VPNv2 der Gruppe
Group VPNv2 führt das Konzept einer vertrauenswürdigen Gruppe ein, um Punkt-zu-Punkt-Tunnel und das zugehörige Overlay-Routing zu eliminieren. Alle Gruppenmitglieder teilen eine gemeinsame Sicherheitszuordnung (COMMON Security Association, SA), auch bekannt als Gruppen-SA.
Group VPNv2 – Überblick
Eine IPsec Security Association (SA) ist eine unidirektionale Vereinbarung zwischen VPN-Teilnehmern (Virtual Private Network), die die Regeln definiert, die für Authentifizierungs- und Verschlüsselungsalgorithmen, wichtige Austauschmechanismen und sichere Kommunikation zu verwenden sind. Bei vielen VPN-Implementierungen ist die SA ein Punkt-zu-Punkt-Tunnel zwischen zwei Sicherheitsgeräten (siehe Abbildung 1).
Group VPNv2 erweitert die IPsec-Architektur, um SAs zu unterstützen, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden (siehe Abbildung 2). Mit Group VPNv2 wird any-to-Any-Konnektivität erreicht, indem die ursprünglichen Quell- und Ziel-IP-Adressen im äußeren Header erhalten bleiben. Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt.
Group VPNv2 ist eine erweiterte Version der Gruppen-VPN-Funktion, die in einer früheren Version von Junos OS für Geräte der SRX-Serie eingeführt wurde. Group VPNv2 auf Geräten von Juniper unterstützt RFC 6407, The Group Domain of Interpretation (GDOI) und arbeitet mit anderen Geräten zusammen, die RFC 6407 erfüllen.
- Verständnis des GDOI-Protokolls für Group VPNv2
- Grundlegendes zu Gruppen-VPNv2-Servern und -Mitgliedern
- Grundlegendes zu Gruppen-VPNv2-Einschränkungen
- Verständnis der Gruppen-VPNv2-Server-Mitglieder-Kommunikation
- Grundlegendes zu den wichtigsten Abläufen der Gruppe VPNv2
Verständnis des GDOI-Protokolls für Group VPNv2
Group VPNv2 basiert auf RFC 6407, The Group Domain of Interpretation (GDOI). Dieser RFC beschreibt das Protokoll zwischen Gruppenmitgliedern und Gruppenservern, um SAs unter Gruppenmitgliedern einzurichten. GDOI-Nachrichten erstellen, pflegen oder löschen SAs für eine Gruppe von Geräten. Group VPNv2 wird auf vSRX-Instanzen und allen Geräten der SRX-Serie mit Ausnahme von SRX5400-, SRX5600- und SRX5800-Geräten unterstützt.
Das GDOI-Protokoll läuft auf UDP-Port 848. Das Internet Security Association and Key Management Protocol (ISAKMP) definiert zwei Verhandlungsphasen, um SAs für einen IKE-IPsec-Tunnel einzurichten. Phase 1 ermöglicht es zwei Geräten, eine ISAKMP SA für andere Sicherheitsprotokolle wie GDOI einzurichten.
Mit Group VPNv2 wird Phase 1 ISAKMP SA-Aushandlung zwischen einem Gruppenserver und einem Gruppenmitglied durchgeführt. Server und Mitglied müssen dieselbe ISAKMP-Richtlinie verwenden. Der GDOI-Austausch zwischen dem Server und dem Mitglied richtet die SAs ein, die mit anderen Gruppenmitgliedern geteilt werden. Ein Gruppenmitglied muss keine IPsec mit anderen Gruppenmitgliedern aushandeln. DER GDOI-Austausch muss durch ISAKMP Phase-1-SAs geschützt werden.
Es gibt zwei Arten von GDOI-Austausch:
Der
groupkey-pullExchange ermöglicht es einem Mitglied, SAs und Schlüssel anzufordern, die von der Gruppe vom Server freigegeben werden. Gruppenmitglieder müssen sich über einen Exchange bei einemgroupkey-pullGruppenserver registrieren.Der
groupkey-pushExchange ist eine einzelne Neuschlüsselnachricht, die es dem Server ermöglicht, Gruppen-SAs und -Schlüssel an Mitglieder zu senden, bevor bestehende Gruppen-SAs ablaufen. Rekey-Nachrichten sind unerwünschte Nachrichten, die vom Server an Mitglieder gesendet werden.
Grundlegendes zu Gruppen-VPNv2-Servern und -Mitgliedern
Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt. Das Zentrum von Group VPNv2 ist der Group Controller/Key Server (GCKS). Ein Server-Cluster kann verwendet werden, um GCKS-Redundanz bereitzustellen.
Der GCKS- oder Gruppenserver führt die folgenden Aufgaben aus:
Steuert die Gruppenmitgliedschaft.
Generiert Verschlüsselungsschlüssel.
Sendet neue Gruppen-SAs und -Schlüssel an mitglieder. Gruppenmitglieder verschlüsseln den Datenverkehr basierend auf den Gruppen-SAs und Schlüsseln, die vom Gruppenserver bereitgestellt werden.
Ein Gruppenserver kann mehrere Gruppen bedienen. Ein einzelnes Sicherheitsgerät kann Mitglied mehrerer Gruppen sein.
Jede Gruppe wird durch einen Gruppenbezeichner dargestellt, bei dem es sich um eine Zahl zwischen 1 und 4.294.967.295 handelt. Gruppenserver und Gruppenmitglieder sind durch den Gruppenbezeichner miteinander verbunden. Es kann nur einen Gruppenbezeichner pro Gruppe geben, und mehrere Gruppen können denselben Gruppenbezeichner nicht verwenden.
Im Folgenden erhalten Sie eine allgemeine Ansicht der Gruppen-VPNv2-Server- und Mitgliederaktionen:
Der Gruppenserver überwacht den UDP-Port 848, um sich zu registrieren.
Um sich beim Gruppenserver zu registrieren, richtet das Mitglied zunächst eine IKE SA beim Server ein. Ein Mitgliedsgerät muss die korrekte IKE Phase 1-Authentifizierung bereitstellen, um der Gruppe beitreten zu können. Pre-Sharing-Schlüsselauthentifizierung auf Mitgliederbasis wird unterstützt.
Nach erfolgreicher Authentifizierung und Registrierung ruft das Mitgliedsgerät Gruppen-SAs und Schlüssel für die angegebene Gruppenkennung vom Server mit einem GDOI-Austausch
groupkey-pullab.Der Server fügt das Mitglied der Mitgliedschaft für die Gruppe hinzu.
Gruppenmitglieder tauschen Pakete aus, die mit Gruppen-SA-Schlüsseln verschlüsselt sind.
Der Server sendet SA- und Schlüsselaktualisierungen an Gruppenmitglieder mit Rekey -Nachrichten (GDOI groupkey-push). Der Server sendet Vor Ablauf der SAs Neuschlüsselmeldungen, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.
Eine Vom Server gesendete Umschlüsselungsnachricht erfordert eine Bestätigungsnachricht (ack) von jedem Gruppenmitglied. Wenn der Server keine ack-Nachricht vom Member empfängt, wird die Neuschlüsselmeldung an der konfigurierten retransmission-period (Standard ist 10 Sekunden) erneut übermittelt. Wenn nach der Konfiguration number-of-retransmission keine Antwort vom Member angezeigt wird (der Standard ist das 2-fache), wird der Member von den registrierten Mitgliedern des Servers entfernt. Die IKE SA zwischen Server und Mitglied wird ebenfalls entfernt.
Der Server sendet auch Neuschlüsselnachrichten, um den Mitgliedern neue Schlüssel bereitzustellen, wenn sich die Gruppen-SA geändert hat.
Grundlegendes zu Gruppen-VPNv2-Einschränkungen
VPNv2-Server der Gruppe arbeiten nur mit Group VPNv2-Mitgliedern, die RFC 6407, The Group Domain of Interpretation (GDOI) unterstützen.
Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt. Die folgenden Werden in dieser Version für Group VPNv2 nicht unterstützt:
SNMP.
Richtlinien ablehnen von Cisco VPN-Server get.
PKI-Unterstützung für Phase-1-IKE-Authentifizierung.
