-members Wenn die Server-Mitglieder-Kommunikation für eine Gruppe konfiguriert ist, wird die Gruppenmitgliedschaftsliste gelöscht. Wenn der Kommunikationstyp als Unicast konfiguriert ist, zeigt der Befehl nur aktive Mitglieder an.show security group-vpn server registered-members Wenn der Kommunikationstyp als Multicast konfiguriert ist, zeigt der Befehl Mitglieder an, die sich nach der Konfiguration beim Server registriert haben. Die Mitgliederliste repräsentiert nicht unbedingt aktive Mitglieder, da Mitglieder nach der Registrierung ausscheiden können.show security group-vpn server registered-members

Grundlegendes zu Gruppen-VPNv1-Gruppenschlüsselvorgängen

Dieses Thema enthält die folgenden Abschnitte:

Gruppenschlüssel

Der Gruppenserver verwaltet eine Datenbank, um die Beziehung zwischen VPN-Gruppen, Gruppenmitgliedern und Gruppenschlüsseln zu verfolgen. Es gibt zwei Arten von Gruppenschlüsseln, die der Server an Mitglieder herunterlädt:

  • Key Encryption Key (KEK): Wird verwendet, um Nachrichten zum erneuten Verschlüsseln zu verschlüsseln. Pro Gruppe wird ein KEK unterstützt.

  • Traffic Encryption Key (TEK) – Wird verwendet, um IPsec-Datenverkehr zwischen Gruppenmitgliedern zu verschlüsseln und zu entschlüsseln.

Der Schlüssel, der einer Sicherheitszuordnung zugeordnet ist, wird von einem Gruppenmitglied nur akzeptiert, wenn für das Mitglied eine entsprechende Bereichsrichtlinie konfiguriert ist. Ein akzeptierter Schlüssel wird für das Gruppen-VPN installiert, während ein abgelehnter Schlüssel verworfen wird.

Nachrichten erneut eingeben

Wenn die Gruppe für die Kommunikation zwischen Servermitgliedern konfiguriert ist, sendet der Server in regelmäßigen Abständen Sicherheitszuordnungs- und Schlüsselaktualisierungen an Gruppenmitglieder mit GDOI-Meldungen (Rekey).groupkey-push Rekey-Nachrichten werden gesendet, bevor Sicherheitszuordnungen ablaufen. Dadurch wird sichergestellt, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.

Der Server sendet auch Rekey-Nachrichten, um Mitgliedern neue Schlüssel zur Verfügung zu stellen, wenn sich die Gruppenmitgliedschaft ändert oder sich die Gruppenzuordnung geändert hat (z. B. wenn eine Gruppenrichtlinie hinzugefügt oder gelöscht wird).

Kommunikationsoptionen für Servermitglieder müssen auf dem Server konfiguriert werden, damit der Server erneut Schlüsselnachrichten an Gruppenmitglieder senden kann. Diese Optionen geben den Nachrichtentyp und die Intervalle an, in denen die Nachrichten gesendet werden, wie in den folgenden Abschnitten erläutert:

Es gibt zwei Arten von Rekey-Meldungen:

  • Unicast-Nachrichten zum erneuten Schlüsseln: Der Gruppenserver sendet eine Kopie der Nachricht zum erneuten Schlüssel an jedes Gruppenmitglied. Nach Erhalt der Rekey-Nachricht müssen Mitglieder eine Bestätigung (ACK) an den Server senden. Wenn der Server keine Bestätigung von einem Mitglied erhält (einschließlich der erneuten Übertragung von Rekey-Nachrichten), betrachtet der Server das Mitglied als inaktiv und entfernt es aus der Mitgliederliste. Der Server beendet das Senden von Rekey-Nachrichten an das Mitglied.

    Die und configuration-Anweisungen für die Kommunikation zwischen Servermitgliedern steuern das erneute Senden von Rekey-Nachrichten durch den Server, wenn keine Bestätigung von einem Mitglied empfangen wird.number-of-retransmissionretransmission-period

  • Multicast-Rekey-Nachrichten: Der Gruppenserver sendet eine Kopie der Rekey-Nachricht von der angegebenen ausgehenden Schnittstelle an die konfigurierte Multicast-Gruppenadresse. Mitglieder senden keine Empfangsbestätigung von Multicast-Rekey-Nachrichten. Die Liste der registrierten Mitglieder repräsentiert nicht unbedingt aktive Mitglieder, da Mitglieder nach der ersten Registrierung ausscheiden können. Alle Mitglieder der Gruppe müssen für die Unterstützung von Multicastnachrichten konfiguriert sein.

    IP-Multicast-Protokolle müssen so konfiguriert werden, dass sie die Übertragung von Multicast-Datenverkehr im Netzwerk ermöglichen. Ausführliche Informationen zur Konfiguration von Multicast-Protokollen auf Geräten von Juniper Networks finden Sie im Benutzerhandbuch für Multicast-Protokolle .https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-multicast/config-guide-multicast.html

Das Intervall, in dem der Server Rekey-Nachrichten sendet, wird basierend auf den Werten der und configuration-Anweisungen in der []-Hierarchie berechnet.lifetime-secondsactivation-time-delayedit security group-vpn server group Das Intervall wird als berechnet.lifetime-seconds minus 4*(activation-time-delay)

