Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Gruppen-VPNv2

Group VPNv2 führt das Konzept einer vertrauenswürdigen Gruppe ein, um Punkt-zu-Punkt-Tunnel und deren zugehöriges Overlay-Routing zu beseitigen. Alle Gruppenmitglieder teilen sich eine gemeinsame Sicherheitsvereinigung (SECURITY Association, SA), auch bekannt als Gruppen-SA.

Gruppen-VPNv2 – Übersicht

Eine IPsec Security Association (SA) ist eine unidirektionale Vereinbarung zwischen Teilnehmern des virtuellen privaten Netzwerks (VPN), die die regeln definiert, die für Authentifizierungs- und Verschlüsselungsalgorithmen, Schlüsselaustauschmechanismen und sichere Kommunikation verwendet werden sollen. Bei vielen VPN-Implementierungen ist die SA ein Point-to-Point-Tunnel zwischen zwei Sicherheitsgeräten (siehe Abbildung 1).

Abbildung 1: Punkt-zu-Punkt-SAsPunkt-zu-Punkt-SAs

Group VPNv2 erweitert die IPsec-Architektur zur Unterstützung von SAs, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden (siehe Abbildung 2). Mit Group VPNv2 wird Any-to-Any-Konnektivität erreicht, indem die ursprünglichen Quell- und Ziel-IP-Adressen im äußeren Header erhalten bleiben. Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt.

Abbildung 2: Gemeinsam genutzte SAsGemeinsam genutzte SAs

Group VPNv2 ist eine erweiterte Version der Gruppen-VPN-Funktion, die in einer früheren Junos OS-Version für Geräte der SRX-Serie eingeführt wurde. Gruppen-VPNv2 auf Geräten von Juniper unterstützen RFC 6407, The Group Domain of Interpretation (GDOI) und sind mit anderen Geräten kompatibel, die RFC 6407 entsprechen.

Verstehen des GDOI-Protokolls für Group VPNv2

Group VPNv2 basiert auf RFC 6407, The Group Domain of Interpretation (GDOI). In diesem RFC wird das Protokoll zwischen Gruppenmitgliedern und Gruppenservern beschrieben, um SAs zwischen Gruppenmitgliedern zu erstellen. GDOI-Nachrichten erstellen, pflegen oder löschen SAs für eine Gruppe von Geräten. Group VPNv2 wird auf vSRX-Instanzen und allen Geräten der SRX-Serie unterstützt, mit Ausnahme der Geräte SRX5400, SRX5600 und SRX5800.

Das GDOI-Protokoll läuft auf UDP-Port 848. Das Internet Security Association and Key Management Protocol (ISAKMP) definiert zwei Verhandlungsphasen zur Festlegung von SAs für einen IKE-IPsec-Tunnel. Phase 1 ermöglicht zwei Geräten die Einrichtung eines ISAKMP SA für andere Sicherheitsprotokolle wie GDOI.

Mit Group VPNv2 wird Phase 1 ISAKMP SA-Aushandlung zwischen einem Gruppenserver und einem Gruppenmitglied durchgeführt. Server und Mitglied müssen dieselbe ISAKMP-Richtlinie verwenden. GDOI-Austausch zwischen Server und Mitglied richtet die SAs ein, die mit anderen Gruppenmitgliedern gemeinsam genutzt werden. Ein Gruppenmitglied muss IPsec nicht mit anderen Gruppenmitgliedern aushandeln. GDOI-Börsen müssen durch ISAKMP Phase 1-SAs geschützt werden.

Es gibt zwei Arten von GDOI-Börsen:

  • Über groupkey-pull den Austausch kann ein Mitglied SAs und Schlüssel anfordern, die von der Gruppe vom Server gemeinsam genutzt werden. Gruppenmitglieder müssen sich über einen Exchange bei einem groupkey-pull Gruppenserver registrieren.

  • Bei groupkey-push dem Austausch handelt es sich um eine einzelne Rekey-Nachricht, die es dem Server ermöglicht, Gruppen-SAs und Schlüssel an Mitglieder zu senden, bevor vorhandene Gruppen-SAs ablaufen. Bei Rekey-Nachrichten handelt es sich um unerwünschte Nachrichten, die vom Server an die Mitglieder gesendet werden.

Verstehen von Gruppen-VPNv2-Servern und -Mitgliedern

Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Das Zentrum von Group VPNv2 ist der Group Controller/Key Server (GCKS). Ein Server-Cluster kann zur Bereitstellung von GCKS-Redundanz verwendet werden.

Der GCKS- oder Gruppenserver führt die folgenden Aufgaben aus:

  • Kontrolliert die Gruppenmitgliedschaft.

  • Generiert Verschlüsselungsschlüssel.

  • Sendet neue Gruppen-SAs und Schlüssel an Mitglieder. Gruppenmitglieder verschlüsseln den Datenverkehr basierend auf den vom Gruppenserver bereitgestellten Gruppen-SAs und Schlüsseln.

Ein Gruppenserver kann mehrere Gruppen bedienen. Ein einzelnes Sicherheitsgerät kann Mitglied mehrerer Gruppen sein.