Kollokation von Gruppenserver und Mitglied, wobei Server- und Mitgliederfunktionen auf demselben physischen Gerät koexistieren.
Gruppenmitglieder, die als Chassis-Cluster konfiguriert sind.
J-Web-Schnittstelle für Konfiguration und Überwachung.
Multicast-Datenverkehr.
Gruppen-VPNv2 wird in Bereitstellungen, in denen IP-Adressen nicht beibehalten werden können, z. B. im Internet, wo NAT verwendet wird, nicht unterstützt.
Verständnis der Gruppen-VPNv2-Server-Mitglieder-Kommunikation
Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt. Die Kommunikation mit den Servermitgliedern ermöglicht es dem Server, GDOI groupkey-push -Nachrichten (Rekey) an mitglieder zu senden. Wenn die Kommunikation zwischen Servermitgliedern für die Gruppe nicht konfiguriert ist, können Mitglieder GDOI-Nachrichten groupkey-pull senden, um sich beim Server zu registrieren und erneut anzumelden, aber der Server ist nicht in der Lage, Nachrichten an Mitglieder zu senden groupkey-push .
Die Kommunikation mit Server-Membern wird für die Gruppe mithilfe der server-member-communication Konfigurationsaussage in der Hierarchie [edit security group-vpn server] konfiguriert. Folgende Optionen können definiert werden:
Authentifizierungsalgorithmus (sha-256 oder sha-384), der zur Authentifizierung des Mitglieds beim Server verwendet wird. Es gibt keinen Standardalgorithmus.
Verschlüsselungsalgorithmus, der für die Kommunikation zwischen Server und Mitglied verwendet wird. Sie können aes-128-cbc, aes-192-cbc oder aes-256-cbc angeben. Es gibt keinen Standardalgorithmus.
Unicast-Kommunikationstyp für Neuschlüsselnachrichten, die an Gruppenmitglieder gesendet werden.
Lebensdauer des Schlüsselverschlüsselungsschlüssels (KEK). Der Standard ist 3600 Sekunden.
Wie oft der Gruppenserver Nachrichten ohne Antwort an ein Gruppenmitglied weitertransmittiert
groupkey-push(der Standard ist das 2-fache) und der Zeitraum zwischen der erneuten Übertragung (der Standard ist 10 Sekunden).
Wenn die Kommunikation zwischen Servermitgliedern für eine Gruppe nicht konfiguriert ist, zeigt die show security group-vpn server registered-members vom Befehl angezeigte Mitgliedschaftsliste Gruppenmitglieder an, die sich beim Server registriert haben; Mitglieder können aktiv sein oder nicht. Wenn die Kommunikation zwischen Servern und Mitgliedern für eine Gruppe konfiguriert ist, wird die Liste der Gruppenmitglieder deaktiviert. Für unicast-Kommunikationstyp zeigt der show security group-vpn server registered-members Befehl nur aktive Member an.
Grundlegendes zu den wichtigsten Abläufen der Gruppe VPNv2
Dieses Thema enthält die folgenden Abschnitte:
Gruppenschlüssel
Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt. Der Gruppenserver unterhält eine Datenbank, um die Beziehung zwischen VPN-Gruppen, Gruppenmitgliedern und Gruppenschlüsseln zu verfolgen. Es gibt zwei Arten von Gruppenschlüsseln, die der Server an Mitglieder herunterlädt:
Key Encryption Key (KEK): Wird zur Verschlüsselung von GDOI-Austauschen
groupkey-push(SA Rekey) verwendet. Pro Gruppe wird ein KEK unterstützt.Traffic Encryption Key (TEK): Wird zur Ver- und Entschlüsselung des IPsec-Datenverkehrs zwischen Gruppenmitgliedern verwendet.
Der einer SA zugeordnete Schlüssel wird von einem Gruppenmitglied nur akzeptiert, wenn auf dem Mitglied eine übereinstimmende Richtlinie konfiguriert ist. Für die Gruppe wird ein akzeptierter Schlüssel installiert, während ein abgelehnter Schlüssel verworfen wird.
Nachrichten neu schlüsseln
Wenn die Gruppe für die Kommunikation zwischen Servermitgliedern konfiguriert ist, sendet der Server SA- und Schlüsselaktualisierungen mit GDOI-Nachrichten groupkey-push(Rekey) an Gruppenmitglieder. Umschlüsselungsnachrichten werden vor Ablauf der SAs gesendet. so wird sichergestellt, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.
Der Server sendet auch Neuschlüsselnachrichten, um den Mitgliedern neue Schlüssel bereitzustellen, wenn eine Änderung der Gruppenmitgliedschaft erfolgt oder die Gruppen-SA geändert wurde (z. B. wird eine Gruppenrichtlinie hinzugefügt oder gelöscht).
Kommunikationsoptionen für Servermitglieder müssen auf dem Server konfiguriert werden, damit der Server Neuschlüsselnachrichten an Gruppenmitglieder senden kann.
Der Gruppenserver sendet jedem Gruppenmitglied eine Kopie der Unicast-Neuschlüsselnachricht. Nach Erhalt der Neuschlüsselnachricht müssen mitglieder eine Bestätigung (ACK) an den Server senden. Wenn der Server keine ACK von einem Mitglied erhält (einschließlich der erneuten Übertragung von Neuschlüsselmeldungen), betrachtet der Server den Member als inaktiv und entfernt sie aus der Mitgliederliste. Der Server sendet keine Neuschlüsselnachrichten mehr an das Mitglied.
retransmission-period Die number-of-retransmission Konfigurationsanweisungen für die Kommunikation mit Servermitarbeitern steuern das erneute Senden von Neuschlüsselnachrichten durch den Server, wenn keine ACK von einem Mitglied empfangen wird.
Das Intervall, in dem der Server Neuschlüsselmeldungen sendet, basiert auf dem Wert der lifetime-seconds Konfigurationsaussage in der Hierarchie [edit security group-vpn server group group-name]. Neue Schlüssel werden vor Ablauf der KEK- und TEK-Schlüssel generiert.
Der lifetime-seconds für den KEK wird als Teil der Server-Member-Kommunikation konfiguriert; der Standardwert ist 3600 Sekunden. Der lifetime-seconds für die TEK ist für den IPsec-Vorschlag konfiguriert; der Standardwert beträgt 3600 Sekunden.
Mitgliederregistrierung
Wenn ein Gruppenmitglied vor Ablauf des aktuellen Schlüssels keinen neuen SA-Schlüssel vom Server erhält, muss sich das Mitglied beim Server erneut anmelden und aktualisierte Schlüssel über einen GDOI-Austausch groupkey-pull erhalten.
Gruppen-VPNv2-Konfiguration – Übersicht
Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt. In diesem Thema werden die wichtigsten Aufgaben für die Konfiguration der Gruppe VPNv2 beschrieben.
Der Gruppencontroller/Schlüsselserver (GCKS) verwaltet Group VPNv2 Security Associations (SAs), generiert Verschlüsselungsschlüssel und verteilt sie an Gruppenmitglieder. Sie können einen Gruppen-VPNv2-Servercluster verwenden, um GCKS-Redundanz bereitzustellen. Siehe Grundlegendes zu Gruppen-VPNv2-Serverclustern.
Konfigurieren Sie auf den Gruppenservern Folgendes:
- IKE Phase 1 SA. Siehe Grundlegendes zur IKE-Phase-1-Konfiguration für Group VPNv2 .
- IPsec SA. Siehe Grundlegendes zur IPsec-SA-Konfiguration für Group VPNv2.
- VPN-Gruppeninformationen, einschließlich Der Gruppenbezeichner, IKE-Gateways für Gruppenmitglieder, die maximale Anzahl von Mitgliedern in der Gruppe und die Kommunikation mit Servermitgliedern. Die Gruppenkonfiguration umfasst eine Gruppenrichtlinie, die den Datenverkehr definiert, auf den die SA und die Schlüssel angewendet werden. Server-Cluster und Antireplay-Zeitfenster können optional konfiguriert werden. Siehe Group VPNv2 Configuration Overview and Understanding Group VPNv2 Traffic Steering.See Group VPNv2 Configuration Overview and Understanding Group VPNv2 Traffic Steering.See Group VPNv2 Configuration Overview and Understanding Group VPNv2 Traffic Steering.
