Gruppe VPNv1
Gruppen-VPN ist eine Reihe von Funktionen, die erforderlich sind, um den Datenverkehr von IP-Multicast-Gruppen oder Unicast-Datenverkehr über ein privates WAN zu sichern, der von einem Gerät stammt oder über ein Gerät fließt.
Group VPNv1 – Überblick
Eine IPsec Security Association (SA) ist eine unidirektionale Vereinbarung zwischen VPN-Teilnehmern (Virtual Private Network), die die Regeln definiert, die für Authentifizierungs- und Verschlüsselungsalgorithmen, wichtige Austauschmechanismen und sichere Kommunikation zu verwenden sind. Bei aktuellen VPN-Implementierungen ist die SA ein Punkt-zu-Punkt-Tunnel zwischen zwei Sicherheitsgeräten. Group VPNv1 erweitert die IPsec-Architektur, um SAs zu unterstützen, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden (siehe Abbildung 1).
Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt. Mit Group VPNv1 wird any-to-Any-Konnektivität erreicht, indem die ursprünglichen Quell- und Ziel-IP-Adressen im äußeren Header erhalten bleiben. Sichere Multicast-Pakete werden genauso repliziert wie Cleartext-Multicast-Pakete im Core-Netzwerk.
Ab Junos OS Version 12.3X48-D30 können Mitglieder der Gruppe VPNv1 mit Gruppen-VPNv2-Servern zusammenarbeiten.
Group VPNv1 hat einige Anstandsbeschränkungen bezüglich RFC 6407, The Group Domain of Interpretation (GDOI). Um Gruppen-VPN ohne proprietäre Einschränkungen zu verwenden, aktualisieren Sie auf Group VPNv2. Group VPNv2 wird auf vSRX Virtual Firewall-Instanzen unterstützt, beginnend mit Junos OS Version 15.1X49-D30, Firewalls der SRX-Serie ab Junos OS Version 15.1X49-D40 und Geräte der MX-Serie ab Junos OS Version 15.1r2.
- Verständnis des GDOI-Protokolls für Group VPNv1
- Grundlegendes zu Gruppen-VPNv1-Einschränkungen
- Grundlegendes zu Gruppen-VPNv1-Servern und -Mitgliedern
- Grundlegendes zur Gruppen-VPNv1-Server-Mitglieder-Kommunikation
- Grundlegendes zu Group VPNv1 Group Key Operations
- Understanding Group VPNv1 Heartbeat Messages
- Grundlegendes zum Gruppen-VPNv1-Server-Colocation-Modus
Verständnis des GDOI-Protokolls für Group VPNv1
Group VPNv1 basiert auf RFC 3547, The Group Domain of Interpretation (GDOI). Dieser RFC beschreibt das Protokoll zwischen Gruppenmitgliedern und einem Gruppenserver, um SAs unter den Gruppenmitgliedern einzurichten. GDOI-Nachrichten erstellen, pflegen oder löschen SAs für eine Gruppe von Geräten. Das GDOI-Protokoll läuft auf Port 848.
Das Internet Security Association and Key Management Protocol (ISAKMP) definiert zwei Verhandlungsphasen zum Einrichten von SAs für einen AutoKey IKE IPsec-Tunnel. Phase 1 ermöglicht es zwei Geräten, eine ISAKMP SA einzurichten. Phase 2 richtet SAs für andere Sicherheitsprotokolle wie GDOI ein.
Mit Gruppen-VPN wird Phase 1 ISAKMP SA-Aushandlung zwischen einem Gruppenserver und einem Gruppenmitglied durchgeführt. Server und Mitglied müssen dieselbe ISAKMP-Richtlinie verwenden. In Phase 2 richten GDOI-Austausche zwischen Server und Mitglied die SAs ein, die mit anderen Gruppenmitgliedern geteilt werden. Ein Gruppenmitglied muss keine IPsec mit anderen Gruppenmitgliedern aushandeln. Der Austausch von GDOI in Phase 2 muss durch ISAKMP Phase-1-SAs geschützt werden.
Es gibt zwei Arten von GDOI-Austausch:
Der
groupkey-pullExchange ermöglicht es einem Mitglied, SAs und Schlüssel anzufordern, die von der Gruppe vom Server freigegeben werden.Der
groupkey-pushExchange ist eine einzelne Neuschlüsselnachricht, die es dem Server ermöglicht, Gruppen-SAs und -Schlüssel an Mitglieder zu senden, bevor bestehende Gruppen-SAs ablaufen. Rekey-Nachrichten sind unerwünschte Nachrichten, die vom Server an Mitglieder gesendet werden.
Grundlegendes zu Gruppen-VPNv1-Einschränkungen
Die Folgenden werden in dieser Version für Gruppen-VPNv1 nicht unterstützt:
Nicht standardmäßige Routing-Instanzen
Gehäuse-Cluster
Server-Cluster
Routenbasiertes Gruppen-VPN
Öffentliche internetbasierte Bereitstellung
SNMP
Richtlinien von Cisco GET VPN-Server ablehnen
J-Web-Schnittstelle für Konfiguration und Überwachung
Ab Junos OS Version 12.3X48-D30 können VPNv1-Mitglieder der Gruppe auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX550- und SRX650-Geräten mit Group VPNv2-Servern zusammenarbeiten. Wenn Sie Gruppen-VPNv1-Mitglieder für die Verwendung mit Gruppen-VPNv2-Servern konfigurieren, beachten Sie die folgenden Einschränkungen:
Group VPNv2 unterstützt den IETF-Entwurf für die Spezifikation IP Delivery Delay Detection Protocol für einen zeitbasierten Antireplay-Mechanismus. Daher wird der protokollbasierte Antireplay-Schutz für IP-Bereitstellungsverzögerung auf Mitgliedern der Gruppe VPNv1 nicht unterstützt und muss auf dem Gruppen-VPNv2-Server mit dem
deactivate security group-vpn server group group-name anti-replay-time-windowBefehl deaktiviert werden.Der Gruppen-VPNv2-Server unterstützt keine Colocation, wobei die Gruppenserver- und Gruppenmitgliedsfunktionen auf demselben Gerät vorhanden sind.
Der VPNv2-Server der Gruppe unterstützt keine Herzschlagübertragungen. Heartbeat muss auf dem Mitglied der Gruppe VPNv1 mit dem
deactivate security group-vpn member ipsec vpn vpn-name heartbeat-thresholdBefehl deaktiviert werden. Wir empfehlen die Verwendung von Gruppen-VPNv2-Serverclustern, um Auswirkungen auf den Datenverkehr aufgrund von Neustarts oder anderen Unterbrechungen auf dem Gruppen-VPNv2-Server zu vermeiden.Vom Group VPNv2-Server gesendete Groupkey-Push-Nachrichten basieren auf RFC 6407, Der Gruppendomäne der Interpretation (GDOI) und werden von Gruppen-VPNv1-Mitgliedern nicht unterstützt. Daher müssen Gruppenschlüssel-Push-Nachrichten auf dem Gruppen-VPNv2-Server mit dem
deactivate security group-vpn server group group-name server-member-communicationBefehl deaktiviert werden.Rekeys werden mit Gruppenschlüssel-Pull-Nachrichten unterstützt. Wenn Es Skalierungsprobleme gibt, bei denen Mitglieder der Gruppe VPNv1 den GroupKey-Pull-Vorgang nicht vor Ablauf der harten Lebensdauer von TEK abschließen können, empfehlen wir, die TEK-Lebensdauer zu erhöhen, damit die Mitglieder ausreichend Zeit haben, den GroupKey-Pull-Vorgang abzuschließen. Die Skalierungszahlen von Juniper sind mit einer TEK-Lebensdauer von 2 Stunden qualifiziert.
Wenn der Gruppen-VPNv2-Server neu gestartet oder aktualisiert wird oder die SAs für die Gruppe deaktiviert sind, können neue Mitglieder erst dann zum Netzwerk hinzugefügt werden, wenn der nächste Umschlüssel für vorhandene Mitglieder erfolgt. Neue Mitglieder können Datenverkehr nicht an bestehende Mitglieder mit alten Schlüsseln senden. Löschen Sie als Problemumgehung die SAs für die vorhandenen Mitglieder der Gruppe VPNv1 mit dem
clear security group-vpn member ipsec security-associationsBefehl.Da Multicast-Datenverkehr von Gruppen-VPNv2-Mitgliedern nicht unterstützt wird, kann Multicast-Datenverkehr nicht verwendet werden, wenn Gruppen VPNv1- und Group VPNv2-Mitglieder im Netzwerk für dieselbe Gruppe koexistieren.
Grundlegendes zu Gruppen-VPNv1-Servern und -Mitgliedern
Der Mittelpunkt eines Gruppen-VPN ist der Gruppenserver. Der Gruppenserver führt folgende Aufgaben aus:
Steuerung der Gruppenmitgliedschaft
Generiert Verschlüsselungsschlüssel
Verwaltet Gruppen-SAs und -Schlüssel und verteilt sie an Gruppenmitglieder
Gruppenmitglieder verschlüsseln den Datenverkehr basierend auf den Gruppen-SAs und Schlüsseln, die vom Gruppenserver bereitgestellt werden.
