Gruppe VPNv1
Gruppen-VPN umfasst eine Reihe von Funktionen, die erforderlich sind, um IP-Multicast-Gruppendatenverkehr oder Unicast-Datenverkehr über ein privates WAN zu sichern, das von einem Gerät stammt oder durch ein Gerät fließt.
Gruppen-VPNv1 – Übersicht
Eine IPsec-Sicherheitszuordnung (Security Association, SA) ist eine unidirektionale Vereinbarung zwischen VPN-Teilnehmern (Virtual Private Network), die die Regeln definiert, die für Authentifizierungs- und Verschlüsselungsalgorithmen, Schlüsselaustauschmechanismen und sichere Kommunikation verwendet werden sollen. Bei aktuellen VPN-Implementierungen ist die SA ein Punkt-zu-Punkt-Tunnel zwischen zwei Sicherheitsgeräten. Group VPNv1 erweitert die IPsec-Architektur, um Sicherheitszuordnungen zu unterstützen, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden (siehe Abbildung 1).
Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt. Mit Group VPNv1 wird eine Any-to-Any-Konnektivität erreicht, indem die ursprünglichen Quell- und Ziel-IP-Adressen im äußeren Header beibehalten werden. Sichere Multicast-Pakete werden auf die gleiche Weise repliziert wie Klartext-Multicast-Pakete im Kernnetzwerk.
Ab Junos OS Version 12.3X48-D30 können Mitglieder der Gruppe VPNv1 mit Server der Gruppe VPNv2 zusammenarbeiten.
Group VPNv1 weist einige Einschränkungen bezüglich der Korrektheit in Bezug auf RFC 6407, The Group Domain of Interpretation (GDOI) auf. Um Gruppen-VPN ohne proprietäre Einschränkungen zu verwenden, führen Sie ein Upgrade auf Gruppen-VPNv2 durch. Gruppen-VPNv2 wird auf virtuellen vSRX-Firewall-Instanzen ab Junos OS Version 15.1X49-D30, Firewalls der SRX-Serie ab Junos OS Version 15.1X49-D40 und Geräten der MX-Serie ab Junos OS Version 15.1r2 unterstützt.
- Grundlegendes zum GDOI-Protokoll für Gruppen-VPNv1
- Grundlegendes zu den Einschränkungen von Gruppen-VPNv1
- Grundlegendes zu Gruppen-VPNv1-Servern und -Mitgliedern
- Grundlegendes zur Gruppen-VPNv1-Server-Mitglieder-Kommunikation
- Grundlegendes zu Gruppen-VPNv1-Gruppenschlüsselvorgängen
- Grundlegendes zu Gruppen-VPNv1-Heartbeat-Nachrichten
- Grundlegendes zum Gruppen-VPNv1-Server-Member-Kollokationsmodus
Grundlegendes zum GDOI-Protokoll für Gruppen-VPNv1
Group VPNv1 basiert auf RFC 3547, The Group Domain of Interpretation (GDOI). Dieser RFC beschreibt das Protokoll zwischen Gruppenmitgliedern und einem Gruppenserver zum Einrichten von Sicherheitszuordnungen zwischen Gruppenmitgliedern. GDOI-Nachrichten erstellen, verwalten oder löschen Sicherheitszuordnungen für eine Gruppe von Geräten. Das GDOI-Protokoll wird auf Port 848 ausgeführt.
Das Internet Security Association and Key Management Protocol (ISAKMP) definiert zwei Aushandlungsphasen zum Einrichten von Sicherheitszuordnungen für einen AutoKey IKE IPsec-Tunnel. Phase 1 ermöglicht es zwei Geräten, eine ISAKMP-SA zu gründen. In Phase 2 werden Sicherheitszuordnungen für andere Sicherheitsprotokolle, wie z. B. GDOI, eingerichtet.
Bei einem Gruppen-VPN wird die ISAKMP SA-Aushandlung der Phase 1 zwischen einem Gruppenserver und einem Gruppenmitglied durchgeführt. Der Server und das Mitglied müssen dieselbe ISAKMP-Richtlinie verwenden. In Phase 2 werden durch den GDOI-Austausch zwischen dem Server und dem Mitglied die Sicherheitszuordnungen eingerichtet, die für andere Gruppenmitglieder freigegeben werden. Ein Gruppenmitglied muss IPsec nicht mit anderen Gruppenmitgliedern aushandeln. GDOI-Börsen in Phase 2 müssen durch ISAKMP Phase 1 SAs geschützt werden.
Es gibt zwei Arten von GDOI-Austausch:
Der
groupkey-pullAustausch ermöglicht es einem Mitglied, SAs und Schlüssel anzufordern, die von der Gruppe gemeinsam genutzt werden, vom Server.Bei dem
groupkey-pushAustausch handelt es sich um eine einzelne Rekey-Nachricht, die es dem Server ermöglicht, Gruppen-Sicherheitszuordnungen und Schlüssel an Mitglieder zu senden, bevor vorhandene Gruppen-Sicherheitszuordnungen ablaufen. Rekey-Nachrichten sind unerwünschte Nachrichten, die vom Server an Mitglieder gesendet werden.
Grundlegendes zu den Einschränkungen von Gruppen-VPNv1
Folgendes wird in dieser Version für die Gruppe VPNv1 nicht unterstützt:
Nicht standardmäßige Routing-Instanzen
Chassis-Cluster
Server-Cluster
Routenbasiertes Gruppen-VPN
Öffentliche internetbasierte Bereitstellung
SNMP
Richtlinie vom Cisco GET VPN-Server ablehnen
J-Web-Schnittstelle zur Konfiguration und Überwachung
Ab Junos OS Version 12.3X48-D30 können Gruppen-VPNv1-Mitglieder auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX550- und SRX650-Geräten mit Gruppen-VPNv2-Servern zusammenarbeiten. Beachten Sie bei der Konfiguration von Gruppen-VPNv1-Mitgliedern für die Verwendung mit Gruppen-VPNv2-Servern die folgenden Einschränkungen:
Group VPNv2 unterstützt den IETF-Spezifikationsentwurf IP Delivery Delay Detection Protocol für einen zeitbasierten Anti-Replay-Mechanismus. Daher wird das protokollbasierte Antireplay zur Erkennung von IP-Übermittlungsverzögerungen auf Mitgliedern der Gruppe VPNv1 nicht unterstützt und muss auf dem Server der Gruppe VPNv2 mit dem
deactivate security group-vpn server group group-name anti-replay-time-windowBefehl deaktiviert werden.Der Gruppen-VPNv2-Server unterstützt keine Kollokation, bei der die Funktionen des Gruppenservers und der Gruppenmitglieder auf demselben Gerät vorhanden sind.
Der Gruppen-VPNv2-Server unterstützt keine Heartbeat-Übertragungen. Heartbeat muss auf dem Mitglied der Gruppe VPNv1 mit dem
deactivate security group-vpn member ipsec vpn vpn-name heartbeat-thresholdBefehl deaktiviert werden. Es wird empfohlen, Gruppen-VPNv2-Servercluster zu verwenden, um Auswirkungen auf den Datenverkehr aufgrund von Neustarts oder anderen Unterbrechungen auf dem Gruppen-VPNv2-Server zu vermeiden.Groupkey-Push-Nachrichten, die vom Group VPNv2-Server gesendet werden, basieren auf RFC 6407, The Group Domain of Interpretation (GDOI) und werden von Mitgliedern der Gruppe VPNv1 nicht unterstützt. Daher müssen groupkey-push-Nachrichten auf dem Group VPNv2-Server mit dem
deactivate security group-vpn server group group-name server-member-communicationBefehl deaktiviert werden.Erneute Schlüssel werden mit Groupkey-Pull-Nachrichten unterstützt. Wenn es Skalierungsprobleme gibt, bei denen Gruppen-VPNv1-Mitglieder den Groupkey-Pull-Vorgang nicht vor Ablauf der harten TEK-Lebensdauer abschließen können, empfehlen wir, die TEK-Lebensdauer zu erhöhen, damit die Mitglieder genügend Zeit haben, den Groupkey-Pull-Vorgang abzuschließen. Die Skalierungszahlen von Juniper sind mit einer TEK-Lebensdauer von 2 Stunden qualifiziert.