Konfigurieren Sie für das Gruppenmitglied Folgendes:
IKE Phase 1 SA. Siehe Grundlegendes zur IKE-Phase-1-Konfiguration für Group VPNv2 .
IPsec SA. Siehe Grundlegendes zur IPsec-SA-Konfiguration für Group VPNv2.
IPsec-Richtlinie, die die eingehende Zone (normalerweise ein geschütztes LAN), die ausgehende Zone (normalerweise ein WAN) und die VPN-Gruppe, auf die die Richtlinie gilt, definiert. Es können auch Regeln für "Exclude" oder "Fail-Open" festgelegt werden. Siehe Understanding Group VPNv2 Traffic Steering.See Understanding Group VPNv2 Traffic Steering.
Sicherheitsrichtlinie zum Zulassen von Gruppen-VPN-Datenverkehr zwischen den in der IPsec-Richtlinie angegebenen Zonen.
Der Gruppen-VPNv2-Betrieb erfordert eine funktionierende Routing-Topologie, die es Client-Geräten ermöglicht, ihre beabsichtigten Standorte im gesamten Netzwerk zu erreichen.
Die Gruppe wird auf dem Server mit der group Konfigurationsaussage in der Hierarchie [edit security group-vpn server] konfiguriert.
Die Gruppeninformationen bestehen aus den folgenden Informationen:
Gruppenbezeichner: Ein Wert, der die VPN-Gruppe identifiziert. Derselbe Gruppenbezeichner muss für das Gruppenmitglied konfiguriert werden.
Jedes Gruppenmitglied wird mit der
ike-gatewayKonfigurationsaussage konfiguriert. Es kann mehrere Instanzen dieser Konfigurationsaussage geben, eine für jedes Mitglied der Gruppe.Gruppenrichtlinien: Richtlinien, die für Mitglieder heruntergeladen werden sollen. Gruppenrichtlinien beschreiben den Datenverkehr, auf den die SA und die Schlüssel angewendet werden. Siehe Understanding Group VPNv2 Traffic Steering.See Understanding Group VPNv2 Traffic Steering.
Mitglieder-Schwellenwert: Die maximale Anzahl von Mitgliedern in der Gruppe. Nachdem der Schwellenwert für Mitglieder für eine Gruppe erreicht wurde, reagiert ein Server nicht mehr auf
groupkey-pullInitiierungen von neuen Mitgliedern. Siehe Grundlegendes zu Gruppen-VPNv2-Serverclustern.Kommunikation mit Servermitgliedern– Optionale Konfiguration, die es dem Server ermöglicht, Neuschlüsselnachrichten an Mitglieder zu senden
groupkey-push.Server-Cluster: Optionale Konfiguration, die GCKS-Redundanz (Group Controller/Key Server) unterstützt. Siehe Grundlegendes zu Gruppen-VPNv2-Serverclustern.
Antireplay: Optionale Konfiguration zur Erkennung von Paketabfangen und -wiedergabe. Siehe Understanding Group VPNv2 Antireplay.
Grundlegendes zur IKE Phase 1-Konfiguration für Group VPNv2
Eine IKE Phase 1 SA zwischen einem Gruppenserver und einem Gruppenmitglied schafft einen sicheren Kanal zum Aushandeln von IPsec-SAs, die von einer Gruppe gemeinsam genutzt werden. Für Standard-IPsec-VPNs auf Sicherheitsgeräten von Juniper Networks besteht die Phase-1-SA-Konfiguration aus der Festlegung eines IKE-Vorschlags, einer Richtlinie und eines Gateways.
Für Group VPNv2 ähnelt die IKE Phase 1 SA-Konfiguration der Konfiguration für Standard-IPsec-VPNs, wird jedoch in den Hierarchien [edit security group-vpn server ike] und [edit security group-vpn member ike] durchgeführt. Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt.
In der IKE-Vorschlagskonfiguration haben Sie die Authentifizierungsmethode und die Authentifizierungs- und Verschlüsselungsalgorithmen festgelegt, die verwendet werden sollen, um einen sicheren Kanal zwischen den Teilnehmern zu öffnen. In der IKE-Richtlinienkonfiguration legen Sie den Modus fest, in dem der Phase-1-Kanal ausgehandelt wird, geben den Typ des zu verwendenden Schlüsselaustauschs an und verweisen auf den Phase-1-Vorschlag. In der IKE-Gateway-Konfiguration verweisen Sie auf die Phase-1-Richtlinie.
Der IKE-Vorschlag und die Richtlinienkonfiguration auf dem Gruppenserver müssen mit dem IKE-Vorschlag und der Richtlinienkonfiguration für Gruppenmitglieder übereinstimmen. Auf einem Gruppenserver wird für jedes Gruppenmitglied ein IKE-Gateway konfiguriert. Für ein Gruppenmitglied können in der IKE-Gateway-Konfiguration bis zu vier Serveradressen angegeben werden.
Grundlegendes zur IPsec-SA-Konfiguration für Group VPNv2
Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt. Nachdem Der Server und das Mitglied in Phase-1-Aushandlung einen sicheren und authentifizierten Kanal eingerichtet haben, richten sie die IPsec-SAs ein, die von Gruppenmitgliedern gemeinsam genutzt werden, um daten zu schützen, die zwischen Mitgliedern übertragen werden. Während die IPsec SA-Konfiguration für Group VPNv2 der Konfiguration für Standard-VPNs ähnelt, muss ein Gruppenmitglied die SA nicht mit anderen Gruppenmitgliedern aushandeln.
Die IPsec-Konfiguration für Group VPNv2 besteht aus den folgenden Informationen:
Auf dem Gruppenserver wird ein IPsec-Vorschlag für das Sicherheitsprotokoll, die Authentifizierung und den Verschlüsselungsalgorithmus konfiguriert, der für die Sa verwendet werden soll. Der IPsec-SA-Vorschlag wird auf dem Gruppenserver mit der
proposalKonfigurationsaussage in der Hierarchie [edit security group-vpn server ipsec] konfiguriert.Auf dem Gruppenmitglied wird ein automatischer Schlüssel-IKE konfiguriert, der auf den Gruppenbezeichner, den Gruppenserver (mit der
ike-gatewayKonfigurationsaussage konfiguriert) und die Schnittstelle verweist, die vom Mitglied zur Verbindung mit Gruppen peers verwendet wird. Der autokey-IKE wird auf dem Member mit dervpnKonfigurationsaussage in der Hierarchie [edit security group-vpn member ipsec] konfiguriert.
Siehe auch
Understanding Group VPNv2 Traffic Steering
Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt. Der Gruppenserver verteilt IPsec-Sicherheitszuordnungen (SAs) und Schlüssel an Mitglieder einer angegebenen Gruppe. Alle Mitglieder, die derselben Gruppe angehören, teilen denselben Satz von IPsec-SAs. Die sa, die auf einem bestimmten Gruppenmitglied installiert wird, wird durch die Richtlinie bestimmt, die der Gruppen-SA und der IPsec-Richtlinie zugeordnet ist, die auf dem Gruppenmitglied konfiguriert ist.
- Auf Gruppenservern konfigurierte Gruppenrichtlinien
- Auf Gruppenmitgliedern konfigurierte IPsec-Richtlinien
- Fail-Close
- Regeln für "Exclude and Fail-Open"
- Prioritäten von IPsec-Richtlinien und -Regeln
Auf Gruppenservern konfigurierte Gruppenrichtlinien
In einer VPN-Gruppe sind jede Gruppe SA und der Schlüssel, den der Server an ein Mitglied übermittelt, mit einer Gruppenrichtlinie verknüpft. Die Gruppenrichtlinie beschreibt den Datenverkehr, für den der Schlüssel verwendet werden soll, einschließlich Protokoll, Quelladresse, Quellport, Zieladresse und Zielport. Auf dem Server wird die Gruppenrichtlinie mit den match-policy policy-name Optionen auf Hierarchieebene [edit security group-vpn server group name ipsec-sa name] konfiguriert.
