Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Gruppen-VPNv2

Group VPNv2 stellt das Konzept einer vertrauenswürdigen Gruppe vor, um Punkt-zu-Punkt-Tunnel und das zugehörige Overlay-Routing zu eliminieren. Alle Gruppenmitglieder teilen sich eine gemeinsame Sicherheitszuordnung (Sa), die auch als Gruppenzuordnung bezeichnet wird.

Gruppen-VPNv2 – Überblick

Eine IPsec Security Association (SA) ist eine unidirektionale Vereinbarung zwischen Teilnehmern virtueller privater Netzwerke (VPN), die die Regeln für die Authentifizierung und Verschlüsselungsalgorithmen, schlüsselen Austauschmechanismen und die sichere Kommunikation definiert. Bei vielen VPN-Implementierungen ist die SICHERHEITSzuordnung ein Point-to-Point-Tunnel zwischen zwei Sicherheitsgeräten Abbildung 1 (siehe).

Abbildung 1: Point-to-Point-SAsPoint-to-Point-SAs

Group VPNv2 erweitert die IPsec-Architektur zur Unterstützung von Sicherheitsas, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden Abbildung 2 (siehe). Mit Group VPNv2 können Any-to-Any-Konnektivität Quell- und Ziel-IP-Adressen im äußeren Header verwendet werden. Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt.

Abbildung 2: Gemeinsam genutzte AAsGemeinsam genutzte AAs

Group VPNv2 ist eine erweiterte Version der Gruppen-VPN-Funktion, die in einer früheren Version Junos OS für Geräte der SRX-Serie eingeführt wurde. Group VPNv2 auf Juniper-Geräten unterstützt RFC 6407, The Group Domain of Interpretation (GDOI)und ist mit anderen Geräten kompatibel, die RFC 6407 erfüllen.

Grundlegendes zum GDOI-Protokoll für Group VPNv2

Group VPNv2 basiert auf RFC 6407, The Group Domain of Interpretation (GDOI). Dieser RFC beschreibt das Protokoll zwischen Gruppenmitgliedern und Gruppenservern, um SAs zwischen Gruppenmitgliedern zu erstellen. GDOI-Nachrichten erstellen, pflegen oder löschen SAs für eine Gerätegruppe. Gruppen-VPNv2 wird auf vSRX Instanzen und allen Geräten der SRX-Serie unterstützt, mit Ausnahme von SRX5400-, SRX5600- und SRX5800-Geräten.

Das GDOI-Protokoll wird unter UDP-Port 848 ausgeführt. Die Internet Security Association und das Key Management Protocol (ISAKMP) definiert zwei Aushandlungsphasen zum Erstellen von Sicherheitsas für einen IKE IPsec-Tunnel. In Phase 1 können zwei Geräte eine ISAKMP-SICHERHEITSzuordnung für andere Sicherheitsprotokolle wie GDOI einrichten.

Mit Group VPNv2 wird die 1. Phase der ISAKMP-SA-Aushandlung zwischen einem Gruppenserver und einem Gruppenmitglied ausgeführt. Server und Mitglied müssen die gleiche ISAKMP-Richtlinie verwenden. GDOI-Austausch zwischen Server und Mitglied erstellen die SAs, die mit anderen Gruppenmitgliedern gemeinsam genutzt werden. Ein Gruppenmitglied muss ipSec nicht mit anderen Gruppenmitgliedern aushandeln. GDOI-Börsen müssen durch ISAKMP Phase 1-SAs geschützt werden.

Es gibt zwei Arten von GDOI-Börsen:

  • Über den Austausch kann ein Mitglied AAs und Schlüssel anfordern, die von der Gruppe groupkey-pull vom Server gemeinsam genutzt werden. Gruppenmitglieder müssen sich über einen Exchange bei einem Gruppenserver groupkey-pull anmelden.

  • Der Austausch ist eine einzige Rekey-Nachricht, mit der der Server Gruppen-SAs und Schlüssel an Mitglieder senden kann, bevor vorhandene groupkey-push Gruppen-SAs ablaufen. Rekey-Nachrichten sind unerwünschte Nachrichten, die vom Server an Mitglieder gesendet werden.

Grundlegende Informationen zu VPNv2-Servern und -Mitgliedern der Gruppe

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Das Zentrum von Group VPNv2 ist der Group Controller/Key Server (GCKS). Zur Bereitstellung von GCKS-Redundanz kann ein Server-Cluster verwendet werden.

Der GCKS- oder Gruppenserver führt die folgenden Aufgaben aus:

  • Steuert die Gruppenmitgliedschaft.

  • Generiert Verschlüsselungsschlüssel.

  • Sendet neue Gruppen-SAs und -Schlüssel an Mitglieder. Gruppenmitglieder verschlüsseln Datenverkehr basierend auf den vom Gruppenserver bereitgestellten Gruppen-SAs und Schlüsseln.

Ein Gruppenserver kann mehrere Gruppen nutzen. Ein einzelnes Sicherheitsgerät kann ein Mitglied mehrerer Gruppen sein.

Jede Gruppe wird durch eine Gruppenkennung dargestellt, die eine Zahl zwischen 1 und 4.294.967.295 ist. Der Gruppenserver und die Gruppenmitglieder werden über die Gruppenkennung verknüpft. Pro Gruppe kann nur eine Gruppenkennung verwendet werden, und mehrere Gruppen können nicht die gleiche Gruppenkennung verwenden.