Wenn der Gruppen-VPNv2-Server neu gestartet oder aktualisiert wird oder die Sicherheitszuordnungen für die Gruppe gelöscht werden, können dem Netzwerk erst bei der nächsten Neuschlüsselung für vorhandene Mitglieder neue Mitglieder hinzugefügt werden. Neue Mitglieder können keinen Datenverkehr an vorhandene Mitglieder senden, die über alte Schlüssel verfügen. Um dieses Problem zu umgehen, löschen Sie die Sicherheitszuordnungen auf den vorhandenen Mitgliedern der Gruppe VPNv1 mit dem
clear security group-vpn member ipsec security-associationsBefehl.Da Multicast-Datenverkehr von Gruppen-VPNv2-Mitgliedern nicht unterstützt wird, kann Multicast-Datenverkehr nicht verwendet werden, wenn Gruppen-VPNv1- und Gruppen-VPNv2-Mitglieder im Netzwerk für dieselbe Gruppe koexistieren.
Grundlegendes zu Gruppen-VPNv1-Servern und -Mitgliedern
Das Zentrum eines Gruppen-VPN ist der Gruppenserver. Der Gruppenserver führt die folgenden Aufgaben aus:
Steuert die Gruppenmitgliedschaft
Generiert Verschlüsselungsschlüssel
Verwaltet Gruppen-SAs und -Schlüssel und verteilt sie an Gruppenmitglieder
Gruppenmitglieder verschlüsseln den Datenverkehr basierend auf den vom Gruppenserver bereitgestellten Gruppenzuordnungen und Schlüsseln.
Ein Gruppenserver kann mehrere Gruppen bedienen. Ein einzelnes Sicherheitsgerät kann Mitglied mehrerer Gruppen sein.
Jede Gruppe wird durch einen Gruppenbezeichner dargestellt, bei dem es sich um eine Zahl zwischen 1 und 65.535 handelt. Der Gruppenserver und die Gruppenmitglieder sind durch den Gruppenbezeichner miteinander verbunden. Es kann nur einen Gruppenbezeichner pro Gruppe geben, und mehrere Gruppen können nicht denselben Gruppenbezeichner verwenden.
Im Folgenden finden Sie eine allgemeine Übersicht über Gruppen-VPN-Server- und Mitgliederaktionen:
Der Gruppenserver lauscht am UDP-Port 848 auf Mitglieder, die sich registrieren können. Ein Mitgliedsgerät muss über die korrekte IKE Phase 1-Authentifizierung verfügen, um der Gruppe beitreten zu können. Die Authentifizierung mit vorinstallierten Schlüsseln pro Mitglied wird unterstützt.
Nach erfolgreicher Authentifizierung und Registrierung ruft das Mitgliedsgerät Gruppen-SAs und -Schlüssel vom Server mit einem GDOI-Austausch
groupkey-pullab.Der Server fügt das Mitglied der Mitgliedschaft für die Gruppe hinzu.
Gruppenmitglieder tauschen Pakete aus, die mit Gruppen-SA-Schlüsseln verschlüsselt sind.
Der Server sendet in regelmäßigen Abständen Sicherheitszuordnungs- und Schlüsselaktualisierungen an Gruppenmitglieder mit Rekey-Nachrichten (GDOI groupkey-push). Rekey-Nachrichten werden gesendet, bevor Sicherheitszuordnungen ablaufen. Dadurch wird sichergestellt, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.
Der Server sendet auch Rekey-Nachrichten, um Mitgliedern neue Schlüssel zur Verfügung zu stellen, wenn sich die Gruppenmitgliedschaft ändert oder wenn sich die Gruppenzuordnung geändert hat.
Grundlegendes zur Gruppen-VPNv1-Server-Mitglieder-Kommunikation
Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt. Die Kommunikation zwischen Servermitgliedern ermöglicht es dem Server, GDOI-Nachrichten groupkey-push an Mitglieder zu senden. Wenn die Server-Mitglieder-Kommunikation für die Gruppe nicht konfiguriert ist, können Mitglieder GDOI-Nachrichten groupkey-pull senden, um sich beim Server zu registrieren und erneut zu registrieren, aber der Server ist nicht in der Lage, Rekey-Nachrichten an Mitglieder zu senden.
Die Kommunikation zwischen Servermitgliedern und Servermitgliedern wird für die Gruppe mithilfe der server-member-communication configuration-Anweisung in der [edit security group-vpn server]-Hierarchie konfiguriert. Folgende Optionen können definiert werden:
Verschlüsselungsalgorithmus, der für die Kommunikation zwischen dem Server und dem Mitglied verwendet wird. Sie können 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc oder des-cbc angeben. Es gibt keinen Standardalgorithmus.
Authentifizierungsalgorithmus (md5 oder sha1), der zur Authentifizierung des Mitglieds gegenüber dem Server verwendet wird. Es gibt keinen Standardalgorithmus.
Gibt an, ob der Server Unicast- oder Multicast-Rekey-Nachrichten an Gruppenmitglieder und Parameter sendet, die sich auf den Kommunikationstyp beziehen.
Intervall, in dem der Server Heartbeat-Nachrichten an das Gruppenmitglied sendet. Auf diese Weise kann das Mitglied feststellen, ob der Server neu gestartet wurde, was eine erneute Registrierung des Mitglieds beim Server erfordern würde. Der Standardwert ist 300 Sekunden.
Lebensdauer des Schlüsselverschlüsselungsschlüssels (Key Encryption Key, KEK). Der Standardwert ist 3600 Sekunden.
Das Konfigurieren der Server-Member-Kommunikation ist erforderlich, damit der Gruppenserver Rekey-Nachrichten an Mitglieder senden kann, aber es kann Situationen geben, in denen dieses Verhalten nicht erwünscht ist. Wenn es sich bei Gruppenmitgliedern beispielsweise um dynamische Peers handelt (z. B. im Homeoffice), sind die Geräte nicht immer betriebsbereit und die IP-Adresse eines Geräts kann bei jedem Einschalten anders sein. Das Konfigurieren der Server-Member-Kommunikation für eine Gruppe dynamischer Peers kann zu unnötigen Übertragungen durch den Server führen. Wenn Sie möchten, dass die IKE-Phase-1-SA-Aushandlung immer durchgeführt wird, um die GDOI-Aushandlung zu schützen, konfigurieren Sie keine Server-Member-Kommunikation.
Wenn die Server-Mitglieder-Kommunikation für eine Gruppe nicht konfiguriert ist, zeigt die vom show security group-vpn server registered-members Befehl angezeigte Mitgliederliste Gruppenmitglieder an, die sich beim Server registriert haben; Mitglieder können aktiv sein oder nicht. Wenn die Server-Mitglieder-Kommunikation für eine Gruppe konfiguriert ist, wird die Gruppenmitgliedschaftsliste gelöscht. Wenn der Kommunikationstyp als Unicast konfiguriert ist, zeigt der show security group-vpn server registered-members Befehl nur aktive Mitglieder an. Wenn der Kommunikationstyp als Multicast konfiguriert ist, zeigt der show security group-vpn server registered-members Befehl Mitglieder an, die sich nach der Konfiguration beim Server registriert haben. Die Mitgliederliste repräsentiert nicht unbedingt aktive Mitglieder, da Mitglieder nach der Registrierung ausscheiden können.
Grundlegendes zu Gruppen-VPNv1-Gruppenschlüsselvorgängen
Dieses Thema enthält die folgenden Abschnitte:
Gruppenschlüssel
Der Gruppenserver verwaltet eine Datenbank, um die Beziehung zwischen VPN-Gruppen, Gruppenmitgliedern und Gruppenschlüsseln zu verfolgen. Es gibt zwei Arten von Gruppenschlüsseln, die der Server an Mitglieder herunterlädt:
Key Encryption Key (KEK): Wird verwendet, um Nachrichten zum erneuten Verschlüsseln zu verschlüsseln. Pro Gruppe wird ein KEK unterstützt.
Traffic Encryption Key (TEK) – Wird verwendet, um IPsec-Datenverkehr zwischen Gruppenmitgliedern zu verschlüsseln und zu entschlüsseln.
