Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Gruppen-VPNv2-Servercluster

Gruppen-VPNv2-Servercluster bieten GCKS-Redundanz (Group Controller/Key Server), sodass es im gesamten VPN-Netzwerk keine Single-Point-of-Failure gibt.

Grundlegende Informationen zu Gruppen-VPNv2-Server-Clustern

Im Group Domain of Interpretation-Protokoll (GDOI) verwaltet der Group Controller/Key Server (GCKS) Gruppen-VPN-Sicherheitszuordnungen (SAs) und generiert Verschlüsselungsschlüssel und verteilt diese an Gruppenmitglieder. Gruppenmitglieder verschlüsseln Datenverkehr basierend auf den von GCKS angegebenen Gruppen-SAs und Schlüsseln. Wenn der GCKS ausfällt, können sich Die Gruppenmitglieder nicht registrieren oder die Schlüssel abrufen. Ein Gruppen-VPNv2-Servercluster bietet GCKS-Redundanz, sodass es im gesamten VPN-Netzwerk keine Single-Point-of-Failure gibt. Gruppen-VPNv2-Servercluster können außerdem Lastausgleich, Skalierung und Verbindungsredundanz bereitstellen.

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Alle Server in einem Group VPNv2-Server-Cluster müssen auf Geräten der SRX-Serie oder in vSRX werden. Gruppen-VPNv2-Servercluster sind Juniper Networks proprietäre Lösung und nicht mit GCKS eines anderen Herstellers interoperabilität.

Root-Server und Unterserver

Ein Gruppen-VPNv2-Servercluster besteht aus einem Root-Server mit bis zu vier verbundenen Subservern. Alle Server im Cluster verwenden denselben SA und die gleichen Verschlüsselungsschlüssel, die an Group VPNv2-Mitglieder verteilt sind. Server im Cluster können sich an verschiedenen Standorten befinden, wie in Abbildung 1 gezeigt.

Abbildung 1: Gruppen-VPNv2-Server-ClusterGruppen-VPNv2-Server-Cluster

Nachrichten zwischen den Servern im Cluster werden von verschiedenen SAs verschlüsselt IKE authentifiziert. Der Root-Server ist verantwortlich für die Erzeugung und Verteilung der Verschlüsselungsschlüssel zu Sub-Servern. Aus diesem Grund empfehlen wir, den Root-Server als Gehäusecluster zu konfigurieren. Subserver sind Einzelgeräte und können keine Gehäusecluster sein. Subserver müssen verbindungen mit dem Root-Server herstellen können, direkte Verbindungen zwischen Subservern sind jedoch nicht erforderlich.

Wenn die Verbindung eines Unterservers zum Root-Server verloren geht, können keine weiteren Verbindungen zum Unterserver von Gruppenmitgliedern zugelassen und SAs gelöscht werden. Daher empfehlen wir Ihnen, jeden Subserver über eine andere Verbindung mit dem Root-Server zu verbinden.

Gruppen-VPNv2-Servercluster werden mit den Anweisungen server-cluster auf der [ ] edit security group-vpn server group-name Hierarchieebene konfiguriert. Für jeden Server in einem Cluster müssen die folgenden Werte konfiguriert werden:

  • Die Serverrolle – Geben Sie eine oder root-serversub-server eine an. Ein angegebener Server kann Teil mehrerer Gruppen-VPNv2-Servercluster sein, muss jedoch in allen Clustern dieselbe Serverrolle haben. Ein Server kann nicht mit der Root-Serverrolle in einer Gruppe und der Unterserverrolle in einer anderen Gruppe konfiguriert werden.

    Sie müssen sicherstellen, dass für einen Group VPNv2-Servercluster jederzeit nur ein Root-Server verfügbar ist.

  • IKE-Gateway: Geben Sie den Namen eines IKE-Gateways an, das auf der [ edit security group-vpn server ike ] Hierarchieebene konfiguriert ist. Bei einem Root-Server muss IKE-Gateway einen Unterserver im Cluster sein. es können bis zu vier Unterserver angegeben werden. Bei Subservern muss IKE-Gateway der Root-Server sein.

    Der Root-Server und die Unterserver müssen mit einer IP-Adresse konfiguriert werden, die nicht für dead-peer-detection always-send eine dynamische (unbekannte) IP-Adresse konfiguriert werden kann. Gruppenmitglieder sind nicht mit Dead Peer Detection konfiguriert.

Die Gruppen-VPNv2-Konfiguration muss auf jedem Unterserver in einer bestimmten Gruppe gleich sein.

Jeder Unterserver im Group VPNv2-Servercluster wird als normaler GCKS für die Registrierung und Löschung von Mitgliedern verwendet. Nach der erfolgreichen Registrierung eines Mitglieds ist der Registrierende Server verantwortlich für das Senden von Updates an das Mitglied. Für eine bestimmte Gruppe können Sie die maximale Anzahl von Gruppen-VPNv2-Mitgliedern konfigurieren, die von jedem Subserver akzeptiert werden kann. diese Nummer muss auf allen Subservern im Cluster gleich sein. Ein Unterserver reagiert nicht mehr auf Registrierungsanforderungen neuer Mitglieder, wenn er die konfigurierte maximale Anzahl von Gruppen-VPNv2-Mitgliedern erreicht. Siehe Load Balancing .

