Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Gruppen-VPNv2-Servercluster

Gruppen-VPNv2-Server-Cluster bietet Group Controller/Key Server (GCKS)-Redundanz, sodass es keine Single Point of Failure für das gesamte Gruppen-VPN-Netzwerk gibt.

Grundlegendes zu Gruppen-VPNv2-Serverclustern

Im Protokoll Group Domain of Interpretation (GDOI) verwaltet der Group Controller/Key Server (GCKS) Group VPN Security Associations (SAs) und generiert Verschlüsselungsschlüssel und verteilt sie an Gruppenmitglieder. Gruppenmitglieder verschlüsseln den Datenverkehr basierend auf den Gruppen-SAs und -Schlüsseln, die vom GCKS bereitgestellt werden. Wenn das GCKS fehlschlägt, können sich Gruppenmitglieder nicht registrieren oder Schlüssel abrufen. Ein Gruppen-VPNv2-Server-Cluster bietet GCKS-Redundanz, sodass es keinen Single Point of Failure für das gesamte VPN-Netzwerk der Gruppe gibt. Gruppen-VPNv2-Server-Cluster können auch Load Balancing, Skalierung und Link-Redundanz bieten.

Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und virtuellen Firewall-Instanzen der vSRX unterstützt. Alle Server in einem Gruppen-VPNv2-Servercluster müssen auf Firewalls der SRX-Serie oder virtuellen vSRX-Firewall-Instanzen unterstützt werden. VpNv2-Server-Cluster der Gruppe sind eine proprietäre Lösung von Juniper Networks, die keine Interoperabilität mit den GCKS eines anderen Anbieters bietet.

Root-Server und Sub-Server

Ein Gruppen-VPNv2-Server-Cluster besteht aus einem Root-Server mit bis zu vier angeschlossenen Unterservern. Alle Server im Cluster verwenden dieselben SA- und Verschlüsselungsschlüssel, die an Gruppen-VPNv2-Mitglieder verteilt werden. Server im Cluster können sich an verschiedenen Standorten befinden, wie in Abbildung 1.

Abbildung 1: Gruppen-VPNv2-Server-ClusterGruppen-VPNv2-Server-Cluster

Nachrichten zwischen Servern im Cluster werden durch IKE-SAs verschlüsselt und authentifiziert. Der Root-Server ist für die Erzeugung und Verteilung von Verschlüsselungsschlüsseln an Unterserver verantwortlich; aus diesem Grund empfehlen wir, den Root-Server als Chassis-Cluster zu konfigurieren. Unterserver sind einzelne Geräte und dürfen keine Gehäuse-Cluster sein. Unterserver müssen in der Lage sein, eine Verbindung mit dem Root-Server herzustellen, obwohl direkte Verbindungen zwischen Unterservern nicht erforderlich sind.

Wenn ein Unterserver seine Verbindung zum Root-Server verliert, werden keine weiteren Verbindungen zum Unterserver von Gruppenmitgliedern zugelassen und SAs werden gelöscht. Daher empfehlen wir, dass Sie einen anderen Link verwenden, um jeden Unterserver mit dem Root-Server zu verbinden.

Gruppen-VPNv2-Servercluster werden mit den server-cluster Anweisungen auf Hierarchieebene [edit security group-vpn server group-name] konfiguriert. Die folgenden Werte müssen für jeden Server in einem Cluster konfiguriert werden:

  • Serverrolle: Geben Sie entweder root-server oder sub-server. Ein bestimmter Server kann Teil mehrerer Gruppen-VPNv2-Servercluster sein, er muss jedoch die gleiche Serverrolle in allen Clustern haben. Ein Server kann nicht mit der Stammserverrolle in einer Gruppe und der Untergeordneten Serverrolle in einer anderen Gruppe konfiguriert werden.

    Sie müssen sicherstellen, dass für einen Gruppen-VPNv2-Servercluster jederzeit nur ein Root-Server vorhanden ist.

  • IKE-Gateway: Geben Sie den Namen eines auf Hierarchieebene [edit security group-vpn server ike] konfigurierten IKE-Gateways an. Für einen Root-Server muss das IKE-Gateway ein Subserver im Cluster sein. es können bis zu vier Unterserver angegeben werden. Bei Unterservern muss das IKE-Gateway der Root-Server sein.

    Der Root-Server und der Unterserver müssen mit dead-peer-detection always-send einer dynamischen (nicht spezifizierten) IP-Adresse konfiguriert werden und können nicht für diese konfiguriert werden. Gruppenmitglieder sind nicht mit der Erkennung von toten Peers konfiguriert.

Die Gruppen-VPNv2-Konfiguration muss auf jedem Unterserver in einer bestimmten Gruppe identisch sein.

Jeder Subserver im Gruppen-VPNv2-Servercluster arbeitet als normaler GCKS für die Registrierung und das Löschen von Mitgliedern. Nach der erfolgreichen Mitgliederregistrierung ist der registrierenden Server für das Senden von Updates an das Mitglied verantwortlich. Für eine bestimmte Gruppe können Sie die maximale Anzahl von Gruppen-VPNv2-Mitgliedern konfigurieren, die von jedem Unterserver akzeptiert werden können. diese Nummer muss auf allen Unterservern im Cluster gleich sein. Ein Unterserver reagiert nicht mehr auf Registrierungsanfragen neuer Mitglieder, wenn er die konfigurierte maximale Anzahl von Gruppen-VPNv2-Mitgliedern erreicht. Siehe Load Balancing.