Der Schlüssel, der einer Sicherheitszuordnung zugeordnet ist, wird von einem Gruppenmitglied nur akzeptiert, wenn für das Mitglied eine entsprechende Bereichsrichtlinie konfiguriert ist. Ein akzeptierter Schlüssel wird für das Gruppen-VPN installiert, während ein abgelehnter Schlüssel verworfen wird.
Nachrichten erneut eingeben
Wenn die Gruppe für die Kommunikation zwischen Servermitgliedern konfiguriert ist, sendet der Server in regelmäßigen Abständen Sicherheitszuordnungs- und Schlüsselaktualisierungen an Gruppenmitglieder mit GDOI-Meldungen groupkey-push(Rekey). Rekey-Nachrichten werden gesendet, bevor Sicherheitszuordnungen ablaufen. Dadurch wird sichergestellt, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.
Der Server sendet auch Rekey-Nachrichten, um Mitgliedern neue Schlüssel zur Verfügung zu stellen, wenn sich die Gruppenmitgliedschaft ändert oder sich die Gruppenzuordnung geändert hat (z. B. wenn eine Gruppenrichtlinie hinzugefügt oder gelöscht wird).
Kommunikationsoptionen für Servermitglieder müssen auf dem Server konfiguriert werden, damit der Server erneut Schlüsselnachrichten an Gruppenmitglieder senden kann. Diese Optionen geben den Nachrichtentyp und die Intervalle an, in denen die Nachrichten gesendet werden, wie in den folgenden Abschnitten erläutert:
Es gibt zwei Arten von Rekey-Meldungen:
Unicast-Nachrichten zum erneuten Schlüsseln: Der Gruppenserver sendet eine Kopie der Nachricht zum erneuten Schlüssel an jedes Gruppenmitglied. Nach Erhalt der Rekey-Nachricht müssen Mitglieder eine Bestätigung (ACK) an den Server senden. Wenn der Server keine Bestätigung von einem Mitglied erhält (einschließlich der erneuten Übertragung von Rekey-Nachrichten), betrachtet der Server das Mitglied als inaktiv und entfernt es aus der Mitgliederliste. Der Server beendet das Senden von Rekey-Nachrichten an das Mitglied.
Die
number-of-retransmissionundretransmission-periodconfiguration-Anweisungen für die Kommunikation zwischen Servermitgliedern steuern das erneute Senden von Rekey-Nachrichten durch den Server, wenn keine Bestätigung von einem Mitglied empfangen wird.Multicast-Rekey-Nachrichten: Der Gruppenserver sendet eine Kopie der Rekey-Nachricht von der angegebenen ausgehenden Schnittstelle an die konfigurierte Multicast-Gruppenadresse. Mitglieder senden keine Empfangsbestätigung von Multicast-Rekey-Nachrichten. Die Liste der registrierten Mitglieder repräsentiert nicht unbedingt aktive Mitglieder, da Mitglieder nach der ersten Registrierung ausscheiden können. Alle Mitglieder der Gruppe müssen für die Unterstützung von Multicastnachrichten konfiguriert sein.
IP-Multicast-Protokolle müssen so konfiguriert werden, dass sie die Übertragung von Multicast-Datenverkehr im Netzwerk ermöglichen. Ausführliche Informationen zur Konfiguration von Multicast-Protokollen auf Geräten von Juniper Networks finden Sie im Benutzerhandbuch für Multicast-Protokolle .
Das Intervall, in dem der Server Rekey-Nachrichten sendet, wird basierend auf den Werten der lifetime-secondsactivation-time-delay und configuration-Anweisungen in der [edit security group-vpn server group]-Hierarchie berechnet. Das Intervall wird als lifetime-seconds minus 4*(activation-time-delay)berechnet.
Der lifetime-seconds für den KEK wird als Teil der Kommunikation zwischen Servermitgliedern konfiguriert. Der Standardwert ist 3600 Sekunden. Der lifetime-seconds für den TEK ist für den IPsec-Vorschlag konfiguriert; der Standardwert ist 3600 Sekunden. Die activation-time-delay ist für die Gruppe auf dem Server konfiguriert; der Standardwert ist 15 Sekunden. Bei Verwendung der Standardwerte für lifetime-seconds und activation-time-delaybeträgt 3600 minus 4*15das Intervall, in dem der Server Rekey-Nachrichten sendet, , oder 3540 Sekunden.
Mitglieder-Registrierung
Wenn ein Gruppenmitglied keinen neuen Sicherheitszuordnungsschlüssel vom Server erhält, bevor der aktuelle Schlüssel abläuft, muss sich das Mitglied erneut beim Server registrieren und aktualisierte Schlüssel bei einem GDOI-Austausch groupkey-pull abrufen. In diesem Fall wird das Intervall, in dem der Server Rekey-Nachrichten sendet, wie folgt berechnet: lifetime-seconds minus 3*(activation-time-delay). Bei Verwendung der Standardwerte für lifetime-seconds und activation-time-delaybeträgt das Intervall, in dem der Server Nachrichten zur erneuten Schlüsselerstellung sendet, 3600 minus 3*15 oder 3555 Sekunden.
Die erneute Registrierung von Mitgliedern kann aus folgenden Gründen erfolgen:
Das Mitglied erkennt einen Neustart des Servers anhand des Fehlens von vom Server empfangenen Taktsignalen.
Die Rekey-Nachricht vom Gruppenserver geht verloren oder verzögert sich, und die TEK-Lebensdauer ist abgelaufen.
Aktivierung des Schlüssels
Wenn ein Mitglied einen neuen Schlüssel vom Server erhält, wartet es eine gewisse Zeit, bevor es den Schlüssel für die Verschlüsselung verwendet. Dieser Zeitraum wird durch die activation-time-delay Konfigurationsanweisung bestimmt und davon, ob der Schlüssel durch eine vom Server gesendete Nachricht zum erneuten Schlüssel oder als Ergebnis einer erneuten Registrierung des Mitglieds beim Server empfangen wird.
Wenn der Schlüssel durch eine vom Server gesendete Nachricht zum erneuten Schlüssel empfangen wird, wartet das Mitglied 2*(activation-time-delay) Sekunden, bevor es den Schlüssel verwendet. Wenn der Schlüssel durch die erneute Registrierung des Members empfangen wird, wartet das Mitglied die durch den activation-time-delay Wert angegebene Anzahl von Sekunden.
Ein Mitglied behält die beiden letzten Schlüssel, die vom Server für jede auf dem Mitglied installierte Gruppenzuordnung gesendet wurden. Beide Schlüssel können zur Entschlüsselung verwendet werden, während der neueste Schlüssel zur Verschlüsselung verwendet wird. Der vorherige Schlüssel wird um die Anzahl von Sekunden entfernt, die durch den activation-time-delay Wert angegeben wird, nachdem der neue Schlüssel aktiviert wurde.
Der Standardwert für die activation-time-delay Konfigurationsanweisung beträgt 15 Sekunden. Wenn Sie diesen Zeitraum zu klein einstellen, kann dies dazu führen, dass ein Paket bei einem Remotegruppenmitglied verworfen wird, bevor der neue Schlüssel installiert wird. Berücksichtigen Sie die Netzwerktopologie und die Systemtransportverzögerungen, wenn Sie den activation-time-delay Wert ändern. Bei Unicastübertragungen ist die Systemtransportverzögerung proportional zur Anzahl der Gruppenmitglieder.
Ein Gruppen-VPNv1-Server kann als Antwort auf eine groupkey-pull Anfrage mehrere Datenverkehrsverschlüsselungsschlüssel (TEKs) an ein Gruppen-VPNv1-Mitglied senden. Im Folgenden wird beschrieben, wie das Gruppenmitglied VPNv1 mit den vorhandenen TEK und den vom Server empfangenen TEKs umgeht:
Wenn das Gruppenmitglied VPNv1 zwei oder mehr TEKs empfängt, enthält es die letzten beiden TEKs und löscht die vorhandenen TEKs. Von den beiden gehaltenen TEK wird der ältere TEK sofort aktiviert, und der neuere TEK wird aktiviert, nachdem der auf der
activation-time-delayGruppe konfigurierte VPNv1-Server abgelaufen ist (der Standardwert ist 15 Sekunden).Wenn das Gruppenmitglied VPNv1 nur einen TEK empfängt oder wenn es einen TEK über eine
groupkey-pushNachricht vom Server empfängt, wird der vorhandene TEK erst gelöscht, wenn die harte Lebensdauer abgelaufen ist. Die Lebensdauer des vorhandenen TEK verkürzt sich nicht.