Jede Gruppe wird durch einen Gruppen-Identifier dargestellt, bei dem es sich um eine Zahl zwischen 1 und 4.294.967.295 handelt. Der Gruppenserver und die Gruppenmitglieder werden über die Gruppenkennung miteinander verknüpft. Es kann nur eine Gruppenkennung pro Gruppe geben, und mehrere Gruppen können nicht dieselbe Gruppenkennung verwenden.

Im Folgenden sehen Sie die Aktionen von Gruppen-VPNv2-Servern und -Mitglieder auf hoher Ebene:

  1. Der Gruppenserver hört die Registrierung von Mitgliedern am UDP-Port 848 ab.

  2. Um sich beim Gruppenserver zu registrieren, richtet das Mitglied zunächst eine IKE SA mit dem Server ein. Ein Mitgliedsgerät muss die korrekte IKE Phase 1-Authentifizierung bereitstellen, um der Gruppe beizutreten. Preshared Key-Authentifizierung auf Mitgliederbasis wird unterstützt.

  3. Nach erfolgreicher Authentifizierung und Registrierung ruft das Mitgliedergerät Gruppen-SAs und Schlüssel für die angegebene Gruppenkennung vom Server mit einem GDOI-Austausch groupkey-pull ab.

  4. Der Server fügt das Mitglied zur Mitgliedschaft für die Gruppe hinzu.

  5. Gruppenmitglieder tauschen Pakete mit Gruppen-SA-Schlüsseln aus.

Der Server sendet SA- und Schlüsselaktualisierungen an Gruppenmitglieder mit GDOI-Nachrichten groupkey-push(Rekey). Der Server sendet rekey-Nachrichten, bevor die SAs ablaufen, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.

Eine vom Server gesendete Rekey-Nachricht erfordert eine Bestätigungsnachricht (ack) von jedem Gruppenmitglied. Wenn der Server keine ACK-Nachricht vom Element empfängt, wird die Nachricht des erneuten Schlüssels an die konfigurierte retransmission-period Nachricht erneut übertragen (standardmäßig 10 Sekunden). Wenn es nach der Konfiguration number-of-retransmission keine Antwort vom Mitglied gibt (der Standard ist 2 mal), wird das Mitglied von den registrierten Mitgliedern des Servers entfernt. Die IKE SA zwischen Server und Mitglied wird ebenfalls entfernt.

Der Server sendet auch Rekey-Nachrichten, um mitglieder neue Schlüssel bereitzustellen, wenn sich die Gruppen-SA geändert hat.

Verstehen der Einschränkungen von Gruppen-VPNv2

Gruppen-VPNv2-Server arbeiten nur mit Gruppen-VPNv2-Mitgliedern, die RFC 6407 , The Group Domain of Interpretation (GDOI)unterstützen.

Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Folgende Elemente werden in dieser Version für Group VPNv2 nicht unterstützt:

  • SNMP.

  • Verweigern Sie die Richtlinie vom Cisco GET VPN-Server.

  • PKI-Unterstützung für Phase-1-IKE-Authentifizierung.

  • Kollokation von Gruppenservern und -membern, bei denen Server- und Mitgliederfunktionen im selben physischen Gerät koexist sind.

  • Gruppenmitglieder, die als Chassis-Cluster konfiguriert sind.

  • J-Web-Schnittstelle für Konfiguration und Überwachung.

  • Multicast-Datenverkehr.

Gruppen-VPNv2 wird in Bereitstellungen, in denen IP-Adressen nicht beibehalten werden können, nicht unterstützt, z. B. über das Internet, in dem NAT verwendet wird.

Verstehen der Kommunikation zwischen Gruppen-VPNv2-Servern und -Mitgliedstaaten

Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Die Kommunikation zwischen Server und Mitgliedern ermöglicht es dem Server, GDOI-Nachrichten groupkey-push (Rekey) an Mitglieder zu senden. Wenn die Server-Member-Kommunikation nicht für die Gruppe konfiguriert ist, können Mitglieder GDOI-Nachrichten groupkey-pull zur Registrierung und Neuregistrierung beim Server senden, der Server kann jedoch keine Nachrichten an Mitglieder senden groupkey-push .

Die Server-Member-Kommunikation wird für die Gruppe mithilfe der server-member-communication Konfigurationsanweisung in der [edit security group-vpn server] Hierarchie konfiguriert. Folgende Optionen können definiert werden:

  • Authentifizierungsalgorithmus (sha-256 oder sha-384) zur Authentifizierung des Mitglieds am Server. Es gibt keinen Standardalgorithmus.

  • Verschlüsselungsalgorithmus, der für die Kommunikation zwischen Server und Mitglied verwendet wird. Sie können aes-128-cbc, aes-192-cbc oder aes-256-cbc angeben. Es gibt keinen Standardalgorithmus.

  • Unicast-Kommunikationstyp für rekey-Nachrichten, die an Gruppenmitglieder gesendet werden.

  • Lebensdauer des Schlüsselverschlüsselungsschlüssels (KEK). Der Standard beträgt 3600 Sekunden.

  • Anzahl der Zeiten, in denen der Gruppenserver Nachrichten ohne Antwort an ein Gruppenmitglied erneut übersenitet groupkey-push (der Standard ist das 2-fache) und die Zeitspanne zwischen erneuten Übertragungen (der Standard beträgt 10 Sekunden).