Gruppenmitgliedsregistrierung mit Serverclustern

Gruppenmitglieder können sich bei jedem Server im Gruppen-VPNv2-Servercluster für eine bestimmte Gruppe registrieren. Wir empfehlen jedoch, dass Mitglieder sich nur mit Unterservern und nicht mit dem Root-Server verbinden. Pro Gruppenmitglied können bis zu vier Serveradressen konfiguriert werden. Die auf Gruppenmitgliedern konfigurierten Serveradressen können unterschiedlich sein. Im folgenden Beispiel wird Gruppenmitglied A für Unterserver 1 bis 4 konfiguriert, während Member B für Die Unterserver 4 und 3 konfiguriert ist:

Gruppenmitglied A:

Mitglied der Gruppe B:

Serveradressen:

Unterserver 1

Unterserver 2

Unterserver 3

Unterserver 4

Unterserver 4

Unterserver 3

Die Reihenfolge, in der die Serveradressen auf einem Member konfiguriert sind, ist wichtig. Ein Gruppenmitglied versucht, sich beim ersten konfigurierten Server zu registrieren. Wenn die Registrierung bei einem konfigurierten Server nicht erfolgreich ist, versucht das Gruppenmitglied, sich beim nächsten konfigurierten Server zu registrieren.

Jeder Server in einem Gruppen-VPNv2-Servercluster arbeitet wie ein normaler GCKS für die Registrierung und das Löschen von Mitgliedern. Nach der erfolgreichen Registrierung ist der registrierenden Server für das Versenden von Updates an das Mitglied über groupkey-push Austausch zuständig. Für eine bestimmte Gruppe können Sie die maximale Anzahl von Gruppenmitgliedern konfigurieren, die von jedem Server akzeptiert werden können, aber diese Nummer muss auf allen Servern im Cluster für eine bestimmte Gruppe gleich sein. Wenn die konfigurierte maximale Anzahl von Gruppenmitgliedern erreicht wird, reagiert ein Server nicht mehr auf Registrierungsanfragen neuer Mitglieder. Weitere Informationen finden Sie Load Balancing hier.

Erkennung toter Peers

Um die Verfügbarkeit von Peerservern in einem Gruppen-VPNv2-Servercluster zu überprüfen, muss jeder Server im Cluster so konfiguriert werden, dass er unabhängig davon, ob ausgehender IPsec-Datenverkehr an den Peer gesendet wird, DD-Anfragen (Dead Peer Detection, DPD). Dies wird mit der dead-peer-detection always-send Anweisung auf Hierarchieebene [edit security group-vpn server ike gateway gateway-name] konfiguriert.

Ein aktiver Server in einem Gruppen-VPNv2-Servercluster sendet DPD-Probes an die im Servercluster konfigurierten IKE-Gateways. DPD sollte nicht für eine Gruppe konfiguriert werden, da mehrere Gruppen dieselbe Peer-Server-IKE-Gateway-Konfiguration gemeinsam nutzen können. Wenn DPD feststellt, dass ein Server ausfällt, wird die IKE SA mit diesem Server gelöscht. Alle Gruppen markieren den Server als inaktiv und DPD für den Server wird angehalten.

DPD sollte nicht für das IKE-Gateway auf Gruppenmitgliedern konfiguriert werden.

Wenn DPD den Root-Server als inaktiv markiert, reagieren die Unterserver nicht mehr auf anforderungen neuer Gruppenmitglieder, die vorhandenen SAs für die aktuellen Gruppenmitglieder bleiben jedoch aktiv. Ein inaktiver Subserver sendet keine Löschungen an Gruppenmitglieder, da die SAs noch gültig sein könnten und Gruppenmitglieder bestehende SAs weiterhin verwenden können.

Wenn eine IKE SA abläuft, während ein Peer-Server noch aktiv ist, löst DPD eine IKE SA-Aushandlung aus. Da sowohl Root- als auch Subserver IKE-SAs über DPD auslösen können, kann die gleichzeitige Aushandlung zu mehreren IKE-SAs führen. In diesem Fall sind keine Auswirkungen auf die Server-Cluster-Funktionalität zu erwarten.

Load Balancing

Load Balancing im Gruppen-VPNv2-Server-Cluster kann erreicht werden, indem der richtige member-threshold Wert für die Gruppe konfiguriert wird. Wenn die Anzahl der auf einem Server registrierten Mitglieder den Wert übersteigt, wird die member-threshold nachfolgende Mitgliederregistrierung auf diesem Server abgelehnt. Die Mitgliederregistrierung wird nicht auf den nächsten Server übertragen, der auf dem Gruppenmitglied konfiguriert ist, bis sie einen Server erreicht, der member-threshold noch nicht erreicht ist.

Es gibt zwei Einschränkungen für die Konfiguration der member-threshold:

  • Für eine bestimmte Gruppe muss derselbe member-threshold Wert auf dem Stammserver und allen Unterservern in einem Gruppenserver-Cluster konfiguriert werden. Wenn die Gesamtzahl der Mitglieder in der Gruppe den konfigurierten member-threshold Wert übersteigt, wird eine groupkey-pull von einem neuen Mitglied initiierte Registrierung abgelehnt (der Server sendet keine Antwort).

  • Ein Server kann Mitglieder in mehreren Gruppen unterstützen. Jeder Server hat eine maximale Anzahl von Gruppenmitgliedern, die er unterstützen kann. Wenn ein Server die maximale Anzahl von Mitgliedern erreicht, die er unterstützen kann, wird eine groupkey-pull von einem neuen Mitglied initiierte Registrierung auch dann abgelehnt, wenn der member-threshold Wert einer bestimmten Gruppe nicht erreicht wurde.

Zwischen den Servern im Cluster gibt es keine Mitgliedersynchronisierung. Der Root-Server verfügt nicht über Informationen über die Anzahl der registrierten Mitglieder auf Unterservern. Jeder Unterserver kann nur seine eigenen registrierten Mitglieder anzeigen.