Gruppenanmeldung für Mitglieder bei Server-Clustern

Gruppenmitglieder können sich bei jedem Server im Gruppen-VPNv2-Servercluster für eine bestimmte Gruppe anmelden. Es wird jedoch empfohlen, dass sich Mitglieder nur mit Unterservern und nicht mit dem Root-Server verbinden. Pro Gruppenmitglied können bis zu vier Serveradressen konfiguriert werden. Die auf Gruppenmitgliedern konfigurierten Serveradressen können anders sein. In dem unten dargestellten Beispiel ist Gruppenmitglied A für Unterserver 1 bis 4 und Mitglied B für Subserver 4 und 3 konfiguriert:

Gruppenmitglied A:

Gruppenmitglied B:

Serveradressen:

Unterserver 1

Unterserver 2

Unterserver 3

Unterserver 4

Unterserver 4

Unterserver 3

Die Reihenfolge, in der die Serveradressen auf einem Mitglied konfiguriert sind, ist wichtig. Ein Gruppenmitglied versucht, sich bei dem ersten konfigurierten Server zu registrieren. Wenn die Registrierung bei einem konfigurierten Server nicht erfolgreich ist, versucht das Gruppenmitglied, sich bei dem nächsten konfigurierten Server zu registrieren.

Jeder Server in einem Gruppen-VPNv2-Servercluster wird als normaler GCKS für die Registrierung und Das Löschen von Mitgliedern betrieben. Nach der erfolgreichen Registrierung ist der registrierende Server verantwortlich für das Versenden von Updates an das Mitglied über groupkey-push Börsen. Für eine bestimmte Gruppe können Sie die maximale Anzahl von Gruppenmitgliedern konfigurieren, die von jedem Server akzeptiert werden kann. Diese Nummer muss jedoch auf allen Servern im Cluster für eine bestimmte Gruppe gleich sein. Wenn die maximal konfigurierte Anzahl von Gruppenmitgliedern erreicht wird, reagiert ein Server nicht mehr auf Registrierungsanforderungen neuer Mitglieder. Weitere Load Balancing Informationen finden Sie hier.

Dead Peer Detection

Um die Verfügbarkeit von Peer-Servern in einem Group VPNv2-Servercluster zu prüfen, muss jeder Server im Cluster so konfiguriert werden, dass er Dead Peer Detection (DPD)-Anforderungen sendet, unabhängig davon, ob ausgehender IPsec-Datenverkehr an den Peer erfolgt. Dies wird mit der dead-peer-detection always-send Anweisung auf der [ ] edit security group-vpn server ike gateway gateway-name Hierarchieebene konfiguriert.

Ein aktiver Server in einem Group VPNv2-Servercluster sendet DPD-Probes an das im Servercluster konfigurierte IKE Gateway(en). DPD sollte nicht für eine Gruppe konfiguriert werden, da mehrere Gruppen dieselbe Peerserver-Gatewaykonfiguration IKE verwenden können. Wenn DPD erkennt, dass ein Server ausfällt, wird die IKE mit diesem Server gelöscht. Alle Gruppen markieren den Server als inaktiv, und DIE DPD zum Server wird beendet.

Die DPD sollte nicht für das Gateway IKE Gruppenmitgliedern konfiguriert werden.

Wenn der DPD den Root-Server als inaktiv markiert, reagieren die Unterserver nicht mehr auf Anforderungen neuer Gruppenmitglieder, jedoch bleiben die vorhandenen SAs für aktuelle Gruppenmitglieder aktiv. Ein inaktiver Unterserver sendet keine Deletes an Gruppenmitglieder, da die Familien weiterhin gültig sein könnten und Gruppenmitglieder weiterhin vorhandene SAs verwenden können.

Wenn eine IKE-Sicherheitszuordnung abläuft, während ein Peer-Server immer noch aktiv ist, löst der DPD IKE SA-Aushandlung aus. Da sowohl Root-Server als auch Sub-Server IKE DPD auslösen können, kann eine simultane Aushandlung zu mehreren IKE SAs führen. In diesem Fall wird keine Auswirkung auf die Server-Cluster-Funktionalität erwartet.

Load Balancing

Load Balancing im Gruppen-VPNv2-Servercluster kann durch die Konfiguration des richtigen Wertes für member-threshold die Gruppe erzielt werden. Wenn die Anzahl der auf einem Server registrierten Mitglieder den Wert überschreitet, wird die nachfolgende Registrierung von Mitgliedern auf diesem Server member-threshold abgelehnt. Die Registrierung der Mitglieder schlägt fehl beim nächsten auf dem nächsten Server des Gruppenmitglieds konfigurierten Server, bis er einen Server erreicht, dessen member-threshold Server noch nicht erreicht ist.

Es gibt zwei Einschränkungen bei der Konfiguration member-threshold von:

  • Für eine bestimmte Gruppe muss derselbe Wert auf dem Root-Server und allen member-threshold Subservern in einem Cluster einer Gruppe konfiguriert werden. Wenn die Gesamtanzahl von Mitgliedern in der Gruppe den konfigurierten Wert überschreitet, wird eine von einem neuen Mitglied initiierte Registrierung abgelehnt (der Server sendet keine member-thresholdgroupkey-pull Antwort).

  • Ein Server kann Mitglieder in mehreren Gruppen unterstützen. Jeder Server verfügt über eine maximale Anzahl von Gruppenmitgliedern, die unterstützt werden können. Wenn ein Server die maximale Anzahl von Mitgliedern erreicht, die er unterstützen kann, wird eine von einem neuen Mitglied initiierte Registrierung auch dann abgelehnt, wenn der Wert einer bestimmten Gruppe nicht groupkey-pullmember-threshold erreicht wurde.

Es gibt keine Member-Synchronisierung zwischen den Servern im Cluster. Der Root-Server verfügt nicht über keine Informationen zur Anzahl der registrierten Mitglieder auf Subservern. Jeder Subserver kann nur seine eigenen registrierten Mitglieder anzeigen.