Gruppenrichtlinien, die identisch sind (die mit derselben Quelladresse, Zieladresse, Quellport, Zielport und Protokollwerten konfiguriert sind), können für eine einzelne Gruppe nicht vorhanden sein. Ein Fehler wird zurückgegeben, wenn Sie versuchen, eine Konfiguration zu bestätigen, die identische Gruppenrichtlinien für eine Gruppe enthält. In diesem Fall müssen Sie eine der identischen Gruppenrichtlinien löschen, bevor Sie die Konfiguration bestätigen können.
Auf Gruppenmitgliedern konfigurierte IPsec-Richtlinien
Für das Gruppenmitglied besteht eine IPsec-Richtlinie aus den folgenden Informationen:
Eingehende Zone (
from-zone) für Gruppenverkehr.Ausgehende Zone (
to-zone) für Gruppenverkehr.Der Name der Gruppe, auf die die IPsec-Richtlinie angewendet wird. Nur ein Gruppen-VPNv2-Name kann von einem bestimmten from-zone/to-Zone-Paar referenziert werden.
Die Schnittstelle, die vom Gruppenmitglied zur Verbindung mit dem Gruppen-VPNv2 verwendet wird, muss zur ausgehenden Zone gehören. Diese Schnittstelle wird mit der group-vpn-external-interface Anweisung auf Hierarchieebene [edit security group-vpn member ipsec vpn vpn-name] angegeben.
Auf dem Gruppenmitglied wird die IPsec-Richtlinie auf Hierarchieebene [edit security ipsec-policy] konfiguriert. Datenverkehr, der der IPsec-Richtlinie entspricht, wird weiter anhand von Regeln für "Exclude" und "Fail-Open", die für die Gruppe konfiguriert sind, überprüft.
Fail-Close
Standardmäßig wird Datenverkehr blockiert, der nicht mit den vom Gruppenserver empfangenen Ausschluss- oder Nichtöffent-Regeln oder Gruppenrichtlinien übereinstimmt. dies wird als Fail-Close bezeichnet.
Regeln für "Exclude and Fail-Open"
Auf Gruppenmitgliedern können die folgenden Regeltypen für jede Gruppe konfiguriert werden:
Datenverkehr, der von der VPN-Verschlüsselung ausgeschlossen ist. Beispiele für diese Art von Datenverkehr können BGP- oder OSPF-Routingprotokolle sein. Um Datenverkehr aus einer Gruppe auszuschließen, verwenden Sie die
set security group-vpn member ipsec vpn vpn-name exclude ruleKonfiguration. Es können maximal 10 Ausschlussregeln konfiguriert werden.Datenverkehr, der für den Betrieb des Kunden von entscheidender Bedeutung ist und als Klartext (unverschlüsselt) gesendet werden muss, wenn das Gruppenmitglied keinen gültigen Datenverkehrsverschlüsselungsschlüssel (TEK) für die IPsec SA erhalten hat. Fail-Open-Regeln erlauben diesen Datenverkehrsfluss, während der gesamte andere Datenverkehr blockiert wird. Aktivieren Sie Fail-Open mit der
set security group-vpn member ipsec vpn vpn-name fail-open ruleKonfiguration. Es können maximal 10 Fail-Open-Regeln konfiguriert werden.
Prioritäten von IPsec-Richtlinien und -Regeln
IPsec-Richtlinien und -Regeln haben die folgenden Prioritäten für das Gruppenmitglied:
Schließen Sie Regeln aus, die festlegen, dass Datenverkehr von der VPN-Verschlüsselung ausgeschlossen wird.
Gruppenrichtlinien, die vom Gruppenserver heruntergeladen werden.
Fail-Open-Regeln, die den Datenverkehr definieren, der in Klartext gesendet wird, wenn keine gültige TEK für die SA vorhanden ist.
Fail-Close-Richtlinie, die den Datenverkehr blockiert. Dies ist die Standardeinstellung, wenn der Datenverkehr nicht mit Regeln für ausschließende oder nicht offene Regeln oder Gruppenrichtlinien übereinstimmt.
Siehe auch
Grundlegendes zum Wiederherstellungs-Probe-Prozess der Gruppe VPNv2
Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt. Zwei Situationen können darauf hinweisen, dass ein Gruppenmitglied nicht mit dem Gruppenserver und anderen Gruppenmitgliedern synchronisiert ist:
Das Gruppenmitglied erhält ein Kapselungs-ESP-Paket (Encapsulating Security Payload) mit einem nicht erkannten Security Parameter Index (SPI).
Ausgehender IPsec-Datenverkehr, aber kein eingehender IPsec-Datenverkehr auf dem Gruppenmitglied.
Wenn eine der beiden Situationen erkannt wird, kann ein Wiederherstellungs-Probe-Prozess am Gruppenmitglied ausgelöst werden. Der Wiederherstellungs-Probe-Prozess initiiert den GDOI-Austausch groupkey-pull in bestimmten Intervallen, um die SA des Mitglieds vom Gruppenserver zu aktualisieren. Wenn es zu einem DoS-Angriff von fehlerhaften SPI-Paketen kommt oder wenn der Absender selbst die Synchronisierung nicht synchronisiert hat, kann es sich bei der Out-of-Synchronization-Anzeige des Gruppenmitglieds um einen falschen Alarm handeln. Um eine Überlastung des Systems zu vermeiden, wird die groupkey-pull Einleitung im Abstand von 10, 20, 40, 80, 160 und 320 Sekunden erneut getestet.
Der Wiederherstellungs-Probe-Prozess ist standardmäßig deaktiviert. Um den Wiederherstellungs-Probe-Prozess zu ermöglichen, konfigurieren Sie die Konfiguration recovery-probe auf Der Hierarchieebene [edit security group-vpn member ipsec vpn vpn-name]
Understanding Group VPNv2 Antireplay
Gruppen-VPNv2-Antireplay wird auf vSRX-Instanzen und allen Geräten der SRX-Serie mit Ausnahme von SRX5400-, SRX5600- und SRX5800-Geräten unterstützt. Antireplay ist eine IPsec-Funktion, die erkennen kann, wenn ein Paket abgefangen und dann von Angreifern wiedergegeben wird. Antireplay ist standardmäßig für eine Gruppe deaktiviert.
Jedes IPsec-Paket enthält einen Zeitstempel. Das Gruppenmitglied prüft, ob der Zeitstempel des Pakets zum konfigurierten anti-replay-time-window Wert gehört. Ein Paket wird gelöscht, wenn der Zeitstempel den Wert übersteigt.
Wir empfehlen, NTP auf allen Geräten zu konfigurieren, die Group VPNv2 Antireplay unterstützen.
Gruppenmitglieder, die auf vSRX-Instanzen auf einem Hostcomputer ausgeführt werden, auf dem der Hypervisor unter starker Last ausgeführt wird, können Probleme auftreten, die durch eine neu konfigurierte anti-replay-time-window Wertkonfiguration behoben werden können. Wenn Daten, die der IPsec-Richtlinie für das Gruppenmitglied entsprechen, nicht übertragen werden, überprüfen Sie die show security group-vpn member ipsec statistics Ausgabe auf D3P-Fehler. Stellen Sie sicher, dass NTP korrekt funktioniert. Wenn Fehler auftreten, passen Sie den Wert an anti-replay-time-window .
Siehe auch
Beispiel: Konfigurieren eines Gruppen-VPNv2-Servers und -Mitglieder
Dieses Beispiel zeigt, wie Sie einen Gruppen-VPNv2-Server konfigurieren, um Gruppencontroller/Schlüsselserver (GCKS)-Unterstützung für Gruppen-VPNv2-Gruppenmitglieder bereitzustellen. Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein unterstütztes Gerät der SRX-Serie oder eine vSRX-Instanz mit Junos OS Version 15.1X49-D30 oder höher, die Group VPNv2 unterstützt. Dieses Gerät der SRX-Serie oder vSRX-Instanz wird als Group VPNv2-Server betrieben.
Zwei unterstützte Geräte der SRX-Serie oder vSRX-Instanzen mit Junos OS Version 15.1X49-D30 oder höher, die Group VPNv2 unterstützen. Diese Geräte oder Instanzen werden als Gruppen-VPNv2-Gruppenmitglieder ausgeführt.