Das Mitglied der Gruppe VPNv1 installiert eine empfangene TEK auch dann, wenn die TEK-Lebensdauer weniger als das Doppelte des activation-time-delay Wertes beträgt.
Grundlegendes zu Gruppen-VPNv1-Heartbeat-Nachrichten
Wenn die Server-Mitglieder-Kommunikation konfiguriert ist, sendet der Gruppen-VPNv1-Server in bestimmten Intervallen (das Standardintervall beträgt 300 Sekunden) Taktnachrichten an die Mitglieder. Der Taktmechanismus ermöglicht es Mitgliedern, sich erneut beim Server zu registrieren, wenn die angegebene Anzahl von Takten nicht empfangen wird. Beispielsweise erhalten Mitglieder während eines Serverneustarts keine Heartbeat-Meldungen. Wenn der Server neu gestartet wurde, registrieren sich die Mitglieder erneut beim Server.
Herzschläge werden durch groupkey-push Nachrichten übertragen. Die Sequenznummer wird bei jeder Heartbeat-Nachricht erhöht, wodurch die Mitglieder vor Antwortangriffen geschützt werden. Im Gegensatz zu Rekey-Nachrichten werden Taktsignalnachrichten von den Empfängern nicht bestätigt und vom Server nicht erneut übertragen.
Heartbeat-Nachrichten enthalten die folgenden Informationen:
Aktueller Status und Konfiguration der Schlüssel auf dem Server
Relative Zeit, wenn Antireplay aktiviert ist
Durch den Vergleich der Informationen in den Takttakten kann ein Mitglied feststellen, ob es Serverinformationen verpasst hat oder Nachrichten neu verschlüsselt. Das Mitglied registriert sich erneut, um sich mit dem Server zu synchronisieren.
Taktmeldungen können die Netzwerküberlastung erhöhen und unnötige Neuregistrierungen von Mitgliedern verursachen. So kann die Takterkennung auf dem Member bei Bedarf deaktiviert werden.
Grundlegendes zum Gruppen-VPNv1-Server-Member-Kollokationsmodus
Die Funktionen "Gruppenserver" und "Gruppenmitglied" sind voneinander getrennt und überschneiden sich nicht. Die Server- und Memberfunktionen können gleichzeitig auf demselben physischen Gerät vorhanden sein, was als Kollokationsmodus bezeichnet wird. Im Colocation-Modus gibt es keine Änderung in Bezug auf Funktionalität und Verhalten des Servers oder eines Mitglieds, aber dem Server und dem Mitglied müssen jeweils unterschiedliche IP-Adressen zugewiesen werden, damit Pakete ordnungsgemäß zugestellt werden können. Im Colocation-Modus kann dem Server nur eine IP-Adresse und dem Mitglied gruppenübergreifend nur eine IP-Adresse zugewiesen werden.
Siehe auch
Gruppen-VPNv1-Konfigurationsübersicht
In diesem Thema werden die wichtigsten Aufgaben zum Konfigurieren von Gruppen-VPNv1 beschrieben.
Konfigurieren Sie auf dem Gruppenserver Folgendes:
- IKE Phase 1 Verhandlung. Verwenden Sie die [
edit security group-vpn server ike]-Hierarchie, um die IKE Phase 1 SA zu konfigurieren. Weitere Informationen finden Sie unter Grundlegendes zur IKE-Phase-1-Konfiguration für Gruppen-VPNv2 . - Phase 2 IPsec SA. Weitere Informationen finden Sie unter Grundlegendes zur IPsec-SA-Konfiguration für Gruppen-VPNv1.
- VPN-Gruppe. Weitere Informationen finden Sie unter Übersicht über die Gruppen-VPNv1-Konfiguration.
Konfigurieren Sie für das Gruppenmitglied Folgendes:
IKE Phase 1 Verhandlung. Verwenden Sie die [
edit security group-vpn member ike]-Hierarchie, um IKE Phase 1 SA zu konfigurieren. Weitere Informationen finden Sie unter Grundlegendes zur IKE-Phase-1-Konfiguration für Gruppen-VPNv1 .Phase 2 IPsec SA. Weitere Informationen finden Sie unter Grundlegendes zur IPsec-SA-Konfiguration für Gruppen-VPNv1.
Bereichsrichtlinie, die bestimmt, welche Gruppenrichtlinien auf dem Mitglied installiert werden. Weitere Informationen finden Sie unter Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1.
Um Probleme mit der Paketfragmentierung zu vermeiden, wird empfohlen, die Schnittstelle, die vom Gruppenmitglied für die Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine maximale MTU-Größe (Transmission Unit) von nicht mehr als 1400 Byte zu konfigurieren. Verwenden Sie die set interface mtu Konfigurationsanweisung, um die MTU-Größe festzulegen.
Die VPN-Gruppe wird auf dem Server mit der group Konfigurationsanweisung in der Hierarchie [edit security group-vpn server] konfiguriert.
Die Gruppeninformationen bestehen aus den folgenden Informationen:
Gruppenkennung: Ein Wert zwischen 1 und 65.535, der die VPN-Gruppe identifiziert. Derselbe Gruppenbezeichner muss für das Gruppenmitglied für Autokey-IKE konfiguriert werden.
Gruppenmitglieder, wie mit der configuration-Anweisung
ike-gatewaykonfiguriert. Es kann mehrere Instanzen dieser Konfigurationsanweisung geben, eine für jedes Mitglied der Gruppe.IP-Adresse des Servers (die Adresse der Loopback-Schnittstelle wird empfohlen).
Gruppenrichtlinien: Richtlinien, die für Mitglieder heruntergeladen werden sollen. Gruppenrichtlinien beschreiben den Datenverkehr, für den die SA und die Schlüssel gelten. Weitere Informationen finden Sie unter Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1.
Server-Member-Kommunikation: Optionale Konfiguration, die es dem Server ermöglicht, Rekey-Nachrichten an Mitglieder zu senden. Weitere Informationen finden Sie unter Gruppen-VPNv1 – Übersicht.
Antireplay: Optionale Konfiguration, die das Abfangen und Wiederholen von Paketen erkennt. Weitere Informationen finden Sie unter Grundlegendes zu Antireplay für Gruppen-VPNv1.
Grundlegendes zur IKE-Phase-1-Konfiguration für Gruppen-VPNv1
Eine IKE-Phase-1-Sicherheitszuordnung zwischen dem Gruppenserver und einem Gruppenmitglied richtet einen sicheren Kanal ein, in dem IPsec-Sicherheitszuordnungen ausgehandelt werden, die von einer Gruppe gemeinsam genutzt werden. Bei standardmäßigen IPsec-VPNs auf Sicherheitsgeräten von Juniper Networks besteht die SA-Konfiguration der Phase 1 aus der Angabe eines IKE-Vorschlags, einer Richtlinie und eines Gateways. Für Gruppen-VPNv1 ähnelt die IKE-Phase- 1-SA-Konfiguration der Konfiguration für Standard-IPsec-VPNs, wird jedoch in der [edit security group-vpn]-Hierarchie ausgeführt.
In der IKE-Vorschlagskonfiguration legen Sie die Authentifizierungsmethode sowie die Authentifizierungs- und Verschlüsselungsalgorithmen fest, die zum Öffnen eines sicheren Kanals zwischen den Teilnehmern verwendet werden. In der IKE-Richtlinienkonfiguration legen Sie den Modus (Hauptkanal oder aggressiv) fest, in dem der Phase-1-Kanal ausgehandelt wird, geben den Typ des zu verwendenden Schlüsselaustauschs an und verweisen auf den Phase-1-Vorschlag. In der IKE-Gateway-Konfiguration verweisen Sie auf die Phase-1-Richtlinie.
