Gruppen-VPNv2
Group VPNv2 stellt das Konzept einer vertrauenswürdigen Gruppe vor, um Punkt-zu-Punkt-Tunnel und das zugehörige Overlay-Routing zu eliminieren. Alle Gruppenmitglieder teilen sich eine gemeinsame Sicherheitszuordnung (Sa), die auch als Gruppenzuordnung bezeichnet wird.
Gruppen-VPNv2 – Überblick
Eine IPsec Security Association (SA) ist eine unidirektionale Vereinbarung zwischen Teilnehmern virtueller privater Netzwerke (VPN), die die Regeln für die Authentifizierung und Verschlüsselungsalgorithmen, schlüsselen Austauschmechanismen und die sichere Kommunikation definiert. Bei vielen VPN-Implementierungen ist die SICHERHEITSzuordnung ein Point-to-Point-Tunnel zwischen zwei Sicherheitsgeräten Abbildung 1 (siehe).
Group VPNv2 erweitert die IPsec-Architektur zur Unterstützung von Sicherheitsas, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden Abbildung 2 (siehe). Mit Group VPNv2 können Any-to-Any-Konnektivität Quell- und Ziel-IP-Adressen im äußeren Header verwendet werden. Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt.
Group VPNv2 ist eine erweiterte Version der Gruppen-VPN-Funktion, die in einer früheren Version Junos OS für Geräte der SRX-Serie eingeführt wurde. Group VPNv2 auf Juniper-Geräten unterstützt RFC 6407, The Group Domain of Interpretation (GDOI)und ist mit anderen Geräten kompatibel, die RFC 6407 erfüllen.
- Grundlegendes zum GDOI-Protokoll für Group VPNv2
- Grundlegende Informationen zu VPNv2-Servern und -Mitgliedern der Gruppe
- Grundlegende Informationen zu Gruppen-VPNv2-Beschränkungen
- Understanding Group VPNv2 Server-Member Communication
- Grundlegende Informationen zu Gruppen-VPNv2-Schlüsselvorgängen
Grundlegendes zum GDOI-Protokoll für Group VPNv2
Group VPNv2 basiert auf RFC 6407, The Group Domain of Interpretation (GDOI). Dieser RFC beschreibt das Protokoll zwischen Gruppenmitgliedern und Gruppenservern, um SAs zwischen Gruppenmitgliedern zu erstellen. GDOI-Nachrichten erstellen, pflegen oder löschen SAs für eine Gerätegruppe. Gruppen-VPNv2 wird auf vSRX Instanzen und allen Geräten der SRX-Serie unterstützt, mit Ausnahme von SRX5400-, SRX5600- und SRX5800-Geräten.
Das GDOI-Protokoll wird unter UDP-Port 848 ausgeführt. Die Internet Security Association und das Key Management Protocol (ISAKMP) definiert zwei Aushandlungsphasen zum Erstellen von Sicherheitsas für einen IKE IPsec-Tunnel. In Phase 1 können zwei Geräte eine ISAKMP-SICHERHEITSzuordnung für andere Sicherheitsprotokolle wie GDOI einrichten.
Mit Group VPNv2 wird die 1. Phase der ISAKMP-SA-Aushandlung zwischen einem Gruppenserver und einem Gruppenmitglied ausgeführt. Server und Mitglied müssen die gleiche ISAKMP-Richtlinie verwenden. GDOI-Austausch zwischen Server und Mitglied erstellen die SAs, die mit anderen Gruppenmitgliedern gemeinsam genutzt werden. Ein Gruppenmitglied muss ipSec nicht mit anderen Gruppenmitgliedern aushandeln. GDOI-Börsen müssen durch ISAKMP Phase 1-SAs geschützt werden.
Es gibt zwei Arten von GDOI-Börsen:
Über den Austausch kann ein Mitglied AAs und Schlüssel anfordern, die von der Gruppe
groupkey-pullvom Server gemeinsam genutzt werden. Gruppenmitglieder müssen sich über einen Exchange bei einem Gruppenservergroupkey-pullanmelden.Der Austausch ist eine einzige Rekey-Nachricht, mit der der Server Gruppen-SAs und Schlüssel an Mitglieder senden kann, bevor vorhandene
groupkey-pushGruppen-SAs ablaufen. Rekey-Nachrichten sind unerwünschte Nachrichten, die vom Server an Mitglieder gesendet werden.
Grundlegende Informationen zu VPNv2-Servern und -Mitgliedern der Gruppe
Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Das Zentrum von Group VPNv2 ist der Group Controller/Key Server (GCKS). Zur Bereitstellung von GCKS-Redundanz kann ein Server-Cluster verwendet werden.
Der GCKS- oder Gruppenserver führt die folgenden Aufgaben aus:
Steuert die Gruppenmitgliedschaft.
Generiert Verschlüsselungsschlüssel.