Zwei unterstützte Geräte der MX-Serie mit Junos OS Version 15.1R2 oder höher, die Group VPNv2 unterstützen. Diese Geräte werden als Gruppen-VPNv2-Gruppenmitglieder ausgeführt.
Auf jedem Gerät müssen ein Hostname, ein Root-Administratorkennwort und Verwaltungszugriff konfiguriert werden. Wir empfehlen, NTP auch auf jedem Gerät zu konfigurieren.
Der Gruppen-VPNv2-Betrieb erfordert eine funktionierende Routing-Topologie, die es Client-Geräten ermöglicht, ihre beabsichtigten Standorte im gesamten Netzwerk zu erreichen. Dieses Beispiel konzentriert sich auf die Group VPNv2-Konfiguration; die Routing-Konfiguration wird nicht beschrieben.
Überblick
In diesem Beispiel besteht das Gruppen-VPNv2-Netzwerk aus einem Server und vier Mitgliedern. Zwei der Mitglieder sind Geräte der SRX-Serie oder vSRX-Instanzen, während die beiden anderen Mitglieder Geräte der MX-Serie sind. Die gemeinsam genutzten Gruppen-VPN-SAs sichern den Datenverkehr zwischen Gruppenmitgliedern.
Die Gruppen-VPN-SAs müssen durch eine Phase-1-SA geschützt werden. Daher muss die Gruppen-VPN-Konfiguration die Konfiguration von IKE Phase 1-Verhandlungen sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern umfassen.
Derselbe Gruppenbezeichner muss sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert werden. In diesem Beispiel lautet der Gruppenname GROUP_ID-0001 und der Gruppenbezeichner ist 1. Die auf dem Server konfigurierte Gruppenrichtlinie gibt an, dass SA und Schlüssel auf den Datenverkehr zwischen Subnetzen im Bereich 172.16.0.0/12 angewendet werden.
Auf SRX- oder vSRX-Gruppenmitgliedern wird eine IPsec-Richtlinie für die Gruppe mit der LAN-Zone als From-Zone (eingehender Datenverkehr) und der WAN-Zone als Zone (ausgehender Datenverkehr) konfiguriert. Es ist auch eine Sicherheitsrichtlinie erforderlich, um den Datenverkehr zwischen den LAN- und WAN-Zonen zu ermöglichen.
Topologie
Abbildung 3 zeigt die Geräte von Juniper Networks, die für dieses Beispiel konfiguriert werden sollen.
Konfiguration
- Konfigurieren des Gruppenservers
- Konfigurieren von Gruppenmitglied GM-0001 (Gerät der SRX-Serie oder vSRX-Instanz)
- Konfigurieren von Gruppenmitglied GM-0002 (Gerät der SRX-Serie oder vSRX-Instanz)
- Konfigurieren von GM-0003 (Gerät der MX-Serie)
- Konfigurieren von GM-0004 (Gerät der MX-Serie)
Konfigurieren des Gruppenservers
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/1 unit 0 family inet address 10.10.100.1/24 set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set security zones security-zone GROUPVPN host-inbound-traffic system-services ike set security zones security-zone GROUPVPN host-inbound-traffic system-services ssh set security zones security-zone GROUPVPN host-inbound-traffic system-services ping set security zones security-zone GROUPVPN interfaces ge-0/0/1.0 set routing-options static route 10.18.101.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.102.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.103.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.104.0/24 next-hop 10.10.100.254 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn server ike policy GMs mode main set security group-vpn server ike policy GMs proposals PSK-SHA256-DH14-AES256 set security group-vpn server ike policy GMs pre-shared-key ascii-text "$ABC123" set security group-vpn server ike gateway GM-0001 ike-policy GMs set security group-vpn server ike gateway GM-0001 address 10.18.101.1 set security group-vpn server ike gateway GM-0001 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0002 ike-policy GMs set security group-vpn server ike gateway GM-0002 address 10.18.102.1 set security group-vpn server ike gateway GM-0002 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0003 ike-policy GMs set security group-vpn server ike gateway GM-0003 address 10.18.103.1 set security group-vpn server ike gateway GM-0003 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0004 ike-policy GMs set security group-vpn server ike gateway GM-0004 address 10.18.104.1 set security group-vpn server ike gateway GM-0004 local-address 10.10.100.1 set security group-vpn server ipsec proposal AES256-SHA256-L3600 authentication-algorithm hmac-sha-256-128 set security group-vpn server ipsec proposal AES256-SHA256-L3600 encryption-algorithm aes-256-cbc set security group-vpn server ipsec proposal AES256-SHA256-L3600 lifetime-seconds 3600 set security group-vpn server group GROUP_ID-0001 group-id 1 set security group-vpn server group GROUP_ID-0001 member-threshold 2000 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0001 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0002 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0003 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0004 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0005 set security group-vpn server group GROUP_ID-0001 anti-replay-time-window 1000 set security group-vpn server group GROUP_ID-0001 server-member-communication communication-type unicast set security group-vpn server group GROUP_ID-0001 server-member-communication encryption-algorithm aes-256-cbc set security group-vpn server group GROUP_ID-0001 server-member-communication lifetime-seconds 7200 set security group-vpn server group GROUP_ID-0001 server-member-communication sig-hash-algorithm sha-256 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 proposal AES256-SHA256-L3600 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 source 172.16.0.0/12 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 destination 172.16.0.0/12 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 protocol 0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den Gruppen-VPNv2-Server:
Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.10.100.1/24 [edit security zones security-zone GROUPVPN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 then reject user@host# set global policy 1000 then log session-init user@host# set global policy 1000 then count user@host# set default-policy deny-all
Konfigurieren Sie die statischen Routen.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.102.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.103.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.104.0/24 next-hop 10.10.100.254
Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und die Gateways.
[edit security group-vpn server ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn server ike policy GMs] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn server ike gateway GM-0001] user@host# set ike-policy GMs user@host# set address 10.18.101.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0002] user@host# set ike-policy GMs user@host# set address 10.18.102.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0003] user@host# set ike-policy GMs user@host# set address 10.18.103.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0004] user@host# set ike-policy GMs user@host# set address 10.18.104.1 user@host# set local-address 10.10.100.1
Konfigurieren Sie den IPsec-Vorschlag.
[edit security group-vpn server ipsec proposal AES256-SHA256-L3600] user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 3600 VPN Group
Konfigurieren Sie die Gruppe.
[edit security group-vpn server group GROUP_ID-0001] user@host# set group-id 1 user@host# set member-threshold 2000 user@host# set ike-gateway GM-0001 user@host# set ike-gateway GM-0002 user@host# set ike-gateway GM-0003 user@host# set ike-gateway GM-0004 user@host# set anti-replay-time-window 1000
Konfigurieren Sie die Server-zu-Member-Kommunikation.
[edit security group-vpn server group GROUP_ID-0001 server-member-communication] user@host# set communication-type unicast user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 7200 user@host# set sig-hash-algorithm sha-256
Konfigurieren Sie die Gruppenrichtlinie, die an die Gruppenmitglieder heruntergeladen werden soll.