Ein Gruppenserver kann mehrere Gruppen bedienen. Ein einzelnes Sicherheitsgerät kann Mitglied mehrerer Gruppen sein.
Jede Gruppe wird durch einen Gruppenbezeichner dargestellt, bei dem es sich um eine Zahl zwischen 1 und 65.535 handelt. Gruppenserver und Gruppenmitglieder sind durch den Gruppenbezeichner miteinander verbunden. Es kann nur einen Gruppenbezeichner pro Gruppe geben, und mehrere Gruppen können denselben Gruppenbezeichner nicht verwenden.
Im Folgenden erhalten Sie eine allgemeine Ansicht der Gruppen-VPN-Server- und Mitgliederaktionen:
Der Gruppenserver überwacht den UDP-Port 848, um sich zu registrieren. Ein Mitgliedsgerät muss die korrekte IKE Phase 1-Authentifizierung bereitstellen, um der Gruppe beitreten zu können. Pre-Sharing-Schlüsselauthentifizierung auf Mitgliederbasis wird unterstützt.
Nach erfolgreicher Authentifizierung und Registrierung ruft das Mitgliedsgerät Gruppen-SAs und Schlüssel vom Server mit einem GDOI-Austausch
groupkey-pullab.Der Server fügt das Mitglied der Mitgliedschaft für die Gruppe hinzu.
Gruppenmitglieder tauschen Pakete aus, die mit Gruppen-SA-Schlüsseln verschlüsselt sind.
Der Server sendet in regelmäßigen Abständen SA- und Schlüsselaktualisierungen mit GDOI-Nachrichten (Rekey groupkey-push) an Gruppenmitglieder. Umschlüsselungsnachrichten werden vor Ablauf der SAs gesendet. so wird sichergestellt, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.
Der Server sendet außerdem Neuschlüsselnachrichten, um den Mitgliedern neue Schlüssel bereitzustellen, wenn sich die Gruppenmitgliedschaft ändert oder die Gruppen-SA geändert wurde.
Grundlegendes zur Gruppen-VPNv1-Server-Mitglieder-Kommunikation
Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt. Die Kommunikation mit den Servermitgliedern ermöglicht es dem Server, GDOI-Nachrichten groupkey-push an mitglieder zu senden. Wenn die Kommunikation zwischen Servermitgliedern für die Gruppe nicht konfiguriert ist, können Mitglieder GDOI-Nachrichten groupkey-pull senden, um sich beim Server zu registrieren und erneut anzumelden, aber der Server ist nicht in der Lage, Umschlüsselnachrichten an Mitglieder zu senden.
Die Kommunikation mit Server-Membern wird für die Gruppe mithilfe der server-member-communication Konfigurationsaussage in der Hierarchie [edit security group-vpn server] konfiguriert. Folgende Optionen können definiert werden:
Verschlüsselungsalgorithmus, der für die Kommunikation zwischen Server und Mitglied verwendet wird. Sie können 3des-cbc, aes-128-cbc, aes-192-cbc, aes-256-cbc oder des-cbc angeben. Es gibt keinen Standardalgorithmus.
Authentifizierungsalgorithmus (md5 oder sha1), der zur Authentifizierung des Mitglieds beim Server verwendet wird. Es gibt keinen Standardalgorithmus.
Ob der Server Unicast- oder Multicast-Neuschlüsselnachrichten an Gruppenmitglieder und Parameter sendet, die sich auf den Kommunikationstyp beziehen.
Intervall, in dem der Server Herzschläge-Nachrichten an das Gruppenmitglied sendet. Auf diese Weise kann der Member feststellen, ob der Server neu gestartet wurde, was eine erneute Registrierung beim Server erfordern würde. Der Standard ist 300 Sekunden.
Lebensdauer des Schlüsselverschlüsselungsschlüssels (KEK). Der Standard ist 3600 Sekunden.
Die Konfiguration der Server-Member-Kommunikation ist notwendig, damit der Gruppenserver Neuschlüsselnachrichten an Mitglieder senden kann, aber es kann vorkommen, dass dieses Verhalten nicht erwünscht ist. Wenn es sich beispielsweise um dynamische Peers handelt (z. B. im Homeoffice), sind die Geräte nicht immer betriebsbereit und die IP-Adresse eines Geräts kann bei jedem Einschalten anders sein. Die Konfiguration der Server-Member-Kommunikation für eine Gruppe dynamischer Peers kann zu unnötigen Übertragungen durch den Server führen. Wenn Sie möchten, dass die IKE Phase 1 SA-Aushandlung immer zum Schutz der GDOI-Aushandlung durchgeführt werden soll, konfigurieren Sie die Kommunikation zwischen Servermitarbeitern nicht.
Wenn die Kommunikation zwischen Servermitgliedern für eine Gruppe nicht konfiguriert ist, zeigt die show security group-vpn server registered-members vom Befehl angezeigte Mitgliedschaftsliste Gruppenmitglieder an, die sich beim Server registriert haben; Mitglieder können aktiv sein oder nicht. Wenn die Kommunikation zwischen Servern und Mitgliedern für eine Gruppe konfiguriert ist, wird die Liste der Gruppenmitglieder deaktiviert. Wenn der Kommunikationstyp als Unicast konfiguriert ist, zeigt der show security group-vpn server registered-members Befehl nur aktive Member an. Wenn der Kommunikationstyp als Multicast konfiguriert ist, zeigt der Befehl Die show security group-vpn server registered-members Mitglieder an, die sich nach der Konfiguration beim Server registriert haben. Die Mitgliederliste repräsentiert nicht unbedingt aktive Mitglieder, da Mitglieder nach der Registrierung möglicherweise aussteigen.
Grundlegendes zu Group VPNv1 Group Key Operations
Dieses Thema enthält die folgenden Abschnitte:
Gruppenschlüssel
Der Gruppenserver unterhält eine Datenbank, um die Beziehung zwischen VPN-Gruppen, Gruppenmitgliedern und Gruppenschlüsseln zu verfolgen. Es gibt zwei Arten von Gruppenschlüsseln, die der Server an Mitglieder herunterlädt:
Key Encryption Key (KEK): Wird zur Verschlüsselung von Neuschlüsselmeldungen verwendet. Pro Gruppe wird ein KEK unterstützt.
Traffic Encryption Key (TEK): Wird zur Ver- und Entschlüsselung des IPsec-Datenverkehrs zwischen Gruppenmitgliedern verwendet.
Der einer SA zugeordnete Schlüssel wird von einem Gruppenmitglied nur akzeptiert, wenn eine übereinstimmende Bereichsrichtlinie auf dem Mitglied konfiguriert ist. Für das Gruppen-VPN wird ein akzeptierter Schlüssel installiert, während ein abgelehnter Schlüssel verworfen wird.
Nachrichten neu schlüsseln
Wenn die Gruppe für die Kommunikation zwischen Servermitgliedern konfiguriert ist, sendet der Server in regelmäßigen Abständen SA- und Schlüsselaktualisierungen mit GDOI-Nachrichten groupkey-push(Rekey) an Gruppenmitglieder. Umschlüsselungsnachrichten werden vor Ablauf der SAs gesendet. so wird sichergestellt, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.
Der Server sendet auch Neuschlüsselnachrichten, um den Mitgliedern neue Schlüssel bereitzustellen, wenn eine Änderung der Gruppenmitgliedschaft erfolgt oder die Gruppen-SA geändert wurde (z. B. wird eine Gruppenrichtlinie hinzugefügt oder gelöscht).
Kommunikationsoptionen für Servermitglieder müssen auf dem Server konfiguriert werden, damit der Server Neuschlüsselnachrichten an Gruppenmitglieder senden kann. Diese Optionen geben den Typ der Nachricht und die Intervalle an, in denen die Nachrichten gesendet werden, wie in den folgenden Abschnitten erläutert:
Es gibt zwei Arten von Neuschlüsselmeldungen:
Unicast-Neuschlüsselmeldungen: Der Gruppenserver sendet eine Kopie der Neuschlüsselnachricht an jedes Gruppenmitglied. Nach Erhalt der Neuschlüsselnachricht müssen mitglieder eine Bestätigung (ACK) an den Server senden. Wenn der Server keine ACK von einem Mitglied erhält (einschließlich der erneuten Übertragung von Neuschlüsselmeldungen), betrachtet der Server den Member als inaktiv und entfernt sie aus der Mitgliederliste. Der Server sendet keine Neuschlüsselnachrichten mehr an das Mitglied.
retransmission-periodDienumber-of-retransmissionKonfigurationsanweisungen für die Kommunikation mit Servermitarbeitern steuern das erneute Senden von Neuschlüsselnachrichten durch den Server, wenn keine ACK von einem Mitglied empfangen wird.Multicast-Neuschlüsselmeldungen: Der Gruppenserver sendet eine Kopie der Neuschlüsselnachricht von der angegebenen ausgehenden Schnittstelle an die konfigurierte Multicast-Gruppenadresse. Mitglieder senden keine Bestätigung des Eingangs von Multicast-Neuschlüsselnachrichten. Die Liste der registrierten Mitglieder repräsentiert nicht unbedingt aktive Mitglieder, da Mitglieder nach der ersten Registrierung möglicherweise aussteigen. Alle Mitglieder der Gruppe müssen so konfiguriert sein, dass sie Multicast-Nachrichten unterstützen.