Wenn die Kommunikation zwischen Server und Mitgliedern für eine Gruppe nicht konfiguriert ist, werden in der vom show security group-vpn server registered-members Befehl angezeigten Mitgliedschaftsliste Gruppenmitglieder angezeigt, die sich beim Server registriert haben; Mitglieder können aktiv sein oder nicht. Wenn die Kommunikation zwischen Server und Mitgliedern für eine Gruppe konfiguriert ist, wird die Gruppenmitgliedschaftsliste gelöscht. Beim Unicast-Kommunikationstyp zeigt der show security group-vpn server registered-members Befehl nur aktive Mitglieder an.

Understanding Group VPNv2 Key Operations

Dieses Thema enthält die folgenden Abschnitte:

Gruppenschlüssel

Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Der Gruppenserver verwaltet eine Datenbank, um die Beziehung zwischen VPN-Gruppen, Gruppenmitgliedern und Gruppenschlüsseln zu verfolgen. Es gibt zwei Arten von Gruppenschlüsseln, die der Server an Mitglieder herunterlädt:

  • Schlüsselverschlüsselungsschlüssel (KEK): Wird zur Verschlüsselung von GDOI-Börsen groupkey-push(SA Rekey) verwendet. Pro Gruppe wird ein KEK unterstützt.

  • Datenverkehr-Verschlüsselungsschlüssel (TEK): Wird zum Verschlüsseln und Entschlüsseln von IPsec-Datenverkehr zwischen Gruppenmitgliedern verwendet.

Der mit einer SA verbundene Schlüssel wird nur dann von einem Gruppenmitglied akzeptiert, wenn eine entsprechende Richtlinie auf dem Element konfiguriert ist. Für die Gruppe wird ein akzeptierter Schlüssel installiert, während ein abgelehnter Schlüssel verworfen wird.

Neuschlüsselung von Nachrichten

Wenn die Gruppe für die Kommunikation zwischen Server und Mitgliedern konfiguriert ist, sendet der Server SA- und Schlüsselaktualisierungen an Gruppenmitglieder mit GDOI-Nachrichten groupkey-push(Rekey). Rekey-Nachrichten werden gesendet, bevor SAs ablaufen; so wird sichergestellt, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.

Der Server sendet auch Rekey-Nachrichten zur Bereitstellung neuer Schlüssel an Mitglieder, wenn sich die Gruppenmitgliedschaft ändert oder sich die Gruppen-SA geändert hat (z. B. eine Gruppenrichtlinie wird hinzugefügt oder gelöscht).

Kommunikationsoptionen für Servermitglieder müssen auf dem Server so konfiguriert werden, dass der Server rekey-Nachrichten an Gruppenmitglieder senden kann.

Der Gruppenserver sendet eine Kopie der Unicast-Rekey-Nachricht an jedes Gruppenmitglied. Nach Erhalt der Rekey-Nachricht müssen die Mitglieder eine Bestätigung (ACK) an den Server senden. Wenn der Server keine ACK von einem Mitglied empfängt (einschließlich der erneuten Übertragung von Rekey-Nachrichten), hält der Server das Mitglied für inaktiv und entfernt es aus der Mitgliedschaftsliste. Der Server stoppt das Senden von erneuten Schlüsselmeldungen an das Mitglied.

retransmission-period Die number-of-retransmission Konfigurationsanweisungen für die Server-Mitglieder-Kommunikation steuern die Resendierung von Rekey-Nachrichten durch den Server, wenn kein ACK von einem Mitglied empfangen wird.

Das Intervall, in dem der Server rekey-Nachrichten sendet, basiert auf dem Wert der lifetime-seconds Konfigurationsanweisung in der [edit security group-vpn server group group-name] Hierarchie. Neue Schlüssel werden vor Ablauf der KEK- und TEK-Schlüssel generiert.

Das lifetime-seconds KEK wird als Teil der Kommunikation zwischen Server und Mitglied konfiguriert. Der Standard liegt bei 3600 Sekunden. Die lifetime-seconds Für-TEK-Konfiguration ist für den IPsec-Vorschlag konfiguriert; der Standard beträgt 3600 Sekunden.

Mitgliederregistrierung

Wenn ein Gruppenmitglied vor Ablauf des aktuellen Schlüssels keinen neuen SA-Schlüssel vom Server erhält, muss sich das Mitglied beim Server neu registrieren und aktualisierte Schlüssel mit einer GDOI-Börse groupkey-pull abrufen.

Gruppen-VPNv2- Konfigurationsübersicht

Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. In diesem Thema werden die Hauptaufgaben für die Konfiguration von Gruppen-VPNv2 beschrieben.

Der Group Controller/Key-Server (GCKS) verwaltet die Sicherheitszuordnungen (SAs) group VPNv2 und generiert Verschlüsselungsschlüssel und verteilt sie an Gruppenmitglieder. Sie können einen Group VPNv2-Servercluster verwenden, um GCKS-Redundanz bereitzustellen. Siehe Understanding Group VPNv2 Server Cluster.