[edit security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001] user@host# set proposal AES256-SHA256-L3600 user@host# set match-policy 1 source 172.16.0.0/12 user@host# set match-policy 1 destination 172.16.0.0/12 user@host# set match-policy 1 protocol 0
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show securityshow routing-optionsdie Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 10.10.100.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.10.100.254;
route 10.18.102.0/24 next-hop 10.10.100.254;
route 10.18.103.0/24 next-hop 10.10.100.254;
route 10.18.104.0/24 next-hop 10.10.100.254;
}
[edit]
user@host# show security
group-vpn {
server {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
authentication-algorithm sha-256;
dh-group group14;
encryption-algorithm aes-256-cbc;
}
policy GMs {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
local-address 10.10.100.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
local-address 10.10.100.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
local-address 10.10.100.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
local-address 10.10.100.1;
}
}
ipsec {
proposal AES256-SHA256-L3600 {
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
}
group GROUP_ID-0001 {
group-id 1;
member-threshold 2000;
ike-gateway GM-0001;
ike-gateway GM-0002;
ike-gateway GM-0003;
ike-gateway GM-0004;
anti-replay-time-window 1000;
server-member-communication {
communication-type unicast;
lifetime-seconds 7200;
encryption-algorithm aes-256-cbc;
sig-hash-algorithm sha-256;
}
ipsec-sa GROUP_ID-0001 {
proposal AES256-SHA256-L3600;
match-policy 1 {
source 172.16.0.0/12;
destination 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone GROUPVPN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von Gruppenmitglied GM-0001 (Gerät der SRX-Serie oder vSRX-Instanz)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 description To_LAN set interfaces ge-0/0/0 unit 0 family inet address 172.16.101.1/24 set interfaces ge-0/0/1 unit 0 description To_KeySrv set interfaces ge-0/0/1 unit 0 family inet address 10.18.101.1/24 set security zones security-zone LAN host-inbound-traffic system-services ike set security zones security-zone LAN host-inbound-traffic system-services ssh set security zones security-zone LAN host-inbound-traffic system-services ping set security zones security-zone LAN interfaces ge-0/0/0.0 set security zones security-zone WAN host-inbound-traffic system-services ike set security zones security-zone WAN host-inbound-traffic system-services ssh set security zones security-zone WAN host-inbound-traffic system-services ping set security zones security-zone WAN interfaces ge-0/0/1.0 set security address-book global address 172.16.0.0/12 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match application any set security policies from-zone LAN to-zone WAN policy 1 then permit set security policies from-zone LAN to-zone WAN policy 1 then log session-init set security policies from-zone WAN to-zone LAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match application any set security policies from-zone WAN to-zone LAN policy 1 then permit set security policies from-zone WAN to-zone LAN policy 1 then log session-init set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set routing-options static route 10.18.102.0/24 next-hop 10.18.101.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.101.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.101.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.101.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.101.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group-vpn-external-interface ge-0/0/1.0 set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 recovery-probe set security ipsec-policy from-zone LAN to-zone WAN ipsec-group-vpn GROUP_ID-0001
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.
[edit interfaces] user@host# set ge-0/0/0 unit 0 description To_LAN user@host# set ge-0/0/0 unit 0 family inet address 172.16.101.1/24 user@host# set ge-0/0/1 unit 0 description To_KeySrv user@host# set ge-0/0/1 unit 0 family inet address 10.18.101.1/24 [edit security zones security-zone LAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/0.0 [edit security] user@host# set address-book global address 172.16.0.0/12 172.16.0.0/12 [edit security zones security-zone WAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security policies from-zone LAN to-zone WAN] user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies from-zone WAN to-zone LAN user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 match then reject user@host# set global policy 1000 match then log session-init user@host# set global policy 1000 match then count user@host# set default-policy deny-all
Konfigurieren Sie die statischen Routen.
[edit routing-options] user@host# set static route 10.18.102.0/24 next-hop 10.18.101.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.101.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.101.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.101.254
Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und das Gateway.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.101.1
Konfigurieren Sie die IPsec-SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group-vpn-external-interface ge-0/0/1.0 user@host# set group 1 user@host# set recovery-probe
Konfigurieren Sie die IPsec-Richtlinie.
[edit security ipsec-policy from-zone LAN to-zone WAN] user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show securityshow routing-optionsdie Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.101.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.101.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.102.0/24 next-hop 10.18.101.254;
route 10.18.103.0/24 next-hop 10.18.101.254;
route 10.18.104.0/24 next-hop 10.18.101.254;
route 172.16.101.0/24 next-hop 10.18.101.254;
route 172.16.102.0/24 next-hop 10.18.101.254;
route 172.16.103.0/24 next-hop 10.18.101.254;
route 172.16.104.0/24 next-hop 10.18.101.254;
route 10.10.100.0/24 next-hop 10.18.101.254;
}
[edit]
user@host# show security
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
server-address 10.10.100.1;
local-address 10.18.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
ipsec-policy {
from-zone LAN to-zone WAN {
ipsec-group-vpn GROUP_ID-0001;
}
}
policies {
from-zone LAN to-zone WAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von Gruppenmitglied GM-0002 (Gerät der SRX-Serie oder vSRX-Instanz)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 description To_LAN set interfaces ge-0/0/0 unit 0 family inet address 172.16.102.1/24 set interfaces ge-0/0/1 unit 0 description To_KeySrv set interfaces ge-0/0/1 unit 0 family inet address 10.18.102.1/24 set security zones security-zone LAN host-inbound-traffic system-services ike set security zones security-zone LAN host-inbound-traffic system-services ssh set security zones security-zone LAN host-inbound-traffic system-services ping set security zones security-zone LAN interfaces ge-0/0/0.0 set security zones security-zone WAN host-inbound-traffic system-services ike set security zones security-zone WAN host-inbound-traffic system-services ssh set security zones security-zone WAN host-inbound-traffic system-services ping set security zones security-zone WAN interfaces ge-0/0/1.0 set security address-book global address 172.16.0.0/12 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match application any set security policies from-zone LAN to-zone WAN policy 1 then permit set security policies from-zone LAN to-zone WAN policy 1 then log session-init set security policies from-zone WAN to-zone LAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match application any set security policies from-zone WAN to-zone LAN policy 1 then permit set security policies from-zone WAN to-zone LAN policy 1 then log session-init set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set routing-options static route 10.18.101.0/24 next-hop 10.18.102.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.102.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.102.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.102.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.102.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group-vpn-external-interface ge-0/0/1.0 set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 recovery-probe set security ipsec-policy from-zone LAN to-zone WAN ipsec-group-vpn GROUP_ID-0001
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.
[edit interfaces] user@host# set ge-0/0/0 unit 0 description To_LAN user@host# set ge-0/0/0 unit 0 family inet address 172.16.102.1/24 user@host# set ge-0/0/1 unit 0 description To_KeySrv user@host# set ge-0/0/1 unit 0 family inet address 10.18.101.1/24 [edit security zones security-zone LAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/0.0 [edit security zones security-zone WAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security] user@host# set address-book global address 172.16.0.0/12 172.16.0.0/12 [edit security policies from-zone LAN to-zone WAN] user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies from-zone WAN to-zone LAN user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 match then reject user@host# set global policy 1000 match then log session-init user@host# set global policy 1000 match then count user@host# set default-policy deny-all
Konfigurieren Sie die statischen Routen.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.102.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.102.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.102.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.102.254
Konfigurieren Sie den IKE-Vorschlag, die Richtlinie und das Gateway.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.102.1
Konfigurieren Sie die IPsec-SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group-vpn-external-interface ge-0/0/1.0 user@host# set group 1 user@host# set recovery-probe
Konfigurieren Sie die IPsec-Richtlinie.
[edit security ipsec-policy from-zone LAN to-zone WAN] user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle und show securityshow routing-optionsdie Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.102.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.102.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.102.254;
route 10.18.103.0/24 next-hop 10.18.102.254;
route 10.18.104.0/24 next-hop 10.18.102.254;
route 172.16.101.0/24 next-hop 10.18.102.254;
route 172.16.102.0/24 next-hop 10.18.102.254;
route 172.16.103.0/24 next-hop 10.18.102.254;
route 172.16.104.0/24 next-hop 10.18.102.254;
route 10.10.100.0/24 next-hop 10.18.102.254;
}
[edit]
user@host# show security
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
server-address 10.10.100.1;
local-address 10.18.102.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
policies {
from-zone LAN to-zone WAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von GM-0003 (Gerät der MX-Serie)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet address 10.18.103.1/24 set interfaces xe-0/0/2 unit 0 family inet address 172.16.103.1/24 set interfaces ms-0/2/0 unit 0 family inet set routing-options static route 10.18.101.0/24 next-hop 10.18.103.254 set routing-options static route 10.18.102.0/24 next-hop 10.18.103.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.103.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.103.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.103.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output set security group-vpn member ipsec vpn GROUP_ID-0001 tunnel-mtu 1400 set security group-vpn member ipsec vpn GROUP_ID-0001 df-bit clear set services service-set GROUP_ID-0001 interface-service service-interface ms-0/2/0.0 set services service-set GROUP_ID-0001 ipsec-group-vpn GROUP_ID-0001 set firewall family inet service-filter GroupVPN-KS term inbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks then skip set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks then skip set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from source-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from destination-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 then service
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet address 10.18.103.1/24 user@host# set xe-0/0/2 unit 0 family inet address 172.16.103.1/24 user@host# set ms-0/2/0 unit 0 family inet
Routing konfigurieren.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.103.254 user@host# set static route 10.18.102.0/24 next-hop 10.18.103.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.103.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.103.254
Konfigurieren Sie IKE-Vorschlag, -Richtlinie und -Gateway.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256 ] user@host# set authentication-method pre-shared-keys user@host# set group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.103.1
Konfigurieren Sie die IPsec-SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group 1 user@host# set match-direction output user@host# set tunnel-mtu 1400 user@host# set df-bit clear
Konfigurieren Sie den Servicefilter.