Da Group VPNv2 nur starke Algorithmen unterstützt, wird die Option Authentifizierungsalgorithmus für Mitglieder der sha-256 Gruppe VPNv1 auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX550- und SRX650-Geräten unterstützt. Wenn Mitglieder der Gruppe VPNv1 mit Servern der Gruppe VPNv2 zusammenarbeiten, muss diese Option auf den Mitgliedern der Gruppe VPNv1 mit dem edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 Befehl konfiguriert werden. Muss auf dem Gruppen-VPNv2-Server authentication-algorithm sha-256 für IKE-Vorschläge und authentication-algorithm hmac-sha-256-128 für IPsec-Vorschläge konfiguriert werden.
Wenn ein IKE-Gateway auf einem Mitglied der Gruppe VPNv1 mit mehr als einer Gateway-Adresse konfiguriert ist, wird die Fehlermeldung "Pro IKE-Gateway-Konfiguration darf nur eine Remote-Adresse konfiguriert werden" angezeigt, wenn die Konfiguration festgeschrieben wird.
Die IKE-Phase-1-Konfiguration auf dem Gruppenserver muss mit der IKE-Phase-1-Konfiguration auf Gruppenmitgliedern übereinstimmen.
Grundlegendes zur IPsec-SA-Konfiguration für Gruppen-VPNv1
Nachdem der Server und das Mitglied in Phase 1 einen sicheren und authentifizierten Kanal eingerichtet haben, durchlaufen sie Phase 2. In Phase 2 werden die IPsec-Sicherheitszuordnungen festgelegt, die von Gruppenmitgliedern gemeinsam genutzt werden, um Daten zu schützen, die zwischen Mitgliedern übertragen werden. Obwohl die IPsec-SA-Konfiguration für Gruppen-VPN der Konfiguration für Standard-VPNs ähnelt, muss ein Gruppenmitglied die SA nicht mit anderen Gruppenmitgliedern aushandeln.
Die IPsec-Konfiguration der Phase 2 für die Gruppe VPNv1 besteht aus den folgenden Informationen:
Ein Vorschlag für das Sicherheitsprotokoll, die Authentifizierung und den Verschlüsselungsalgorithmus, die für die Sicherheitszuordnung verwendet werden sollen. Der IPsec-SA-Vorschlag wird auf dem Gruppenserver mit der
proposalKonfigurationsanweisung in der Hierarchie [edit security group-vpn server ipsec] konfiguriert.Eine Gruppenrichtlinie, die auf den Vorschlag verweist. Eine Gruppenrichtlinie gibt den Datenverkehr (Protokoll, Quelladresse, Quellport, Zieladresse und Zielport) an, für den die Sicherheitszuordnung und die Schlüssel gelten. Die Gruppenrichtlinie wird auf dem Server mit der
ipsec-saKonfigurationsanweisung in der [edit security group-vpn server group]-Hierarchie konfiguriert.Ein Autokey-IKE, der auf den Gruppenbezeichner, den Gruppenserver (konfiguriert mit der
ike-gatewayKonfigurationsanweisung) und die Schnittstelle verweist, die vom Mitglied zum Herstellen einer Verbindung mit der Gruppe verwendet wird. Der Autokey-IKE wird für das Element mit deripsec vpnKonfigurationsanweisung in der [edit security group-vpn member]-Hierarchie konfiguriert.
Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1
Der Gruppenserver verteilt Gruppenzuordnungen und Schlüssel an Mitglieder einer angegebenen Gruppe. Alle Mitglieder, die derselben Gruppe angehören, können denselben Satz von IPsec-Sicherheitszuordnungen verwenden. Aber nicht alle Sicherheitszuordnungen, die für eine Gruppe konfiguriert sind, werden auf jedem Gruppenmitglied installiert. Die auf einem bestimmten Mitglied installierte Sicherheitszuordnung wird durch die Richtlinie bestimmt, die der Gruppenzuordnung zugeordnet ist, sowie durch die auf dem Mitglied konfigurierten Sicherheitsrichtlinien.
In einer VPN-Gruppe sind jede Gruppen-SA und jeder Schlüssel, die der Server an ein Mitglied überträgt, einer Gruppenrichtlinie zugeordnet. Die Gruppenrichtlinie beschreibt den Datenverkehr, für den der Schlüssel verwendet werden soll, einschließlich Protokoll, Quelladresse, Quellport, Zieladresse und Zielport.
Identische Gruppenrichtlinien (konfiguriert mit denselben Quelladressen-, Ziel-, Quell-, Zielport- und Protokollwerten) können nicht für eine einzelne Gruppe vorhanden sein. Ein Fehler wird zurückgegeben, wenn Sie versuchen, einen Commit für eine Konfiguration auszuführen, die identische Gruppenrichtlinien für eine Gruppe enthält. Wenn dies der Fall ist, müssen Sie eine der identischen Gruppenrichtlinien löschen.
Für ein Gruppenmitglied muss eine Bereichsrichtlinie konfiguriert werden, die den Bereich der vom Server heruntergeladenen Gruppenrichtlinie definiert. Eine vom Server verteilte Gruppenrichtlinie wird mit den für das Mitglied konfigurierten Bereichsrichtlinien verglichen. Damit eine Gruppenrichtlinie auf dem Mitglied installiert werden kann, müssen die folgenden Bedingungen erfüllt sein:
Alle Adressen, die in der Gruppenrichtlinie angegeben sind, müssen sich innerhalb des Adressbereichs befinden, der in der Bereichsrichtlinie angegeben ist.
Der Quellport, der Zielport und das Protokoll, die in der Gruppenrichtlinie angegeben sind, müssen mit den in der Bereichsrichtlinie konfigurierten Port übereinstimmen.
Eine Gruppenrichtlinie, die auf einem Mitglied installiert ist, wird als dynamische Richtlinie bezeichnet.
Eine Bereichsrichtlinie kann Teil einer geordneten Liste von Sicherheitsrichtlinien für einen bestimmten Von-Zone- und Bis-Zonen-Kontext sein. Junos OS führt eine Sicherheitsrichtliniensuche für eingehende Pakete durch, beginnend am Anfang der geordneten Liste.
Abhängig von der Position der Bereichsrichtlinie innerhalb der geordneten Liste der Sicherheitsrichtlinien gibt es mehrere Möglichkeiten für die dynamische Richtliniensuche:
Wenn das eingehende Paket mit einer Sicherheitsrichtlinie übereinstimmt, bevor die Bereichsrichtlinie berücksichtigt wird, findet keine dynamische Richtliniensuche statt.
Wenn eine eingehende Richtlinie mit einer Bereichsrichtlinie übereinstimmt, wird der Suchvorgang nach einer übereinstimmenden dynamischen Richtlinie fortgesetzt. Wenn eine übereinstimmende dynamische Richtlinie vorhanden ist, wird diese Richtlinienaktion (Zulassen) ausgeführt. Wenn keine übereinstimmende dynamische Richtlinie vorhanden ist, setzt der Suchprozess die Durchsuchung der Richtlinien unterhalb der Bereichsrichtlinie fort.
In dieser Version ist nur die
tunnelAktion für eine Bereichsrichtlinie zulässig. Andere Aktionen werden nicht unterstützt.
Sie konfigurieren eine Bereichsrichtlinie für ein Gruppenmitglied, indem Sie die policies Konfigurationsanweisung in der [edit security]-Hierarchie verwenden. Verwenden Sie die ipsec-group-vpn Konfigurationsanweisung in der Regel allow tunnel, um auf das Gruppen-VPN zu verweisen. Dadurch können Gruppenmitglieder eine einzelne Sicherheitszuordnung gemeinsam nutzen.
Siehe auch
Grundlegendes zu Antireplay für Gruppen-VPNv1
Antireplay ist eine IPsec-Funktion, die erkennen kann, wenn ein Paket abgefangen und dann von Angreifern wiedergegeben wird. Antireplay ist standardmäßig für Gruppen-VPNs aktiviert, kann aber für eine Gruppe mit der no-anti-replay Konfigurationsanweisungdeaktiviert werden.