Grundlegende Informationen zu Gruppen-VPNv2-Server-Cluster-Beschränkungen

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Beachten Sie die folgenden Einschränkungen bei der Konfiguration von Gruppen-VPNv2-Serverclustern:

  • Die Zertifikatsauthentifizierung wird für die Serverauthentifizierung nicht unterstützt. Es können nur preshared Keys konfiguriert werden.

  • Es ist keine Konfigurationssynchronisierung zwischen Servern im Group VPNv2-Servercluster verfügbar.

  • Bei der Aktivierung eines Gruppen-VPNv2-Serverclusters muss die Konfiguration zuerst auf dem Root-Server und dann auf den Subservern erfolgen. Solange die Konfiguration unter den Servern nicht manuell synchronisiert wird, kann bei der Konfigurationsänderung mit Datenverkehrsverlusten gerechnet werden.

  • In bestimmten Eckfällen können die SAs auf Group VPNv2-Mitglieder nicht synchronisierungsschwenkbar sein. VPN-Mitglieder einer Gruppe können SAs synchronisieren, indem sie einen neuen Schlüssel über einen groupkey-pull Exchange erhalten. Sie können SAs auf einem Group VPNv2-Mitglied manuell löschen und erhalten die Befehle oder Befehle zur clear security group-vpn member ipsec security-associationsclear security group-vpn member group schnelleren Wiederherstellung.

  • Der Gruppen-VPNv2-Servercluster unterstützt ISSU nicht.

  • Wenn die letzte Nachricht bei der Registrierung eines Gruppen-VPNv2-Mitglieds verloren geht, könnte ein Server das Mitglied als registriertes Mitglied betrachten, auch wenn das Mitglied möglicherweise beim nächsten Server im Server-Cluster groupkey-pull ausfällt. In diesem Fall scheint dasselbe Mitglied auf mehreren Servern zu sein. Wenn der Schwellwert für alle Server der Gesamtanzahl der bereitgestellten Mitglieder entspricht, können nachfolgende Gruppenmitglieder möglicherweise nicht registrieren.

Beachten Sie die folgenden Einschränkungen für den Betrieb von Gehäuseclustern auf dem Root-Server:

  • Keine Statistiken werden beibehalten.

  • Es werden keine Aushandlungsdaten oder der Status gespeichert. Wenn ein Root-Server-Chassis-Cluster-Failover während einer oder Aushandlung erfolgt, wird die Aushandlung nach dem groupkey-pullgroupkey-push Failover nicht neu gestartet.

  • Wenn beide Gehäuse-Clusterknoten eines Root-Servers bei einem Rekey eines Verschlüsselungsschlüssels aus dem System aus zugreifen, erhalten einige GRUPPEN-VPNv2-Mitglieder möglicherweise den neuen Schlüssel, andere nicht. Der Datenverkehr kann sich auswirken. Wenn einem Gruppen-VPNv2-Mitglied die SAs manuell mit den Befehlen zugewiesen werden, kann dies die Wiederherstellung beschleunigen, wenn der clear security group-vpn member ipsec security-associationsclear security group-vpn member group Root-Server erreichbar wird.

  • In einer Umgebung im großen Maßstab könnte ein RG0-Failover auf dem Root-Server seine Zeit dauern. Wenn das DPD-Intervall und der Grenzwert auf einem Unterserver mit kleinen Werten konfiguriert sind, kann dies dazu führen, dass der Root-Server während eines RG0-Failover als inaktiv markiert wird. Der Datenverkehr kann sich auswirken. Wir empfehlen, dass Sie das IKE-Gateway für den Unterserver mit einem DPD-Wert von mehr als interval * threshold 150 Sekunden konfigurieren.

Grundlegende Informationen zu Gruppen-VPNv2-Server-Cluster-Nachrichten

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Alle Nachrichten zwischen den Servern in einem Group VPNv2-Server-Cluster werden verschlüsselt und durch eine sicherheitszuordnung IKE authentifiziert. Jeder Unterserver initiiert eine IKE Sicherheitszuordnung mit dem Root-Server. muss IKE Sicherheitszuordnung eingerichtet werden, bevor Nachrichten zwischen den Servern ausgetauscht werden können.

In diesem Abschnitt werden die Nachrichten beschrieben, die zwischen dem Stammserver und den Unterservern ausgetauscht werden.

Cluster-Austausch

Abbildung 2 zeigt die grundlegenden Nachrichten an, die zwischen dem Gruppen-VPNv2-Server-Cluster und Gruppen-VPNv2-Mitgliedern ausgetauscht werden.

Abbildung 2: Gruppen-VPNv2-Server-Cluster-NachrichtenGruppen-VPNv2-Server-Cluster-Nachrichten

Cluster-Init-Exchanges

Ein Subserver startet eine Clusterin initialisierung ( ) und den Austausch mit dem Root-Server, um Informationen zu cluster-init SA und Verschlüsselungsschlüsseln zu erhalten. Der Root-Server antwortet, indem er aktuelle SA-Informationen über den Exchange an den Unterserver cluster-init sendet.

Unterserver können dann über einen Exchange auf Registrierungsanfragen von Gruppen-VPNv2-Mitgliedern groupkey-pull antworten. Über groupkey-pull den Austausch kann ein Gruppen-VPNv2-Mitglied SAs und Schlüssel anfordern, die von einer Gruppe von einem Unterserver gemeinsam genutzt werden.

Subserver starten einen cluster-init Austausch mit dem Root-Server, wenn:

  • Der Root-Server gilt als inaktiv. Dies ist der zunächst angenommene Status des Root-Servers. Wenn zwischen dem Root-Server und dem Subserver keine IKE-Sicherheitszuordnung verfügbar ist, initiiert der Unterserver eine Sicherheitszuordnung IKE mit dem Root-Server. Nach dem erfolgreichen Austausch erhält der Unterserver Informationen zu den SAs und markiert den cluster-init Root-Server als aktiv.