Der für den KEK wird als Teil der Kommunikation zwischen Servermitgliedern konfiguriert. Der Standardwert ist 3600 Sekunden.lifetime-seconds Der für den TEK ist für den IPsec-Vorschlag konfiguriert; der Standardwert ist 3600 Sekunden.lifetime-seconds Die ist für die Gruppe auf dem Server konfiguriert; der Standardwert ist 15 Sekunden.activation-time-delay Bei Verwendung der Standardwerte für und beträgt das Intervall, in dem der Server Rekey-Nachrichten sendet, , oder 3540 Sekunden.lifetime-secondsactivation-time-delay3600 minus 4*15

Mitglieder-Registrierung

Wenn ein Gruppenmitglied keinen neuen Sicherheitszuordnungsschlüssel vom Server erhält, bevor der aktuelle Schlüssel abläuft, muss sich das Mitglied erneut beim Server registrieren und aktualisierte Schlüssel bei einem GDOI-Austausch abrufen.groupkey-pull In diesem Fall wird das Intervall, in dem der Server Rekey-Nachrichten sendet, wie folgt berechnet: minus 3*().lifetime-secondsactivation-time-delay Bei Verwendung der Standardwerte für und beträgt das Intervall, in dem der Server Nachrichten zur erneuten Schlüsselerstellung sendet, 3600 minus 3*15 oder 3555 Sekunden.lifetime-secondsactivation-time-delay

Die erneute Registrierung von Mitgliedern kann aus folgenden Gründen erfolgen:

  • Das Mitglied erkennt einen Neustart des Servers anhand des Fehlens von vom Server empfangenen Taktsignalen.

  • Die Rekey-Nachricht vom Gruppenserver geht verloren oder verzögert sich, und die TEK-Lebensdauer ist abgelaufen.

Aktivierung des Schlüssels

Wenn ein Mitglied einen neuen Schlüssel vom Server erhält, wartet es eine gewisse Zeit, bevor es den Schlüssel für die Verschlüsselung verwendet. Dieser Zeitraum wird durch die Konfigurationsanweisung bestimmt und davon, ob der Schlüssel durch eine vom Server gesendete Nachricht zum erneuten Schlüssel oder als Ergebnis einer erneuten Registrierung des Mitglieds beim Server empfangen wird.activation-time-delay

Wenn der Schlüssel durch eine vom Server gesendete Nachricht zum erneuten Schlüssel empfangen wird, wartet das Mitglied 2*() Sekunden, bevor es den Schlüssel verwendet.activation-time-delay Wenn der Schlüssel durch die erneute Registrierung des Members empfangen wird, wartet das Mitglied die durch den Wert angegebene Anzahl von Sekunden.activation-time-delay

Ein Mitglied behält die beiden letzten Schlüssel, die vom Server für jede auf dem Mitglied installierte Gruppenzuordnung gesendet wurden. Beide Schlüssel können zur Entschlüsselung verwendet werden, während der neueste Schlüssel zur Verschlüsselung verwendet wird. Der vorherige Schlüssel wird um die Anzahl von Sekunden entfernt, die durch den Wert angegeben wird, nachdem der neue Schlüssel aktiviert wurde.activation-time-delay

Der Standardwert für die Konfigurationsanweisung beträgt 15 Sekunden.activation-time-delay Wenn Sie diesen Zeitraum zu klein einstellen, kann dies dazu führen, dass ein Paket bei einem Remotegruppenmitglied verworfen wird, bevor der neue Schlüssel installiert wird. Berücksichtigen Sie die Netzwerktopologie und die Systemtransportverzögerungen, wenn Sie den Wert ändern.activation-time-delay Bei Unicastübertragungen ist die Systemtransportverzögerung proportional zur Anzahl der Gruppenmitglieder.

Ein Gruppen-VPNv1-Server kann als Antwort auf eine Anfrage mehrere Datenverkehrsverschlüsselungsschlüssel (TEKs) an ein Gruppen-VPNv1-Mitglied senden.groupkey-pull Im Folgenden wird beschrieben, wie das Gruppenmitglied VPNv1 mit den vorhandenen TEK und den vom Server empfangenen TEKs umgeht:

  • Wenn das Gruppenmitglied VPNv1 zwei oder mehr TEKs empfängt, enthält es die letzten beiden TEKs und löscht die vorhandenen TEKs. Von den beiden gehaltenen TEK wird der ältere TEK sofort aktiviert, und der neuere TEK wird aktiviert, nachdem der auf der Gruppe konfigurierte VPNv1-Server abgelaufen ist (der Standardwert ist 15 Sekunden).activation-time-delay

  • Wenn das Gruppenmitglied VPNv1 nur einen TEK empfängt oder wenn es einen TEK über eine Nachricht vom Server empfängt, wird der vorhandene TEK erst gelöscht, wenn die harte Lebensdauer abgelaufen ist.groupkey-push Die Lebensdauer des vorhandenen TEK verkürzt sich nicht.

Das Mitglied der Gruppe VPNv1 installiert eine empfangene TEK auch dann, wenn die TEK-Lebensdauer weniger als das Doppelte des Wertes beträgt.activation-time-delay

Grundlegendes zu Gruppen-VPNv1-Heartbeat-Nachrichten

Wenn die Server-Mitglieder-Kommunikation konfiguriert ist, sendet der Gruppen-VPNv1-Server in bestimmten Intervallen (das Standardintervall beträgt 300 Sekunden) Taktnachrichten an die Mitglieder. Der Taktmechanismus ermöglicht es Mitgliedern, sich erneut beim Server zu registrieren, wenn die angegebene Anzahl von Takten nicht empfangen wird. Beispielsweise erhalten Mitglieder während eines Serverneustarts keine Heartbeat-Meldungen. Wenn der Server neu gestartet wurde, registrieren sich die Mitglieder erneut beim Server.