Wenn Antireplay aktiviert ist, synchronisiert der Gruppenserver die Zeit zwischen den Gruppenmitgliedern. Jedes IPsec-Paket enthält einen Zeitstempel. Das Gruppenmitglied prüft, ob der Zeitstempel des Pakets innerhalb des konfigurierten anti-replay-time-window Werts liegt (der Standardwert ist 100 Sekunden). Ein Paket wird verworfen, wenn der Zeitstempel den Wert überschreitet.
Siehe auch
Beispiel: Konfigurieren des Gruppen-VPNv1-Servers und der Mitglieder
In diesem Beispiel wird gezeigt, wie die Gruppe VPNv1 so konfiguriert wird, dass die IPsec-Architektur erweitert wird, um Sicherheitszuordnungen zu unterstützen, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Sicherheitsgeräte von Juniper Networks für die Netzwerkkommunikation.
Konfigurieren Sie Netzwerkschnittstellen auf Server- und Mitgliedsgeräten. Weitere Informationen finden Sie im Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Überblick
In Abbildung 2besteht ein Gruppen-VPN aus zwei Mitgliedsgeräten (member1 und member2) und einem Gruppenserver (die IP-Adresse der Loopback-Schnittstelle auf dem Server ist 20.0.0.1). Der Gruppenbezeichner ist 1.
Die VPN-Sicherheitszuordnungen der Gruppe Phase 2 müssen durch eine Sicherheitszuordnung der Phase 1 geschützt werden. Daher muss die Gruppen-VPN-Konfiguration die Konfiguration von IKE-Phase-1-Aushandlungen sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern umfassen. Darüber hinaus muss derselbe Gruppenbezeichner sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert werden.
Gruppenrichtlinien werden auf dem Gruppenserver konfiguriert. Alle für eine Gruppe konfigurierten Gruppenrichtlinien werden von den Gruppenmitgliedern heruntergeladen. Bereichsrichtlinien, die für ein Gruppenmitglied konfiguriert sind, bestimmen, welche Gruppenrichtlinien tatsächlich auf dem Mitglied installiert sind. In diesem Beispiel sind die folgenden Gruppenrichtlinien auf dem Gruppenserver für den Download an alle Gruppenmitglieder konfiguriert:
p1 - Lässt den gesamten Datenverkehr von 10.1.0.0/16 bis 10.2.0.0./16 zu
p2 - Lässt den gesamten Datenverkehr von 10.2.0.0./16 bis 10.1.0.0/16 zu
p3 - Ermöglicht Multicast-Datenverkehr von 10.1.1.1/32
Das Gerät member1 ist mit Bereichsrichtlinien konfiguriert, die den gesamten Unicast-Datenverkehr zum und vom Subnetz 10.0.0.0/8 zulassen. Für member1 ist keine Bereichsrichtlinie konfiguriert, um Multicastdatenverkehr zuzulassen. Daher ist die SA-Richtlinie p3 nicht auf member1 installiert.
Das Gerät member2 ist mit Bereichsrichtlinien konfiguriert, die Datenverkehr von 10.1.0.0/16 von der Vertrauenszone in die nicht vertrauenswürdige Zone und zu 10.1.0.0/16 von der nicht vertrauenswürdigen Zone in die vertrauenswürdige Zone verwerfen. Daher wird die SA-Richtlinie p2 nicht auf member2 installiert.
Konfiguration
Konfigurieren des Gruppenservers
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$ABC123" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie den Gruppenserver:
Konfigurieren Sie die Loopback-Adresse auf dem Gerät.
[edit] user@host# edit interfaces user@host# set lo0 unit 0 family inet address 20.0.0.1/32
Konfigurieren Sie die IKE-Phase-1-SA (diese Konfiguration muss mit der Phase-1-SA übereinstimmen, die auf den Gruppenmitgliedern konfiguriert ist).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.
[edit security group-vpn server ike] user@host# set policy srv-pol mode main proposals srv-prop pre-shared-key ascii-text "$ABC123" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
Konfigurieren Sie den Phase-2-Sicherheitszuordnungsaustausch.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1–96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
Konfigurieren Sie den Gruppenbezeichner und das IKE-Gateway.
[edit security group-vpn server group grp1] user@host# set group-id 1 user@host# set ike-gateway gw1 user@host# set ike-gateway gw2 user@host# set anti-replay-time-window 120 server-address 20.0.0.1
Konfigurieren Sie die Kommunikation zwischen Servern.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
Konfigurieren Sie die Gruppenrichtlinien, die für Gruppenmitglieder heruntergeladen werden sollen.
[edit security group-vpn server group grp1 ipsec-sa group-sa] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security group-vpn server Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security group-vpn server
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von Member1
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie member1:
Konfigurieren Sie die Sicherheitszuordnung der Phase 1 (diese Konfiguration muss mit der auf dem Gruppenserver konfigurierten Sicherheitszuordnung der Phase 1 übereinstimmen).
[edit security group-vpn member ike proposal prop1] user@member1# set authentication-method pre-shared-keys user@member1# set dh-group group2 user@member1# set authentication-algorithm sha1 user@member1# set encryption-algorithm 3des-cbc
Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.
[edit security group-vpn member ike] user@member1# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$ABC123" user@member1# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für member1.
[edit security group-vpn member ipsec] user@member1# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
Um Probleme mit der Paketfragmentierung zu vermeiden, wird empfohlen, die Schnittstelle, die von den Gruppenmitgliedern für die Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine MTU-Größe von nicht mehr als 1400 Byte zu konfigurieren. Verwenden Sie die
set interface mtuKonfigurationsanweisung, um die MTU-Größe festzulegen.Erstellen Sie Adressbücher und fügen Sie ihnen Zonen zu.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
Konfigurieren Sie eine Bereichsrichtlinie von der Vertrauenszone bis zur nicht vertrauenswürdigen Zone, die Unicast-Datenverkehr zum und vom Subnetz 10.0.0.0/8 zulässt.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone zur Vertrauenszone, die Unicast-Datenverkehr zum und vom Subnetz 10.0.0.0/8 zulässt.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security group-vpn member Befehle und show security policies eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@member1# show security group-vpn member
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member1# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren von Member2
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 dh-group group2 set security group-vpn member ike proposal prop2 authentication-algorithm sha1 set security group-vpn member ike proposal prop2 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol2 mode main set security group-vpn member ike policy pol2 proposals prop2 set security group-vpn member ike policy pol2 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g2 ike-policy pol2 set security group-vpn member ike gateway g2 address 20.0.0.1 set security group-vpn member ike gateway g2 local-address 10.2.0.1 set security group-vpn member ipsec vpn v2 ike-gateway g2 set security group-vpn member ipsec vpn v2 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v2 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 address 10_1_0_0_16 10.1.0.0/16 set security address-book book1 address multicast_net 239.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 address 10_1_0_0_16 10.1.0.0/16 set security address-book book2 address multicast_net 239.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy deny2 match source-address 10_1_0_0_16 set security policies from-zone trust to-zone untrust policy deny2 match destination-address any set security policies from-zone trust to-zone untrust policy deny2 match application any set security policies from-zone trust to-zone untrust policy deny2 then reject set security policies from-zone trust to-zone untrust policy scope2 match source -address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match application any set security policies from-zone trust to-zone untrust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone trust to-zone untrust policy multicast-scope2 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy multicast-scope2 match destination-address multicast-net set security policies from-zone trust to-zone untrust policy multicast-scope2 match application any set security policies from-zone trust to-zone untrust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy deny2 match source-address any set security policies from-zone untrust to-zone trust policy multicast-scope2 ma tch application any set security policies from-zone untr set security policies from-zone untrust to-zone trust policy deny2 match destination-address 10_1_0_0_16 set security policies from-zone untrust to-zone trust policy deny2 match application any set security policies from-zone untrust to-zone trust policy deny2 then reject set security policies from-zone untrust to-zone trust policy scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match application any set security policies from-zone untrust to-zone trust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy multicast-scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy multicast-scope2 match destination-address multicast-net set security policies from-zone untrust to-zone trust policy multicast-scope2 match application any set security policies from-zone untrust to-zone trust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie member2:
Konfigurieren Sie die Sicherheitszuordnung der Phase 1 (diese Konfiguration muss mit der auf dem Gruppenserver konfigurierten Sicherheitszuordnung der Phase 1 übereinstimmen).