Grundlegendes zu Gruppen-VPNv2-Server-Cluster-Einschränkungen

Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und virtuellen Firewall-Instanzen der vSRX unterstützt. Beachten Sie die folgenden Einschränkungen bei der Konfiguration von Gruppen-VPNv2-Serverclustern:

  • Die Zertifikatsauthentifizierung wird für die Serverauthentifizierung nicht unterstützt. können nur vorinstallierte Schlüssel konfiguriert werden.

  • Es gibt keine Konfigurationssynchronisierung zwischen Servern im Gruppen-VPNv2-Servercluster.

  • Beim Aktivieren eines Gruppen-VPNv2-Serverclusters muss zuerst auf dem Root-Server und dann auf den Unterservern konfiguriert werden. Bis die Konfiguration zwischen den Servern manuell synchronisiert wird, kann während der Konfigurationsänderung mit Datenverkehrsverlusten gerechnet werden.

  • In bestimmten Fällen können die SAs auf Gruppen-VPNv2-Mitgliedern nicht synchronisiert sein. Gruppen-VPN-Mitglieder können SAs synchronisieren, indem sie einen neuen Schlüssel über einen groupkey-pull Exchange erhalten. Sie können SAs für ein Mitglied der Gruppe VPNv2 manuell löschen, mit den oder clear security group-vpn member group Befehlen, um die clear security group-vpn member ipsec security-associations Wiederherstellung zu beschleunigen.

  • Der Gruppen-VPNv2-Servercluster unterstützt ISSU nicht.

  • Wenn die letzte groupkey-pull Nachricht während der Registrierung eines Gruppen-VPNv2-Mitglieds verloren geht, kann ein Server das Mitglied als registriertes Mitglied betrachten, obwohl das Mitglied möglicherweise an den nächsten Server im Servercluster übergeht. In diesem Fall scheint dasselbe Mitglied auf mehreren Servern registriert zu sein. Wenn der Schwellenwert für alle Mitglieder auf allen Servern der Gesamtzahl der bereitgestellten Mitglieder entspricht, können sich nachfolgende Gruppenmitglieder möglicherweise nicht registrieren.

Beachten Sie die folgenden Einschränkungen für Chassis-Cluster-Vorgänge auf dem Root-Server:

  • Es werden keine Statistiken beibehalten.

  • Es werden keine Aushandlungsdaten oder -status gespeichert. Wenn während einer Oder groupkey-push aushandlung ein groupkey-pull Root-Server-Chassis-Failover auftritt, wird die Aushandlung nach dem Failover nicht neu gestartet.

  • Wenn bei einem Erneutschlüssel eines Verschlüsselungsschlüssels beide Gehäuse-Cluster-Knoten eines Root-Servers ausfallen, erhalten einige Mitglieder der Gruppe VPNv2 möglicherweise den neuen Schlüssel, während andere Mitglieder dies nicht tun. Der Datenverkehr kann beeinträchtigt werden. Das manuelle Löschen von SAs auf einem Gruppen-VPNv2-Mitglied mit den Befehlen kann dazu beitragen, die clear security group-vpn member ipsec security-associationsclear security group-vpn member group Wiederherstellung zu beschleunigen, wenn der Root-Server erreichbar wird.

  • In einer großen Umgebung kann ein RG0-Failover auf dem Root-Server einige Zeit dauern. Wenn das DPD-Intervall und der Schwellenwert auf einem Unterserver mit kleinen Werten konfiguriert sind, kann dies dazu führen, dass der Unterserver den Root-Server während eines RG0-Failovers als inaktiv markiert. Der Datenverkehr kann beeinträchtigt werden. Wir empfehlen, das IKE-Gateway für den Subserver mit einem DPD-Wert interval * threshold von mehr als 150 Sekunden zu konfigurieren.

Grundlegendes zu Gruppen-VPNv2-Server-Cluster-Meldungen

Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und virtuellen Firewall-Instanzen der vSRX unterstützt. Alle Nachrichten zwischen Servern in einem Gruppen-VPNv2-Servercluster werden durch eine IKE Security Association (SA) verschlüsselt und authentifiziert. Jeder Unterserver initiiert eine IKE SA mit dem Root-Server; muss diese IKE SA eingerichtet werden, bevor Nachrichten zwischen den Servern ausgetauscht werden können.

In diesem Abschnitt werden die Nachrichten beschrieben, die zwischen dem Stammserver und den Unterservern ausgetauscht werden.

Cluster-Austausch

Abbildung 2 zeigt die grundlegenden Nachrichten an, die zwischen dem Gruppen-VPNv2-Servercluster und Den Mitgliedern der Gruppe VPNv2 ausgetauscht werden.

Abbildung 2: Gruppen-VPNv2-Server-Cluster-MeldungenGruppen-VPNv2-Server-Cluster-Meldungen

Cluster-Init-Austausch

Ein Unterserver startet einen Cluster-Initialisierungs-(cluster-init) Exchange mit dem Root-Server, um SA- und Verschlüsselungsschlüsselinformationen zu erhalten. Der Root-Server antwortet, indem er aktuelle SA-Informationen über den Exchange an den cluster-init Unterserver sendet.

Unterserver können dann über einen groupkey-pull Exchange auf Registrierungsanfragen von VPNv2-Mitgliedern der Gruppe reagieren. Der groupkey-pull Austausch ermöglicht es einem Mitglied der Gruppe VPNv2, SAs und Schlüssel, die von der Gruppe von einem Unterserver gemeinsam genutzt werden, anzufordern.

Unterserver starten einen cluster-init Austausch mit dem Root-Server, wenn:

  • Der Root-Server gilt als inaktiv. Dies ist der anfänglich angenommene Zustand des Root-Servers. Wenn sich keine IKE SA zwischen dem Root-Server und dem Unterserver befindet, initiiert der Unterserver eine IKE SA mit dem Root-Server. Nach einem erfolgreichen cluster-init Austausch erhält der Unterserver Informationen zu SAs und markiert den Root-Server als aktiv.