Im Folgenden finden Sie eine high-level-Ansicht der Gruppen-VPNv2-Server- und Mitgliederaktionen:

  1. Der Gruppenserver hört den UDP-Port 848 an, damit sich Mitglieder registrieren können.

  2. Für die Registrierung beim Gruppenserver stellt das Mitglied zuerst eine IKE-Sicherheitszuordnung für den Server fest. Ein Mitglied muss für die IKE Der Gruppe die richtige Phase-1-Authentifizierung bereitstellen. Preshared Key-Authentifizierung pro Mitglied wird unterstützt.

  3. Nach der erfolgreichen Authentifizierung und Registrierung ruft das Member-Gerät Gruppen-Sicherheitsas und Schlüssel für die angegebene Gruppenkennung vom Server mit einer GDOI-Börse groupkey-pull ab.

  4. Der Server fügt das Mitglied zur Mitgliedschaft für die Gruppe hinzu.

  5. Gruppenmitglieder tauschen mit Gruppen-SA-Schlüsseln verschlüsselte Pakete aus.

Der Server sendet SA- und Schlüsselaktualisierungen mit GDOI-Nachrichten groupkey-push (Rekey). Der Server sendet vor Ablauf der SAs Rekey-Nachrichten, um sicherzustellen, dass für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern gültige Schlüssel verfügbar sind.

Eine vom Server gesendete Neuschlüsselnachricht erfordert eine Bestätigungsnachricht (ack) jedes Gruppenmitglieds. Wenn der Server keine "ack"-Nachricht vom Mitglied erhält, wird die Neuschlüsselnachricht an die konfigurierte (standardmäßig 10 Sekunden) erneut retransmission-period übertragen. Wenn nach der Konfiguration keine Antwort vom Mitglied erhalten wurde (Standard: 2 Mal), wird das Mitglied von den registrierten Mitgliedern des number-of-retransmission Servers entfernt. Die IKE SICHERHEITSzuordnung zwischen Server und Mitglied wird ebenfalls entfernt.

Der Server sendet auch Rekey-Nachrichten, um den Mitgliedern neue Schlüssel zur Verfügung zu stellen, wenn die Sicherheitszuordnung der Gruppe geändert wurde.

Grundlegende Informationen zu Gruppen-VPNv2-Beschränkungen

Gruppen-VPNv2-Server arbeiten nur mit Gruppen-VPNv2-Mitgliedern, die RFC 6407, The Group Domain of Interpretation (GDOI) unterstützen.

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Für Group VPNv2 wird Folgendes nicht unterstützt:

  • SNMP.

  • Verweigern Sie Richtlinien vom CISCO GET VPN-Server.

  • PKI-Unterstützung für die Phase 1 IKE Authentifizierung.

  • Kollokation von Gruppenservern und -member, bei der Server- und Mitgliederfunktionen im selben physischen Gerät koexistär sind.

  • Als Gehäusecluster konfigurierte Gruppenmitglieder

  • J-Web-Schnittstelle für Konfiguration und Überwachung.

  • Multicast-Datenverkehr.

Gruppen-VPNv2 wird in Bereitstellungen, in denen IP-Adressen nicht beibehalten werden, nicht unterstützt, z. B. über das Internet, wo NAT verwendet wird.

Understanding Group VPNv2 Server-Member Communication

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Die Kommunikation zwischen Servern ermöglicht dem Server, groupkey-push GDOI-Nachrichten (Rekey) an Mitglieder zu senden. Wenn die Kommunikation zwischen Servern nicht für die Gruppe konfiguriert ist, können Mitglieder GDOI-Nachrichten zur Registrierung und erneuten Registrierung beim Server senden. Der Server kann jedoch keine Nachrichten an Mitglieder groupkey-pullgroupkey-push senden.

Die Kommunikation zwischen Servern wird für die Gruppe mithilfe der Konfigurationserklärung server-member-communication in der [ ] edit security group-vpn server Hierarchie konfiguriert. Folgende Optionen können definiert werden:

  • Authentifizierungsalgorithmus (sha-256 oder sha-384) zur Authentifizierung des Mitglieds am Server. Es gibt keinen Standardalgorithmus.

  • Verschlüsselungsalgorithmus für die Kommunikation zwischen Server und Mitglied. Sie können aes-128-cbc, aes-192-cbc oder aes-256-cbc angeben. Es gibt keinen Standardalgorithmus.

  • Unicast-Kommunikationstyp für Rekey-Nachrichten, die an Gruppenmitglieder gesendet werden.

  • Lebensdauer des Schlüsselverschlüsselungsschlüssels (KEK). Sie beträgt standardmäßig 3600 Sekunden.

  • Anzahl der erneuten Nachrichten an einen Gruppenserver ohne Eine Antwort (Standard: 2 Mal) und Zeitraum zwischen erneuten Übertragungen groupkey-push (Standard: 10 Sekunden).