Herzschläge werden durch Nachrichten übertragen.groupkey-push Die Sequenznummer wird bei jeder Heartbeat-Nachricht erhöht, wodurch die Mitglieder vor Antwortangriffen geschützt werden. Im Gegensatz zu Rekey-Nachrichten werden Taktsignalnachrichten von den Empfängern nicht bestätigt und vom Server nicht erneut übertragen.

Heartbeat-Nachrichten enthalten die folgenden Informationen:

  • Aktueller Status und Konfiguration der Schlüssel auf dem Server

  • Relative Zeit, wenn Antireplay aktiviert ist

Durch den Vergleich der Informationen in den Takttakten kann ein Mitglied feststellen, ob es Serverinformationen verpasst hat oder Nachrichten neu verschlüsselt. Das Mitglied registriert sich erneut, um sich mit dem Server zu synchronisieren.

Taktmeldungen können die Netzwerküberlastung erhöhen und unnötige Neuregistrierungen von Mitgliedern verursachen. So kann die Takterkennung auf dem Member bei Bedarf deaktiviert werden.

Grundlegendes zum Gruppen-VPNv1-Server-Member-Kollokationsmodus

Die Funktionen "Gruppenserver" und "Gruppenmitglied" sind voneinander getrennt und überschneiden sich nicht. Die Server- und Memberfunktionen können gleichzeitig auf demselben physischen Gerät vorhanden sein, was als Kollokationsmodus bezeichnet wird. Im Colocation-Modus gibt es keine Änderung in Bezug auf Funktionalität und Verhalten des Servers oder eines Mitglieds, aber dem Server und dem Mitglied müssen jeweils unterschiedliche IP-Adressen zugewiesen werden, damit Pakete ordnungsgemäß zugestellt werden können. Im Colocation-Modus kann dem Server nur eine IP-Adresse und dem Mitglied gruppenübergreifend nur eine IP-Adresse zugewiesen werden.

Gruppen-VPNv1-Konfigurationsübersicht

In diesem Thema werden die wichtigsten Aufgaben zum Konfigurieren von Gruppen-VPNv1 beschrieben.

Konfigurieren Sie auf dem Gruppenserver Folgendes:

  1. IKE Phase 1 Verhandlung. Verwenden Sie die []-Hierarchie, um die IKE Phase 1 SA zu konfigurieren.edit security group-vpn server ike Weitere Informationen finden Sie unter Grundlegendes zur IKE-Phase-1-Konfiguration für Gruppen-VPNv2 .Grundlegendes zur IKE-Phase-1-Konfiguration für Gruppen-VPNv2
  2. Phase 2 IPsec SA. Weitere Informationen finden Sie unter Grundlegendes zur IPsec-SA-Konfiguration für Gruppen-VPNv1.Grundlegendes zur IPsec-SA-Konfiguration für Gruppen-VPNv1
  3. VPN-Gruppe. Weitere Informationen finden Sie unter Übersicht über die Gruppen-VPNv1-Konfiguration.Gruppen-VPNv1-Konfigurationsübersicht

Konfigurieren Sie für das Gruppenmitglied Folgendes:

  1. IKE Phase 1 Verhandlung. Verwenden Sie die []-Hierarchie, um IKE Phase 1 SA zu konfigurieren.edit security group-vpn member ike Weitere Informationen finden Sie unter Grundlegendes zur IKE-Phase-1-Konfiguration für Gruppen-VPNv1 .Grundlegendes zur IKE-Phase-1-Konfiguration für Gruppen-VPNv1

  2. Phase 2 IPsec SA. Weitere Informationen finden Sie unter Grundlegendes zur IPsec-SA-Konfiguration für Gruppen-VPNv1.Grundlegendes zur IPsec-SA-Konfiguration für Gruppen-VPNv1

  3. Bereichsrichtlinie, die bestimmt, welche Gruppenrichtlinien auf dem Mitglied installiert werden. Weitere Informationen finden Sie unter Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1.Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1

Um Probleme mit der Paketfragmentierung zu vermeiden, wird empfohlen, die Schnittstelle, die vom Gruppenmitglied für die Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine maximale MTU-Größe (Transmission Unit) von nicht mehr als 1400 Byte zu konfigurieren. Verwenden Sie die Konfigurationsanweisung, um die MTU-Größe festzulegen.set interface mtu

Die VPN-Gruppe wird auf dem Server mit der Konfigurationsanweisung in der Hierarchie [] konfiguriert.groupedit security group-vpn server

Die Gruppeninformationen bestehen aus den folgenden Informationen:

  • Gruppenkennung: Ein Wert zwischen 1 und 65.535, der die VPN-Gruppe identifiziert. Derselbe Gruppenbezeichner muss für das Gruppenmitglied für Autokey-IKE konfiguriert werden.

  • Gruppenmitglieder, wie mit der configuration-Anweisung konfiguriert.ike-gateway Es kann mehrere Instanzen dieser Konfigurationsanweisung geben, eine für jedes Mitglied der Gruppe.

  • IP-Adresse des Servers (die Adresse der Loopback-Schnittstelle wird empfohlen).