  • Die weiche Lebensdauer der SA ist abgelaufen.

  • Eine cluster-update Nachricht wird empfangen, um alle SAs zu löschen.

  • Es gibt Änderungen an der Gruppenkonfiguration.

Wenn der cluster-init Austausch fehlschlägt, führt der Unterserver den Exchange alle 5 Sekunden wieder mit dem Root-Server aus.

Cluster-Update-Meldungen

Der groupkey-push Exchange ist eine einzelne Neuschlüsselnachricht, die es einem Gruppencontroller/Schlüsselserver (GCKS) ermöglicht, Gruppen-SAs und -Schlüssel an Mitglieder zu senden, bevor bestehende Gruppen-SAs ablaufen, und die Gruppenmitgliedschaft zu aktualisieren. Rekey-Nachrichten sind unerwünschte Nachrichten, die vom GCKS an Mitglieder gesendet werden

Beim Generieren neuer Verschlüsselungsschlüssel für eine SA sendet der Root-Server SA-Aktualisierungen über eine cluster-update Nachricht an alle aktiven Unterserver. Nachdem er eine cluster-update vom Root-Server erhalten hat, installiert der Unterserver die neue SA und sendet die neuen SA-Informationen über a groupkey-push an seine registrierten Gruppenmitglieder.

Eine cluster-update vom Root-Server gesendete Nachricht erfordert eine Bestätigung vom Unterserver. Wenn keine Bestätigung von einem Unterserver empfangen wird, überschreibt der Root-Server die cluster-update im konfigurierten Zeitraum für die erneute Übertragung (standard: 10 Sekunden). Der Root-Server wird nicht erneut übertragen, wenn die Dead Peer Detection (DPD) anzeigt, dass der Unterserver nicht verfügbar ist. Wenn ein Unterserver die SA-Informationen nach dem Empfang eines cluster-updatenicht aktualisiert, sendet er keine Bestätigung, und der Root-Server übersendet die cluster-update Nachricht erneut.

Wenn die Soft-Lifetime eines SA abläuft, bevor eine neue SA vom Root-Server empfangen wird, sendet der Unterserver eine cluster-init Nachricht an den Root-Server, um alle SAs zu erhalten, und sendet groupkey-push keine Nachricht an seine Mitglieder, bis er ein neues Update hat. Wenn die harte Lebensdauer eines SA auf dem Unterserver abläuft, bevor er eine neue SA erhält, markiert der Unterserver den Root-Server inaktiv, löscht alle registrierten Gruppenmitglieder und sendet cluster-init weiterhin Nachrichten an den Root-Server.

Eine cluster-update Nachricht kann gesendet werden, um ein SA- oder Gruppenmitglied zu löschen. Dies kann das Ergebnis eines clear Befehls oder einer Konfigurationsänderung sein. Wenn ein Unterserver eine cluster-update Nachricht erhält, eine SA zu löschen, sendet er eine groupkey-push Delete-Nachricht an seine Gruppenmitglieder und löscht die entsprechende SA. Wenn alle SAs für eine Gruppe gelöscht werden, initiiert der Unterserver einen cluster-init Austausch mit dem Root-Server. Wenn alle registrierten Mitglieder gelöscht werden, löscht der Unterserver alle lokal registrierten Mitglieder.

Grundlegendes zu Konfigurationsänderungen mit Gruppen-VPNv2-Serverclustern

Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und virtuellen Firewall-Instanzen der vSRX unterstützt. Gruppen-VPNv2-Servercluster verhalten sich anders als eigenständige Gruppen-VPNv2-Server, wenn Konfigurationsänderungen zur Folge haben, die zu neuen Verschlüsselungsschlüsseln und Änderungen an Sicherheitszuordnungen (Security Associations, SAs) führen. Der Root-Server sendet SA-Updates oder Löschungen an Unterserver durch cluster-update Nachrichten. Die Unterserver senden groupkey-push dann Nachrichten an die Mitglieder. Unterserver können keine gelöschten Nachrichten an Gruppenmitglieder senden, ohne zuvor gelöschte Nachrichten vom Root-Server zu erhalten.

Alle Konfigurationsänderungen müssen zuerst auf dem Root-Server und dann auf Unterservern vorgenommen werden, um sicherzustellen, dass Gruppenmitglieder wie erwartet Updates oder Löschungen erhalten. Bis die Konfiguration zwischen den Servern im Gruppen-VPNv2-Servercluster synchronisiert wird, ist mit Datenverkehrsverlusten zu rechnen.

Tabelle 1 beschreibt die Auswirkungen verschiedener Konfigurationsänderungen auf Gruppen-VPNv2-Servern.

Tabelle 1: Auswirkungen von Konfigurationsänderungen auf Gruppen-VPNv2-Servern

Konfigurationsänderung

Eigenständige Gruppen-VPNv2-Serveraktion

Gruppen-VPNv2-Server-Cluster-Aktion

Root-Server

Subserver

Ändern des IKE-Vorschlags, der Richtlinie oder des Gateways

Löschen Sie die IKE SA für das betroffene Gateway. Löschen Sie für IKE-Vorschläge, Richtlinien oder Gateway-Löschungen die registrierten Mitglieder für das betroffene Gateway.

IPsec-Vorschlag ändern

Änderungen werden nach dem Erneutschlüssel des Datenverkehrsverschlüsselungsschlüssels (TEK) wirksam.

Gruppenänderungen:

Gruppenname löschen

Senden Sie "alle löschen" an Gruppenmitglieder. Löschen Sie alle IKE-SAs in der Gruppe. Löschen Sie sofort alle Schlüssel in der Gruppe. Löschen Sie alle registrierten Mitglieder der Gruppe.