[edit security group-vpn member ike proposal prop2] user@member2# set authentication-method pre-shared-keys user@member2# set dh-group group2 user@member2# set authentication-algorithm sha1 user@member2# set encryption-algorithm 3des-cbc
Definieren Sie die IKE-Richtlinie, und legen Sie das Remote-Gateway fest.
[edit security group-vpn member ike] user@member2# set policy pol2 mode main proposals prop2 pre-shared-key ascii-text "$ABC123" user@member2# set gateway g2 ike-policy pol2 address 20.0.0.1 local-address 10.2.0.1
Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für member2.
[edit security group-vpn member ipsec] user@member2# set vpn v2 group 1 ike-gateway g2 group-vpn-external-interface ge-0/1/0
Um Probleme mit der Paketfragmentierung zu vermeiden, wird empfohlen, die Schnittstelle, die von den Gruppenmitgliedern für die Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine MTU-Größe von nicht mehr als 1400 Byte zu konfigurieren. Verwenden Sie die
set interface mtuKonfigurationsanweisung, um die MTU-Größe festzulegen.Erstellen Sie ein Adressbuch, und fügen Sie es der Vertrauenszone zu.
[edit security address-book book1] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone trust
Erstellen Sie ein weiteres Adressbuch, und fügen Sie es der nicht vertrauenswürdigen Zone zu.
[edit security address-book book2] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone untrust
Konfigurieren Sie eine Bereichsrichtlinie von der Vertrauenszone bis zur nicht vertrauenswürdigen Zone, die Datenverkehr von 10.1.0.0/16 blockiert.
[edit security policies from-zone trust to-zone untrust] user@member2# set policy deny2 match source-address 10_1_0_0_16 destination-address any application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone bis zur vertrauenswürdigen Zone, die den Datenverkehr zu 10.1.0.0/16 blockiert.
[edit security policies from-zone untrust to-zone trust] user@member2# set policy deny2 match source-address any destination-address 10_1_0_0_16 application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security group-vpn member Befehle und show security policies eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@member2# show security group-vpn member
ike {
proposal prop2 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol2 {
mode main;
proposals prop2;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g2 {
ike-policy pol2;
address 20.0.0.1;
local-address 10.2.0.1;
}
}
ipsec {
vpn v2 {
ike-gateway g2;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member2# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy deny2 {
match {
source-address 10_1_0_0_16;
destination-address any;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny2 {
match {
source-address any;
destination-address 10_1_0_0_16;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Gehen Sie folgendermaßen vor, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfen dynamischer Richtlinien für Mitglied1
Zweck
Zeigen Sie die dynamischen Richtlinien an, die auf member1 installiert sind.
Action!
Nachdem der Gruppenserver Schlüssel auf member1 heruntergeladen hat, geben Sie den Befehl aus dem show security dynamic-policies Betriebsmodus ein.
user@member1> show security dynamic-policies
Policy: scope1-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope1–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Bedeutung
Die Multicastrichtlinie p3 des Servers wird nicht auf member1 installiert, da für member1 keine Bereichsrichtlinie konfiguriert ist, die Multicastdatenverkehr zulässt.
Überprüfen dynamischer Richtlinien für Mitglied2
Zweck
Zeigen Sie die dynamischen Richtlinien an, die auf Member 2 installiert sind.
Action!
Nachdem der Gruppenserver Schlüssel auf member2 heruntergeladen hat, geben Sie den show security dynamic-policies Befehl im Betriebsmodus ein.
user@member2> show security dynamic-policies
Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.1.1/32
Destination addresses: 239.1.1.1/32
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.2.0.0/16/0
Destination addresses: 10.1.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.1.1.1/32
Destination addresses: 239.1.1.1/32
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Bedeutung
Die Richtlinie p2 (für Datenverkehr von 10.1.0.0/16 bis 10.2.0.0/16) vom Server wird auf member2 nicht installiert, da sie mit der auf member2 konfigurierten Sicherheitsrichtlinie deny2 übereinstimmt.
Beispiel: Konfigurieren der Gruppen-VPNv1-Server-Mitglieder-Kommunikation für Unicast-Rekey-Nachrichten
In diesem Beispiel wird gezeigt, wie der Server so aktiviert wird, dass Unicast-Rekey-Nachrichten an Gruppenmitglieder gesendet werden, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie den Gruppenserver und die Mitglieder für die IKE-Phase 1-Aushandlung.
Konfigurieren Sie den Gruppenserver und die Mitglieder für die IPsec-Sicherheitszuordnung der Phase 2.
Konfigurieren Sie die Gruppe
g1auf dem Gruppenserver.
Überblick
In diesem Beispiel geben Sie die folgenden Kommunikationsparameter für Servermitglieder für die Gruppe g1an:
Der Server sendet Unicast-Rekey-Nachrichten an Gruppenmitglieder.
3DES-CBC wird verwendet, um den Datenverkehr zwischen dem Server und den Mitgliedern zu verschlüsseln.
SHA1 wird für die Mitgliederauthentifizierung verwendet.
Standardwerte werden für Servertakte, KEK-Lebensdauer und erneute Übertragungen verwendet.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die Server-Mitglieder-Kommunikation:
Legen Sie den Kommunikationstyp fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set communications-type unicast
Legen Sie den Verschlüsselungsalgorithmus fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
Legen Sie die Mitgliederauthentifizierung fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
Verifizierung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security group-vpn server group g1 server-member-communication Befehl ein.
Beispiel: Konfigurieren der Gruppen-VPNv1-Server-Mitglieder-Kommunikation für Multicast-Rekey-Nachrichten
In diesem Beispiel wird gezeigt, wie der Server in die Lage versetzt wird, Multicast-Rekey-Nachrichten an Gruppenmitglieder zu senden, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie den Gruppenserver und die Mitglieder für die IKE-Aushandlung der Phase 1 und die IPsec-Sicherheitszuordnung der Phase 2. Siehe Beispiel: Konfigurieren des Gruppen-VPNv1-Servers und der Mitglieder oder Beispiel: Konfigurieren von Gruppen-VPNv1 mit Server-Member-Colocation.
Konfigurieren Sie ge-0/0/1.0, die Schnittstelle, die der Server zum Senden von Multicast-Nachrichten verwendet. Weitere Informationen finden Sie unter Junos OS Routing Protocols Library.
Konfigurieren Sie die Multicast-Gruppenadresse 226.1.1.1. Weitere Informationen finden Sie unter Junos OS Routing Protocols Library.
IP-Multicast-Protokolle müssen so konfiguriert werden, dass sie die Übertragung von Multicast-Datenverkehr im Netzwerk ermöglichen. In diesem Beispiel wird die Multicastkonfiguration nicht gezeigt.
Überblick
In diesem Beispiel geben Sie die folgende Server-Mitglieder-Kommunikation für die Gruppe g1an:
Der Server sendet Multicast-Rekey-Nachrichten an Gruppenmitglieder mittels der Multicast-Adresse 226.1.1.1 und der Schnittstelle ge-0/0/1.0.
3DES-CBC wird verwendet, um den Datenverkehr zwischen dem Server und den Mitgliedern zu verschlüsseln.
SHA1 wird für die Mitgliederauthentifizierung verwendet.
Standardwerte werden für Servertakte, KEK-Lebensdauer und erneute Übertragungen verwendet.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set security group-vpn server group g1 server-member-communication communication-type multicast set security group-vpn server group g1 server-member-communication multicast-group 226.1.1.1 set security group-vpn server group g1 server-member-communication multicast-outgoing-interface ge-0/0/1.0 set security group-vpn server group g1 server-member-communication encryption-algorithm 3des-cbc set security group-vpn server group g1 server-member-communication sig-hash-algorithm sha1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die Konfiguration der Server-Member-Kommunikation für Multicast-Rekey-Meldungen:
Legen Sie den Kommunikationstyp fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set communication-type multicast
Legen Sie die Multicastgruppe fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-group 226.1.1.1
Legen Sie die Schnittstelle für ausgehende Multicastnachrichten fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-outgoing-interface ge-0/0/1.0
Legen Sie den Verschlüsselungsalgorithmus fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
Legen Sie die Mitgliederauthentifizierung fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security group-vpn server group g1 server-member-communication Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security group-vpn server group g1 server-member-communication communication-type multicast; multicast-group 226.1.1.1; multicast-outgoing-interface ge-0/0/1.0; encryption-algorithm 3des-cbc; sig-hash-algorithm sha1;
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen der Server-Member-Kommunikation für Multicast-Rekey-Nachrichten
Zweck
Stellen Sie sicher, dass die Kommunikationsparameter der Servermitglieder für Multicast-Rekey-Nachrichten ordnungsgemäß konfiguriert sind, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.