  • Gruppenrichtlinien: Richtlinien, die für Mitglieder heruntergeladen werden sollen. Gruppenrichtlinien beschreiben den Datenverkehr, für den die SA und die Schlüssel gelten. Weitere Informationen finden Sie unter Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1.Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1

  • Server-Member-Kommunikation: Optionale Konfiguration, die es dem Server ermöglicht, Rekey-Nachrichten an Mitglieder zu senden. Weitere Informationen finden Sie unter Gruppen-VPNv1 – Übersicht.Gruppen-VPNv1 – Übersicht

  • Antireplay: Optionale Konfiguration, die das Abfangen und Wiederholen von Paketen erkennt. Weitere Informationen finden Sie unter Grundlegendes zu Antireplay für Gruppen-VPNv1.Grundlegendes zu Antireplay für Gruppen-VPNv1

Grundlegendes zur IKE-Phase-1-Konfiguration für Gruppen-VPNv1

Eine IKE-Phase-1-Sicherheitszuordnung zwischen dem Gruppenserver und einem Gruppenmitglied richtet einen sicheren Kanal ein, in dem IPsec-Sicherheitszuordnungen ausgehandelt werden, die von einer Gruppe gemeinsam genutzt werden. Bei standardmäßigen IPsec-VPNs auf Sicherheitsgeräten von Juniper Networks besteht die SA-Konfiguration der Phase 1 aus der Angabe eines IKE-Vorschlags, einer Richtlinie und eines Gateways. Für Gruppen-VPNv1 ähnelt die IKE-Phase-1-SA-Konfiguration der Konfiguration für Standard-IPsec-VPNs, wird jedoch in der []-Hierarchie ausgeführt.edit security group-vpn

In der IKE-Vorschlagskonfiguration legen Sie die Authentifizierungsmethode sowie die Authentifizierungs- und Verschlüsselungsalgorithmen fest, die zum Öffnen eines sicheren Kanals zwischen den Teilnehmern verwendet werden. In der IKE-Richtlinienkonfiguration legen Sie den Modus (Hauptkanal oder aggressiv) fest, in dem der Phase-1-Kanal ausgehandelt wird, geben den Typ des zu verwendenden Schlüsselaustauschs an und verweisen auf den Phase-1-Vorschlag. In der IKE-Gateway-Konfiguration verweisen Sie auf die Phase-1-Richtlinie.

Da Group VPNv2 nur starke Algorithmen unterstützt, wird die Option Authentifizierungsalgorithmus für Mitglieder der Gruppe VPNv1 auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX550- und SRX650-Geräten unterstützt.sha-256 Wenn Mitglieder der Gruppe VPNv1 mit Servern der Gruppe VPNv2 zusammenarbeiten, muss diese Option auf den Mitgliedern der Gruppe VPNv1 mit dem Befehl konfiguriert werden.edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 Muss auf dem Gruppen-VPNv2-Server für IKE-Vorschläge und für IPsec-Vorschläge konfiguriert werden.authentication-algorithm sha-256authentication-algorithm hmac-sha-256-128

Wenn ein IKE-Gateway auf einem Mitglied der Gruppe VPNv1 mit mehr als einer Gateway-Adresse konfiguriert ist, wird die Fehlermeldung "Pro IKE-Gateway-Konfiguration darf nur eine Remote-Adresse konfiguriert werden" angezeigt, wenn die Konfiguration festgeschrieben wird.

Die IKE-Phase-1-Konfiguration auf dem Gruppenserver muss mit der IKE-Phase-1-Konfiguration auf Gruppenmitgliedern übereinstimmen.

Grundlegendes zur IPsec-SA-Konfiguration für Gruppen-VPNv1

Nachdem der Server und das Mitglied in Phase 1 einen sicheren und authentifizierten Kanal eingerichtet haben, durchlaufen sie Phase 2. In Phase 2 werden die IPsec-Sicherheitszuordnungen festgelegt, die von Gruppenmitgliedern gemeinsam genutzt werden, um Daten zu schützen, die zwischen Mitgliedern übertragen werden. Obwohl die IPsec-SA-Konfiguration für Gruppen-VPN der Konfiguration für Standard-VPNs ähnelt, muss ein Gruppenmitglied die SA nicht mit anderen Gruppenmitgliedern aushandeln.

Die IPsec-Konfiguration der Phase 2 für die Gruppe VPNv1 besteht aus den folgenden Informationen:

  • Ein Vorschlag für das Sicherheitsprotokoll, die Authentifizierung und den Verschlüsselungsalgorithmus, die für die Sicherheitszuordnung verwendet werden sollen. Der IPsec-SA-Vorschlag wird auf dem Gruppenserver mit der Konfigurationsanweisung in der proposal Hierarchie [] konfiguriert.edit security group-vpn server ipsec

  • Eine Gruppenrichtlinie, die auf den Vorschlag verweist. Eine Gruppenrichtlinie gibt den Datenverkehr (Protokoll, Quelladresse, Quellport, Zieladresse und Zielport) an, für den die Sicherheitszuordnung und die Schlüssel gelten. Die Gruppenrichtlinie wird auf dem Server mit der Konfigurationsanweisung in der [ ]-Hierarchie konfiguriert.ipsec-saedit security group-vpn server group

  • Ein Autokey-IKE, der auf den Gruppenbezeichner, den Gruppenserver (konfiguriert mit der Konfigurationsanweisung) und die Schnittstelle verweist, die vom Mitglied zum Herstellen einer Verbindung mit der Gruppe verwendet wird.ike-gateway Der Autokey-IKE wird für das Element mit der Konfigurationsanweisung in der []-Hierarchie konfiguriert.ipsec vpnedit security group-vpn member

Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1

Der Gruppenserver verteilt Gruppenzuordnungen und Schlüssel an Mitglieder einer angegebenen Gruppe. Alle Mitglieder, die derselben Gruppe angehören, können denselben Satz von IPsec-Sicherheitszuordnungen verwenden. Aber nicht alle Sicherheitszuordnungen, die für eine Gruppe konfiguriert sind, werden auf jedem Gruppenmitglied installiert. Die auf einem bestimmten Mitglied installierte Sicherheitszuordnung wird durch die Richtlinie bestimmt, die der Gruppenzuordnung zugeordnet ist, sowie durch die auf dem Mitglied konfigurierten Sicherheitsrichtlinien.