Wenn die Kommunikation zwischen Servern für eine Gruppe nicht konfiguriert ist, wird die Mitgliedschaftsliste angezeigt, die von den Befehlen für Gruppenmitglieder angezeigt wird, die sich beim Server registriert haben. Mitglieder können aktiv sein show security group-vpn server registered-members oder nicht. Wenn die Kommunikation zwischen Servern für eine Gruppe konfiguriert ist, wird die Gruppenmitgliedschaftsliste löschen. Bei Unicast-Kommunikationstyp werden show security group-vpn server registered-members nur aktive Mitglieder gezeigt.

Grundlegende Informationen zu Gruppen-VPNv2-Schlüsselvorgängen

Dieses Thema enthält die folgenden Abschnitte:

Gruppenschlüssel

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Der Gruppenserver verwaltet eine Datenbank zum Verfolgen der Beziehung zwischen VPN-Gruppen, Gruppenmitgliedern und Gruppenschlüsseln. Es gibt zwei Arten von Gruppenschlüsseln, die der Server an Mitglieder herunterlädt:

  • Schlüsselverschlüsselungsschlüssel (KEK): Für die Verschlüsselung des SA-Rekey-Austauschs (GDOI) groupkey-push verwendet. Pro Gruppe wird ein KEK unterstützt.

  • Datenverkehrsverschlüsselungsschlüssel (Traffic Encryption Key, TEK): Wird zur Verschlüsselung und Entschlüsselung des IPsec-Datenverkehrs zwischen Gruppenmitgliedern verwendet.

Der mit einer Sicherheitszuordnung verbundene Schlüssel wird von einem Gruppenmitglied nur akzeptiert, wenn auf dem Mitglied eine entsprechende Richtlinie konfiguriert ist. Ein akzeptierter Schlüssel wird für die Gruppe installiert, während ein abgelehnter Schlüssel verworfen wird.

Rekey-Nachrichten

Wenn die Gruppe für die Kommunikation zwischen Servern konfiguriert ist, sendet der Server SA und Schlüsselaktualisierungen mit Rekey-Nachrichten (GDOI) an groupkey-push Gruppenmitglieder. Rekey-Nachrichten werden vor Ablauf der SAs gesendet. Auf diese Weise wird sichergestellt, dass für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern gültige Schlüssel verfügbar sind.

Der Server sendet auch Rekey-Nachrichten, um den Mitgliedern neue Schlüssel zur Verfügung zu stellen, wenn eine Gruppenmitgliedschaft oder die Gruppenzuordnung geändert wurde (z. B. eine Gruppenrichtlinie hinzugefügt oder gelöscht wird).

Kommunikationsoptionen für Servermitglieder müssen auf dem Server konfiguriert werden, damit der Server Rekey-Nachrichten an Gruppenmitglieder senden kann.

Der Gruppenserver sendet eine Kopie der Unicast-Rekey-Nachricht an jedes Gruppenmitglied. Nachdem die Neueinschrift erhalten wurde, müssen die Mitglieder eine Bestätigung (ACK) an den Server senden. Wenn der Server keinen ACK von einem Mitglied erhält (einschließlich der erneuten Übertragung von Rekey-Nachrichten), sieht der Server die Inaktive des Servers aus der Mitgliedschaftsliste aus. Der Server sendet nicht mehr Rekey-Nachrichten an den Member.

Die Konfigurationserklärungen für die Kommunikation zwischen Servern kontrollieren die erneute Verrechnung von number-of-retransmission Rekey-Nachrichten durch den Server, wenn kein ACK von einem Mitglied retransmission-period empfangen wird.

Das Intervall, in dem der Server Rekey-Nachrichten sendet, basiert auf dem Wert der Konfigurationserklärung in der lifetime-seconds [ edit security group-vpn server group group-name ] Hierarchie. Neue Schlüssel werden vor ablaufen der KEK- und TEK-Schlüssel generiert.

Der für KEK wird als Teil der Kommunikation zwischen Servern konfiguriert. Der Standard beträgt lifetime-seconds 3600 Sekunden. Der lifetime-seconds TEK ist für den IPsec-Vorschlag konfiguriert. Der Standard beträgt 3600 Sekunden.

Registrierung von Mitglieder

Wenn ein Gruppenmitglied keinen neuen SA-Schlüssel vom Server erhält, bevor der aktuelle Schlüssel abläuft, muss sich das Mitglied beim Server erneut registrieren und die aktualisierten Schlüssel bei einem GDOI-Austausch groupkey-pull erhalten.

Gruppen-VPNv2-Konfiguration – Übersicht

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. In diesem Thema werden die Wichtigsten Aufgaben für die Konfiguration von Group VPNv2 beschrieben.

Der Group Controller/Key Server (GCKS) verwaltet Gruppen-VPNv2-Sicherheitszuordnungen (SAs), generiert Verschlüsselungsschlüssel und verteilt sie an Gruppenmitglieder. Sie können einen Group VPNv2-Servercluster zur Bereitstellung von GCKS-Redundanz verwenden. Informationen finden Sie in Gruppen-VPNv2-Server-Clustern.