Senden Sie "alle löschen" an Unterserver. Löschen Sie sofort alle Schlüssel in der Gruppe. Markieren Sie alle Peers inaktiv. Löschen Sie IKE-SAs für Unterserver. Löschen Sie alle Mitglieder-IKE-SAs.

Löschen Sie alle Mitglieder-IKE-SAs. Löschen Sie sofort alle Schlüssel in der Gruppe. Löschen Sie alle registrierten Mitglieder der Gruppe. Peer inaktiv markieren. Löschen Sie Peer-Server-IKE-SAs.

Änderungs-ID

Senden Sie "alle löschen" an alle Mitglieder. Löschen Sie alle IKE-SAs in der Gruppe. Löschen Sie sofort alle Schlüssel in der Gruppe. Löschen Sie alle registrierten Mitglieder der Gruppe. Generieren Sie entsprechend der Konfiguration neue Schlüssel.

Senden Sie "alle löschen" an Unterserver. Löschen Sie alle Mitglieder-IKE-SAs in der Gruppe. Löschen Sie sofort alle Schlüssel in der Gruppe. Markieren Sie alle Peers inaktiv. Löschen Sie alle Peer-Server-IKE-SAs. Generieren Sie entsprechend der Konfiguration neue Schlüssel.

Löschen Sie alle Mitglieder-IKE-SAs in der Gruppe. Löschen Sie sofort alle Schlüssel in der Gruppe. Löschen Sie alle registrierten Mitglieder der Gruppe. Peer inaktiv markieren. Löschen Sie Peer-Server-IKE-SAs. cluster-init Neuen Austausch initiieren.

IKE-Gateway hinzufügen oder löschen

Keine Änderungen für Ergänzungen. Löschen Sie für Löschungen die IKE SA und registrierte Mitglieder für das betroffene Gateway.

Zeitfenster zur Anti-Wiedergabe hinzufügen oder ändern

Neuer Wert wird nach dem TEK-Erneutschlüssel wirksam.

Keine Anti-Replay hinzufügen oder ändern

Neuer Wert wird nach dem TEK-Erneutschlüssel wirksam.

Änderungen an der Kommunikation zwischen Servermitarbeitern:

Hinzufügen

Löschen Sie alle registrierten Mitglieder. Generieren Sie Key Encryption Key (KEK) SA.

Erstellen Sie KEK SA. Neue KEK SA an Subserver senden. Löschen Sie alle Mitglieder-IKE-SAs.

Löschen Sie alle registrierten Mitglieder.

Veränderung

Neuer Wert wird nach der KEK-Neuschlüsselung wirksam.

Löschen

Löschen senden, um alle KEK-SAs zu löschen. KEK SA löschen.

Senden von "Delete" an Unterserver. KEK SA löschen. Löschen Sie alle Mitglieder-IKE-SAs.

KEK SA löschen.

IPsec SA:

Hinzufügen

Generieren Sie eine neue TEK SA. Aktualisieren Sie die neue TEK SA für Mitglieder.

Generieren Sie eine neue TEK SA. Senden Sie neue TEK SA an Unterserver.

Keine Aktion.

Veränderung

Neuer Wert wird nach TEK-Rekey wirksam.

Wenn sich die Übereinstimmungsrichtlinie ändert, wird die aktuelle TEK sofort entfernt und "delete groupkey-push" gesendet, da die Mitglieder explizit benachrichtigt werden müssen, dass diese Konfiguration entfernt wurde.

Wenn sich die Übereinstimmungsrichtlinie ändert, senden Sie delete an Unterserver. Löschen Sie TEK sofort.

Wenn sich die Übereinstimmungsrichtlinie ändert, löschen Sie TEK sofort.

Löschen

Löschen Sie TEK sofort. Löschen, um diese TEK SA zu löschen.

Senden von "Delete" an Unterserver. Löschen Sie TEK sofort.

Löschen Sie TEK sofort.

Tabelle 2 beschreibt die Auswirkungen der Änderung der Gruppen-VPNv2-Server-Cluster-Konfiguration.

Sie müssen jederzeit sicherstellen, dass sich in einem Server-Cluster nur ein Root-Server befindet.

Tabelle 2: Auswirkungen von Gruppen-VPNv2-Server-Cluster-Konfigurationsänderungen

Konfigurationsänderung für Server-Cluster

Gruppen-VPNv2-Server-Cluster

Root-Server

Subserver

IKE-Vorschlag, Richtlinie oder Gateway (Cluster-Peer)

Für Ergänzungen gibt es keine Änderungen. Löschen Sie bei Änderungen oder Löschungen die IKE SA für den betroffenen Peer.

Server-Cluster:

Hinzufügen

Keine.

Senden Sie "alle löschen" an Gruppenmitglieder. Löschen Sie alle Mitglieder-IKE-SAs in der Gruppe. Löschen Sie alle TEKs und KEKs sofort in der Gruppe. Löschen Sie alle registrierten Mitglieder der Gruppe. An den Root-Server senden cluster-init .

Rolle ändern

Sie müssen jederzeit sicherstellen, dass sich in einem Server-Cluster nur ein Root-Server befindet.

Senden Sie "alle löschen" an Unterserver. Löschen Sie alle Mitglieder-IKE-SAs in der Gruppe. Löschen Sie alle TEKs und KEKs sofort in der Gruppe. Markieren Sie alle Peers inaktiv. Löschen Sie alle Peer-Server-IKE-SAs. An den Root-Server senden cluster-init .

TEK neu schlüsseln. KeK neu schlüsseln. Senden Sie neue Schlüssel an Unterserver. Senden Sie neue Schlüssel an Mitglieder.

Peer hinzufügen

Keine.

Peer löschen

Peer inaktiv markieren. Löschen Sie Peer IKE SA.