Action!
Geben Sie im Betriebsmodus den show security group-vpn server group g1 server-member-communication Befehl ein.
Beispiel: Konfigurieren von Gruppen-VPNv1 mit Server-Mitglieder-Kollokation
In diesem Beispiel wird gezeigt, wie ein Gerät für den Kollokationsmodus konfiguriert wird, der die Koexistenz von Server- und Memberfunktionen auf demselben physischen Gerät ermöglicht. Gruppen-VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Sicherheitsgeräte von Juniper Networks für die Netzwerkkommunikation.
Konfigurieren Sie Netzwerkschnittstellen auf Server- und Mitgliedsgeräten. Weitere Informationen finden Sie im Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Überblick
Wenn der Kollokationsmodus konfiguriert ist, können Gruppenserver- und Gruppenmitgliederfunktionen auf demselben Gerät koexistieren. Im Colocation-Modus müssen Server und Mitglied über unterschiedliche IP-Adressen verfügen, damit Pakete ordnungsgemäß zugestellt werden.
In Abbildung 3besteht ein Gruppen-VPN (Gruppenbezeichner ist 1) aus zwei Mitgliedern (member1 und member2) und einem Gruppenserver (die IP-Adresse der Loopback-Schnittstelle ist 20.0.0.1). Beachten Sie, dass member1 auf demselben Gerät wie der Gruppenserver koexistiert. In diesem Beispiel wird der Schnittstelle, die member1 zum Herstellen einer Verbindung mit dem MPLS-Netzwerk (ge-0/1/0) verwendet, die IP-Adresse 10.1.0.1/32 zugewiesen.
In den Konfigurationsanweisungen in diesem Thema wird beschrieben, wie das Gerät der Gruppe server-member1 für den Kollokationsmodus konfiguriert wird. Informationen zum Konfigurieren von member2 finden Sie unter Beispiel: Konfigurieren des Gruppen-VPNv1-Servers und der Mitglieder.
Um Probleme mit der Paketfragmentierung zu vermeiden, wird empfohlen, die Schnittstelle, die das Gruppenmitglied für die Verbindung mit dem MPLS-Netzwerk verwendet, für eine MTU-Größe von nicht mehr als 1400 Byte zu konfigurieren. Verwenden Sie die set interface mtu Konfigurationsanweisung, um die MTU-Größe festzulegen.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set interfaces ge-0/1/0 unit 0 family inet address 10.1.0.1/32 set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$9$c1gr K8-VYZUHX7UHqmF3Sre" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$9$c 1grK8-VYZUHX7UHqmF3Sre" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 server-member-communication communication-type unicast set security group-vpn server group grp1 server-member-communication encryption-algorithm aes-128-cbc set security group-vpn server group grp1 server-member-communication sig-hash-algorithm md5 set security group-vpn server group grp1 server-member-communication certificate srv-cert set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0 set security group-vpn co-location set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie Gruppen-VPN mit Server-Mitglieder-Colocation:
Konfigurieren Sie die Loopback-Adresse auf dem Gerät.
[edit interfaces] user@host# set lo0 unit 0 family inet address 20.0.0.1/32
Konfigurieren Sie die Schnittstelle, die member1 zum Herstellen einer Verbindung mit dem MPLS-Netzwerk verwendet.
[edit interfaces] user@host# set ge-0/1/0 unit 0 family inet address 10.1.0.1/32
Konfigurieren Sie die Gruppen-VPN-Zusammenstellung auf dem Gerät.
[edit security group-vpn] user@host# set co-location
Konfigurieren Sie die IKE-Phase-1-SA für den Server (diese Konfiguration muss mit der Phase-1-SA übereinstimmen, die für Gruppenmitglieder konfiguriert ist).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.
[edit security group-vpn server ike] user@host# set policy srv-pol proposals srv-prop mode main pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
Konfigurieren Sie den Phase 2-Sicherheitszuordnungsaustausch für den Server.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
Konfigurieren Sie die Gruppenkennung, das IKE-Gateway, die Wiedergabezeit und die Serveradresse auf dem Server.
[edit security group-vpn server group grp1] user@host# set group-id 1 anti-replay-time-window 120 server-address 20.0.0.1 user@host#set ike-gateway gw1 user@host#set ike-gateway gw2
Konfigurieren Sie die Kommunikation zwischen Server und Mitglied.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
Konfigurieren Sie die Gruppenrichtlinien, die für Gruppenmitglieder heruntergeladen werden sollen.
[edit security group-vpn server group grp1 ipsec-sa group-sa ] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
Konfigurieren Sie die Phase-1-Sicherheitszuordnung für Mitglied1 (diese Konfiguration muss mit der für den Gruppenserver konfigurierten Phase-1-Sicherheitszuordnung übereinstimmen).
[edit security group-vpn member ike proposal prop1] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Definieren Sie die Richtlinie, und legen Sie das Remote-Gateway für member1 fest.
[edit security group-vpn member ike] user@host# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für member1.
[edit security group-vpn member ipsec] user@host# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
Erstellen Sie Adressbücher und hängen Sie sie an Zonen an.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
Konfigurieren Sie eine Bereichsrichtlinie von der Vertrauenszone bis zur nicht vertrauenswürdigen Zone, die Unicast-Datenverkehr zum und vom Subnetz 10.0.0.0/8 zulässt.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone zur Vertrauenszone, die Unicast-Datenverkehr zum und vom Subnetz 10.0.0.0/8 zulässt.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security group-vpn Befehl and show security policies eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Stellen Sie sicher, dass in der Liste der konfigurierten Sicherheitsrichtlinien die Bereichsrichtlinien vor den Standardrichtlinien aufgeführt sind.
[edit]
user@host# show security group-vpn
member {
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
}
server {
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
server-member-communication {
communication-type unicast;
encryption-algorithm aes-128-cbc;
sig-hash-algorithm md5;
certificate srv-cert;
}
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
}
co-location;
[edit]
user@host# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Verifizieren der Registrierung von Gruppen-VPN-Mitgliedern
- Überprüfen der Gruppen-VPN-Serversicherheitszuordnungen für IKE
- Überprüfen der Sicherheitszuordnungen von Gruppen-VPN-Servern für IPsec
- Überprüfen der Sicherheitszuordnungen von Gruppen-VPN-Mitgliedern für IKE
- Überprüfen der Sicherheitszuordnungen von Gruppen-VPN-Mitgliedern für IPsec
Verifizieren der Registrierung von Gruppen-VPN-Mitgliedern
Zweck
Vergewissern Sie sich, dass die VPN-Gruppenmitglieder korrekt registriert sind.
Action!
Geben Sie im Betriebsmodus den show security group-vpn registered-members Befehl ein.
Überprüfen der Gruppen-VPN-Serversicherheitszuordnungen für IKE
Zweck
Überprüfen Sie die Sicherheitszuordnungen für den Gruppen-VPN-Server für IKE.
Action!
Geben Sie im Betriebsmodus den show security group-vpn server ike security-associations Befehl ein.
Überprüfen der Sicherheitszuordnungen von Gruppen-VPN-Servern für IPsec
Zweck
Überprüfen Sie die Sicherheitszuordnungen für den Gruppen-VPN-Server auf IPsec.
Action!
Geben Sie im Betriebsmodus den show security group-vpn server ipsec security-associations Befehl ein.
Überprüfen der Sicherheitszuordnungen von Gruppen-VPN-Mitgliedern für IKE
Zweck
Überprüfen Sie die Sicherheitszuordnungen für die Gruppen-VPN-Mitglieder für IKE.
Action!
Geben Sie im Betriebsmodus den show security group-vpn member ike security-associations Befehl ein.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.