  • Die softe Lebensdauer der Sicherheitszuordnung ist abgelaufen.

  • Es cluster-update wird eine Nachricht empfangen, um alle Warnmeldungen zu löschen.

  • Es gibt Gruppenkonfigurationsänderungen.

Wenn der Exchange-Server ausfällt, aktualisiert der Subserver den Austausch alle 5 Sekunden mit dem cluster-init Root-Server.

Nachrichten zu Cluster-Updates

Der Austausch ist eine einzige Rekey-Nachricht, mit der ein Group groupkey-push Controller/Key Server (GCKS) Gruppen-SAs und Schlüssel an Mitglieder senden kann, bevor bestehende Gruppen-SAs ablaufen und die Gruppenmitgliedschaft aktualisiert werden können. Rekey-Nachrichten sind unerwünschte Nachrichten, die von GCKS an Mitglieder gesendet werden.

Nach der Erzeugung neuer Verschlüsselungsschlüssel für eine Sicherheitszuordnung sendet der Root-Server SA-Updates per Nachricht an alle aktiven cluster-update Unterserver. Nachdem er einen Von-Stammserver erhalten hat, installiert der Unterserver die neue Sicherheitszuordnung und sendet die neuen SA-Informationen über eine an die registrierten cluster-updategroupkey-push Mitglieder der Gruppe.

Für cluster-update eine vom Stammserver gesendete Nachricht muss vom Unterserver eine Bestätigung übermittelt werden. Wenn von einem Subserver keine Bestätigung empfangen wird, überträgt der Root-Server die Übertragung zum konfigurierten Rückübertragungszeitraum cluster-update (Standard: 10 Sekunden). Der Root-Server wird nicht erneut übertragen, wenn die DPD (Dead Peer Detection) angibt, dass der Unterserver nicht verfügbar ist. Wenn ein Unterserver die SA-Informationen nicht aktualisiert, nachdem eine Bestätigung erhalten wurde, sendet er keine Bestätigung, und der Root-Server übermittelt die cluster-update Nachricht cluster-update erneut.

Wenn die Soft-Lebensdauer einer Sicherheitszuordnung abläuft, bevor eine neue Sicherheitszuordnung vom Root-Server empfangen wird, sendet der Unterserver eine Nachricht an den Stammserver, um alle Sicherheitszuordnungen zu erhalten. Er sendet erst dann eine Nachricht an die Mitglieder, wenn ein neues Update vor dem Server vor dem Ersten verfügbar cluster-initgroupkey-push ist. Wenn die harte Lebensdauer einer Sicherheitszuordnung auf dem Subserver abläuft, bevor sie eine neue Sicherheitszuordnung empfängt, markiert der Unterserver den Root-Server inaktiv, löscht alle registrierten Gruppenmitglieder und sendet weiterhin Nachrichten an den cluster-init Root-Server.

Es kann eine Nachricht gesendet werden, um eine Sicherheitszuordnung oder ein Gruppenmitglied zu löschen. Dies kann das Ergebnis eines Befehls oder einer cluster-updateclear Konfigurationsänderung sein. Wenn ein Unterserver eine Nachricht empfängt, um eine Sicherheitszuordnung zu löschen, sendet er eine Delete-Nachricht an seine Gruppenmitglieder und löscht cluster-updategroupkey-push die entsprechende Sicherheitszuordnung. Wenn alle SAs einer Gruppe gelöscht werden, initiiert der Unterserver cluster-init einen Austausch mit dem Root-Server. Wenn alle registrierten Mitglieder gelöscht werden, löscht der Subserver alle lokal registrierten Mitglieder.

Grundlegende Konfigurationsänderungen mit Gruppen-VPNv2-Server-Clustern

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Group VPNv2-Server-Cluster unterscheiden sich von eigenständigen Gruppen-VPNv2-Servern, wenn Konfigurationsänderungen zu neuen Verschlüsselungsschlüsseln und Änderungen bei Sicherheitszuordnungen (SAs) führen. Der Root-Server sendet SA-Updates oder -Löschungen durch Nachrichten an cluster-update Unterserver. Die Unterserver senden dann Nachrichten groupkey-push an Mitglieder. Unterserver können nicht löschende Nachrichten an Gruppenmitglieder senden, ohne zuerst Nachrichten vom Root-Server zu erhalten.

Alle Konfigurationsänderungen müssen zuerst auf dem Stammserver und dann auf Unterservern vorgenommen werden, um sicherzustellen, dass die Mitglieder der Gruppe wie erwartet Updates oder Löschungen erhalten. Bevor die Konfiguration zwischen den Servern im Group VPNv2-Servercluster synchronisiert wird, wird mit Datenverkehrsverlusten gerechnet.

Tabelle 1 beschreibt die Auswirkungen verschiedener Konfigurationsänderungen auf Group VPNv2-Server.

Tabelle 1: Auswirkungen von Konfigurationsänderungen auf Gruppen-VPNv2-Server

Konfigurationsänderung

Eigenständige Aktion für Gruppen-VPNv2-Server

Gruppen-VPNv2-Server-Cluster-Aktion

Root-Server

Unterserver

Ändern IKE Angebot, Richtlinie oder Gateway

Löschen Sie die IKE Sicherheitszuordnung für das betroffenen Gateway. Löschen IKE Elemente des betroffenen Gateways, wenn Sie Vorschläge, Richtlinien oder Gateway-Löschungen löschen.