Konfigurieren Sie auf den Gruppenservern Folgendes:

  1. IKE 1. Phase SA. Weitere Informationen zur IKE 1 Konfiguration für Group VPNv2finden Sie unter.
  2. IPsec-SA. Informationen zur IPsec SA-Konfiguration für Group VPNv2finden Sie unter Verstehen der IPsec SA-Konfiguration.
  3. Informationen für VPN-Gruppen, einschließlich der Gruppenkennung, IKE Gateways für Gruppenmitglieder, die maximale Anzahl von Mitgliedern in der Gruppe und Die Kommunikation zwischen Servern. Die Gruppenkonfiguration umfasst eine Gruppenrichtlinie, die den Datenverkehr definiert, für den die Sicherheitszuordnung und die Schlüssel gelten. Servercluster und Antireplay-Zeitfenster können optional konfiguriert werden. Informationen zur Gruppen-VPNv2-Konfigurationsübersicht und Informationen zu Gruppen-VPNv2-Datenverkehrssteuerung.

Konfigurieren Sie im Gruppenmitglied Folgendes:

  1. IKE 1. Phase SA. Weitere Informationen zur IKE 1 Konfiguration für Group VPNv2finden Sie unter.

  2. IPsec-SA. Informationen zur IPsec SA-Konfiguration für Group VPNv2finden Sie unter Verstehen der IPsec SA-Konfiguration.

  3. Die IPsec-Richtlinie definiert die eingehende Zone (in der Regel ein geschütztes LAN), die Ausgehende Zone (in der Regel ein WAN) und die VPN-Gruppe, für die die Richtlinie gilt. Auch Regeln zum Ausschließen oder Nicht-Öffnen können festgelegt werden. Siehe Understanding Group VPNv2 Traffic Steering (Verstehen von Gruppen-VPNv2-Datenverkehrssteuerung).

  4. Sicherheitsrichtlinie, um GRUPPEN-VPN-Datenverkehr zwischen den in der IPsec-Richtlinie angegebenen Zonen zu ermöglichen.

Der Betrieb von Gruppen-VPNv2 erfordert eine funktionierende Routing-Topologie, die es Client-Geräten ermöglicht, ihre gedachten Standorte im gesamten Netzwerk zu erreichen.

Die Gruppe wird auf dem Server mit der Konfigurationserklärung group in der [ ] edit security group-vpn server Hierarchie konfiguriert.

Die Gruppeninformationen bestehen aus den folgenden Informationen:

  • Gruppenkennung: Ein Wert, der die VPN-Gruppe identifiziert. Dieselbe Gruppenkennung muss im Gruppenmitglied konfiguriert sein.

  • Jedes Gruppenmitglied wird mit der ike-gateway Konfigurationserklärung konfiguriert. Diese Konfigurationserklärung kann mehrere Instanzen haben (einen für jedes Mitglied der Gruppe).

  • Gruppenrichtlinien: Richtlinien, die von Mitgliedern heruntergeladen werden sollen. Gruppenrichtlinien beschreiben den Datenverkehr, für den die Sicherheitszuordnung und die Schlüssel gelten. Siehe Understanding Group VPNv2 Traffic Steering (Verstehen von Gruppen-VPNv2-Datenverkehrssteuerung).

  • Schwellwert für Mitglieder: Die maximale Anzahl von Mitgliedern in der Gruppe. Nachdem der Grenzwert für eine Gruppe erreicht wurde, reagiert ein Server nicht mehr groupkey-pull auf Initiierungsanfragen neuer Mitglieder. Informationen finden Sie in Gruppen-VPNv2-Server-Clustern.

  • Kommunikation zwischen Servern: Optionale Konfiguration, mit der der Server groupkey-push Rekey-Nachrichten an Mitglieder senden kann.

  • Server-Cluster: Optionale Konfiguration, die die Redundanz des Group Controller/Key Servers (GCKS) unterstützt. Informationen finden Sie in Gruppen-VPNv2-Server-Clustern.

  • Antireplay: Optionale Konfiguration, die Paketfilterung und -wiedergabe erkennt. Siehe Understanding Group VPNv2 Antireplay (Verstehen von Gruppen-VPNv2-Antireplay).

Grundlegende IKE Phase 1-Konfiguration für Gruppen-VPNv2

Ein IKE Phase 1-Sicherheitszuordnung zwischen einem Gruppenserver und einem Gruppenmitglied stellt einen sicheren Kanal für die Aushandlung von IPsec-Sicherheitszuordnungen bereit, die von einer Gruppe gemeinsam genutzt werden. Für Standard-IPsec-VPNs auf Sicherheitsgeräten Juniper Networks Sicherheitsgeräten besteht die Konfiguration der 1. Phase aus der Angabe eines IKE Angebot, einer Richtlinie und eines Gateways.

Bei Gruppen-VPNv2 entspricht die Konfiguration IKE Phase 1 SA der Konfiguration von Standard-IPsec-VPNs, wird jedoch in den [ edit security group-vpn server ike ] und [ ] edit security group-vpn member ike Hierarchien ausgeführt. Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt.

In der IKE Angebot wurden die Authentifizierungsmethode und die Authentifizierungs- und Verschlüsselungsalgorithmen festgelegt, die verwendet werden, um einen sicheren Kanal zwischen den Teilnehmern zu öffnen. In der IKE Richtlinienkonfiguration geben Sie den Modus an, in dem der Phase-1-Kanal ausgehandelt wird, geben Sie den Typ des zu verwendenden Schlüsselaustauschs an, und verweisen Sie auf den Phase-1-Vorschlag. In der IKE Gateway-Konfiguration verweisen Sie auf die Richtlinie für Phase 1.