Konfigurieren Sie auf den Gruppenservern Folgendes:

  1. IKE Phase 1 SA. Siehe Understanding IKE Phase 1 Configuration for Group VPNv2 .
  2. IPsec SA. Siehe Understanding IPsec SA Configuration for Group VPNv2 (Verstehen der IPsec SA-Konfiguration für Gruppen-VPNv2).
  3. VPN-Gruppeninformationen, einschließlich gruppenspezifischer Kennung, IKE-Gateways für Gruppenmitglieder, maximale Anzahl von Mitgliedern in der Gruppe und Kommunikation zwischen Server und Mitgliedern. Die Gruppenkonfiguration umfasst eine Gruppenrichtlinie, die den Datenverkehr definiert, auf den die SA und die Schlüssel angewendet werden. Das Zeitfenster für Server-Cluster und Antireplay kann optional konfiguriert werden. Siehe Gruppen-VPNv2-Konfigurationsübersicht und Understanding Group VPNv2 Traffic Steering.

Konfigurieren Sie für das Gruppenmitglied Folgendes:

  1. IKE Phase 1 SA. Siehe Understanding IKE Phase 1 Configuration for Group VPNv2 .

  2. IPsec SA. Siehe Understanding IPsec SA Configuration for Group VPNv2 (Verstehen der IPsec SA-Konfiguration für Gruppen-VPNv2).

  3. IPsec-Richtlinie, die die eingehende Zone (in der Regel ein geschütztes LAN), die Ausgangszone (normalerweise ein WAN) und die VPN-Gruppe definiert, für die die Richtlinie gilt. Es können auch "Exclude" oder "Fail-Open"-Regeln angegeben werden. Siehe Understanding Group VPNv2 Traffic Steering.

  4. Sicherheitsrichtlinie, die den Gruppen-VPN-Datenverkehr zwischen den in der IPsec-Richtlinie angegebenen Zonen zulässt.

Der Gruppen-VPNv2-Betrieb erfordert eine funktionierende Routing-Topologie, mit der Clientgeräte ihre beabsichtigten Standorte im gesamten Netzwerk erreichen können.

Die Gruppe wird auf dem Server mit der group Konfigurationsanweisung in der [edit security group-vpn server] Hierarchie konfiguriert.

Die Gruppeninformationen bestehen aus folgenden Informationen:

  • Gruppen-Kennung – Ein Wert, der die VPN-Gruppe identifiziert. Dieselbe Gruppenkennung muss auf dem Gruppenmitglied konfiguriert werden.

  • Jedes Gruppenmitglied ist mit der ike-gateway Konfigurationsanweisung konfiguriert. Es können mehrere Instanzen dieser Konfigurationsanweisung vorhanden sein, eine für jedes Mitglied der Gruppe.

  • Gruppenrichtlinien– Richtlinien, die für Mitglieder heruntergeladen werden sollen. Gruppenrichtlinien beschreiben den Datenverkehr, auf den die SA und die Schlüssel angewendet werden. Siehe Understanding Group VPNv2 Traffic Steering.

  • Member-Schwellenwert – Die maximale Anzahl von Mitgliedern in der Gruppe. Nachdem der Member-Schwellenwert für eine Gruppe erreicht ist, reagiert ein Server nicht mehr auf groupkey-pull Initiationen von neuen Mitgliedern. Siehe Understanding Group VPNv2 Server Cluster.

  • Kommunikation zwischen Servern und Mitgliedern: Optionale Konfiguration, die es dem Server ermöglicht, rekey-Nachrichten an Mitglieder zu senden groupkey-push .

  • Server-Cluster: Optionale Konfiguration, die GCKS-Redundanz (Group Controller/Key Server) unterstützt. Siehe Understanding Group VPNv2 Server Cluster.

  • Antireplay: Optionale Konfiguration zur Erkennung von Paketabfangen und -wiedergabe. Siehe Understanding Group VPNv2 Antireplay.

Verstehen der IKE Phase 1-Konfiguration für Gruppen-VPNv2

Eine IKE Phase 1-SA zwischen einem Gruppenserver und einem Gruppenmitglied richtet einen sicheren Kanal ein, über den IPsec-SAs ausgehandelt werden können, die von einer Gruppe gemeinsam genutzt werden. Bei Standard-IPsec-VPNs auf Sicherheitsgeräten von Juniper Networks besteht die Phase 1 SA-Konfiguration aus der Angabe eines IKE-Vorschlags, einer Richtlinie und eines Gateways.

Für Group VPNv2 ähnelt die IKE Phase 1 SA-Konfiguration der Konfiguration für Standard-IPsec-VPNs, wird jedoch in [edit security group-vpn server ike] und [edit security group-vpn member ike] Hierarchien ausgeführt. Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt.

In der IKE-Vorschlagskonfiguration legen Sie die Authentifizierungsmethode und die Authentifizierungs- und Verschlüsselungsalgorithmen fest, die zum Öffnen eines sicheren Kanals zwischen den Teilnehmern verwendet werden. In der IKE-Richtlinienkonfiguration legen Sie den Modus fest, in dem der Phase-1-Kanal ausgehandelt wird, geben den Typ des zu verwendenden Schlüsselaustauschs an und verweisen auf den Phase-1-Vorschlag. In der IKE-Gateway-Konfiguration verweisen Sie auf die Phase-1-Richtlinie.