IPsec-Vorschlag ändern

Änderungen werden nach dem TEK-Rekey (Traffic Encryption Key) wirksam.

Gruppenänderungen:

Gruppenname löschen

Senden Sie "alle löschen" an Gruppenmitglieder. Löschen Sie IKE SAs in der Gruppe. Löschen Sie alle Schlüssel in der Gruppe umgehend. Löschen Sie alle registrierten Mitglieder in der Gruppe.

Senden Sie "delete all" an Unterserver. Löschen Sie alle Schlüssel in der Gruppe umgehend. Alle Peers inaktiv kennzeichnen. Löschen Sie Subserver-IKE-SAs. Löschen Sie alle member IKE-SAs.

Löschen Sie alle member IKE-SAs. Löschen Sie alle Schlüssel in der Gruppe umgehend. Löschen Sie alle registrierten Mitglieder in der Gruppe. Peer-inaktiv markieren Löschen Sie Peer-Server IKE-SAs.

ID ändern

Senden Sie "alle löschen" an alle Mitglieder. Löschen Sie IKE SAs in der Gruppe. Löschen Sie alle Schlüssel in der Gruppe umgehend. Löschen Sie alle registrierten Mitglieder in der Gruppe. Generieren Sie neue Schlüssel entsprechend der Konfiguration.

Senden Sie "delete all" an Unterserver. Löschen Sie alle IKE-Benutzer-SAs in der Gruppe. Löschen Sie alle Schlüssel in der Gruppe umgehend. Alle Peers inaktiv kennzeichnen. Löschen Sie alle Peer-Server IKE-SAs. Generieren Sie neue Schlüssel entsprechend der Konfiguration.

Löschen Sie alle IKE-Benutzer-SAs in der Gruppe. Löschen Sie alle Schlüssel in der Gruppe umgehend. Löschen Sie alle registrierten Mitglieder in der Gruppe. Peer-inaktiv markieren Löschen Sie Peer-Server IKE-SAs. Neuen Austausch cluster-init initiieren.

Gateway hinzufügen oder IKE löschen

Keine Änderungen für Ergänzungen. Löschen Sie die Datenlöschung, IKE Sicherheitszuordnung und registrierten Mitglieder des betroffenen Gateways.

Zeitfenster für Anti-Replay hinzufügen oder ändern

Neuer Wert tritt nach dem TEK-Rekey in Kraft.

Kein Anti-Replay hinzufügen oder ändern

Neuer Wert tritt nach dem TEK-Rekey in Kraft.

Änderungen bei der Kommunikation zwischen Servern:

Hinzufügen

Alle registrierten Mitglieder löschen. Generierung des Schlüsselverschlüsselungsschlüssels (KEK) SA.

Erzeugung von KEK SA. Neue KEK SA an Unterserver senden. Löschen Sie alle member IKE-SAs.

Alle registrierten Mitglieder löschen.

Ändern

Neuer Wert wirkt nach KEK-Rekey.

Löschen

Löschen senden, um alle KEK-SAs zu löschen. KEK SA löschen.

Löschen an Unterserver senden. KEK SA löschen. Löschen Sie alle member IKE-SAs.

KEK SA löschen.

IPsec-SA:

Hinzufügen

Generieren Sie neue TEK SA. Aktualisieren Sie die neue TEK-Sicherheitszuordnung für Mitglieder.

Generieren Sie neue TEK SA. Neue TEK SA an Unterserver senden.

Keine Aktion.

Ändern

Neuer Wert tritt nach dem TEK-Rekey in Kraft.

Wenn sich die Übereinstimmungsrichtlinie ändert, wird die aktuelle TEK sofort entfernt und Groupkey-Push löschen. Die Mitglieder müssen explizit über das Entfernen dieser Konfiguration benachrichtigt werden.

Wenn sich die Übereinstimmungsrichtlinie ändert, senden Sie Delete an Subserver. TEK sofort löschen.

Wenn sich die Übereinstimmungsrichtlinie ändert, löschen Sie TEK umgehend.

Löschen

TEK sofort löschen. Diese TEK SA löschen senden.

Löschen an Unterserver senden. TEK sofort löschen.

TEK sofort löschen.

Tabelle 2 beschreibt die Auswirkungen einer Änderung der Gruppen-VPNv2-Server-Clusterkonfiguration.

Sie müssen sicherstellen, dass immer nur ein Root-Server in einem Server-Cluster verfügbar ist.

Tabelle 2: Auswirkungen von Konfigurationsänderungen in Gruppen-VPNv2-Server-Clustern

Änderung der Server-Clusterkonfiguration

Gruppen-VPNv2-Server-Cluster

Root-Server

Unterserver

IKE Angebot, Richtlinie oder Gateway (Cluster-Peer)

In der Ergänzung gibt es keine Änderungen. Wenn Sie Änderungen oder Löschungen vornehmen möchten, löschen Sie die IKE Sicherheitszuordnung des betroffenen Peers.

Server-Cluster:

Hinzufügen

Keine.

Senden Sie "alle löschen" an Gruppenmitglieder. Löschen Sie alle IKE-Benutzer-SAs in der Gruppe. Löschen Sie alle TEKs und KEKs umgehend in der Gruppe. Löschen Sie alle registrierten Mitglieder in der Gruppe. An cluster-init Root-Server senden.

Rolle ändern

Sie müssen sicherstellen, dass immer nur ein Root-Server in einem Server-Cluster verfügbar ist.

Senden Sie "delete all" an Unterserver. Löschen Sie alle IKE-Benutzer-SAs in der Gruppe. Löschen Sie alle TEKs und KEKs umgehend in der Gruppe. Alle Peers inaktiv kennzeichnen. Löschen Sie alle Peer-Server IKE-SAs. An cluster-init Root-Server senden.