In einer VPN-Gruppe sind jede Gruppen-SA und jeder Schlüssel, die der Server an ein Mitglied überträgt, einer Gruppenrichtlinie zugeordnet. Die Gruppenrichtlinie beschreibt den Datenverkehr, für den der Schlüssel verwendet werden soll, einschließlich Protokoll, Quelladresse, Quellport, Zieladresse und Zielport.

Identische Gruppenrichtlinien (konfiguriert mit denselben Quelladressen-, Ziel-, Quell-, Zielport- und Protokollwerten) können nicht für eine einzelne Gruppe vorhanden sein. Ein Fehler wird zurückgegeben, wenn Sie versuchen, einen Commit für eine Konfiguration auszuführen, die identische Gruppenrichtlinien für eine Gruppe enthält. Wenn dies der Fall ist, müssen Sie eine der identischen Gruppenrichtlinien löschen.

Für ein Gruppenmitglied muss eine Bereichsrichtlinie konfiguriert werden, die den Bereich der vom Server heruntergeladenen Gruppenrichtlinie definiert. Eine vom Server verteilte Gruppenrichtlinie wird mit den für das Mitglied konfigurierten Bereichsrichtlinien verglichen. Damit eine Gruppenrichtlinie auf dem Mitglied installiert werden kann, müssen die folgenden Bedingungen erfüllt sein:

  • Alle Adressen, die in der Gruppenrichtlinie angegeben sind, müssen sich innerhalb des Adressbereichs befinden, der in der Bereichsrichtlinie angegeben ist.

  • Der Quellport, der Zielport und das Protokoll, die in der Gruppenrichtlinie angegeben sind, müssen mit den in der Bereichsrichtlinie konfigurierten Port übereinstimmen.

Eine Gruppenrichtlinie, die auf einem Mitglied installiert ist, wird als dynamische Richtlinie bezeichnet.

Eine Bereichsrichtlinie kann Teil einer geordneten Liste von Sicherheitsrichtlinien für einen bestimmten Von-Zone- und Bis-Zonen-Kontext sein. Junos OS führt eine Sicherheitsrichtliniensuche für eingehende Pakete durch, beginnend am Anfang der geordneten Liste.

Abhängig von der Position der Bereichsrichtlinie innerhalb der geordneten Liste der Sicherheitsrichtlinien gibt es mehrere Möglichkeiten für die dynamische Richtliniensuche:

  • Wenn das eingehende Paket mit einer Sicherheitsrichtlinie übereinstimmt, bevor die Bereichsrichtlinie berücksichtigt wird, findet keine dynamische Richtliniensuche statt.

  • Wenn eine eingehende Richtlinie mit einer Bereichsrichtlinie übereinstimmt, wird der Suchvorgang nach einer übereinstimmenden dynamischen Richtlinie fortgesetzt. Wenn eine übereinstimmende dynamische Richtlinie vorhanden ist, wird diese Richtlinienaktion (Zulassen) ausgeführt. Wenn keine übereinstimmende dynamische Richtlinie vorhanden ist, setzt der Suchprozess die Durchsuchung der Richtlinien unterhalb der Bereichsrichtlinie fort.

    In dieser Version ist nur die Aktion für eine Bereichsrichtlinie zulässig.tunnel Andere Aktionen werden nicht unterstützt.

Sie konfigurieren eine Bereichsrichtlinie für ein Gruppenmitglied, indem Sie die Konfigurationsanweisung in der []-Hierarchie verwenden.policiesedit security Verwenden Sie die Konfigurationsanweisung in der Regel allow tunnel, um auf das Gruppen-VPN zu verweisen. Dadurch können Gruppenmitglieder eine einzelne Sicherheitszuordnung gemeinsam nutzen.ipsec-group-vpn

Grundlegendes zu Antireplay für Gruppen-VPNv1

Antireplay ist eine IPsec-Funktion, die erkennen kann, wenn ein Paket abgefangen und dann von Angreifern wiedergegeben wird. Antireplay ist standardmäßig für Gruppen-VPNs aktiviert, kann aber für eine Gruppe mit der no-anti-replay Konfigurationsanweisung deaktiviert werden.

Wenn Antireplay aktiviert ist, synchronisiert der Gruppenserver die Zeit zwischen den Gruppenmitgliedern. Jedes IPsec-Paket enthält einen Zeitstempel. Das Gruppenmitglied prüft, ob der Zeitstempel des Pakets innerhalb des konfigurierten Werts liegt (der Standardwert ist 100 Sekunden).anti-replay-time-window Ein Paket wird verworfen, wenn der Zeitstempel den Wert überschreitet.

Beispiel: Konfigurieren des Gruppen-VPNv1-Servers und der Mitglieder

In diesem Beispiel wird gezeigt, wie die Gruppe VPNv1 so konfiguriert wird, dass die IPsec-Architektur erweitert wird, um Sicherheitszuordnungen zu unterstützen, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.