Der IKE-Vorschlag und die Richtlinienkonfiguration auf dem Gruppenserver müssen dem IKE-Vorschlag und der Richtlinienkonfiguration auf Gruppenmitgliedern entsprechen. Auf einem Gruppenserver wird für jedes Gruppenmitglied ein IKE-Gateway konfiguriert. Auf einem Gruppenmitglied können in der IKE-Gateway-Konfiguration bis zu vier Serveradressen angegeben werden.

Verstehen der IPsec SA-Konfiguration für Gruppen-VPNv2

Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Nachdem der Server und das Mitglied in Phase 1-Aushandlung einen sicheren und authentifizierten Kanal eingerichtet haben, erstellen sie die IPsec-SAs, die von Gruppenmitgliedern gemeinsam genutzt werden, um Daten zu sichern, die zwischen den Mitgliedern übertragen werden. Während die IPsec SA-Konfiguration für Group VPNv2 der Konfiguration für Standard-VPNs ähnelt, muss ein Gruppenmitglied die SA nicht mit anderen Gruppenmitgliedern aushandeln.

Die IPsec-Konfiguration für Group VPNv2 besteht aus den folgenden Informationen:

  • Auf dem Gruppenserver wird ein IPsec-Vorschlag für den für die SA verwendeten Sicherheitsprotokoll, die Authentifizierung und den Verschlüsselungsalgorithmus konfiguriert. Der IPsec SA-Vorschlag wird auf dem Gruppenserver mit der proposal Konfigurationsanweisung in der [edit security group-vpn server ipsec] Hierarchie konfiguriert.

  • Auf dem Gruppenmitglied wird ein Autokey-IKE konfiguriert, der auf die Gruppenkennung, den Gruppenserver (konfiguriert mit der ike-gateway Konfigurationsanweisung) und die vom Mitglied zur Verbindung mit Gruppen-Peers verwendete Schnittstelle verweist. Die Autokey-IKE wird auf dem Element mit der vpn Konfigurationsanweisung in der [edit security group-vpn member ipsec] Hierarchie konfiguriert.

Understanding Group VPNv2 Traffic Steering

Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Der Gruppenserver verteilt IPsec-Sicherheitszuordnungen (SAs) und Schlüssel an Mitglieder einer bestimmten Gruppe. Alle Mitglieder, die zur gleichen Gruppe gehören, haben den gleichen Satz von IPsec-SAs. Die auf einem bestimmten Gruppenmitglied installierte SA wird durch die mit der Gruppen-SA verknüpfte Richtlinie und die auf dem Gruppenmitglied konfigurierte IPsec-Richtlinie bestimmt.

Auf Gruppenservern konfigurierte Gruppenrichtlinien

In einer VPN-Gruppe sind jede Gruppen-SA und jeder Schlüssel, den der Server an ein Mitglied drückt, einer Gruppenrichtlinie zugeordnet. Die Gruppenrichtlinie beschreibt den Datenverkehr, auf dem der Schlüssel verwendet werden soll, einschließlich Protokoll, Quelladresse, Quellport, Zieladresse und Zielport. Auf dem Server wird die Gruppenrichtlinie mit den match-policy policy-name Optionen auf der [edit security group-vpn server group name ipsec-sa name] Hierarchieebene konfiguriert.

Gruppenrichtlinien, die identisch sind (konfiguriert mit derselben Quelladresse, Zieladresse, Quellport, Zielport und Protokollwerten), können nicht für eine einzige Gruppe existieren. Wenn Sie versuchen, eine Konfiguration zu bestätigen, die die gleichen Gruppenrichtlinien für eine Gruppe enthält, wird ein Fehler zurückgegeben. Wenn dies geschieht, müssen Sie eine der identischen Gruppenrichtlinien löschen, bevor Sie die Konfiguration bestätigen können.

Auf Gruppenmitgliedern konfigurierte IPsec-Richtlinien

Beim Gruppenmitglied besteht eine IPsec-Richtlinie aus den folgenden Informationen:

  • Eingehende Zone (from-zone) für Gruppendatenverkehr.

  • Ausgangszone (to-zone) für Gruppendatenverkehr.

  • Der Name der Gruppe, für die die IPsec-Richtlinie gilt. Nur ein Gruppen-VPNv2-Name kann durch ein bestimmtes Von-Zone/Zu-Zone-Paar referenziert werden.

Die Schnittstelle, die vom Gruppenmitglied zur Verbindung mit der Gruppen-VPNv2 verwendet wird, muss zur Ausgangszone gehören. Diese Schnittstelle wird mit der group-vpn-external-interface Anweisung auf der [edit security group-vpn member ipsec vpn vpn-name] Hierarchieebene angegeben.

Auf dem Gruppenmitglied wird die IPsec-Richtlinie auf der [edit security ipsec-policy] Hierarchieebene konfiguriert. Datenverkehr, der mit der IPsec-Richtlinie übereinstimmt, wird weiter gegen ausschluss- und ausfalloffene Regeln geprüft, die für die Gruppe konfiguriert sind.

Ausfall schließen

Standardmäßig wird Datenverkehr blockiert, der nicht mit den vom Gruppenserver empfangenen Regeln oder Gruppenrichtlinien übereinstimmt; dies wird als Fail-Close bezeichnet.