Peer inaktiv markieren. KeK löschen. Klare TEK. Löschen Sie Peer IKE SA.

Zeitraum für die Änderungsweiterverbreitung

Keine.

Server-Cluster löschen

Senden Sie "alle löschen" an Unterserver. Löschen Sie alle TEKs und KEKs sofort in der Gruppe. Markieren Sie alle Peers inaktiv. Löschen Sie alle Peer-Server-IKE-SAs. Generieren Sie entsprechend der Konfiguration neue TEKs und KEKs.

Löschen Sie alle Mitglieder-IKE-SAs in der Gruppe. Löschen Sie alle TEKs und KEKs sofort in der Gruppe. Löschen Sie alle registrierten Mitglieder der Gruppe. Peer inaktiv markieren. Löschen Sie Peer-Server-IKE-SAs. Generieren Sie neue TEK und KEK entsprechend der Konfiguration.

Migration eines eigenständigen Gruppen-VPNv2-Servers zu einem Gruppen-VPNv2-Servercluster

Group VPNv2 wird auf den Firewalls der Serie SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200, SRX4600 und virtuellen Firewall-Instanzen der vSRX-Serie unterstützt. In diesem Abschnitt wird die Migration eines eigenständigen Gruppen-VPNv2-Servers zu einem Gruppen-VPNv2-Servercluster beschrieben.

So migrieren Sie einen eigenständigen Gruppen-VPNv2-Server zu einem Root-Server:

Wir empfehlen dringend, dass der Root-Server ein Chassis-Cluster ist.

  1. Aktualisieren Sie den eigenständigen Gruppen-VPNv2-Server auf einen Chassis-Cluster. Weitere Informationen finden Sie im Gehäuse-Cluster-Benutzerhandbuch für Geräte der SRX-Serie .

    Während des Upgrades einer eigenständigen Firewall der SRX-Serie auf einen Chassis-Cluster-Knoten ist ein Neustart erforderlich. Es wird mit Datenverkehrsverlusten gerechnet.

  2. Fügen Sie im Chassis-Cluster die Konfiguration des Gruppen-VPNv2-Server-Cluster-Stammservers hinzu. Die konfigurierte Serverrolle für den Cluster muss .root-server

    Während der Konfigurationsänderung sollte es unter den vorhandenen Gruppenmitgliedern zu keinem Verlust des Datenverkehrs kommen.

So fügen Sie dem Gruppen-VPNv2-Servercluster einen Subserver hinzu:

  1. Konfigurieren Sie auf dem Root-Server sowohl ein Gruppen-VPNv2-Server-IKE-Gateway als auch ein Server-Cluster-IKE-Gateway für den Subserver. SAs und der Datenverkehr bestehender Mitglieder sollten nicht beeinträchtigt werden.

  2. Konfigurieren Sie auf dem Unterserver den Server-Cluster. Denken Sie daran, dass die Gruppen-VPNv2-Konfiguration auf jedem Server im Cluster dieselbe sein muss, mit Ausnahme der Gruppen-VPNv2-Server-IKE-Gateways, der Serverrolle im Cluster und der Konfigurationen des Server-Cluster-IKE-Gateways. Auf dem Unterserver muss die konfigurierte Serverrolle im Cluster sein sub-server. Konfigurieren Sie ein Gruppen-VPNv2-Server-IKE-Gateway und ein Server-Cluster-IKE-Gateway für den Root-Server.

So löschen Sie einen Unterserver aus dem Gruppen-VPNv2-Servercluster:

  1. Löschen Sie auf dem Stammserver sowohl das Gruppen-VPNv2-Server-IKE-Gateway als auch die Konfigurationen des Server-Cluster-IKE-Gateways für den Unterserver. SAs und der Datenverkehr bestehender Mitglieder sollten nicht beeinträchtigt werden.

  2. Schalten Sie den Subserver aus.

Beispiel: Konfigurieren eines Gruppen-VPNv2-Serverclusters und seiner Mitglieder

Dieses Beispiel zeigt, wie Sie einen Gruppen-VPNv2-Servercluster konfigurieren, um Gruppen-Controller/Schlüsselserver (GCKS)-Redundanz und Skalierung für Gruppen-VPNv2-Gruppenmitglieder bereitzustellen. Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und virtuellen Firewall-Instanzen der vSRX unterstützt.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Acht unterstützte Firewalls der SRX-Serie oder virtuelle vSRX-Firewall-Instanzen mit Junos OS Version 15.1X49-D30 oder höher, die Group VPNv2 unterstützen:

    • Zwei Geräte oder Instanzen sind so konfiguriert, dass sie als Gehäuse-Cluster betrieben werden. Der Chassis-Cluster fungiert als Root-Server im Gruppen-VPNv2-Servercluster. Die Geräte oder Instanzen müssen über dieselbe Softwareversion und Lizenzen verfügen.

      Der Root-Server ist für die Generierung und Verteilung von Verschlüsselungsschlüsseln an Unterserver im VPN-Server-Cluster der Gruppe verantwortlich. aufgrund dieser Verantwortung empfehlen wir, dass der Root-Server ein Chassis-Cluster ist.

    • Vier weitere Geräte oder Instanzen werden als Unterserver im Gruppen-VPNv2-Servercluster ausgeführt.

    • Zwei weitere Geräte oder Instanzen werden als Gruppen-VPNv2-Gruppenmitglieder ausgeführt.

  • Zwei unterstützte Geräte der MX-Serie mit Junos OS Version 15.1R2 oder höher, die Group VPNv2 unterstützen. Diese Geräte werden als Gruppen-VPNv2-Gruppenmitglieder ausgeführt.

Ein Hostname, ein Root-Administratorkennwort und Verwaltungszugriff müssen auf jeder Firewall- oder vSRX-Firewall-Instanz der SRX-Serie konfiguriert werden. Wir empfehlen, NTP auch auf jedem Gerät zu konfigurieren.