TEK mit Rekey-Schlüssel. Rekey KEK. Neue Schlüssel an Unterserver senden. Neue Schlüssel an Mitglieder senden

Peer hinzufügen

Keine.

Peer löschen

Peer-inaktiv markieren Peer-IKE LÖSCHEN.

Peer-inaktiv markieren Kek löschen. TEK löschen. Peer-IKE LÖSCHEN.

Rückübertragungszeitraum ändern

Keine.

Server-Cluster löschen

Senden Sie "delete all" an Unterserver. Löschen Sie alle TEKs und KEKs umgehend in der Gruppe. Alle Peers inaktiv kennzeichnen. Löschen Sie alle Peer-Server IKE-SAs. Generierung neuer TEKs und KEKs entsprechend der Konfiguration.

Löschen Sie alle IKE-Benutzer-SAs in der Gruppe. Löschen Sie alle TEKs und KEKs umgehend in der Gruppe. Löschen Sie alle registrierten Mitglieder in der Gruppe. Peer-inaktiv markieren Löschen Sie Peer-Server IKE-SAs. Erzeugen Sie je nach Konfiguration neue TEK und KEK.

Migration eines eigenständigen Gruppen-VPNv2-Servers zu einem Gruppen-VPNv2-Servercluster

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. In diesem Abschnitt wird beschrieben, wie ein eigenständiger Group VPNv2-Server zu einem Group VPNv2-Servercluster migriert wird.

So migrieren Sie einen eigenständigen Group VPNv2-Server zu einem Root-Server:

Wir empfehlen dringend, dass der Root-Server ein Gehäusecluster ist.

  1. Rüsten Sie den eigenständigen Gruppen-VPNv2-Server auf einen Gehäusecluster auf. Weitere Informationen finden Sie im Chassis Cluster-Benutzerhandbuch für Geräte der SRX-Serie.

    Beim Upgrade eines eigenständigen Geräts der SRX-Serie auf einen Gehäuse-Clusterknoten ist ein Neustart erforderlich. Es wird mit Datenverkehrsverlusten gerechnet.

  2. Fügen Sie auf dem Chassis-Cluster die Gruppen-VPNv2-Server-Cluster-Root-Serverkonfiguration hinzu. Die konfigurierte Serverrolle für den Cluster muss es root-server sein.

    Bei der Konfigurationsänderung sollte kein Datenverkehrsverlust bei vorhandenen Gruppenmitgliedern vorhanden sein.

So fügen Sie einem Gruppen-VPNv2-Servercluster einen Unterserver hinzu:

  1. Konfigurieren Sie auf dem Root-Server sowohl einen Group VPNv2-Server IKE-Gateway als auch ein Servercluster-IKE-Gateway für den Unterserver. Netzwerksicherheits- und vorhandene Memberdatenverkehr sollten nicht in mitbehindert sein.

  2. Konfigurieren Sie den Servercluster auf einem Subserver. Beachten Sie, dass die Gruppen-VPNv2-Konfiguration auf jedem Server im Cluster mit Ausnahme der Gruppen-VPNv2-Server-IKE-Gateways, der Serverrolle im Cluster und der Servercluster mit IKE-Gatewaykonfigurationen gleich sein muss. Auf einem Subserver muss die konfigurierte Serverrolle im Cluster das sub-server sein. Konfigurieren Sie einen Gruppen-VPNv2-Server IKE-Gateway und ein Servercluster-IKE-Gateway für den Root-Server.

So löschen Sie einen Unterserver aus dem Group VPNv2-Servercluster:

  1. Löschen Sie auf dem Root-Server sowohl den Gruppen-VPNv2-Server als auch das IKE der Servercluster, IKE-Gatewaykonfigurationen für den Unterserver konfigurieren. Netzwerksicherheits- und vorhandene Memberdatenverkehr sollten nicht in mitbehindert sein.

  2. Netzen Sie den Subserver aus.

Beispiel: Konfigurieren einer Gruppen-VPNv2-Server-Cluster und -Mitglieder

In diesem Beispiel wird gezeigt, wie ein Gruppen-VPNv2-Servercluster konfiguriert wird, um die Redundanz von Gruppen-Controllern/Schlüsselservern (GCKS) und die Skalierung für Gruppen-VPNv2-Gruppenmitglieder zu ermöglichen. Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Acht unterstützte Geräte der SRX-Serie oder vSRX-Instanzen, auf denen Junos OS Release 15.1X49-D30 oder höher ausgeführt werden, die Group VPNv2 unterstützen:

    • Zwei Geräte oder Instanzen werden als Gehäusecluster konfiguriert. Der Chassis-Cluster wird als Root-Server im Gruppen-VPNv2-Servercluster ausgeführt. Die Geräte oder Instanzen müssen über dieselbe Softwareversion und dieselben Lizenzen verfügen.

      Der Root-Server ist verantwortlich für die Erzeugung und Verteilung der Verschlüsselungsschlüssel an Unterserver im Cluster der VPN-Servergruppe. Aus diesem Grund empfehlen wir, dass der Root-Server ein Gehäusecluster ist.

    • Vier weitere Geräte oder Instanzen werden als Subserver im Group VPNv2-Server-Cluster betrieben.

    • Zwei weitere Geräte oder Instanzen werden als Gruppen-VPNv2-Gruppenmitglieder betrieben.

  • Zwei unterstützte Geräte der MX-Serie, Junos OS oder höher ausgeführt 15.1R2, die Group VPNv2 unterstützen. Diese Geräte werden als Gruppen-VPNv2-Gruppenmitglieder betrieben.