Offene Ausschluss- und Ausfallregeln

Bei Gruppenmitgliedern können für jede Gruppe die folgenden Arten von Regeln konfiguriert werden:

  • Datenverkehr, der von der VPN-Verschlüsselung ausgeschlossen ist. Beispiele für diese Art von Datenverkehr können BGP- oder OSPF-Routingprotokolle sein. Um Datenverkehr von einer Gruppe auszuschließen, verwenden Sie die set security group-vpn member ipsec vpn vpn-name exclude rule Konfiguration. Es können maximal 10 Ausschlussregeln konfiguriert werden.

  • Datenverkehr, der für den Kundenbetrieb von entscheidender Bedeutung ist und im Klartext (unverschlüsselt) gesendet werden muss, wenn das Gruppenmitglied für die IPsec SA keinen gültigen Datenverkehrsverschlüsselungsschlüssel (TEK) erhalten hat. Fail-Open-Regeln ermöglichen diesen Datenverkehrsfluss, während der gesamte andere Datenverkehr blockiert wird. Aktivieren Sie fail-open mit der set security group-vpn member ipsec vpn vpn-name fail-open rule Konfiguration. Es können maximal 10 fail-open-Regeln konfiguriert werden.

Prioritäten von IPsec-Richtlinien und -Regeln

IPsec-Richtlinien und -Regeln haben für das Gruppenmitglied folgende Prioritäten:

  1. Schließen Sie Regeln aus, die den Datenverkehr definieren, der von der VPN-Verschlüsselung ausgeschlossen werden soll.

  2. Gruppenrichtlinien, die vom Gruppenserver heruntergeladen werden.

  3. Fail-Open-Regeln, die Datenverkehr definieren, der im Klartext gesendet wird, wenn kein gültiges TEK für die SA vorhanden ist.

  4. Fail-Close-Richtlinie zur Blockierung des Datenverkehrs. Dies ist der Standard, wenn der Datenverkehr nicht mit den Regeln oder Gruppenrichtlinien von Exclude oder Fail-Open übereinstimmt.

Understanding the Group VPNv2 Recovery Probe Process

Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Zwei Situationen können darauf hinweisen, dass ein Gruppenmitglied nicht mit dem Gruppenserver und anderen Gruppenmitgliedern synchronisiert wird:

  • Das Gruppenmitglied erhält ein Encapsulating Security Payload (ESP)-Paket mit einem nicht erkannten Security Parameter Index (SPI).

  • Es gibt ausgehenden IPsec-Datenverkehr, aber keinen eingehenden IPsec-Datenverkehr auf dem Gruppenmitglied.

Wenn eine der beiden Situationen erkannt wird, kann ein Wiederherstellungsuntersuchungsprozess auf dem Gruppenmitglied ausgelöst werden. Der Wiederherstellungsuntersuchungsprozess initiiert GDOI-Austausche groupkey-pull in bestimmten Intervallen, um die SA des Mitglieds vom Gruppenserver zu aktualisieren. Wenn es einen DoS-Angriff auf fehlerhafte SPI-Pakete gibt oder der Sender selbst nicht synchronisiert ist, kann es sich bei der Out-of-Synchronization-Anzeige für das Gruppenmitglied um einen Fehlalarm handeln. Um eine Überlastung des Systems zu vermeiden, wird die groupkey-pull Einleitung in Abständen von 10, 20, 40, 80, 160 und 320 Sekunden erneut eingeleitet.

Der Wiederherstellungsuntersuchungsprozess ist standardmäßig deaktiviert. Um den Wiederherstellungsuntersuchungsprozess zu aktivieren, konfigurieren Sie recovery-probe auf [edit security group-vpn member ipsec vpn vpn-name] Hierarchieebene.

Understanding Group VPNv2 Antireplay

Gruppen-VPNv2-Antireplay wird auf vSRX-Instanzen und allen Geräten der SRX-Serie mit Ausnahme der Geräte SRX5400, SRX5600 und SRX5800 unterstützt. Antireplay ist eine IPSec-Funktion, die erkennen kann, wenn ein Paket abgefangen und dann von Angreifern wiedergegeben wird. Antireplay ist für eine Gruppe standardmäßig deaktiviert.

Jedes IPsec-Paket enthält einen Zeitstempel. Das Gruppenmitglied überprüft, ob der Zeitstempel des Pakets innerhalb des konfigurierten anti-replay-time-window Wertes liegt. Ein Paket wird abgebrochen, wenn der Zeitstempel den Wert überschreitet.

Wir empfehlen, NTP auf allen Geräten zu konfigurieren, die Group VPNv2 Antireplay unterstützen.

Gruppenmitglieder, die auf vSRX-Instanzen auf einem Hostcomputer ausgeführt werden, auf dem der Hypervisor unter hoher Last ausgeführt wird, können Probleme auftreten, die durch die Neukonfiguration des anti-replay-time-window Werts behoben werden können. Wenn Daten, die mit der IPsec-Richtlinie des Gruppenmitglieds übereinstimmen, nicht übertragen werden, überprüfen Sie die show security group-vpn member ipsec statistics Ausgabe auf D3P-Fehler. Stellen Sie sicher, dass NTP ordnungsgemäß funktioniert. Wenn Fehler auftreten, passen Sie den Wert an anti-replay-time-window .