Der IKE und die Richtlinienkonfiguration auf dem Gruppenserver müssen dem IKE und der Richtlinienkonfiguration für Gruppenmitglieder übereinstimmen. Auf einem Gruppenserver wird IKE Gateway für jedes Gruppenmitglied konfiguriert. Für ein Gruppenmitglied können in der Konfiguration des Gateways bis zu vier Serveradressen IKE werden.

Grundlegende Informationen zur IPsec SA-Konfiguration für Group VPNv2

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Nachdem Server und Mitglied in Phase 1-Verhandlungen einen sicheren und authentifizierten Kanal eingerichtet haben, führen sie die IPsec-Sicherheitsas ein, die von Gruppenmitgliedern gemeinsam genutzt werden, um Daten zu sichern, die von Mitgliedern übermittelt werden. Während die IPsec SA-Konfiguration für Group VPNv2 der Konfiguration von Standard-VPNs ähnelt, muss ein Gruppenmitglied die Sicherheitszuordnung nicht mit anderen Gruppenmitgliedern aushandeln.

Die IPsec-Konfiguration für Group VPNv2 besteht aus den folgenden Informationen:

  • Auf dem Gruppenserver wird ein IPsec-Angebot für das für die Sicherheitszuordnung zu verwendende Sicherheitsprotokoll, die Authentifizierung und den Verschlüsselungsalgorithmus konfiguriert. Der IPsec SA-Vorschlag wird auf dem Gruppenserver mit der Konfigurationserklärung in der proposal [ ] Hierarchie edit security group-vpn server ipsec konfiguriert.

  • Auf dem Gruppenmitglied wird ein Autokey-IKE konfiguriert, der auf die Gruppenkennung, den Gruppenserver (mit der Konfigurationsauszug konfiguriert) und die Vom Mitglied für die Verbindung mit Gruppen-Peers verwendete Schnittstelle ike-gateway referenziert. Der Autokey-IKE wird auf dem Mitglied mit der Konfigurationserklärung in der vpn [ ] Hierarchie edit security group-vpn member ipsec konfiguriert.

Grundlegendes zur Datenverkehrssteuerung in Gruppe VPNv2

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Der Gruppenserver verteilt IPSec-Sicherheitszuordnungen (SAs) und Schlüssel an Mitglieder einer bestimmten Gruppe. Alle Mitglieder derselben Gruppe teilen sich die gleichen IPSec-SAs. Die sicherheitszuordnung, die auf einem bestimmten Gruppenmitglied installiert ist, wird anhand der Richtlinie festgelegt, die mit der Gruppenzuordnung und der IPsec-Richtlinie verknüpft ist, die auf dem Gruppenmitglied konfiguriert ist.

Auf Gruppenservern konfigurierte Gruppenrichtlinien

In einer VPN-Gruppe werden jede Sicherheitszuordnung der Gruppe und der Schlüssel, den der Server an ein Mitglied übermittelt, einer Gruppenrichtlinie zugeordnet. Die Gruppenrichtlinie beschreibt den Datenverkehr, für den der Schlüssel verwendet werden soll, einschließlich Protokoll, Quelladresse, Quell-Port, Zieladresse und Ziel-Port. Auf dem Server wird die Gruppenrichtlinie mit den Optionen match-policy policy-name auf der [ ] edit security group-vpn server group name ipsec-sa name Hierarchieebene konfiguriert.

Gruppenrichtlinien, die identisch sind (konfiguriert mit der gleichen Quelladresse, Zieladresse, Quell-Port, Ziel-Port und Protokollwerten), können nicht für eine einzige Gruppe vorhanden sein. Wenn Sie versuchen, eine Konfiguration zu commit, die identische Gruppenrichtlinien für eine Gruppe enthält, wird ein Fehler zurückgegeben. In diesem Fall müssen Sie eine identische Gruppenrichtlinien löschen, bevor Sie die Konfiguration festlegen können.

Auf Gruppenmitgliedern konfigurierte IPsec-Richtlinien

Auf dem Gruppenmitglied besteht eine IPsec-Richtlinie aus den folgenden Informationen:

  • Eingehende Zone ( from-zone ) für Gruppendatenverkehr.

  • Ausgehende Zone ( to-zone ) für Gruppendatenverkehr.

  • Der Name der Gruppe, für die die IPsec-Richtlinie gilt. Nur ein Gruppen-VPNv2-Name kann durch ein bestimmtes Zonen-/Zonen-Paar referenziert werden.

Die Schnittstelle, die vom Gruppenmitglied für die Verbindung mit Group VPNv2 verwendet wird, muss zur ausgehenden Zone gehören. Diese Schnittstelle wird mit der group-vpn-external-interface Anweisung auf der [ ] edit security group-vpn member ipsec vpn vpn-name Hierarchieebene angegeben.

Auf der Gruppenebene wird die IPsec-Richtlinie auf der [ edit security ipsec-policy ] Hierarchieebene konfiguriert. Datenverkehr, der der IPsec-Richtlinie entspricht, wird weiter gegen Ausschluss- und Fail-Open-Regeln geprüft, die für die Gruppe konfiguriert sind.