Anforderungen

Bevor Sie beginnen:

Überblick

In Abbildung 2besteht ein Gruppen-VPN aus zwei Mitgliedsgeräten (member1 und member2) und einem Gruppenserver (die IP-Adresse der Loopback-Schnittstelle auf dem Server ist 20.0.0.1). Der Gruppenbezeichner ist 1.

Abbildung 2: Konfigurationsbeispiel für Server-MemberKonfigurationsbeispiel für Server-Member

Die VPN-Sicherheitszuordnungen der Gruppe Phase 2 müssen durch eine Sicherheitszuordnung der Phase 1 geschützt werden. Daher muss die Gruppen-VPN-Konfiguration die Konfiguration von IKE-Phase-1-Aushandlungen sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern umfassen. Darüber hinaus muss derselbe Gruppenbezeichner sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert werden.

Gruppenrichtlinien werden auf dem Gruppenserver konfiguriert. Alle für eine Gruppe konfigurierten Gruppenrichtlinien werden von den Gruppenmitgliedern heruntergeladen. Bereichsrichtlinien, die für ein Gruppenmitglied konfiguriert sind, bestimmen, welche Gruppenrichtlinien tatsächlich auf dem Mitglied installiert sind. In diesem Beispiel sind die folgenden Gruppenrichtlinien auf dem Gruppenserver für den Download an alle Gruppenmitglieder konfiguriert:

  • p1 - Lässt den gesamten Datenverkehr von 10.1.0.0/16 bis 10.2.0.0./16 zu

  • p2 - Lässt den gesamten Datenverkehr von 10.2.0.0./16 bis 10.1.0.0/16 zu

  • p3 - Ermöglicht Multicast-Datenverkehr von 10.1.1.1/32

Das Gerät member1 ist mit Bereichsrichtlinien konfiguriert, die den gesamten Unicast-Datenverkehr zum und vom Subnetz 10.0.0.0/8 zulassen. Für member1 ist keine Bereichsrichtlinie konfiguriert, um Multicastdatenverkehr zuzulassen. Daher ist die SA-Richtlinie p3 nicht auf member1 installiert.

Das Gerät member2 ist mit Bereichsrichtlinien konfiguriert, die Datenverkehr von 10.1.0.0/16 von der Vertrauenszone in die nicht vertrauenswürdige Zone und zu 10.1.0.0/16 von der nicht vertrauenswürdigen Zone in die vertrauenswürdige Zone verwerfen. Daher wird die SA-Richtlinie p2 nicht auf member2 installiert.

Konfiguration

Konfigurieren des Gruppenservers

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie den Gruppenserver:

  1. Konfigurieren Sie die Loopback-Adresse auf dem Gerät.

  2. Konfigurieren Sie die IKE-Phase-1-SA (diese Konfiguration muss mit der Phase-1-SA übereinstimmen, die auf den Gruppenmitgliedern konfiguriert ist).

  3. Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.

  4. Konfigurieren Sie den Phase-2-Sicherheitszuordnungsaustausch.

  5. Konfigurieren Sie den Gruppenbezeichner und das IKE-Gateway.

  6. Konfigurieren Sie die Kommunikation zwischen Servern.

  7. Konfigurieren Sie die Gruppenrichtlinien, die für Gruppenmitglieder heruntergeladen werden sollen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security group-vpn server Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Konfigurieren von Member1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie member1:

  1. Konfigurieren Sie die Sicherheitszuordnung der Phase 1 (diese Konfiguration muss mit der auf dem Gruppenserver konfigurierten Sicherheitszuordnung der Phase 1 übereinstimmen).

  2. Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.

  3. Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für member1.

    Um Probleme mit der Paketfragmentierung zu vermeiden, wird empfohlen, die Schnittstelle, die von den Gruppenmitgliedern für die Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine MTU-Größe von nicht mehr als 1400 Byte zu konfigurieren. Verwenden Sie die Konfigurationsanweisung, um die MTU-Größe festzulegen.set interface mtu

  4. Erstellen Sie Adressbücher und fügen Sie ihnen Zonen zu.

  5. Konfigurieren Sie eine Bereichsrichtlinie von der Vertrauenszone bis zur nicht vertrauenswürdigen Zone, die Unicast-Datenverkehr zum und vom Subnetz 10.0.0.0/8 zulässt.

  6. Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone zur Vertrauenszone, die Unicast-Datenverkehr zum und vom Subnetz 10.0.0.0/8 zulässt.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle und eingeben.show security group-vpn membershow security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Konfigurieren von Member2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie member2:

  1. Konfigurieren Sie die Sicherheitszuordnung der Phase 1 (diese Konfiguration muss mit der auf dem Gruppenserver konfigurierten Sicherheitszuordnung der Phase 1 übereinstimmen).

  2. Definieren Sie die IKE-Richtlinie, und legen Sie das Remote-Gateway fest.

  3. Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für member2.

    Um Probleme mit der Paketfragmentierung zu vermeiden, wird empfohlen, die Schnittstelle, die von den Gruppenmitgliedern für die Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine MTU-Größe von nicht mehr als 1400 Byte zu konfigurieren. Verwenden Sie die Konfigurationsanweisung, um die MTU-Größe festzulegen.set interface mtu

  4. Erstellen Sie ein Adressbuch, und fügen Sie es der Vertrauenszone zu.

  5. Erstellen Sie ein weiteres Adressbuch, und fügen Sie es der nicht vertrauenswürdigen Zone zu.

  6. Konfigurieren Sie eine Bereichsrichtlinie von der Vertrauenszone bis zur nicht vertrauenswürdigen Zone, die Datenverkehr von 10.1.0.0/16 blockiert.