[edit firewall family inet service-filter GroupVPN-KS] user@host# set term inbound-ks from destination-address 10.10.100.1/32 user@host# set term inbound-ks from source-address 10.10.100.1/32 user@host# set term inbound-ks then skip user@host# set term outbound-ks from destination-address 10.10.100.1/32 user@host# set term outbound-ks then skip user@host# set term GROUP_ID-0001 from source-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 from destination-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 then service
Konfigurieren Sie den Servicesatz.
[edit services service-set GROUP_ID-0001] user@host# set interface-service service-interface ms-0/2/0.0 user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show routing-options, , show securityshow servicesund show firewall eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.103.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.103.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.103.254;
route 10.18.102.0/24 next-hop 10.18.103.254;
route 10.18.104.0/24 next-hop 10.18.103.254;
route 172.16.101.0/24 next-hop 10.18.103.254;
route 172.16.102.0/24 next-hop 10.18.103.254;
route 172.16.103.0/24 next-hop 10.18.103.254;
route 172.16.104.0/24 next-hop 10.18.103.254;
}
[edit]
user@host# show security
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
local-address 10.18.103.1;
server-address 10.10.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
}
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
destination-address {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.10.100.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
}
}
Konfigurieren von GM-0004 (Gerät der MX-Serie)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet address 10.18.104.1/24 set interfaces xe-0/0/2 unit 0 family inet address 172.16.104.1/24 set interfaces ms-0/2/0 unit 0 family inet set routing-options static route 10.18.101.0/24 next-hop 10.18.104.254 set routing-options static route 10.18.102.0/24 next-hop 10.18.104.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.104.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy SubSrv mode main set security group-vpn member ike policy SubSrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy SubSrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway SubSrv ike-policy SubSrv set security group-vpn member ike gateway SubSrv server-address 10.17.101.1 set security group-vpn member ike gateway SubSrv server-address 10.17.102.1 set security group-vpn member ike gateway SubSrv server-address 10.17.103.1 set security group-vpn member ike gateway SubSrv server-address 10.17.104.1 set security group-vpn member ike gateway SubSrv local-address 10.18.104.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway SubSrv set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output set security group-vpn member ipsec vpn GROUP_ID-0001 tunnel-mtu 1400 set security group-vpn member ipsec vpn GROUP_ID-0001 df-bit clear set services service-set GROUP_ID-0001 interface-service service-interface ms-0/2/0.0 set services service-set GROUP_ID-0001 ipsec-group-vpn GROUP_ID-0001 set firewall family inet service-filter GroupVPN-KS term inbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.101.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.102.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.103.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.104.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks then skip set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from source-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from destination-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 then service
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet address 10.18.104.1/24 user@host# set xe-0/0/2 unit 0 family inet address 172.16.104.1/24 user@host# set ms-0/2/0 unit 0 family inet
Routing konfigurieren.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.104.254 user@host# set static route 10.18.102.0/24 next-hop 10.18.104.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.104.254
Konfigurieren Sie IKE-Vorschlag, -Richtlinie und -Gateway.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256 ] user@host# set authentication-method pre-shared-keys user@host# set group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.104.1
Konfigurieren Sie die IPsec-SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group 1 user@host# set match-direction output user@host# set tunnel-mtu 1400 user@host# set df-bit clear
Konfigurieren Sie den Servicefilter.
[edit firewall family inet service-filter GroupVPN-KS] user@host# set term inbound-ks from destination-address 10.10.101.1/32 user@host# set term inbound-ks from source-address 10.10.101.1/32 user@host# set term inbound-ks then skip user@host# set term outbound-ks from destination-address 10.17.101.1/32 user@host# set term outbound-ks from destination-address 10.17.102.1/32 user@host# set term outbound-ks from destination-address 10.17.103.1/32 user@host# set term outbound-ks from destination-address 10.17.104.1/32 user@host# set term outbound-ks then skip user@host# set term GROUP_ID-0001 from source-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 from destination-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 then service
Konfigurieren Sie den Servicesatz.
[edit services service-set GROUP_ID-0001] user@host# set interface-service service-interface ms-0/2/0.0 user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show routing-options, , show securityshow servicesund show firewall eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.104.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.104.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.104.254;
route 10.18.102.0/24 next-hop 10.18.104.254;
route 10.18.103.0/24 next-hop 10.18.104.254;
route 172.16.101.0/24 next-hop 10.18.104.254;
route 172.16.102.0/24 next-hop 10.18.104.254;
route 172.16.103.0/24 next-hop 10.18.104.254;
route 172.16.104.0/24 next-hop 10.18.104.254;
}
[edit]
user@host# show security
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
local-address 10.18.104.1;
server-address 10.17.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
}
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
destination-address {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
}
}
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Verifizieren der Registrierung von Gruppenmitglieden
- Stellen Sie sicher, dass Gruppenschlüssel verteilt sind
- Überprüfen von Gruppen-VPN-SAs auf dem Gruppenserver
- Überprüfung von Gruppen-VPN-SAs auf Gruppenmitgliedern
- Überprüfen von IPsec-SAs auf dem Gruppenserver
- Überprüfen von IPsec-SAs auf den Gruppenmitgliedern
- Überprüfen von Gruppenrichtlinien (nur SRX- oder vSRX-Gruppenmitglieder)
Verifizieren der Registrierung von Gruppenmitglieden
Zweck
Stellen Sie sicher, dass Gruppenmitglieder auf dem Server registriert sind.
Aktion
Geben Sie im Betriebsmodus die show security group-vpn server registered-members Befehle auf show security group-vpn server registered-members detail dem Server ein.
user@host> show security group-vpn server registered-members Group: GROUP_ID-0001, Group Id: 1 Total number of registered members: 2 Member Gateway Member IP Last Update Vsys GM-0001 10.18.101.1 Thu Nov 19 2015 16:31:09 root GM-0003 10.18.103.1 Thu Nov 19 2015 16:29:47 root
user@host> show security group-vpn server registered-members detail
GGroup: GROUP_ID-0001, Group Id: 1
Total number of registered members: 2
Member gateway: GM-0001, Member IP: 10.18.101.1, Vsys: root
Last Update: Thu Nov 19 2015 16:31:09
Stats:
Pull Succeeded : 2
Pull Failed : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Member gateway: GM-0003, Member IP: 10.18.103.1, Vsys: root
Last Update: Thu Nov 19 2015 16:29:47
Stats:
Pull Succeeded : 1
Pull Failed : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Stellen Sie sicher, dass Gruppenschlüssel verteilt sind
Zweck
Stellen Sie sicher, dass Gruppenschlüssel an mitglieder verteilt werden.
Aktion
Geben Sie im Betriebsmodus den show security group-vpn server statistics Befehl auf dem Gruppenserver ein.
user@host> show security group-vpn server statistics
Group: GROUP_ID-0001, Group Id: 1
Stats:
Pull Succeeded : 4
Pull Failed : 0
Pull Exceed Member Threshold : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Überprüfen von Gruppen-VPN-SAs auf dem Gruppenserver
Zweck
Überprüfen Sie die Gruppen-VPN-SAs auf dem Gruppenserver.