IP-Multicast-Protokolle müssen so konfiguriert sein, dass sie die Bereitstellung von Multicast-Datenverkehr im Netzwerk ermöglichen. Ausführliche Informationen zur Konfiguration von Multicast-Protokollen auf Geräten von Juniper Networks finden Sie im Benutzerhandbuch zu Multicast-Protokollen .
Das Intervall, in dem der Server Neuschlüsselmeldungen sendet, wird basierend auf den Werten der lifetime-secondsactivation-time-delay Konfigurationsanweisungen in der Hierarchie [edit security group-vpn server group] berechnet. Das Intervall wird als lifetime-seconds minus 4*(activation-time-delay)berechnet.
Der lifetime-seconds für den KEK wird als Teil der Server-Member-Kommunikation konfiguriert; der Standardwert ist 3600 Sekunden. Der lifetime-seconds für die TEK ist für den IPsec-Vorschlag konfiguriert; der Standardwert beträgt 3600 Sekunden. Die activation-time-delay Ist für die Gruppe auf dem Server konfiguriert; der Standard ist 15 Sekunden. Unter Verwendung der Standardwerte für lifetime-seconds und activation-time-delay, beträgt das Intervall, in dem der Server Neuschlüsselnachrichten 3600 minus 4*15sendet, oder 3540 Sekunden.
Mitgliederregistrierung
Wenn ein Gruppenmitglied vor Ablauf des aktuellen Schlüssels keinen neuen SA-Schlüssel vom Server erhält, muss sich das Mitglied beim Server erneut anmelden und aktualisierte Schlüssel über einen GDOI-Austausch groupkey-pull erhalten. In diesem Fall wird das Intervall, in dem der Server Neuschlüsselmeldungen sendet, wie folgt berechnet: lifetime-seconds minus 3*(activation-time-delay). Unter Verwendung der Standardwerte für lifetime-seconds und activation-time-delaybeträgt das Intervall, in dem der Server Neuschlüsselnachrichten sendet, 3600 minus 3*15 oder 3555 Sekunden.
Eine erneute Registrierung eines Mitglieds kann aus folgenden Gründen erfolgen:
Das Mitglied erkennt einen Serverneustart durch das Fehlen von Herzschlägen, die vom Server empfangen werden.
Die Nachricht zum Erneutschlüssel vom Gruppenserver geht verloren oder verzögert, und die Lebensdauer von TEK ist abgelaufen.
Schlüsselaktivierung
Wenn ein Mitglied einen neuen Schlüssel vom Server erhält, wartet es eine Zeit lang, bevor es den Schlüssel für die Verschlüsselung verwendet. Dieser Zeitraum wird durch die activation-time-delay Konfigurationsaussage bestimmt und ob der Schlüssel durch eine vom Server gesendete Neuschlüsselnachricht empfangen wird oder aufgrund der erneuten Registrierung des Mitglieds beim Server.
Wenn der Schlüssel durch eine vom Server gesendete Neuschlüsselnachricht empfangen wird, wartet der Mitglied 2*(activation-time-delay) Sekunden, bevor er den Schlüssel verwendet. Wenn der Schlüssel durch die erneute Registrierung des Mitglieds empfangen wird, wartet der Member die anzahl der Sekunden, die durch den activation-time-delay Wert angegeben wird.
Ein Mitglied behält die zwei zuletzt vom Server gesendeten Schlüssel für jede auf dem Mitglied installierte Gruppen-SA. Beide Schlüssel können für die Entschlüsselung verwendet werden, während der neueste Schlüssel für die Verschlüsselung verwendet wird. Der vorherige Schlüssel wird in der Anzahl der Sekunden entfernt, die durch den activation-time-delay Wert angegeben wird, nachdem der neue Schlüssel aktiviert wurde.
Der Standard für die activation-time-delay Konfigurationsaussage ist 15 Sekunden. Wenn dieser Zeitraum zu klein ist, kann dies dazu führen, dass ein Paket bei einem Remotegruppenmitglied abgelegt wird, bevor der neue Schlüssel installiert wird. Berücksichtigen Sie die Netzwerktopologie und die Verzögerungen bei der Systemübertragung, wenn Sie den activation-time-delay Wert ändern. Bei Unicast-Übertragungen ist die Systemübertragungsverzögerung proportional zur Anzahl der Gruppenmitglieder.
Ein VPNv1-Gruppenserver kann als Antwort auf eine Anfrage mehrere Datenverkehrsverschlüsselungsschlüssel (TEKs) an ein groupkey-pull VPNv1-Mitglied der Gruppe senden. Im Folgenden wird beschrieben, wie das VPNv1-Mitglied der Gruppe die vorhandenen TEK und die TEKs verwaltet, die es vom Server erhält:
Wenn das VPNv1-Mitglied der Gruppe zwei oder mehr TEKs erhält, enthält es die letzten beiden TEKs und löscht die vorhandene TEK. Von den beiden gehaltenen TEKs wird die ältere TEK sofort aktiviert, und die neuere TEK wird aktiviert, nachdem die
activation-time-delayKonfiguration auf dem Gruppen-VPNv1-Server abgelaufen ist (der Standard ist 15 Sekunden).Wenn das VPNv1-Mitglied der Gruppe nur eine TEK erhält oder wenn es eine TEK durch eine
groupkey-pushNachricht vom Server erhält, wird die vorhandene TEK erst gelöscht, wenn die harte Lebensdauer abläuft. Die Lebensdauer wird für die bestehende TEK nicht verkürzt.
Das VPNv1-Mitglied der Gruppe installiert immer noch eine empfangene TEK, auch wenn die TEK-Lebensdauer weniger als das Zweifache des activation-time-delay Werts beträgt.
Understanding Group VPNv1 Heartbeat Messages
Wenn die Kommunikation zwischen Servermitgliedern konfiguriert ist, sendet der VPNv1-Server der Gruppe Herzschläge-Nachrichten in bestimmten Intervallen an die Mitglieder (das Standardintervall beträgt 300 Sekunden). Der Herzschlagmechanismus ermöglicht es Mitgliedern, sich erneut beim Server zu registrieren, wenn die angegebene Anzahl von Herzschlägen nicht empfangen wird. Beispielsweise erhalten Mitglieder während eines Serverneustarts keine Herzschlagnachrichten. Wenn der Server neu gestartet wurde, melden sich die Mitglieder erneut beim Server an.
Herzschläge werden durch groupkey-push Nachrichten übertragen. Die Sequenznummer wird auf jeder Herzschlagnachricht inkrementiert, was die Mitglieder vor Antwortangriffen schützt. Im Gegensatz zu Neuschlüsselnachrichten werden Herzschläge nicht von den Empfängern bestätigt und nicht vom Server übermittelt.
Herzschläge-Nachrichten enthalten die folgenden Informationen:
Aktueller Status und Konfiguration der Schlüssel auf dem Server
Relative Zeit, wenn Antireplay aktiviert ist
Durch den Vergleich der Informationen in den Herzschlägen kann ein Mitglied erkennen, ob es Serverinformationen verpasst oder Nachrichten neu schlüsselt. Das Mitglied registriert sich neu, um sich mit dem Server zu synchronisieren.
Herzschläge-Nachrichten können die Netzwerküberlastung erhöhen und unnötige Neuregistrierungen von Mitglied verursachen. So kann bei Bedarf die Herzschlagerkennung auf dem Member deaktiviert werden.
Grundlegendes zum Gruppen-VPNv1-Server-Colocation-Modus
Gruppenserver und Gruppenmitgliedsfunktionen sind voneinander getrennt und überschneiden sich nicht. Server- und Memberfunktionen können in demselben physischen Gerät koexistieren, das als Colocation-Modus bezeichnet wird. Im Colocation-Modus gibt es keine Änderungen in Bezug auf die Funktionalität und das Verhalten des Servers oder eines Mitglieds, aber dem Server und dem Mitglied müssen jeweils unterschiedliche IP-Adressen zugewiesen werden, damit Pakete ordnungsgemäß übermittelt werden können. Im Colocation-Modus kann dem Server nur eine IP-Adresse und eine IP-Adresse zugewiesen werden, die dem Mitglied gruppenübergreifend zugewiesen wird.
Siehe auch
Gruppen-VPNv1-Konfiguration – Übersicht
In diesem Thema werden die wichtigsten Aufgaben für die Konfiguration der Gruppe VPNv1 beschrieben.