Die Konfigurationen in diesem Beispiel konzentrieren sich auf das, was für den Gruppen-VPNv2-Betrieb benötigt wird, basierend auf der in Abbildung 3. Einige Konfigurationen, z. B. Schnittstellen-, Routing- oder Chassis-Cluster-Setups, sind hier nicht enthalten. Der Gruppen-VPNv2-Betrieb erfordert beispielsweise eine funktionierende Routing-Topologie, die es Client-Geräten ermöglicht, ihre vorgesehenen Standorte im gesamten Netzwerk zu erreichen. In diesem Beispiel wird die Konfiguration von statischem oder dynamischem Routing nicht abgedeckt.

Überblick

In diesem Beispiel besteht das Gruppen-VPNv2-Netzwerk aus einem Servercluster und vier Mitgliedern. Der Server-Cluster besteht aus einem Root-Server und vier Unterservern. Zwei der Mitglieder sind Firewalls der SRX-Serie oder virtuelle vSRX-Firewall-Instanzen, während die beiden anderen Mitglieder Geräte der MX-Serie sind.

Die Gruppen-VPN-SAs müssen durch eine Phase-1-SA geschützt werden. Daher muss die VPN-Konfiguration der Gruppe die Konfiguration von IKE Phase 1-Verhandlungen auf dem Root-Server, den Unterservern und den Gruppenmitgliedern umfassen. IKE-Konfigurationen werden wie folgt beschrieben.

Auf dem Root-Server:

  • Die IKE-Richtlinie SubSrv wird verwendet, um Phase-1-SAs mit jedem Unterserver einzurichten.

  • Ein IKE-Gateway wird für jeden Subserver mit Dead Peer Detection (DPD) konfiguriert.

  • Die Server-Clusterrolle ist root-server , und jeder Unterserver ist als IKE-Gateway für den Server-Cluster konfiguriert.

Der Root-Server sollte so konfiguriert sein, dass er den Chassis-Cluster-Betrieb unterstützt. In diesem Beispiel stellen redundante Ethernet-Schnittstellen auf dem Root-Server eine Verbindung zu jedem der Subserver im Server-Cluster her. die gesamte Gehäuse-Cluster-Konfiguration wird nicht angezeigt.

Auf jedem Subserver:

  • Es werden zwei IKE-Richtlinien konfiguriert: RootSrv wird verwendet, um eine Phase-1-SA mit dem Root-Server einzurichten, und GMs wird verwendet, um Phase-1-SAs mit jedem Gruppenmitglied einzurichten.

    Pre-Sharing-Schlüssel werden verwendet, um die Phase-1-SAs zwischen dem Root-Server und den Unterservern sowie zwischen den Unterservern und den Gruppenmitgliedern zu sichern. Stellen Sie sicher, dass es sich bei den vorinstallierten Schlüsseln um starke Schlüssel handelt. Auf den Unterservern muss der pre-freigabed-Schlüssel, der für die IKE-Richtlinie RootSrv konfiguriert ist, dem preshared-Schlüssel entsprechen, der auf dem Root-Server konfiguriert ist, und der pre-freigabed-Schlüssel, der für die IKE-Richtlinie GMs konfiguriert ist, muss mit dem preshared-Schlüssel übereinstimmen, der auf den Gruppenmitgliedern konfiguriert ist.

  • Ein IKE-Gateway wird mit DPD für den Root-Server konfiguriert. Außerdem wird für jedes Gruppenmitglied ein IKE-Gateway konfiguriert.

  • Die Server-Clusterrolle ist sub-server und der Root-Server wird als IKE-Gateway für den Server-Cluster konfiguriert.

Für jedes Gruppenmitglied:

  • Die IKE-Richtlinie SubSrv wird verwendet, um Phase-1-SAs mit den Unterservern einzurichten.

  • Die IKE-Gateway-Konfiguration enthält die Adressen für die Unterserver.

Auf Firewalls der SRX-Serie oder Mitgliedern der virtuellen vSRX-Firewall wird für die Gruppe eine IPsec-Richtlinie konfiguriert, wobei die LAN-Zone als From-Zone (eingehender Datenverkehr) und die WAN-Zone als Zone (ausgehender Datenverkehr) konfiguriert wird. Es ist auch eine Sicherheitsrichtlinie erforderlich, um den Datenverkehr zwischen den LAN- und WAN-Zonen zu ermöglichen.

Derselbe Gruppenbezeichner muss sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert werden. In diesem Beispiel lautet der Gruppenname GROUP_ID-0001 und der Gruppenbezeichner ist 1. Die auf dem Server konfigurierte Gruppenrichtlinie gibt an, dass SA und Schlüssel auf den Datenverkehr zwischen Subnetzen im Bereich 172.16.0.0/12 angewendet werden.

Topologie

Abbildung 3 zeigt die Geräte von Juniper Networks, die für dieses Beispiel konfiguriert werden sollen.

Abbildung 3: Gruppen-VPNv2-Server-Cluster mit SRX-Serie oder virtueller vSRX-Firewall und Mitgliedern der MX-SerieGruppen-VPNv2-Server-Cluster mit SRX-Serie oder virtueller vSRX-Firewall und Mitgliedern der MX-Serie

Konfiguration

Konfiguration des Root-Servers

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Root-Server:

  1. Konfigurieren Sie Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie den Gehäuse-Cluster.

  3. Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und das Gateway.

  4. Konfigurieren Sie die IPsec-SA.

  5. Konfigurieren Sie die VPN-Gruppe.

  6. Konfigurieren Sie die Gruppenrichtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show securityshow chassis clusterdie Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration von Sub-Server 1

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Unterserver im Gruppen-VPNv2-Servercluster:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und das Gateway.