Fail-Close

Standardmäßig wird Datenverkehr blockiert, der nicht ausgeschlossene oder nicht offene Regeln oder Gruppenrichtlinien enthält, die vom Gruppenserver empfangen werden. auch fail-close genannt.

Ausschluss- und Fail-Open-Regeln

Für Gruppenmitglieder können für jede Gruppe die folgenden Regeltypen konfiguriert werden:

  • Datenverkehr, der nicht aus der VPN-Verschlüsselung enthalten ist. Beispiele für diese Art von Datenverkehr können Routing BGP oder OSPF sein. Verwenden Sie die Konfiguration, um Datenverkehr aus einer Gruppe set security group-vpn member ipsec vpn vpn-name exclude rule auszuschließen. Es können maximal 10 Ausschlussregeln konfiguriert werden.

  • Datenverkehr, der für den Kundenbetrieb von entscheidender Bedeutung ist und im Klartext (nicht verschlüsselt) gesendet werden muss, wenn das Gruppenmitglied keinen gültigen TEK (Traffic Encryption Key) für die IPsec-SICHERHEITSZUORDNUNG empfangen hat. Durch Regeln, die nicht geöffnet werden, ist dieser Datenverkehrsfluss möglich, während der andere Datenverkehr blockiert wird. Ermöglichen Sie bei der Konfiguration Das set security group-vpn member ipsec vpn vpn-name fail-open rule Fail-Open-System. Es können maximal 10 ausfalloffene Regeln konfiguriert werden.

Prioritäten der IPsec-Richtlinien und -Regeln

IPsec-Richtlinien und -Regeln haben folgende Prioritäten für das Gruppenmitglied:

  1. Regeln, die Datenverkehr definieren, der von der VPN-Verschlüsselung ausgeschlossen werden soll, ausschließen.

  2. Gruppenrichtlinien, die vom Gruppenserver heruntergeladen werden.

  3. Nicht geöffnete Regeln zur Definition von Datenverkehr, der im klartext gesendet wird, wenn keine gültige TEK für die SICHERHEITSzuordnung gibt.

  4. Fail-Close-Richtlinie, die Datenverkehr blockiert. Dies ist die Standardeinstellung, wenn Datenverkehr nicht ausgeschlossen oder nicht geöffnete Regeln oder Gruppenrichtlinien enthält.

Verstehen des Gruppen-VPNv2-Wiederherstellungssondenprozesses

Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Zwei Situationen können darauf hinweisen, dass ein Gruppenmitglied die Synchronisierung nicht mit dem Gruppenserver und anderen Gruppenmitgliedern durchführen kann:

  • Das Gruppenmitglied erhält ein Encapsulating Security Payload (ESP)-Paket mit einem unerkannten Security Parameter Index (SPI).

  • Ausgehender IPsec-Datenverkehr, aber kein eingehender IPsec-Datenverkehr für das Gruppenmitglied.

Wenn eine der beiden Situation erkannt wird, kann ein Wiederherstellungssondierungsprozess für das Gruppenmitglied ausgelöst werden. Der Wiederherstellungsprobeprozess initiiert GDOI-Austausch in bestimmten Abständen, um die Sicherheitszuordnung des Mitglieds groupkey-pull vom Gruppenserver zu aktualisieren. Wenn ein Angriff DoS SPI-Pakete oder der Sender selbst die Synchronisierung nicht durchführen kann, kann die Out-of-Synchronization-Anzeige auf dem Gruppenmitglied einen Fehlalarm sein. Um eine Überlastung des Systems zu vermeiden, wird der groupkey-pull Beginn in Intervallen von 10, 20, 40, 80, 160 und 320 Sekunden wiederholt.

Der Wiederherstellungsprobeprozess ist standardmäßig deaktiviert. Konfigurieren Sie auf der [ ] Hierarchieebene, um den Wiederherstellungsprobeprozess recovery-probeedit security group-vpn member ipsec vpn vpn-name zu aktivieren.

Grundlegendes Gruppen-VPNv2-Antireplay

Gruppen-VPNv2-Antireplay wird auf vSRX Instanzen und allen Geräten der SRX-Serie außer auf SRX5400-, SRX5600- und SRX5800-Geräten unterstützt. Antireplay ist eine IPsec-Funktion, die erkennt, wenn ein Paket abgefangen und dann von Angreifern wiedergegeben wird. Antireplay ist standardmäßig für eine Gruppe deaktiviert.

Jedes IPSec-Paket enthält einen Zeitstempel. Der Gruppenmitglied überprüft, ob die Zeitstempel des Pakets unter den konfigurierten Wert anti-replay-time-window fällt. Wenn der Zeitstempel den Wert überschreitet, wird ein Paket gelöscht.

Es wird empfohlen, NTP auf allen Geräten zu konfigurieren, die Group VPNv2-Antireplay unterstützen.

Gruppenmitglieder, die auf vSRX Instanzen auf einem Hostcomputer ausgeführt werden, auf dem der Hypervisor unter starker Last ausgeführt wird, können Probleme erfahren, die durch die Neukonfiguration des Werts behoben werden anti-replay-time-window können. Wenn Daten, die der IPsec-Richtlinie des Gruppenmitglieds nicht entspricht, nicht übertragen werden, überprüfen Sie die Ausgabe show security group-vpn member ipsec statistics auf D3P-Fehler. Achten Sie darauf, dass NTP korrekt funktioniert. Wenn Fehler auftreten, passen Sie den anti-replay-time-window Wert an.