  7. Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone bis zur vertrauenswürdigen Zone, die den Datenverkehr zu 10.1.0.0/16 blockiert.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle und eingeben.show security group-vpn membershow security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Gehen Sie folgendermaßen vor, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfen dynamischer Richtlinien für Mitglied1

Zweck

Zeigen Sie die dynamischen Richtlinien an, die auf member1 installiert sind.

Was

Nachdem der Gruppenserver Schlüssel auf member1 heruntergeladen hat, geben Sie den Befehl aus dem Betriebsmodus ein.show security dynamic-policies

Bedeutung

Die Multicastrichtlinie p3 des Servers wird nicht auf member1 installiert, da für member1 keine Bereichsrichtlinie konfiguriert ist, die Multicastdatenverkehr zulässt.

Überprüfen dynamischer Richtlinien für Mitglied2

Zweck

Zeigen Sie die dynamischen Richtlinien an, die auf Member 2 installiert sind.

Was

Nachdem der Gruppenserver Schlüssel auf member2 heruntergeladen hat, geben Sie den Befehl im Betriebsmodus ein.show security dynamic-policies

Bedeutung

Die Richtlinie p2 (für Datenverkehr von 10.1.0.0/16 bis 10.2.0.0/16) vom Server wird auf member2 nicht installiert, da sie mit der auf member2 konfigurierten Sicherheitsrichtlinie deny2 übereinstimmt.

Beispiel: Konfigurieren der Gruppen-VPNv1-Server-Mitglieder-Kommunikation für Unicast-Rekey-Nachrichten

In diesem Beispiel wird gezeigt, wie der Server so aktiviert wird, dass Unicast-Rekey-Nachrichten an Gruppenmitglieder gesendet werden, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie den Gruppenserver und die Mitglieder für die IKE-Phase 1-Aushandlung.

  • Konfigurieren Sie den Gruppenserver und die Mitglieder für die IPsec-Sicherheitszuordnung der Phase 2.

  • Konfigurieren Sie die Gruppe auf dem Gruppenserver.g1

Überblick

In diesem Beispiel geben Sie die folgenden Kommunikationsparameter für Servermitglieder für die Gruppe an:g1

  • Der Server sendet Unicast-Rekey-Nachrichten an Gruppenmitglieder.

  • 3DES-CBC wird verwendet, um den Datenverkehr zwischen dem Server und den Mitgliedern zu verschlüsseln.

  • SHA1 wird für die Mitgliederauthentifizierung verwendet.

Standardwerte werden für Servertakte, KEK-Lebensdauer und erneute Übertragungen verwendet.

Konfiguration

Verfahren

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie die Server-Mitglieder-Kommunikation:

  1. Legen Sie den Kommunikationstyp fest.

  2. Legen Sie den Verschlüsselungsalgorithmus fest.

  3. Legen Sie die Mitgliederauthentifizierung fest.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl ein.show security group-vpn server group g1 server-member-communication

Beispiel: Konfigurieren der Gruppen-VPNv1-Server-Mitglieder-Kommunikation für Multicast-Rekey-Nachrichten

In diesem Beispiel wird gezeigt, wie der Server in die Lage versetzt wird, Multicast-Rekey-Nachrichten an Gruppenmitglieder zu senden, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.

Anforderungen

Bevor Sie beginnen:

Überblick

In diesem Beispiel geben Sie die folgende Server-Mitglieder-Kommunikation für die Gruppe an:g1

  • Der Server sendet Multicast-Rekey-Nachrichten an Gruppenmitglieder mittels der Multicast-Adresse 226.1.1.1 und der Schnittstelle ge-0/0/1.0.

  • 3DES-CBC wird verwendet, um den Datenverkehr zwischen dem Server und den Mitgliedern zu verschlüsseln.

  • SHA1 wird für die Mitgliederauthentifizierung verwendet.

Standardwerte werden für Servertakte, KEK-Lebensdauer und erneute Übertragungen verwendet.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie die Konfiguration der Server-Member-Kommunikation für Multicast-Rekey-Meldungen:

  1. Legen Sie den Kommunikationstyp fest.

  2. Legen Sie die Multicastgruppe fest.

  3. Legen Sie die Schnittstelle für ausgehende Multicastnachrichten fest.

  4. Legen Sie den Verschlüsselungsalgorithmus fest.

  5. Legen Sie die Mitgliederauthentifizierung fest.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security group-vpn server group g1 server-member-communication Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:

Überprüfen der Server-Member-Kommunikation für Multicast-Rekey-Nachrichten

Zweck

Stellen Sie sicher, dass die Kommunikationsparameter der Servermitglieder für Multicast-Rekey-Nachrichten ordnungsgemäß konfiguriert sind, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security group-vpn server group g1 server-member-communication

Beispiel: Konfigurieren von Gruppen-VPNv1 mit Server-Mitglieder-Kollokation

In diesem Beispiel wird gezeigt, wie ein Gerät für den Kollokationsmodus konfiguriert wird, der die Koexistenz von Server- und Memberfunktionen auf demselben physischen Gerät ermöglicht. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.

Anforderungen

Bevor Sie beginnen:

Überblick

Wenn der Kollokationsmodus konfiguriert ist, können Gruppenserver- und Gruppenmitgliederfunktionen auf demselben Gerät koexistieren. Im Colocation-Modus müssen Server und Mitglied über unterschiedliche IP-Adressen verfügen, damit Pakete ordnungsgemäß zugestellt werden.