Ein Hostname, ein Root-Administratorkennwort und ein Verwaltungszugriff müssen auf jedem Gerät der SRX-Serie oder auf jeder instanziierten vSRX werden. Es wird empfohlen, NTP auch auf jedem Gerät zu konfigurieren.

Die Konfigurationen in diesem Beispiel konzentrieren sich auf die für den Betrieb der Gruppe erforderlichen VPNv2-Maßnahmen basierend auf der in der Topologie dargestellten Abbildung 3 Topologie. Einige Konfigurationen wie Schnittstellen-, Routing- oder Chassis-Clusterkonfigurationen sind hier nicht enthalten. Der Betrieb der Gruppen-VPNv2-Gruppe erfordert z. B. eine funktionierende Routing-Topologie, die es Clientgeräten ermöglicht, ihre angestrebten Standorte im gesamten Netzwerk zu erreichen. in diesem Beispiel nicht die Konfiguration des statischen oder dynamischen Routings.

Überblick

In diesem Beispiel besteht das Gruppen-VPNv2-Netzwerk aus einem Server-Cluster und vier Mitgliedern. Das Server-Cluster besteht aus einem Root-Server und vier Unterservern. Zwei der Mitglieder sind Geräte der SRX-Serie oder Instanzen vSRX, die anderen zwei Mitglieder Geräte der MX-Serie.

Die VPN-Sicherheitszuordnungen der Gruppe müssen durch eine Sicherheitszuordnung der Phase 1 geschützt werden. Daher muss die VPN-Gruppenkonfiguration die Konfiguration IKE Phase 1-Ausgespräche mit dem Root-Server, den Unterservern und den Gruppenmitgliedern beinhalten. IKE Konfigurationen werden wie folgt beschrieben.

Auf dem Root-Server:

  • Mit IKE Richtlinie SubSrv werden Phase 1-SAs mit jedem Subserver erstellt.

  • Ein IKE-Gateway wird mit Dead Peer Detection (DPD) für jeden Subserver konfiguriert.

  • Die Server-Clusterrolle wird als Gateway IKE root-server Serverclusters konfiguriert.

Der Root-Server sollte so konfiguriert werden, dass er den Betrieb von Chassis-Clustern unterstützt. In einem Beispiel stellen redundante Ethernet-Schnittstellen auf dem Root-Server eine Verbindung zu jedem der Subserver im Server-Cluster her. wird nicht dargestellt, um die gesamte Gehäuse-Clusterkonfiguration zu sehen.

Auf jedem Unterserver:

  • Es IKE zwei Richtlinien konfiguriert: RootSrv wird verwendet, um eine Phase-1-Sicherheitszuordnung mit dem Root-Server zu erstellen, und wird verwendet, um mit jedem Gruppenelement GMs Phase-1-Sicherheitszuordnungen zu erstellen.

    Preshared Keys werden verwendet, um die Phase 1-Sicherheitsas zwischen dem Root-Server und den Unterservern und zwischen den Unterservern und den Gruppenmitgliedern zu sichern. Stellen Sie sicher, dass bei den vorinstallierten Schlüsseln starke Schlüssel zum Einsatz kommen. Auf den Unterservern muss der für die IKE-Richtlinie konfigurierte Preshared Key dem auf dem Root-Server konfigurierten Preshared Key übereinstimmen, und der für die IKE-Richtlinie konfigurierte Preshared Key muss dem vorinstallierten Schlüssel der Gruppenmitglieder RootSrvGMs übereinstimmen.

  • Ein IKE-Gateway wird mit DPD für den Root-Server konfiguriert. Darüber hinaus wird IKE Gateway für jedes Gruppenmitglied konfiguriert.

  • Die Server-Clusterrolle sub-server ist und der Root-Server wird als gateway IKE für den Server-Cluster konfiguriert.

Jedes Gruppenmitglied:

  • Die IKE SubSrv wird verwendet, um Phase 1-SAs mit den Subservern zu erstellen.

  • Die IKE-Gateway-Konfiguration umfasst die Adressen der Unterserver.

Auf Geräten der SRX-Serie oder VSRX-Gruppenmitgliedern wird eine IPsec-Richtlinie für die Gruppe mit der LAN-Zone als From-Zone (eingehender Datenverkehr) und der WAN-Zone als to-Zone (ausgehender Datenverkehr) konfiguriert. Zudem ist eine Sicherheitsrichtlinie erforderlich, um den Datenverkehr zwischen der LAN- und WAN-Zone zu ermöglichen.

Dieselbe Gruppenkennung muss sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert sein. In diesem Beispiel ist der Gruppenname GROUP_ID-0001 und die Gruppenkennung 1. Die auf dem Server konfigurierte Gruppenrichtlinie gibt an, dass SA und Schlüssel auf den Datenverkehr zwischen Subnetzen im Bereich von 172.16.0.0/12 angewendet werden.

Topologie

Abbildung 3 zeigt den Juniper Networks, die für dieses Beispiel konfiguriert werden sollen.

Abbildung 3: Gruppen-VPNv2-Servercluster mit Mitgliedern der SRX-Serie vSRX MX-SerieGruppen-VPNv2-Servercluster mit Mitgliedern der SRX-Serie vSRX MX-Serie

Konfiguration

Konfigurieren des Root-Servers

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie den Root-Server:

  1. Konfigurieren Sie Sicherheitszonen und Sicherheitsrichtlinien.

  2. Gehäuse-Cluster konfigurieren.

  3. Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.