Beispiel: Konfigurieren eines Gruppen-VPNv2-Servers und einer Gruppe von Mitgliedern

In diesem Beispiel wird gezeigt, wie ein Group VPNv2-Server konfiguriert wird, um Gruppen-Controller-/Schlüsselserver (GCKS) für Gruppen-VPNv2-Gruppenmitglieder zu unterstützen. Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein unterstütztes Gerät der SRX-Serie oder eine vSRX-Instanz, auf der Junos OS Release 15.1X49-D30 oder höher ausgeführt wird, das Group VPNv2 unterstützt. Dieses Gerät der SRX-Serie vSRX Instanz wird als Group VPNv2-Server ausgeführt.

  • Zwei unterstützte Geräte der SRX-Serie oder vSRX Instanzen, auf denen Junos OS Version 15.1X49-D30 oder höher ausgeführt werden, die Group VPNv2 unterstützen. Diese Geräte oder Instanzen werden als Gruppen-VPNv2-Gruppenmitglieder betrieben.

  • Zwei unterstützte Geräte der MX-Serie Junos OS die 15.1R2 oder höher ausgeführt werden, die Group VPNv2 unterstützen. Diese Geräte werden als Gruppen-VPNv2-Gruppenmitglieder betrieben.

Für jedes Gerät müssen der Hostname, das Kennwort für den Root-Administrator und der Verwaltungszugriff konfiguriert werden. Es wird empfohlen, ntp auch auf jedem Gerät zu konfigurieren.

Der Betrieb von Gruppen-VPNv2 erfordert eine funktionierende Routing-Topologie, die es Client-Geräten ermöglicht, ihre gedachten Standorte im gesamten Netzwerk zu erreichen. In diesen Beispielen geht es um die Group VPNv2-Konfiguration, wird die Routing-Konfiguration nicht beschrieben.

Überblick

In diesem Beispiel besteht das Gruppen-VPNv2-Netzwerk aus einem Server und vier Mitgliedern. Zwei der Mitglieder sind Geräte der SRX-Serie oder Instanzen vSRX, die anderen zwei Mitglieder Geräte der MX-Serie. Die VPN-Sicherheitsas für gemeinsam genutzte Gruppen sichern den Datenverkehr zwischen Gruppenmitgliedern.

Die VPN-Sicherheitszuordnungen der Gruppe müssen durch eine Sicherheitszuordnung der Phase 1 geschützt werden. Daher muss die VPN-Gruppenkonfiguration die Konfiguration IKE Phase-1-Aus verhandlungen sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern beinhalten.

Dieselbe Gruppenkennung muss sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert sein. In diesem Beispiel ist der Gruppenname GROUP_ID-0001 und die Gruppenkennung 1. Die auf dem Server konfigurierte Gruppenrichtlinie gibt an, dass SA und Schlüssel auf den Datenverkehr zwischen Subnetzen im Bereich von 172.16.0.0/12 angewendet werden.

Auf SrX- oder vSRX-Gruppenmitgliedern wird eine IPSec-Richtlinie für die Gruppe mit der LAN-Zone als Abzone (eingehender Datenverkehr) und der WAN-Zone als To-Zone (ausgehender Datenverkehr) konfiguriert. Zudem ist eine Sicherheitsrichtlinie erforderlich, um den Datenverkehr zwischen der LAN- und WAN-Zone zu ermöglichen.

Topologie

Abbildung 3 zeigt den Juniper Networks, die für dieses Beispiel konfiguriert werden sollen.

Abbildung 3: VPNv2-Server mit Mitgliedern der SRX- oder SRX vSRX MX-Serie gruppenVPNv2-Server mit Mitgliedern der SRX- oder SRX vSRX MX-Serie gruppen

Konfiguration

Konfigurieren des Gruppenservers

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie den Group VPNv2-Server:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie die statischen Routen.

  3. Konfigurieren Sie IKE Angebot, Richtlinien und Gateways.

  4. Konfigurieren Sie den IPsec-Vorschlag.

  5. Gruppe konfigurieren.

  6. Konfiguration der Kommunikation zwischen den Servern

  7. Konfigurieren Sie die Gruppenrichtlinie, die von den Gruppenmitgliedern heruntergeladen werden soll.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow routing-options , und Befehle show security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren eines Gruppenmitglieds GM-0001 (Gerät der SRX-Serie oder vSRX Instanz)

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie die statischen Routen.

  3. Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.

  4. Konfigurieren Sie IPsec SA.

  5. Konfigurieren Sie die IPsec-Richtlinie.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow routing-options , und Befehle show security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren des Gruppenmitglieds GM-0002 (Gerät der SRX-Serie oder vSRX Instanz)

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie die statischen Routen.

  3. Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.

  4. Konfigurieren Sie IPsec SA.

  5. Konfigurieren Sie die IPsec-Richtlinie.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow routing-options , und Befehle show security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Mitglied der Gruppe konfigurieren GM-0003 (Gerät der MX-Serie)

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing konfigurieren.