Beispiel: Konfigurieren eines Gruppen-VPNv2-Servers und von Mitgliedern

In diesem Beispiel wird gezeigt, wie ein Gruppen-VPNv2-Server so konfiguriert wird, dass Gruppencontroller-/Schlüsselserver (GCKS)-Unterstützung für Gruppen-VPNv2-Gruppenmitglieder bereitgestellt werden. Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt.

Anforderungen

Das Beispiel verwendet die folgenden Hardware- und Softwarekomponenten:

  • Eine unterstützte Gerät der SRX-Serie oder vSRX-Instanz, auf der Junos OS Version 15.1X49-D30 oder höher ausgeführt wird, die Group VPNv2 unterstützt. Dieses Gerät der SRX-Serie oder vSRX-Instanz wird als Group VPNv2-Server betrieben.

  • Zwei unterstützte Geräte der SRX-Serie oder vSRX-Instanzen, auf denen Junos OS Version 15.1X49-D30 oder höher ausgeführt wird, die Group VPNv2 unterstützen. Diese Geräte oder Instanzen werden als Gruppen-VPNv2-Gruppenmitglieder betrieben.

  • Zwei unterstützte Geräte der MX-Serie, auf denen Junos OS Version 15.1R2 oder höher ausgeführt wird, die Group VPNv2 unterstützen. Diese Geräte werden als Gruppen-VPNv2-Gruppenmitglieder betrieben.

Auf jedem Gerät müssen ein Hostname, ein Root-Administrator-Kennwort und ein Verwaltungszugriff konfiguriert werden. Wir empfehlen, ntp auch auf jedem Gerät zu konfigurieren.

Der Gruppen-VPNv2-Betrieb erfordert eine funktionierende Routing-Topologie, mit der Clientgeräte ihre beabsichtigten Standorte im gesamten Netzwerk erreichen können. Diese Beispiele konzentrieren sich auf die Gruppen-VPNv2-Konfiguration; wird die Routing-Konfiguration nicht beschrieben.

Überblick

In diesem Beispiel besteht das Gruppen-VPNv2-Netzwerk aus einem Server und vier Mitgliedern. Zwei der Mitglieder sind Geräte der SRX-Serie oder vSRX-Instanzen, während die beiden anderen Mitglieder Geräte der MX-Serie sind. Die gemeinsam genutzten GRUPPEN-VPN-SAs sichern den Datenverkehr zwischen den Gruppenmitgliedern.

Die Gruppen-VPN-SAs müssen durch eine Phase-1-SA geschützt werden. Daher muss die Gruppen-VPN-Konfiguration die Konfiguration von IKE Phase 1-Verhandlungen sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern umfassen.

Die gleiche Gruppenkennung muss sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert werden. In diesem Beispiel ist der Gruppenname GROUP_ID-0001 und der Gruppenkennung 1. Die auf dem Server konfigurierte Gruppenrichtlinie gibt an, dass SA und Schlüssel auf den Datenverkehr zwischen Subnetzen im Bereich 172.16.0.0/12 angewendet werden.

Auf Mitgliedern der SRX- oder vSRX-Gruppe wird eine IPsec-Richtlinie für die Gruppe konfiguriert, wobei die LAN-Zone als from-zone (eingehender Datenverkehr) und die WAN-Zone als die Zone (ausgehender Datenverkehr) fungiert. Es ist auch eine Sicherheitsrichtlinie erforderlich, um den Datenverkehr zwischen den LAN- und WAN-Zonen zu ermöglichen.

Topologie

Abbildung 3 zeigt die Geräte von Juniper Networks an, die für dieses Beispiel konfiguriert werden sollen.

Abbildung 3: Gruppen-VPNv2-Server mit Mitgliedern der SRX- oder vSRX- und MX-SerieGruppen-VPNv2-Server mit Mitgliedern der SRX- oder vSRX- und MX-Serie

Konfiguration

Konfigurieren des Gruppenservers

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie den Gruppen-VPNv2-Server:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie statische Routen.

  3. Konfigurieren Sie das IKE-Angebot, die Richtlinie und die Gateways.

  4. Konfigurieren Sie den IPsec-Vorschlag.

  5. Konfigurieren Sie die Gruppe.

  6. Konfigurieren Sie die Kommunikation zwischen Servern und Einzelnen.

  7. Konfigurieren Sie die Gruppenrichtlinie, die auf die Gruppenmitglieder heruntergeladen werden soll.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus durch Eingabe von show interfaces, show routing-optionsund show security Befehlen. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von Gruppenmitglied GM-0001 (Gerät der SRX-Serie oder vSRX-Instanz)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie statische Routen.

  3. Konfigurieren Sie das IKE-Angebot, die Richtlinie und das Gateway.

  4. Konfigurieren Sie die IPsec SA.

  5. Konfigurieren Sie die IPsec-Richtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus durch Eingabe von show interfaces, show routing-optionsund show security Befehlen. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von Gruppenmitglied GM-0002 (Gerät der SRX-Serie oder vSRX-Instanz)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.

  2. Konfigurieren Sie statische Routen.

  3. Konfigurieren Sie das IKE-Angebot, die Richtlinie und das Gateway.

  4. Konfigurieren Sie die IPsec SA.

  5. Konfigurieren Sie die IPsec-Richtlinie.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus durch Eingabe von show interfaces, show routing-optionsund show security Befehlen. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von Gruppenmitglied GM-0003 (Gerät der MX-Serie)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing konfigurieren.