  4. Konfigurieren Sie IPsec SA.

  5. Konfigurieren Sie die VPN-Gruppe.

  6. Konfigurieren Sie die Gruppenrichtlinie.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow chassis cluster , und Befehle show security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Unterserver 1

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie den Unterserver im Group VPNv2-Servercluster:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.

  3. Konfigurieren Sie IPsec SA.

  4. Konfigurieren Sie die VPN-Gruppe.

  5. Konfigurieren Sie die Gruppenrichtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show interfacesshow security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Unterserver 2

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie den Unterserver im Group VPNv2-Servercluster:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.

  3. Konfigurieren Sie IPsec SA.

  4. Konfigurieren Sie die VPN-Gruppe.

  5. Konfigurieren Sie die Gruppenrichtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show interfacesshow security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Unterserver 3

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie den Unterserver im Group VPNv2-Servercluster:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.

  3. Konfigurieren Sie IPsec SA.

  4. Konfigurieren Sie die VPN-Gruppe.

  5. Konfigurieren Sie die Gruppenrichtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show interfacesshow security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Unterserver 4

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie den Unterserver im Group VPNv2-Servercluster:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.

  3. Konfigurieren Sie IPsec SA.

  4. Konfigurieren Sie die VPN-Gruppe.

  5. Konfigurieren Sie die Gruppenrichtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show interfacesshow security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von GM-0001 (Gerät der SRX-Serie oder vSRX Instanz)

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.

  3. Konfigurieren Sie IPsec SA.

  4. Konfigurieren Sie die IPsec-Richtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show interfacesshow security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von GM-0002 (Gerät der SRX-Serie oder vSRX Instanz)

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.

  3. Konfigurieren Sie IPsec SA.

  4. Konfigurieren Sie die IPsec-Richtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle show interfacesshow security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von GM-0003 (Gerät der MX-Serie)

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.

  3. Konfigurieren Sie IPsec SA.

  4. Konfigurieren Sie den Servicefilter.

  5. Konfigurieren Sie den Service-Set.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow security , und Befehle show servicesshow firewall eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von GM-0004 (Gerät der MX-Serie)

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie die Schnittstellen.

  2. Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.

  3. Konfigurieren Sie IPsec SA.

  4. Konfigurieren Sie den Servicefilter.

  5. Konfigurieren Sie den Service-Set.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow security , und Befehle show servicesshow firewall eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung des Server-Clusterbetriebs

Zweck

Stellen Sie sicher, dass Geräte im Servercluster Peer-Server in der Gruppe erkennen. Stellen Sie sicher, dass die Server aktiv sind und Rollen im Cluster korrekt zugewiesen werden.

Aktion

Geben Sie im Betriebsmodus die show security group-vpn server server-clustershow security group-vpn server server-cluster detail Befehls - und Befehle show security group-vpn server statistics auf dem Root-Server ein.

Geben Sie im Betriebsmodus die show security group-vpn server server-cluster , und Befehle auf show security group-vpn server server-cluster detailshow security group-vpn server statistics jedem Subserver ein.

Sicherstellen der Verteilung von Systemas an Mitglieder

Zweck

Stellen Sie sicher, dass die Unterserver SAs zur Verteilung an Gruppenmitglieder und die Gruppenmitglieder erhalten haben, die die SAs erhalten haben.

Aktion

Geben Sie im Betriebsmodus die show security group-vpn server kek security-associations Befehle und die Befehle auf dem show security group-vpn server kek security-associations detail Root-Server ein.

Geben Sie im Betriebsmodus die show security group-vpn server kek security-associations Befehle und die Befehle auf show security group-vpn server kek security-associations detail jedem Subserver ein.

Geben Sie im Betriebsmodus die show security group-vpn member kek security-associations Befehle und die Befehle für jedes show security group-vpn member kek security-associations detail Gruppenmitglied ein.

Für Mitglieder der SRX- vSRX-Gruppe:

Für Mitglieder der MX-Gruppe:

Überprüfung der IKE SAs auf den Servern

Zweck

Zeigen IKE Sicherheitszuordnungen (SAs) auf den Servern an.

Aktion

Geben Sie im Betriebsmodus die show security group-vpn server ike security-associations Befehle und die Befehle auf dem show security group-vpn server ike security-associations detail Root-Server ein.

Geben Sie im Betriebsmodus die show security group-vpn server ike security-associations Befehle und die Befehle auf show security group-vpn server ike security-associations detail jedem Subserver ein.

Überprüfung von IPsec-SAs auf Servern und Gruppenmitgliedern

Zweck

Zeigen Sie IPSec-Sicherheitszuordnungen (SAs) auf den Servern und Gruppenmitgliedern an.

Aktion

Geben Sie im Betriebsmodus die show security group-vpn server ipsec security-associations Befehle und die Befehle auf dem show security group-vpn server ipsec security-associations detail Root-Server ein.

Geben Sie im Betriebsmodus die show security group-vpn server ipsec security-associations Befehle und die Befehle auf show security group-vpn server ipsec security-associations detail jedem Subserver ein.

Geben Sie im Betriebsmodus die show security group-vpn member ipsec security-associations Befehle und die Befehle für jedes show security group-vpn member ipsec security-associations detail Gruppenmitglied ein.

Für Mitglieder der SRX- vSRX-Gruppe:

Für Mitglieder der MX-Gruppe:

Überprüfen der IPsec-Richtlinien für Gruppenmitglieder

Zweck

Zeigen Sie die IPsec-Richtlinie auf einem SRX- oder vSRX an.

Dieser Befehl ist für Gruppenmitglieder der MX-Serie nicht verfügbar.

Aktion

Geben Sie im Betriebsmodus den Befehl auf SRX oder auf vSRX show security group-vpn member policy Gruppenmitgliedern ein.