Konfigurieren Sie auf dem Gruppenserver Folgendes:
- IKE Phase 1-Aushandlung. Verwenden Sie die [
edit security group-vpn server ike]-Hierarchie, um die IKE Phase 1 SA zu konfigurieren. Siehe Grundlegendes zur IKE-Phase-1-Konfiguration für Group VPNv2 . - Phase 2 IPsec SA. Siehe Grundlegendes zur IPsec-SA-Konfiguration für Group VPNv1.
- VPN-Gruppe. Siehe Gruppen-VPNv1-Konfiguration– Übersicht.
Konfigurieren Sie für das Gruppenmitglied Folgendes:
IKE Phase 1-Aushandlung. Verwenden Sie die [
edit security group-vpn member ike] Hierarchie, um IKE Phase 1 SA zu konfigurieren. Siehe Grundlegendes zur IKE-Phase-1-Konfiguration für Group VPNv1 .Phase 2 IPsec SA. Siehe Grundlegendes zur IPsec-SA-Konfiguration für Group VPNv1.
Bereichsrichtlinie, die bestimmt, welche Gruppenrichtlinien auf dem Mitglied installiert sind. Siehe Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1.
Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, die Schnittstelle, die vom Gruppenmitglied zur Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine maximale MTU-Größe (Transmission Unit) zu konfigurieren, die nicht größer als 1400 Bytes ist. Verwenden Sie die set interface mtu Konfigurationsaussage, um die MTU-Größe festzulegen.
Die VPN-Gruppe wird auf dem Server mit der group Konfigurationsaussage in der Hierarchie [edit security group-vpn server] konfiguriert.
Die Gruppeninformationen bestehen aus den folgenden Informationen:
Gruppenbezeichner: Ein Wert zwischen 1 und 65.535, der die VPN-Gruppe identifiziert. Dieselbe Gruppenkennung muss für das Gruppenmitglied für Autokey-IKE konfiguriert werden.
Gruppenmitglieder, wie mit der
ike-gatewayKonfigurationsaussage konfiguriert. Es kann mehrere Instanzen dieser Konfigurationsaussage geben, eine für jedes Mitglied der Gruppe.IP-Adresse des Servers (die Loopback-Schnittstellenadresse wird empfohlen).
Gruppenrichtlinien: Richtlinien, die für Mitglieder heruntergeladen werden sollen. Gruppenrichtlinien beschreiben den Datenverkehr, auf den die SA und die Schlüssel angewendet werden. Siehe Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1.
Kommunikation mit Servermitgliedern– Optionale Konfiguration, die es dem Server ermöglicht, Neuschlüsselnachrichten an Mitglieder zu senden. Siehe Group VPNv1 – Übersicht.
Antireplay: Optionale Konfiguration zur Erkennung von Paketabfangen und -wiedergabe. Siehe Understanding Antireplay for Group VPNv1.See Understanding Antireplay for Group VPNv1.
Grundlegendes zur IKE-Phase-1-Konfiguration für Group VPNv1
Eine IKE Phase 1 SA zwischen dem Gruppenserver und einem Gruppenmitglied schafft einen sicheren Kanal zum Aushandeln von IPsec-SAs, die von einer Gruppe gemeinsam genutzt werden. Für Standard-IPsec-VPNs auf Sicherheitsgeräten von Juniper Networks besteht die Phase-1-SA-Konfiguration aus der Festlegung eines IKE-Vorschlags, einer Richtlinie und eines Gateways. Für Gruppe VPNv1 ähnelt die IKE Phase 1 SA-Konfiguration der Konfiguration für Standard-IPsec-VPNs, wird jedoch in der [edit security group-vpn]-Hierarchie durchgeführt.
In der IKE-Vorschlagskonfiguration haben Sie die Authentifizierungsmethode und die Authentifizierungs- und Verschlüsselungsalgorithmen festgelegt, die verwendet werden sollen, um einen sicheren Kanal zwischen den Teilnehmern zu öffnen. In der IKE-Richtlinienkonfiguration legen Sie den Modus (Haupt- oder Aggressivmodus) fest, in dem der Phase-1-Kanal ausgehandelt wird, geben die Art des zu verwendenden Schlüsselaustauschs an und verweisen auf den Phase-1-Vorschlag. In der IKE-Gateway-Konfiguration verweisen Sie auf die Phase-1-Richtlinie.
Da Group VPNv2 nur starke Algorithmen unterstützt, wird die Authentifizierungsalgorithmus-Option für Mitglieder der sha-256 Gruppe VPNv1 auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX550- und SRX650-Geräten unterstützt. Wenn Gruppen-VPNv1-Mitglieder mit Gruppen-VPNv2-Servern zusammenarbeiten, muss diese Option auf Gruppen-VPNv1-Mitgliedern mit dem edit security group-vpn member ike proposal proposal-name authentication-algorithm sha-256 Befehl konfiguriert werden. Auf dem Gruppen-VPNv2-Server authentication-algorithm sha-256 muss für IKE-Vorschläge konfiguriert und authentication-algorithm hmac-sha-256-128 für IPsec-Vorschläge konfiguriert werden.
Wenn ein IKE-Gateway auf einem Gruppen-VPNv1-Mitglied mit mehr als einer Gateway-Adresse konfiguriert ist, wird die Fehlermeldung "Nur eine Remoteadresse darf pro IKE-Gateway-Konfiguration konfiguriert werden" angezeigt, wenn die Konfiguration festgelegt wird.
Die IKE Phase 1-Konfiguration auf dem Gruppenserver muss mit der IKE Phase 1-Konfiguration für Gruppenmitglieder übereinstimmen.
Grundlegendes zur IPsec-SA-Konfiguration für Group VPNv1
Nachdem Server und Mitglied in Phase 1-Aushandlung einen sicheren und authentifizierten Kanal eingerichtet haben, fahren sie durch Phase 2. Phase 2-Aushandlung legt die IPsec-SAs fest, die von Gruppenmitgliedern gemeinsam genutzt werden, um Daten zu sichern, die zwischen Mitgliedern übertragen werden. Während die IPsec SA-Konfiguration für Gruppen-VPN der Konfiguration für Standard-VPNs ähnelt, muss ein Gruppenmitglied die SA nicht mit anderen Gruppenmitgliedern aushandeln.
Phase 2 IPsec-Konfiguration für Gruppe VPNv1 besteht aus den folgenden Informationen:
Ein Vorschlag für das Sicherheitsprotokoll, die Authentifizierung und den Verschlüsselungsalgorithmus, die für die SA verwendet werden sollen. Der IPsec-SA-Vorschlag wird auf dem Gruppenserver mit der
proposalKonfigurationsaussage in der Hierarchie [edit security group-vpn server ipsec] konfiguriert.Eine Gruppenrichtlinie, die auf den Vorschlag verweist. Eine Gruppenrichtlinie gibt den Datenverkehr (Protokoll, Quelladresse, Quellport, Zieladresse und Zielport) an, auf den die SA und die Schlüssel angewendet werden. Die Gruppenrichtlinie wird auf dem Server mit der
ipsec-saKonfigurationsaussage in der Hierarchie [edit security group-vpn server group] konfiguriert.Ein automatischer IKE, der auf den Gruppenbezeichner, den Gruppenserver (mit der
ike-gatewayKonfigurationsaussage konfiguriert) und die Schnittstelle verweist, die vom Mitglied zur Verbindung mit der Gruppe verwendet wird. Der autokey-IKE wird auf dem Member mit deripsec vpnKonfigurationsaussage in der Hierarchie [edit security group-vpn member] konfiguriert.
Grundlegendes zu dynamischen Richtlinien für Gruppen-VPNv1
Der Gruppenserver verteilt Gruppen-SAs und -Schlüssel an Mitglieder einer angegebenen Gruppe. Alle Mitglieder, die derselben Gruppe angehören, können den gleichen Satz von IPsec-SAs teilen. Aber nicht alle für eine Gruppe konfigurierten SAs sind auf jedem Gruppenmitglied installiert. Die auf einem bestimmten Mitglied installierte SA wird durch die Richtlinie bestimmt, die der Gruppen-SA zugeordnet ist, und den auf dem Mitglied konfigurierten Sicherheitsrichtlinien.
In einer VPN-Gruppe sind jede Gruppe SA und der Schlüssel, den der Server an ein Mitglied pusht, mit einer Gruppenrichtlinie verknüpft. Die Gruppenrichtlinie beschreibt den Datenverkehr, für den der Schlüssel verwendet werden soll, einschließlich Protokoll, Quelladresse, Quellport, Zieladresse und Zielport.
Gruppenrichtlinien, die identisch sind (die mit derselben Quelladresse, Zieladresse, Quellport, Zielport und Protokollwerten konfiguriert sind), können für eine einzelne Gruppe nicht vorhanden sein. Ein Fehler wird zurückgegeben, wenn Sie versuchen, eine Konfiguration zu bestätigen, die identische Gruppenrichtlinien für eine Gruppe enthält. Wenn dies der Fall ist, müssen Sie eine der identischen Gruppenrichtlinien löschen.