  3. Konfigurieren Sie die IPsec-SA.

  4. Konfigurieren Sie die VPN-Gruppe.

  5. Konfigurieren Sie die Gruppenrichtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesbefehle eingeben show security . Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration von Sub-Server 2

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Unterserver im Gruppen-VPNv2-Servercluster:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und das Gateway.

  3. Konfigurieren Sie die IPsec-SA.

  4. Konfigurieren Sie die VPN-Gruppe.

  5. Konfigurieren Sie die Gruppenrichtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces befehle eingeben show security . Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration von Sub-Server 3

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Unterserver im Gruppen-VPNv2-Servercluster:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und das Gateway.

  3. Konfigurieren Sie die IPsec-SA.

  4. Konfigurieren Sie die VPN-Gruppe.

  5. Konfigurieren Sie die Gruppenrichtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces befehle eingeben show security . Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von Sub-Server 4

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Unterserver im Gruppen-VPNv2-Servercluster:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und das Gateway.

  3. Konfigurieren Sie die IPsec-SA.

  4. Konfigurieren Sie die VPN-Gruppe.

  5. Konfigurieren Sie die Gruppenrichtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces befehle eingeben show security . Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration von GM-0001 (Firewall der SRX-Serie oder virtuelle Firewall-Instanz vSRX)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und das Gateway.

  3. Konfigurieren Sie die IPsec-SA.

  4. Konfigurieren Sie die IPsec-Richtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces befehle eingeben show security . Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von GM-0002 (Firewall der SRX-Serie oder virtuelle vSRX-Firewall-Instanz)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und das Gateway.

  3. Konfigurieren Sie die IPsec-SA.

  4. Konfigurieren Sie die IPsec-Richtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces befehle eingeben show security . Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von GM-0003 (Gerät der MX-Serie)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und das Gateway.

  3. Konfigurieren Sie die IPsec-SA.

  4. Konfigurieren Sie den Servicefilter.

  5. Konfigurieren Sie den Servicesatz.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show security, show servicesund show firewall eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration von GM-0004 (Gerät der MX-Serie)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und das Gateway.

  3. Konfigurieren Sie die IPsec-SA.

  4. Konfigurieren Sie den Servicefilter.

  5. Konfigurieren Sie den Servicesatz.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show security, show servicesund show firewall eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des Server-Cluster-Betriebs

Zweck

Stellen Sie sicher, dass die Geräte im Server-Cluster Peerserver in der Gruppe erkennen. Stellen Sie sicher, dass die Server aktiv und die Rollen im Cluster ordnungsgemäß zugewiesen sind.

Aktion

Geben Sie im Betriebsmodus die show security group-vpn server server-clusterBefehle show security group-vpn server server-cluster detailauf show security group-vpn server statistics dem Root-Server ein.

Geben Sie im Betriebsmodus die show security group-vpn server server-clusterBefehle show security group-vpn server server-cluster detailauf show security group-vpn server statistics jedem Unterserver ein.

Überprüfen, ob SAs an Mitglieder verteilt werden

Zweck

Stellen Sie sicher, dass die Unterserver SAs für die Verteilung an Gruppenmitglieder und die Gruppenmitglieder die SAs erhalten haben.

Aktion

Geben Sie im Betriebsmodus die show security group-vpn server kek security-associations Befehle auf show security group-vpn server kek security-associations detail dem Root-Server ein.

Geben Sie im Betriebsmodus die show security group-vpn server kek security-associations Befehle und show security group-vpn server kek security-associations detail Befehle auf jedem Unterserver ein.

Geben Sie im Betriebsmodus die show security group-vpn member kek security-associations Befehle und show security group-vpn member kek security-associations detail Befehle für jedes Gruppenmitglied ein.

Für Firewall-Mitglieder der SRX-Serie oder virtuelle vSRX-Firewall:

Für Mitglieder der MX-Gruppe:

Überprüfung von IKE-SAs auf den Servern

Zweck

Zeigen IKE-Sicherheitszuordnungen (SAs) auf den Servern an.

Aktion

Geben Sie im Betriebsmodus die show security group-vpn server ike security-associations Befehle auf show security group-vpn server ike security-associations detail dem Root-Server ein.

Geben Sie im Betriebsmodus die show security group-vpn server ike security-associations Befehle und show security group-vpn server ike security-associations detail Befehle auf jedem Unterserver ein.

Überprüfen von IPsec-SAs auf den Servern und Gruppenmitgliedern

Zweck

Zeigen IPsec-Sicherheitszuordnungen (SAs) auf den Servern und Gruppenmitgliedern an.

Aktion

Geben Sie im Betriebsmodus die show security group-vpn server ipsec security-associations Befehle auf show security group-vpn server ipsec security-associations detail dem Root-Server ein.

Geben Sie im Betriebsmodus die show security group-vpn server ipsec security-associations Befehle und show security group-vpn server ipsec security-associations detail Befehle auf jedem Unterserver ein.

Geben Sie im Betriebsmodus die show security group-vpn member ipsec security-associations Befehle und show security group-vpn member ipsec security-associations detail Befehle für jedes Gruppenmitglied ein.

Für Firewall-Mitglieder der SRX-Serie oder virtuelle vSRX-Firewall:

Für Mitglieder der MX-Gruppe:

Überprüfen von IPsec-Richtlinien auf Gruppenmitgliedern

Zweck

Zeigen Sie die IPsec-Richtlinie auf einer Firewall der SRX-Serie oder einer virtuellen vSRX-Firewall an.

Dieser Befehl ist für Gruppenmitglieder der MX-Serie nicht verfügbar.

Aktion

Geben Sie im Betriebsmodus den Befehl für Die Mitglieder der show security group-vpn member policy Firewall der SRX-Serie oder der virtuellen vSRX-Firewall ein.