Aktion
Geben Sie im Betriebsmodus die show security group-vpn server kek security-associations Befehle auf show security group-vpn server kek security-associations detail dem Gruppenserver ein.
user@host> show security group-vpn server kek security-associations Index Life:sec Initiator cookie Responder cookie GroupId 738879 1206 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn server kek security-associations detail Index 738879, Group Name: GROUP_ID-0001, Group Id: 1 Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64 Authentication method: RSA Lifetime: Expires in 1204 seconds, Activated Rekey in 694 seconds Algorithms: Sig-hash : sha256 Encryption : aes256-cbc Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Server Member Communication: Unicast Retransmission Period: 10, Number of Retransmissions: 2 Group Key Push sequence number: 0 PUSH negotiations in progress: 0
Überprüfung von Gruppen-VPN-SAs auf Gruppenmitgliedern
Zweck
Überprüfen Sie Gruppen-VPN-SAs auf den Gruppenmitgliedern.
Aktion
Geben Sie im Betriebsmodus die show security group-vpn member kek security-associations Befehle für show security group-vpn member kek security-associations detail das SRX- oder vSRX-Gruppenmitglied ein.
user@host> show security group-vpn member kek security-associations Index Server Address Life:sec Initiator cookie Responder cookie GroupId 5455810 10.10.100.1 1093 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn member kek security-associations detail
Index 5455810, Group Id: 1
Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.101.1, GDOI Server: 10.10.100.1
Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64
Lifetime: Expires in 1090 seconds
Group Key Push Sequence number: 0
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
Geben Sie im Betriebsmodus die show security group-vpn member kek security-associations Befehle für show security group-vpn member kek security-associations detail das Gruppenmitglied der MX-Serie ein.
user@host> show security group-vpn member kek security-associations Index Server Address Life:sec Initiator cookie Responder cookie GroupId 488598 10.10.100.1 963 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn member kek security-associations detail
Index 488598, Group Id: 1
Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.103.1, GDOI Server: 10.10.100.1
Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64
Lifetime: Expires in 961 seconds
Group Key Push Sequence number: 0
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
Überprüfen von IPsec-SAs auf dem Gruppenserver
Zweck
Überprüfen Sie IPsec-SAs auf dem Gruppenserver.
Aktion
Geben Sie im Betriebsmodus die show security group-vpn server ipsec security-associations Befehle auf show security group-vpn server ipsec security-associations detail dem Gruppenserver ein.
user@host> show security group-vpn server ipsec security-associations Group: GROUP_ID-0001, Group Id: 1 Total IPsec SAs: 1 IPsec SA Algorithm SPI Lifetime GROUP_ID-0001 ESP:aes-256/sha256 1c548e4e 1156
user@host> show security group-vpn server ipsec security-associations detail
Group: GROUP_ID-0001, Group Id: 1
Total IPsec SAs: 1
IPsec SA: GROUP_ID-0001
Protocol: ESP, Authentication: sha256, Encryption: aes-256
Anti-replay: D3P enabled
SPI: 1c548e4e
Lifetime: Expires in 1152 seconds, Activated
Rekey in 642 seconds
Policy Name: 1
Source: 172.16.0.0/12
Destination: 172.16.0.0/12
Source Port: 0
Destination Port: 0
Protocol: 0
Überprüfen von IPsec-SAs auf den Gruppenmitgliedern
Zweck
Überprüfen Sie IPsec-SAs auf den Gruppenmitgliedern.
Aktion
Geben Sie im Betriebsmodus die show security group-vpn member ipsec security-associations Befehle für show security group-vpn member ipsec security-associations detail das SRX- oder vSRX-Gruppenmitglied ein.
user@host> show security group-vpn member ipsec security-associations Total active tunnels: 1 ID Server Port Algorithm SPI Life:sec/kb GId lsys <>49152 10.10.100.1 848 ESP:aes-256/sha256-128 1c548e4e 1073/ unlim 1 root
user@host> show security group-vpn member ipsec security-associations detail
Virtual-system: root Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.101.1, GDOI Server: 10.10.100.1
Group Id: 1
Routing Instance: default
Recovery Probe: Enabled
DF-bit: clear
Stats:
Pull Succeeded : 4
Pull Failed : 3
Pull Timeout : 3
Pull Aborted : 0
Push Succeeded : 6
Push Failed : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(10): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
List of policies received from server:
Tunnel-id: 49152
Source IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Destination IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Direction: bi-directional, SPI: 1c548e4e
Protocol: ESP, Authentication: sha256-128, Encryption: aes-256
Hard lifetime: Expires in 1070 seconds, Activated
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 931 seconds
Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: D3P enabled
Geben Sie im Betriebsmodus die show security group-vpn member ipsec security-associations Befehle für show security group-vpn member ipsec security-associations detail das Gruppenmitglied der MX-Serie ein.
user@host> show security group-vpn member ipsec security-associations Total active tunnels: 1 ID Server Port Algorithm SPI Life:sec/kb GId lsys <>10001 10.10.100.1 848 ESP:aes-256/sha256-128 1c548e4e 947/ unlim 1 root
user@host> show security group-vpn member ipsec security-associations detail
Virtual-system: root Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.103.1, GDOI Server: 10.10.100.1
Group Id: 1
Rule Match Direction: output, Tunnel-MTU: 1400
Routing Instance: default
DF-bit: clear
Stats:
Pull Succeeded : 2
Pull Failed : 0
Pull Timeout : 1
Pull Aborted : 0
Push Succeeded : 2
Push Failed : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(1): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
List of policies received from server:
Tunnel-id: 10001
Source IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Destination IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Direction: bi-directional, SPI: 1c548e4e
Protocol: ESP, Authentication: sha256-128, Encryption: aes-256
Hard lifetime: Expires in 945 seconds, Activated
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 840 seconds
Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: D3P enabled
Überprüfen von Gruppenrichtlinien (nur SRX- oder vSRX-Gruppenmitglieder)
Zweck
Überprüfen von Gruppenrichtlinien für SRX- oder vSRX-Gruppenmitglieder.
Aktion
Geben Sie im Betriebsmodus den show security group-vpn member policy Befehl für das Gruppenmitglied ein.
user@host> show security group-vpn member policy Group VPN Name: GROUP_ID-0001, Group Id: 1 From-zone: LAN, To-zone: WAN Tunnel-id: 49152, Policy type: Secure Source : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol <0> Destination : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol <0> Tunnel-id: 63488, Policy type: Fail-close Source : IP <0.0.0.0 - 255.255.255.255>, Port <0 - 65535>, Protocol <0> Destination : IP <0.0.0.0 - 255.255.255.255>, Port <0 - 65535>, Protocol <0>
Beispiel: Konfigurieren der Kommunikation von Gruppen-VPNv2-Servermitarbeitern für Unicast-Rekey-Nachrichten
Dieses Beispiel zeigt, wie der Server Unicast-Neuschlüsselnachrichten an Gruppenmitglieder senden kann, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind. Group VPNv2 wird auf SRX300-, SRX320-, SRX340-, SRX345-, SRX550HM-, SRX1500-, SRX4100-, SRX4200- und SRX4600-Geräten und vSRX-Instanzen unterstützt.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie den Gruppenserver und die Mitglieder für die IKE Phase 1-Aushandlung.
Konfigurieren Sie den Gruppenserver und die Mitglieder für IPsec SA.
Konfigurieren Sie die Gruppe
g1auf dem Gruppenserver.
Überblick
In diesem Beispiel geben Sie die folgenden Kommunikationsparameter für Servermitglied für Gruppe g1an:
Der Server sendet Unicast-Neuschlüsselmeldungen an Gruppenmitglieder.
aes-128-cbc wird verwendet, um den Datenverkehr zwischen dem Server und den Mitgliedern zu verschlüsseln.
sha-256 wird für die Mitgliederauthentifizierung verwendet.
Standardwerte werden für KEK-Lebensdauer und -Übertragungen verwendet.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die Kommunikation zwischen Servermitarbeitern:
Legen Sie den Kommunikationstyp fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set communications-type unicast
Legen Sie den Verschlüsselungsalgorithmus fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm aes-128-cbc
Legen Sie die Mitgliederauthentifizierung fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha-256
Überprüfung
Geben Sie den Befehl ein, um zu überprüfen, ob die show security group-vpn server group g1 server-member-communication Konfiguration ordnungsgemäß funktioniert.