Auf einem Gruppenmitglied muss eine Bereichsrichtlinie konfiguriert werden, die den Bereich der vom Server heruntergeladenen Gruppenrichtlinie definiert. Eine vom Server verteilte Gruppenrichtlinie wird mit den auf dem Member konfigurierten Bereichsrichtlinien verglichen. Damit eine Gruppenrichtlinie auf dem Mitglied installiert werden kann, müssen die folgenden Bedingungen erfüllt sein:
Alle in der Gruppenrichtlinie angegebenen Adressen müssen innerhalb des in der Bereichsrichtlinie angegebenen Adressbereichs liegen.
Quellport, Zielport und Protokoll, die in der Gruppenrichtlinie angegeben sind, müssen mit den in der Bereichsrichtlinie konfigurierten Protokollen übereinstimmen.
Eine Gruppenrichtlinie, die auf einem Mitglied installiert ist, wird als dynamische Richtlinie bezeichnet.
Eine Bereichsrichtlinie kann Teil einer geordneten Liste von Sicherheitsrichtlinien für einen bestimmten Zonen- und Zonenkontext sein. Junos OS führt eine Sicherheitsrichtliniensuche für eingehende Pakete durch, die von oben in der geordneten Liste beginnt.
Abhängig von der Position der Umfangsrichtlinie in der geordneten Liste der Sicherheitsrichtlinien gibt es mehrere Möglichkeiten für die dynamische Richtliniensuche:
Wenn das eingehende Paket mit einer Sicherheitsrichtlinie übereinstimmt, bevor die Bereichsrichtlinie berücksichtigt wird, erfolgt keine dynamische Richtliniensuche.
Wenn eine eingehende Richtlinie mit einer Bereichsrichtlinie übereinstimmt, wird der Suchvorgang nach einer passenden dynamischen Richtlinie fortgesetzt. Wenn es eine übereinstimmende dynamische Richtlinie gibt, wird diese Richtlinienaktion (Permit) durchgeführt. Wenn keine übereinstimmende dynamische Richtlinie vorhanden ist, wird bei der Suche weiterhin die Richtlinien unterhalb der Bereichsrichtlinie durchsucht.
In dieser Version ist nur die
tunnelAktion für eine Bereichsrichtlinie zulässig. Andere Aktionen werden nicht unterstützt.
Sie konfigurieren eine Bereichsrichtlinie für ein Gruppenmitglied, indem Sie die policies Konfigurationsaussage in der Hierarchie [edit security] verwenden. Verwenden Sie die ipsec-group-vpn Konfigurationsaussage in der Regel "Tunnel zulassen", um auf das Gruppen-VPN zu verweisen. Dadurch können Gruppenmitglieder eine einzelne SA gemeinsam nutzen.
Siehe auch
Understanding Antireplay for Group VPNv1
Antireplay ist eine IPsec-Funktion, die erkennen kann, wenn ein Paket abgefangen und dann von Angreifern wiedergegeben wird. Antireplay ist standardmäßig für Gruppen-VPNs aktiviert, kann aber für eine Gruppe mit der no-anti-replay Konfigurationsaussage deaktiviert werden.
Wenn antireplay aktiviert ist, synchronisiert der Gruppenserver die Zeit zwischen den Gruppenmitgliedern. Jedes IPsec-Paket enthält einen Zeitstempel. Das Gruppenmitglied prüft, ob der Zeitstempel des Pakets unter den konfigurierten anti-replay-time-window Wert fällt (der Standard ist 100 Sekunden). Ein Paket wird gelöscht, wenn der Zeitstempel den Wert übersteigt.
Siehe auch
Beispiel: Konfigurieren von Gruppen-VPNv1-Server und -Mitgliedern
Dieses Beispiel zeigt, wie Sie die Gruppe VPNv1 konfigurieren, um die IPsec-Architektur zur Unterstützung von SAs zu erweitern, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden. Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Sicherheitsgeräte von Juniper Networks für die Netzwerkkommunikation.
Konfigurieren Sie Netzwerkschnittstellen auf Server- und Mitgliedsgeräten. Siehe Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Überblick
In Abbildung 2besteht ein Gruppen-VPN aus zwei Mitgliedsgeräten (member1 und member2) und einem Gruppenserver (die IP-Adresse der Loopback-Schnittstelle auf dem Server ist 20.0.0.1). Der Gruppenbezeichner ist 1.
Die Phase-2-Gruppen-VPN-SAs müssen durch eine Phase-1-SA geschützt werden. Daher muss die Gruppen-VPN-Konfiguration die Konfiguration von IKE Phase 1-Verhandlungen sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern umfassen. Außerdem muss dieselbe Gruppenkennung sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert werden.
Gruppenrichtlinien werden auf dem Gruppenserver konfiguriert. Alle für eine Gruppe konfigurierten Gruppenrichtlinien werden auf Gruppenmitglieder heruntergeladen. Für ein Gruppenmitglied konfigurierte Bereichsrichtlinien legen fest, welche Gruppenrichtlinien tatsächlich auf dem Mitglied installiert sind. In diesem Beispiel werden die folgenden Gruppenrichtlinien auf dem Gruppenserver zum Herunterladen an alle Gruppenmitglieder konfiguriert:
p1 – Erlaubt den gesamten Datenverkehr von 10.1.0.0/16 bis 10.2.0.0./16
p2 – Erlaubt den gesamten Datenverkehr von 10.2.0.0./16 bis 10.1.0.0/16
p3 – Ermöglicht Multicast-Datenverkehr ab 10.1.1.1/32
Das Member1-Gerät ist mit Bereichsrichtlinien konfiguriert, die den gesamten Unicast-Datenverkehr zum und vom 10.0.0.0/8-Subnetz zulassen. Auf Member1 ist keine Bereichsrichtlinie konfiguriert, um Multicast-Datenverkehr zu erlauben. daher ist die SA-Richtlinie P3 auf Member1 nicht installiert.
Das Member2-Gerät ist mit Bereichsrichtlinien konfiguriert, die den Datenverkehr von 10.1.0.0/16 von der Vertrauenszone in die nicht vertrauenswürdige Zone und auf 10.1.0.0/16 von der nicht vertrauenswürdigen Zone in die Trust Zone ablegen. Daher ist die SA-Richtlinie p2 auf Member2 nicht installiert.
Konfiguration
Konfigurieren des Gruppenservers
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$ABC123" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie den Gruppenserver:
Konfigurieren Sie die Loopback-Adresse auf dem Gerät.
[edit] user@host# edit interfaces user@host# set lo0 unit 0 family inet address 20.0.0.1/32
Konfigurieren Sie IKE Phase 1 SA (diese Konfiguration muss mit der phase 1 SA übereinstimmen, die auf den Gruppenmitgliedern konfiguriert wurde).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.
[edit security group-vpn server ike] user@host# set policy srv-pol mode main proposals srv-prop pre-shared-key ascii-text "$ABC123" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
Konfigurieren Sie den Phase-2-SA-Austausch.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1–96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
Konfigurieren Sie den Gruppenbezeichner und das IKE-Gateway.
[edit security group-vpn server group grp1] user@host# set group-id 1 user@host# set ike-gateway gw1 user@host# set ike-gateway gw2 user@host# set anti-replay-time-window 120 server-address 20.0.0.1
Konfigurieren Sie die Server-zu-Member-Kommunikation.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
Konfigurieren Sie die Gruppenrichtlinien, die an Gruppenmitglieder heruntergeladen werden sollen.
[edit security group-vpn server group grp1 ipsec-sa group-sa] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security group-vpn server Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security group-vpn server
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfiguration von Member1
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie Member1:
Konfigurieren Sie Phase 1 SA (diese Konfiguration muss mit der phase 1 SA übereinstimmen, die auf dem Gruppenserver konfiguriert wurde).
[edit security group-vpn member ike proposal prop1] user@member1# set authentication-method pre-shared-keys user@member1# set dh-group group2 user@member1# set authentication-algorithm sha1 user@member1# set encryption-algorithm 3des-cbc
Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.
[edit security group-vpn member ike] user@member1# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$ABC123" user@member1# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für Member1.