  3. Konfigurieren Sie IKE-Angebot, -Richtlinie und -Gateway.

  4. Konfigurieren Sie die IPsec SA.

  5. Konfigurieren Sie den Servicefilter.

  6. Konfigurieren Sie den Service-Set.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show routing-optionsshow security, show servicesund eingebenshow firewall. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Konfigurieren von Gruppenmitglied GM-0004 (Gerät der MX-Serie)

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

So konfigurieren Sie das Gruppen-VPNv2-Mitglied:

  1. Konfigurieren Sie die Schnittstellen.

  2. Routing konfigurieren.

  3. Konfigurieren Sie IKE-Angebot, -Richtlinie und -Gateway.

  4. Konfigurieren Sie die IPsec SA.

  5. Konfigurieren Sie den Servicefilter.

  6. Konfigurieren Sie den Service-Set.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show routing-optionsshow security, show servicesund eingebenshow firewall. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Registrierung von Gruppenmitglied überprüfen

Zweck

Vergewissern Sie sich, dass Gruppenmitglieder auf dem Server registriert sind.

Aktion

Geben Sie im Betriebsmodus die Befehle und show security group-vpn server registered-members detail die show security group-vpn server registered-members Befehle auf dem Server ein.

Überprüfen der Verteilung von Gruppenschlüsseln

Zweck

Überprüfen Sie, ob Gruppenschlüssel an Mitglieder verteilt sind.

Aktion

Geben Sie im Betriebsmodus den show security group-vpn server statistics Befehl auf dem Gruppenserver ein.

Überprüfen von Gruppen-VPN-SAs auf dem Gruppenserver

Zweck

Überprüfen von Gruppen-VPN-SAs auf dem Gruppenserver.

Aktion

Geben Sie im Betriebsmodus die Befehle und show security group-vpn server kek security-associations detail die show security group-vpn server kek security-associations Befehle auf dem Gruppenserver ein.

Überprüfen von Gruppen-VPN-SAs für Gruppenmitglieder

Zweck

Überprüfen von Gruppen-VPN-SAs für die Gruppenmitglieder.

Aktion

Geben Sie im Betriebsmodus die Befehle und show security group-vpn member kek security-associations detail die show security group-vpn member kek security-associations Befehle des SRX- oder vSRX-Gruppenmitglieds ein.

Geben Sie im Betriebsmodus die Befehle und show security group-vpn member kek security-associations detail die show security group-vpn member kek security-associations Befehle des Gruppenmitglieds der MX-Serie ein.

Überprüfen von IPsec-SAs auf dem Gruppenserver

Zweck

Überprüfen Sie IPsec-SAs auf dem Gruppenserver.

Aktion

Geben Sie im Betriebsmodus die Befehle und show security group-vpn server ipsec security-associations detail die show security group-vpn server ipsec security-associations Befehle auf dem Gruppenserver ein.

Überprüfen von IPsec-SAs für Gruppenmitglieder

Zweck

Überprüfen sie IPsec-SAs für die Gruppenmitglieder.

Aktion

Geben Sie im Betriebsmodus die Befehle und show security group-vpn member ipsec security-associations detail die show security group-vpn member ipsec security-associations Befehle des SRX- oder vSRX-Gruppenmitglieds ein.

Geben Sie im Betriebsmodus die Befehle und show security group-vpn member ipsec security-associations detail die show security group-vpn member ipsec security-associations Befehle des Gruppenmitglieds der MX-Serie ein.

Überprüfen von Gruppenrichtlinien (nur SRX- oder vSRX-Gruppenmitglieder)

Zweck

Überprüfen der Gruppenrichtlinien auf SRX- oder vSRX-Gruppenmitgliedern.

Aktion

Geben Sie im Betriebsmodus den show security group-vpn member policy Befehl auf dem Gruppenmitglied ein.

Beispiel: Konfigurieren der Group VPNv2 Server-Member-Kommunikation für Unicast Rekey-Nachrichten

In diesem Beispiel wird gezeigt, wie der Server Unicast-Rekey-Nachrichten an Gruppenmitglieder senden kann, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind. Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie den Gruppenserver und die Mitglieder für die IKE Phase 1-Aushandlung.

  • Konfigurieren Sie den Gruppenserver und die Mitglieder für IPsec SA.

  • Konfigurieren Sie die Gruppe g1 auf dem Gruppenserver.

Überblick

In diesem Beispiel geben Sie die folgenden Kommunikationsparameter für Servermitglieder für die Gruppe an g1:

  • Der Server sendet Unicast-Rekey-Nachrichten an Gruppenmitglieder.

  • aes-128-cbc wird zur Verschlüsselung des Datenverkehrs zwischen Server und Mitgliedern verwendet.

  • sha-256 wird für die Mitgliederauthentifizierung verwendet.

Standardwerte werden für die Lebensdauer und Retransmissionen von KEK verwendet.

Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

So konfigurieren Sie die Kommunikation zwischen Server und Mitglied:

  1. Legen Sie den Kommunikationstyp fest.

  2. Legen Sie den Verschlüsselungsalgorithmus fest.

  3. Die Mitgliederauthentifizierung festlegen.

Überprüfung

Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security group-vpn server group g1 server-member-communication Befehl ein.