In Abbildung 3besteht ein Gruppen-VPN (Gruppenbezeichner ist 1) aus zwei Mitgliedern (member1 und member2) und einem Gruppenserver (die IP-Adresse der Loopback-Schnittstelle ist 20.0.0.1). Beachten Sie, dass member1 auf demselben Gerät wie der Gruppenserver koexistiert. In diesem Beispiel wird der Schnittstelle, die member1 zum Herstellen einer Verbindung mit dem MPLS-Netzwerk (ge-0/1/0) verwendet, die IP-Adresse 10.1.0.1/32 zugewiesen.

Abbildung 3: Beispiel für die Kollokation von ServermitgliedernBeispiel für die Kollokation von Servermitgliedern

In den Konfigurationsanweisungen in diesem Thema wird beschrieben, wie das Gerät der Gruppe server-member1 für den Kollokationsmodus konfiguriert wird. Informationen zum Konfigurieren von member2 finden Sie unter Beispiel: Konfigurieren des Gruppen-VPNv1-Servers und der Mitglieder.

Um Probleme mit der Paketfragmentierung zu vermeiden, wird empfohlen, die Schnittstelle, die das Gruppenmitglied für die Verbindung mit dem MPLS-Netzwerk verwendet, für eine MTU-Größe von nicht mehr als 1400 Byte zu konfigurieren. Verwenden Sie die Konfigurationsanweisung, um die MTU-Größe festzulegen.set interface mtu

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus

So konfigurieren Sie Gruppen-VPN mit Server-Mitglieder-Colocation:

  1. Konfigurieren Sie die Loopback-Adresse auf dem Gerät.

  2. Konfigurieren Sie die Schnittstelle, die member1 zum Herstellen einer Verbindung mit dem MPLS-Netzwerk verwendet.

  3. Konfigurieren Sie die Gruppen-VPN-Zusammenstellung auf dem Gerät.

  4. Konfigurieren Sie die IKE-Phase-1-SA für den Server (diese Konfiguration muss mit der Phase-1-SA übereinstimmen, die für Gruppenmitglieder konfiguriert ist).

  5. Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.

  6. Konfigurieren Sie den Phase 2-Sicherheitszuordnungsaustausch für den Server.

  7. Konfigurieren Sie die Gruppenkennung, das IKE-Gateway, die Wiedergabezeit und die Serveradresse auf dem Server.

  8. Konfigurieren Sie die Kommunikation zwischen Server und Mitglied.

  9. Konfigurieren Sie die Gruppenrichtlinien, die für Gruppenmitglieder heruntergeladen werden sollen.

  10. Konfigurieren Sie die Phase-1-Sicherheitszuordnung für Mitglied1 (diese Konfiguration muss mit der für den Gruppenserver konfigurierten Phase-1-Sicherheitszuordnung übereinstimmen).

  11. Definieren Sie die Richtlinie, und legen Sie das Remote-Gateway für member1 fest.

  12. Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für member1.

  13. Erstellen Sie Adressbücher und hängen Sie sie an Zonen an.

  14. Konfigurieren Sie eine Bereichsrichtlinie von der Vertrauenszone bis zur nicht vertrauenswürdigen Zone, die Unicast-Datenverkehr zum und vom Subnetz 10.0.0.0/8 zulässt.

  15. Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone zur Vertrauenszone, die Unicast-Datenverkehr zum und vom Subnetz 10.0.0.0/8 zulässt.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl and eingeben.show security group-vpn show security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Stellen Sie sicher, dass in der Liste der konfigurierten Sicherheitsrichtlinien die Bereichsrichtlinien vor den Standardrichtlinien aufgeführt sind.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:

Verifizieren der Registrierung von Gruppen-VPN-Mitgliedern

Zweck

Vergewissern Sie sich, dass die VPN-Gruppenmitglieder korrekt registriert sind.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security group-vpn registered-members

Überprüfen der Gruppen-VPN-Serversicherheitszuordnungen für IKE

Zweck

Überprüfen Sie die Sicherheitszuordnungen für den Gruppen-VPN-Server für IKE.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security group-vpn server ike security-associations

Überprüfen der Sicherheitszuordnungen von Gruppen-VPN-Servern für IPsec

Zweck

Überprüfen Sie die Sicherheitszuordnungen für den Gruppen-VPN-Server auf IPsec.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security group-vpn server ipsec security-associations

Überprüfen der Sicherheitszuordnungen von Gruppen-VPN-Mitgliedern für IKE

Zweck

Überprüfen Sie die Sicherheitszuordnungen für die Gruppen-VPN-Mitglieder für IKE.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security group-vpn member ike security-associations

Überprüfen der Sicherheitszuordnungen von Gruppen-VPN-Mitgliedern für IPsec

Zweck

Überprüfen Sie die Sicherheitszuordnungen für die Gruppen-VPN-Mitglieder auf IPsec.

Was

Geben Sie im Betriebsmodus den Befehl ein.show security group-vpn member ipsec security-associations

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
12.3X48-D30
Ab Junos OS Version 12.3X48-D30 können Mitglieder der Gruppe VPNv1 mit Server der Gruppe VPNv2 zusammenarbeiten.
12.3X48-D30
Ab Junos OS Version 12.3X48-D30 können Gruppen-VPNv1-Mitglieder auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX550- und SRX650-Geräten mit Gruppen-VPNv2-Servern zusammenarbeiten.