[edit security group-vpn member ipsec] user@member1# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, die Schnittstelle, die von den Gruppenmitgliedern zur Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine MTU-Größe von nicht größer als 1400 Bytes zu konfigurieren. Verwenden Sie die
set interface mtuKonfigurationsaussage, um die MTU-Größe festzulegen.Erstellen Sie Adressbücher und fügen Sie Zonen an.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
Konfigurieren Sie eine Bereichsrichtlinie von der Trust Zone zur nicht vertrauenswürdigen Zone, die Unicast-Datenverkehr zum und vom 10.0.0.0/8-Subnetz zulässt.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone zur Vertrauenszone, die Unicast-Datenverkehr zum und vom 10.0.0.0/8-Subnetz ermöglicht.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show security group-vpn member befehle eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@member1# show security group-vpn member
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member1# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfiguration von Member2
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 authentication-method pre-shared-keys set security group-vpn member ike proposal prop2 dh-group group2 set security group-vpn member ike proposal prop2 authentication-algorithm sha1 set security group-vpn member ike proposal prop2 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol2 mode main set security group-vpn member ike policy pol2 proposals prop2 set security group-vpn member ike policy pol2 pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway g2 ike-policy pol2 set security group-vpn member ike gateway g2 address 20.0.0.1 set security group-vpn member ike gateway g2 local-address 10.2.0.1 set security group-vpn member ipsec vpn v2 ike-gateway g2 set security group-vpn member ipsec vpn v2 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v2 group 1 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 address 10_1_0_0_16 10.1.0.0/16 set security address-book book1 address multicast_net 239.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 address 10_1_0_0_16 10.1.0.0/16 set security address-book book2 address multicast_net 239.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy deny2 match source-address 10_1_0_0_16 set security policies from-zone trust to-zone untrust policy deny2 match destination-address any set security policies from-zone trust to-zone untrust policy deny2 match application any set security policies from-zone trust to-zone untrust policy deny2 then reject set security policies from-zone trust to-zone untrust policy scope2 match source -address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope2 match application any set security policies from-zone trust to-zone untrust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone trust to-zone untrust policy multicast-scope2 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy multicast-scope2 match destination-address multicast-net set security policies from-zone trust to-zone untrust policy multicast-scope2 match application any set security policies from-zone trust to-zone untrust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy deny2 match source-address any set security policies from-zone untrust to-zone trust policy multicast-scope2 ma tch application any set security policies from-zone untr set security policies from-zone untrust to-zone trust policy deny2 match destination-address 10_1_0_0_16 set security policies from-zone untrust to-zone trust policy deny2 match application any set security policies from-zone untrust to-zone trust policy deny2 then reject set security policies from-zone untrust to-zone trust policy scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope2 match application any set security policies from-zone untrust to-zone trust policy scope2 then permit tunnel ipsec-group-vpn v2 set security policies from-zone untrust to-zone trust policy multicast-scope2 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy multicast-scope2 match destination-address multicast-net set security policies from-zone untrust to-zone trust policy multicast-scope2 match application any set security policies from-zone untrust to-zone trust policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie Member2:
Konfigurieren Sie Phase 1 SA (diese Konfiguration muss mit der phase 1 SA übereinstimmen, die auf dem Gruppenserver konfiguriert wurde).
[edit security group-vpn member ike proposal prop2] user@member2# set authentication-method pre-shared-keys user@member2# set dh-group group2 user@member2# set authentication-algorithm sha1 user@member2# set encryption-algorithm 3des-cbc
Definieren Sie die IKE-Richtlinie und legen Sie das Remote-Gateway fest.
[edit security group-vpn member ike] user@member2# set policy pol2 mode main proposals prop2 pre-shared-key ascii-text "$ABC123" user@member2# set gateway g2 ike-policy pol2 address 20.0.0.1 local-address 10.2.0.1
Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für Member2.
[edit security group-vpn member ipsec] user@member2# set vpn v2 group 1 ike-gateway g2 group-vpn-external-interface ge-0/1/0
Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, die Schnittstelle, die von den Gruppenmitgliedern zur Verbindung mit dem MPLS-Netzwerk verwendet wird, für eine MTU-Größe von nicht größer als 1400 Bytes zu konfigurieren. Verwenden Sie die
set interface mtuKonfigurationsaussage, um die MTU-Größe festzulegen.Erstellen Sie ein Adressbuch, und fügen Sie es der Vertrauenszone bei.
[edit security address-book book1] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone trust
Erstellen Sie ein weiteres Adressbuch, und hängen Sie es der nicht vertrauenswürdigen Zone an.
[edit security address-book book2] user@member2# set address 10_subnet 10.0.0.0/8 user@member2# set address 10_1_0_0_16 10.1.0.0/16 user@member2# set address multicast_net 239.0.0.0/8 user@member2# set attach zone untrust
Konfigurieren Sie eine Bereichsrichtlinie von der Trust Zone bis zur nicht vertrauenswürdigen Zone, die den Datenverkehr von 10.1.0.0/16 blockiert.
[edit security policies from-zone trust to-zone untrust] user@member2# set policy deny2 match source-address 10_1_0_0_16 destination-address any application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone zur Vertrauenszone, die den Datenverkehr bis 10.1.0.0/16 blockiert.
[edit security policies from-zone untrust to-zone trust] user@member2# set policy deny2 match source-address any destination-address 10_1_0_0_16 application any user@member2# set policy deny2 then reject user@member2# set policy scope2 match source-address 10_subnet destination-address 10_subnet application any user@member2# set policy scope2 then permit tunnel ipsec-group-vpn v2 user@member2# set policy multicast-scope2 match source-address 10_subnet destination-address multicast-net application any user@member2# set policy multicast-scope2 then permit tunnel ipsec-group-vpn v2
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show security group-vpn member befehle eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@member2# show security group-vpn member
ike {
proposal prop2 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol2 {
mode main;
proposals prop2;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway g2 {
ike-policy pol2;
address 20.0.0.1;
local-address 10.2.0.1;
}
}
ipsec {
vpn v2 {
ike-gateway g2;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
[edit]
user@member2# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy deny2 {
match {
source-address 10_1_0_0_16;
destination-address any;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy deny2 {
match {
source-address any;
destination-address 10_1_0_0_16;
application any;
}
then {
reject;
}
}
policy scope2 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy multicast-scope2 {
match {
source-address 10_subnet;
destination-address multicast-net;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v2;
}
}
}
}
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Führen Sie diese Aufgabe durch, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfung dynamischer Richtlinien für Member1
Zweck
Zeigen Sie die auf Member1 installierten dynamischen Richtlinien an.
Aktion
Nachdem der Gruppenserver die Schlüssel zu Member1 heruntergeladen hat, geben Sie den show security dynamic-policies Befehl aus dem Betriebsmodus ein.
user@member1> show security dynamic-policies
Policy: scope1-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope1–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Bedeutung
Die Multicast-Richtlinie p3 vom Server ist auf Member1 nicht installiert, da auf Member1 keine Bereichsrichtlinie konfiguriert ist, die Multicast-Datenverkehr zulässt.
Überprüfung dynamischer Richtlinien für Member2
Zweck
Sehen Sie sich die auf Member 2 installierten dynamischen Richtlinien an.
Aktion
Nachdem der Gruppenserver die Schlüssel zu Member2 heruntergeladen hat, geben Sie den show security dynamic-policies Befehl aus dem Betriebsmodus ein.
user@member2> show security dynamic-policies
Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.0.0/16
Destination addresses: 10.2.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2-0001, action-type: permit, State: enabled, Index: 1048580,AI: disabled, Scope Policy: 4
Policy Type: Dynamic
Sequence number: 1
From zone: untrust, To zone: trust
Source addresses: 10.1.1.1/32
Destination addresses: 239.1.1.1/32
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.2.0.0/16/0
Destination addresses: 10.1.0.0/16
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Policy: scope2–0001, action-type: permit, State: enabled, Index: 1048581,AI: disabled, Scope Policy: 5
Policy Type: Dynamic
Sequence number: 2
From zone: trust, To zone: untrust
Source addresses: 10.1.1.1/32
Destination addresses: 239.1.1.1/32
Application: Unknown
IP protocol: 0, ALG: 0, Inactivity timeout: 0
Source port range: [0-0]
Destination port range: [0-0]
Tunnel: INSTANCE-gvpn_133955586, Type: IPSec, Index: 133955586
Bedeutung
Die Richtlinie p2 (für Datenverkehr von 10.1.0.0/16 bis 10.2.0.0/16) vom Server ist auf Member2 nicht installiert, da sie mit der auf Member2 konfigurierten Sicherheitsrichtlinie deny2 übereinstimmt.
Beispiel: Konfigurieren der Gruppen-VPNv1-Server-Member-Kommunikation für Unicast-Rekey-Nachrichten
Dieses Beispiel zeigt, wie der Server Unicast-Neuschlüsselnachrichten an Gruppenmitglieder senden kann, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind. Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie den Gruppenserver und die Mitglieder für die IKE Phase 1-Aushandlung.
Konfigurieren Sie den Gruppenserver und die Mitglieder für Phase 2 IPsec SA.
Konfigurieren Sie die Gruppe
g1auf dem Gruppenserver.
Überblick
In diesem Beispiel geben Sie die folgenden Kommunikationsparameter für Servermitglied für Gruppe g1an:
Der Server sendet Unicast-Neuschlüsselmeldungen an Gruppenmitglieder.
3des-cbc wird verwendet, um den Datenverkehr zwischen dem Server und den Mitgliedern zu verschlüsseln.
sha1 wird für die Mitgliederauthentifizierung verwendet.