  3. Konfiguration IKE Angebot, Richtlinie und Gateway

  4. Konfigurieren Sie IPsec SA.

  5. Konfigurieren Sie den Servicefilter.

  6. Konfigurieren Sie den Service-Set.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , und Befehle show routing-optionsshow securityshow servicesshow firewall eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Konfiguration von Gruppenmitglied GM-0004 (Gerät der MX-Serie)

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing konfigurieren.

  3. Konfiguration IKE Angebot, Richtlinie und Gateway

  4. Konfigurieren Sie IPsec SA.

  5. Konfigurieren Sie den Servicefilter.

  6. Konfigurieren Sie den Service-Set.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , und Befehle show routing-optionsshow securityshow servicesshow firewall eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Verifizierung der Registrierung von Gruppenanmeldungen für Mitglieder der Gruppe

Zweck

Vergewissern Sie sich, dass Gruppenmitglieder auf dem Server registriert wurden.

Aktion

Geben Sie im Betriebsmodus die show security group-vpn server registered-members Befehle und die Befehle auf dem Server show security group-vpn server registered-members detail ein.

Überprüfung der Verteilung von Gruppenschlüsseln

Zweck

Vergewissern Sie sich, dass Gruppenschlüssel an Mitglieder verteilt sind.

Aktion

Geben Sie im Betriebsmodus den show security group-vpn server statistics Befehl auf dem Gruppenserver ein.

Überprüfung von Gruppen-VPN-SAs auf dem Gruppenserver

Zweck

Überprüfen der Gruppen-VPN-SAs auf dem Gruppenserver

Aktion

Geben Sie im Betriebsmodus die show security group-vpn server kek security-associations Befehle und die Befehle auf dem show security group-vpn server kek security-associations detail Gruppenserver ein.

Überprüfung von Gruppen-VPN-SAs auf Gruppenmitgliedern

Zweck

Überprüfen der GRUPPEN-VPN-SAs auf Gruppenmitgliedern

Aktion

Geben Sie im Betriebsmodus die Befehle und die Befehle auf der SRX oder vSRX show security group-vpn member kek security-associationsshow security group-vpn member kek security-associations detail ein.

Geben Sie im Betriebsmodus die show security group-vpn member kek security-associations Befehle und die Befehle auf dem show security group-vpn member kek security-associations detail Gruppenmitglied der MX-Serie ein.

Überprüfung der IPsec-SAs auf dem Gruppenserver

Zweck

IPsec-SAs auf dem Gruppenserver überprüfen.

Aktion

Geben Sie im Betriebsmodus die show security group-vpn server ipsec security-associations Befehle und die Befehle auf dem show security group-vpn server ipsec security-associations detail Gruppenserver ein.

Überprüfung der IPsec-Richtlinien für Gruppenmitglieder

Zweck

IPsec-SAs der Gruppenmitglieder überprüfen.

Aktion

Geben Sie im Betriebsmodus die Befehle und die Befehle auf der SRX oder vSRX show security group-vpn member ipsec security-associationsshow security group-vpn member ipsec security-associations detail ein.

Geben Sie im Betriebsmodus die show security group-vpn member ipsec security-associations Befehle und die Befehle auf dem show security group-vpn member ipsec security-associations detail Gruppenmitglied der MX-Serie ein.

Überprüfung von Gruppenrichtlinien (nur SRX- oder vSRX-Gruppenmitglieder)

Zweck

Überprüfen von Gruppenrichtlinien für SRX- vSRX Gruppenmitglieder

Aktion

Geben Sie im Betriebsmodus den show security group-vpn member policy Befehl des Gruppenmitglieds ein.

Beispiel: Konfigurieren der Gruppen-VPNv2 Kommunikation zwischen Servern für Unicast Rekey-Nachrichten

In diesem Beispiel wird gezeigt, wie der Server Unicast-Rekey-Nachrichten an Gruppenmitglieder sendet, um sicherzustellen, dass für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern gültige Schlüssel verfügbar sind. Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie den Gruppenserver und die Mitglieder für IKE 1-Aushandlung.

  • Konfigurieren Sie den Gruppenserver und die Mitglieder für IPsec SA.

  • Konfigurieren Sie die g1 Gruppe auf dem Gruppenserver.

Überblick

In diesem Beispiel geben Sie die folgenden Kommunikationsparameter für Server an, die für die Gruppe verwendet g1 werden:

  • Der Server sendet Unicast-Rekey-Nachrichten an Gruppenmitglieder.

  • aes-128-cbc wird zur Verschlüsselung des Datenverkehrs zwischen dem Server und den Mitgliedern verwendet.

  • sha-256 wird zur Mitgliederauthentifizierung verwendet.

Die Standardwerte werden für die KEK-Lebensdauer und erneute Übertragungen verwendet.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.

Konfiguration der Kommunikation zwischen Servern:

  1. Legen Sie den Kommunikationstyp fest.

  2. Legen Sie den Verschlüsselungsalgorithmus fest.

  3. Festlegen der Mitgliederauthentifizierung.

Überprüfung

Geben Sie den Befehl ein, um sicherzustellen, dass die Konfiguration ordnungsgemäß show security group-vpn server group g1 server-member-communication funktioniert.