Standardwerte werden für Server-Herzschläge, KEK-Lebensdauer und Erneute Übertragungen verwendet.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die Kommunikation zwischen Servermitarbeitern:
Legen Sie den Kommunikationstyp fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set communications-type unicast
Legen Sie den Verschlüsselungsalgorithmus fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
Legen Sie die Mitgliederauthentifizierung fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
Überprüfung
Geben Sie den Befehl ein, um zu überprüfen, ob die show security group-vpn server group g1 server-member-communication Konfiguration ordnungsgemäß funktioniert.
Beispiel: Konfigurieren der Gruppen-VPNv1-Server-Member-Kommunikation für Multicast-Rekey-Nachrichten
Dieses Beispiel zeigt, wie der Server multicast-Neuschlüsselnachrichten an Gruppenmitglieder senden kann, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind. Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie den Gruppenserver und die Mitglieder für IKE Phase 1-Aushandlung und Phase 2 IPsec SA. Siehe Beispiel: Konfigurieren von Vpnv1-Server und Mitgliedern der Gruppe oder Beispiel: Konfigurieren der Gruppe VPNv1 mit Server-Member-Colocation.
Konfigurieren Sie ge-0/0/1.0, die Schnittstelle, die der Server für das Senden von Multicast-Nachrichten verwendet. Siehe Junos OS Routing Protocol Library.
Konfigurieren Sie die Multicast-Gruppenadresse 226.1.1.1. Siehe Junos OS Routing Protocol Library.
IP-Multicast-Protokolle müssen so konfiguriert sein, dass sie die Bereitstellung von Multicast-Datenverkehr im Netzwerk ermöglichen. In diesem Beispiel wird die Multicast-Konfiguration nicht angezeigt.
Überblick
In diesem Beispiel geben Sie die folgende Server-Member-Kommunikation für Gruppe g1an:
Der Server sendet Multicast-Neuschlüsselnachrichten an Gruppenmitglieder über die Multicast-Adresse 226.1.1.1 und die Schnittstelle ge-0/0/1.0.
3des-cbc wird verwendet, um den Datenverkehr zwischen dem Server und den Mitgliedern zu verschlüsseln.
sha1 wird für die Mitgliederauthentifizierung verwendet.
Standardwerte werden für Server-Herzschläge, KEK-Lebensdauer und Erneute Übertragungen verwendet.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security group-vpn server group g1 server-member-communication communication-type multicast set security group-vpn server group g1 server-member-communication multicast-group 226.1.1.1 set security group-vpn server group g1 server-member-communication multicast-outgoing-interface ge-0/0/1.0 set security group-vpn server group g1 server-member-communication encryption-algorithm 3des-cbc set security group-vpn server group g1 server-member-communication sig-hash-algorithm sha1
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die Kommunikation zwischen Servermitarbeitern für Multicast-Neuschlüsselmeldungen:
Legen Sie den Kommunikationstyp fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set communication-type multicast
Legen Sie die Multicast-Gruppe fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-group 226.1.1.1
Legen Sie die Schnittstelle für ausgehende Multicast-Nachrichten fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set multicast-outgoing-interface ge-0/0/1.0
Legen Sie den Verschlüsselungsalgorithmus fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm 3des-cbc
Legen Sie die Mitgliederauthentifizierung fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha1
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security group-vpn server group g1 server-member-communication Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit] user@host# show security group-vpn server group g1 server-member-communication communication-type multicast; multicast-group 226.1.1.1; multicast-outgoing-interface ge-0/0/1.0; encryption-algorithm 3des-cbc; sig-hash-algorithm sha1;
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Verifizieren der Kommunikation zwischen Servermitarbeitern für Multicast-Neuschlüsselmeldungen
Zweck
Stellen Sie sicher, dass die Kommunikationsparameter der Servermitglieder für die Multicast-Neuschlüsselnachricht ordnungsgemäß konfiguriert sind, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.
Aktion
Geben Sie im Betriebsmodus den show security group-vpn server group g1 server-member-communication Befehl ein.
Beispiel: Konfigurieren der Gruppe VPNv1 mit Server-Member-Colocation
Dieses Beispiel zeigt, wie Sie ein Gerät für den Colocation-Modus konfigurieren, wodurch Server- und Memberfunktionen auf demselben physischen Gerät koexistieren können. Group VPNv1 wird auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240- und SRX650-Geräten unterstützt.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Sicherheitsgeräte von Juniper Networks für die Netzwerkkommunikation.
Konfigurieren Sie Netzwerkschnittstellen auf Server- und Mitgliedsgeräten. Siehe Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Überblick
Wenn der Colocation-Modus konfiguriert ist, können Gruppenserver- und Gruppenmitgliedsfunktionen im selben Gerät koexistieren. Im Colocation-Modus müssen Server und Mitglied unterschiedliche IP-Adressen haben, damit die Pakete ordnungsgemäß zugestellt werden.
In Abbildung 3besteht ein Gruppen-VPN (Gruppenkennung ist 1) aus zwei Mitgliedern (member1 und member2) und einem Gruppenserver (die IP-Adresse der Loopback-Schnittstelle ist 20.0.0.1). Beachten Sie, dass Member1 auf demselben Gerät wie der Gruppenserver koexistiert. In diesem Beispiel wird der Schnittstelle, die Member1 zur Verbindung mit dem MPLS-Netzwerk (ge-0/1/0) verwendet, die IP-Adresse 10.1.0.1/32 zugewiesen.
In den Konfigurationsanweisungen in diesem Thema wird beschrieben, wie das Gerät der Gruppe server-member1 für den Colocation-Modus konfiguriert wird. Informationen zur Konfiguration von member2 finden Sie im Beispiel: Konfigurieren des Vpnv1-Servers und der Mitglieder der Gruppe.
Um Probleme mit der Paketfragmentierung zu vermeiden, empfehlen wir, die Schnittstelle, die vom Gruppenmitglied für die Verbindung zum MPLS-Netzwerk verwendet wird, für eine MTU-Größe von nicht größer als 1400 Bytes zu konfigurieren. Verwenden Sie die set interface mtu Konfigurationsaussage, um die MTU-Größe festzulegen.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set interfaces ge-0/1/0 unit 0 family inet address 10.1.0.1/32 set security group-vpn member ike proposal prop1 authentication-method pre-shared-keys set security group-vpn member ike proposal prop1 dh-group group2 set security group-vpn member ike proposal prop1 authentication-algorithm sha1 set security group-vpn member ike proposal prop1 encryption-algorithm 3des-cbc set security group-vpn member ike policy pol1 mode main set security group-vpn member ike policy pol1 proposals prop1 set security group-vpn member ike policy pol1 pre-shared-key ascii-text "$9$c1gr K8-VYZUHX7UHqmF3Sre" set security group-vpn member ike gateway g1 ike-policy pol1 set security group-vpn member ike gateway g1 address 20.0.0.1 set security group-vpn member ike gateway g1 local-address 10.1.0.1 set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security group-vpn member ipsec vpn v1 group 1 set security group-vpn server ike proposal srv-prop authentication-method pre-shared-keys set security group-vpn server ike proposal srv-prop dh-group group2 set security group-vpn server ike proposal srv-prop authentication-algorithm sha1 set security group-vpn server ike proposal srv-prop encryption-algorithm 3des-cbc set security group-vpn server ike policy srv-pol mode main set security group-vpn server ike policy srv-pol proposals srv-prop set security group-vpn server ike policy srv-pol pre-shared-key ascii-text "$9$c 1grK8-VYZUHX7UHqmF3Sre" set security group-vpn server ike gateway gw1 ike-policy srv-pol set security group-vpn server ike gateway gw1 address 10.1.0.1 set security group-vpn server ike gateway gw2 ike-policy srv-pol set security group-vpn server ike gateway gw2 address 10.2.0.1 set security group-vpn server ipsec proposal group-prop authentication-algorithm hmac-sha1-96 set security group-vpn server ipsec proposal group-prop encryption-algorithm 3des-cbc set security group-vpn server ipsec proposal group-prop lifetime-seconds 3600 set security group-vpn server group grp1 group-id 1 set security group-vpn server group grp1 ike-gateway gw1 set security group-vpn server group grp1 ike-gateway gw2 set security group-vpn server group grp1 anti-replay-time-window 120 set security group-vpn server group grp1 server-address 20.0.0.1 set security group-vpn server group grp1 server-member-communication communication-type unicast set security group-vpn server group grp1 server-member-communication encryption-algorithm aes-128-cbc set security group-vpn server group grp1 server-member-communication sig-hash-algorithm md5 set security group-vpn server group grp1 server-member-communication certificate srv-cert set security group-vpn server group grp1 ipsec-sa group-sa proposal group-prop set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p1 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source 10.2.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination 10.1.0.0/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p2 protocol 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source 10.1.1.1/16 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination 239.1.1.1/32 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 source-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 destination-port 0 set security group-vpn server group grp1 ipsec-sa group-sa match-policy p3 protocol 0 set security group-vpn co-location set security group-vpn member ipsec vpn v1 ike-gateway g1 set security group-vpn member ipsec vpn v1 group-vpn-external-interface ge-0/1/0 set security address-book book1 address 10_subnet 10.0.0.0/8 set security address-book book1 attach zone trust set security address-book book2 address 10_subnet 10.0.0.0/8 set security address-book book2 attach zone untrust set security policies from-zone trust to-zone untrust policy scope1 match source-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match destination-address 10_subnet set security policies from-zone trust to-zone untrust policy scope1 match application any set security policies from-zone trust to-zone untrust policy scope1 then permit tunnel ipsec-group-vpn v1 set security policies from-zone untrust to-zone trust policy scope1 match source-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match destination-address 10_subnet set security policies from-zone untrust to-zone trust policy scope1 match application any set security policies from-zone untrust to-zone trust policy scope1 then permit tunnel ipsec-group-vpn v1
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie ein Gruppen-VPN mit Server-Member-Colocation:
Konfigurieren Sie die Loopback-Adresse auf dem Gerät.
[edit interfaces] user@host# set lo0 unit 0 family inet address 20.0.0.1/32
Konfigurieren Sie die Schnittstelle, die Member1 für die Verbindung mit dem MPLS-Netzwerk verwendet.
[edit interfaces] user@host# set ge-0/1/0 unit 0 family inet address 10.1.0.1/32
Konfigurieren Sie die VPN-Colocation der Gruppe auf dem Gerät.
[edit security group-vpn] user@host# set co-location
Konfigurieren Sie IKE Phase 1 SA für den Server (diese Konfiguration muss mit der phase 1 SA übereinstimmen, die auf Gruppenmitgliedern konfiguriert wurde).
[edit security group-vpn server ike proposal srv-prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Definieren Sie die IKE-Richtlinie und legen Sie die Remote-Gateways fest.
[edit security group-vpn server ike] user@host# set policy srv-pol proposals srv-prop mode main pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway gw1 ike-policy srv-pol address 10.1.0.1 user@host# set gateway gw2 ike-policy srv-pol address 10.2.0.1
Konfigurieren Sie den Phase-2-SA-Austausch für den Server.
[edit security group-vpn server ipsec proposal group-prop] user@host# set authentication-algorithm hmac-sha1-96 user@host# set encryption-algorithm 3des-cbc user@host# set lifetime-seconds 3600
Konfigurieren Sie die Gruppenkennung, das IKE-Gateway, die Antireplay-Zeit und die Serveradresse auf dem Server.
[edit security group-vpn server group grp1] user@host# set group-id 1 anti-replay-time-window 120 server-address 20.0.0.1 user@host#set ike-gateway gw1 user@host#set ike-gateway gw2
Konfigurieren Sie die Kommunikation zwischen Server und Mitglied.
[edit security group-vpn server group grp1] user@host# set server-member-communication communication-type unicast encryption-algorithm aes-128-cbc sig-hash-algorithm md5 certificate “srv-cert”
Konfigurieren Sie die Gruppenrichtlinien, die an Gruppenmitglieder heruntergeladen werden sollen.
[edit security group-vpn server group grp1 ipsec-sa group-sa ] user@host# set proposal group-prop match-policy p1 source 10.1.0.0/16 destination 10.2.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p2 source 10.2.0.0/16 destination 10.1.0.0/16 source-port 0 destination-port 0 protocol 0 user@host# set proposal group-prop match-policy p3 source 10.1.1.1/16 destination 239.1.1.1/32 source-port 0 destination-port 0 protocol 0
Konfigurieren sie Phase 1 SA für Member1 (diese Konfiguration muss mit der phase 1 SA übereinstimmen, die für den Gruppenserver konfiguriert wurde).
[edit security group-vpn member ike proposal prop1] user@host# set authentication-method pre-shared-keys user@host# set dh-group group2 user@host# set authentication-algorithm sha1 user@host# set encryption-algorithm 3des-cbc
Definieren Sie die Richtlinie und legen Sie das Remote-Gateway für member1 fest.
[edit security group-vpn member ike] user@host# set policy pol1 mode main proposals prop1 pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre" user@host# set gateway g1 ike-policy pol1 address 20.0.0.1 local-address 10.1.0.1
Konfigurieren Sie den Gruppenbezeichner, das IKE-Gateway und die Schnittstelle für Member1.
[edit security group-vpn member ipsec] user@host# set vpn v1 group 1 ike-gateway g1 group-vpn-external-interface ge-0/1/0
Erstellen Sie Adressbücher und fügen Sie diese zonen an.
[edit security address-book book1] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone trust
[edit security address-book book2] user@member1# set address 10_subnet 10.0.0.0/8 user@member1# set attach zone untrust
Konfigurieren Sie eine Bereichsrichtlinie von der Trust Zone zur nicht vertrauenswürdigen Zone, die Unicast-Datenverkehr zum und vom 10.0.0.0/8-Subnetz zulässt.
[edit security policies from-zone trust to-zone untrust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Konfigurieren Sie eine Bereichsrichtlinie von der nicht vertrauenswürdigen Zone zur Vertrauenszone, die Unicast-Datenverkehr zum und vom 10.0.0.0/8-Subnetz ermöglicht.
[edit security policies from-zone untrust to-zone trust] user@member1# set policy scope1 match source-address 10_subnet destination-address 10_subnet application any user@member1# set policy scope1 then permit tunnel ipsec-group-vpn v1
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl und show security policies den show security group-vpn Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
Stellen Sie in der Liste der konfigurierten Sicherheitsrichtlinien sicher, dass die Bereichsrichtlinien vor den Standardrichtlinien aufgeführt sind.
[edit]
user@host# show security group-vpn
member {
ike {
proposal prop1 {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy pol1 {
mode main;
proposals prop1;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA
}
gateway g1 {
ike-policy pol1;
address 20.0.0.1;
local-address 10.1.0.1;
}
}
ipsec {
vpn v1 {
ike-gateway g1;
group-vpn-external-interface ge-0/1/0;
group 1;
}
}
}
server {
ike {
proposal srv-prop {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
}
policy srv-pol {
mode main;
proposals srv-prop;
pre-shared-key ascii-text "$9$c1grK8-VYZUHX7UHqmF3Sre"; ## SECRET-DATA
}
gateway gw1 {
ike-policy srv-pol;
address 10.1.0.1;
}
gateway gw2 {
ike-policy srv-pol;
address 10.2.0.1;
}
}
ipsec {
proposal group-prop {
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 3600;
}
}
group grp1 {
group-id 1;
ike-gateway gw1;
ike-gateway gw2;
anti-replay-time-window 120;
server-address 20.0.0.1;
server-member-communication {
communication-type unicast;
encryption-algorithm aes-128-cbc;
sig-hash-algorithm md5;
certificate srv-cert;
}
ipsec-sa group-sa {
proposal group-prop;
match-policy p1 {
source 10.1.0.0/16;
destination 10.2.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p2 {
source 10.2.0.0/16;
destination 10.1.0.0/16;
source-port 0;
destination-port 0;
protocol 0;
}
match-policy p3 {
source 10.1.1.1/16;
destination 239.1.1.1/32;
source-port 0;
destination-port 0;
protocol 0;
}
}
}
}
co-location;
[edit]
user@host# show security policies
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone untrust {
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
}
}
policy scope1 {
match {
source-address 10_subnet;
destination-address 10_subnet;
application any;
}
then {
permit {
tunnel {
ipsec-group-vpn v1;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfung der Registrierung von Gruppen-VPN-Mitglieder
- Überprüfen von Gruppen-VPN-Serversicherheitszuordnungen für IKE
- Überprüfen von Gruppen-VPN-Serversicherheitszuordnungen für IPsec
- Überprüfung der Sicherheitszuordnungen der VPN-Mitglieder der Gruppe für IKE
- Überprüfung der Sicherheitszuordnungen von VPN-Gruppenmitglieden für IPsec
Überprüfung der Registrierung von Gruppen-VPN-Mitglieder
Zweck
Stellen Sie sicher, dass die VPN-Mitglieder der Gruppe korrekt registriert sind.
Aktion
Geben Sie im Betriebsmodus den show security group-vpn registered-members Befehl ein.
Überprüfen von Gruppen-VPN-Serversicherheitszuordnungen für IKE
Zweck
Überprüfen Sie die SAs für den Gruppen-VPN-Server für IKE.
Aktion
Geben Sie im Betriebsmodus den show security group-vpn server ike security-associations Befehl ein.
Überprüfen von Gruppen-VPN-Serversicherheitszuordnungen für IPsec
Zweck
Überprüfen Sie die SAs für den Gruppen-VPN-Server für IPsec.
Aktion
Geben Sie im Betriebsmodus den show security group-vpn server ipsec security-associations Befehl ein.
Überprüfung der Sicherheitszuordnungen der VPN-Mitglieder der Gruppe für IKE
Zweck
Überprüfen Sie die SAs für die VPN-Gruppenmitglieder für IKE.
Aktion
Geben Sie im Betriebsmodus den show security group-vpn member ike security-associations Befehl ein.