Sendet neue Gruppen-SAs und -Schlüssel an Mitglieder. Gruppenmitglieder verschlüsseln Datenverkehr basierend auf den vom Gruppenserver bereitgestellten Gruppen-SAs und Schlüsseln.
Ein Gruppenserver kann mehrere Gruppen nutzen. Ein einzelnes Sicherheitsgerät kann ein Mitglied mehrerer Gruppen sein.
Jede Gruppe wird durch eine Gruppenkennung dargestellt, die eine Zahl zwischen 1 und 4.294.967.295 ist. Der Gruppenserver und die Gruppenmitglieder werden über die Gruppenkennung verknüpft. Pro Gruppe kann nur eine Gruppenkennung verwendet werden, und mehrere Gruppen können nicht die gleiche Gruppenkennung verwenden.
Im Folgenden finden Sie eine high-level-Ansicht der Gruppen-VPNv2-Server- und Mitgliederaktionen:
Der Gruppenserver hört den UDP-Port 848 an, damit sich Mitglieder registrieren können.
Für die Registrierung beim Gruppenserver stellt das Mitglied zuerst eine IKE-Sicherheitszuordnung für den Server fest. Ein Mitglied muss für die IKE Der Gruppe die richtige Phase-1-Authentifizierung bereitstellen. Preshared Key-Authentifizierung pro Mitglied wird unterstützt.
Nach der erfolgreichen Authentifizierung und Registrierung ruft das Member-Gerät Gruppen-Sicherheitsas und Schlüssel für die angegebene Gruppenkennung vom Server mit einer GDOI-Börse
groupkey-pullab.Der Server fügt das Mitglied zur Mitgliedschaft für die Gruppe hinzu.
Gruppenmitglieder tauschen mit Gruppen-SA-Schlüsseln verschlüsselte Pakete aus.
Der Server sendet SA- und Schlüsselaktualisierungen mit GDOI-Nachrichten groupkey-push (Rekey). Der Server sendet vor Ablauf der SAs Rekey-Nachrichten, um sicherzustellen, dass für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern gültige Schlüssel verfügbar sind.
Eine vom Server gesendete Neuschlüsselnachricht erfordert eine Bestätigungsnachricht (ack) jedes Gruppenmitglieds. Wenn der Server keine "ack"-Nachricht vom Mitglied erhält, wird die Neuschlüsselnachricht an die konfigurierte (standardmäßig 10 Sekunden) erneut retransmission-period übertragen. Wenn nach der Konfiguration keine Antwort vom Mitglied erhalten wurde (Standard: 2 Mal), wird das Mitglied von den registrierten Mitgliedern des number-of-retransmission Servers entfernt. Die IKE SICHERHEITSzuordnung zwischen Server und Mitglied wird ebenfalls entfernt.
Der Server sendet auch Rekey-Nachrichten, um den Mitgliedern neue Schlüssel zur Verfügung zu stellen, wenn die Sicherheitszuordnung der Gruppe geändert wurde.
Grundlegende Informationen zu Gruppen-VPNv2-Beschränkungen
Gruppen-VPNv2-Server arbeiten nur mit Gruppen-VPNv2-Mitgliedern, die RFC 6407, The Group Domain of Interpretation (GDOI) unterstützen.
Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Für Group VPNv2 wird Folgendes nicht unterstützt:
SNMP.
Verweigern Sie Richtlinien vom CISCO GET VPN-Server.
PKI-Unterstützung für die Phase 1 IKE Authentifizierung.
Kollokation von Gruppenservern und -member, bei der Server- und Mitgliederfunktionen im selben physischen Gerät koexistär sind.
Als Gehäusecluster konfigurierte Gruppenmitglieder
J-Web-Schnittstelle für Konfiguration und Überwachung.
Multicast-Datenverkehr.
Gruppen-VPNv2 wird in Bereitstellungen, in denen IP-Adressen nicht beibehalten werden, nicht unterstützt, z. B. über das Internet, wo NAT verwendet wird.
Understanding Group VPNv2 Server-Member Communication
Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Die Kommunikation zwischen Servern ermöglicht dem Server, groupkey-push GDOI-Nachrichten (Rekey) an Mitglieder zu senden. Wenn die Kommunikation zwischen Servern nicht für die Gruppe konfiguriert ist, können Mitglieder GDOI-Nachrichten zur Registrierung und erneuten Registrierung beim Server senden. Der Server kann jedoch keine Nachrichten an Mitglieder groupkey-pullgroupkey-push senden.
Die Kommunikation zwischen Servern wird für die Gruppe mithilfe der Konfigurationserklärung server-member-communication in der [ ] edit security group-vpn server Hierarchie konfiguriert. Folgende Optionen können definiert werden:
Authentifizierungsalgorithmus (sha-256 oder sha-384) zur Authentifizierung des Mitglieds am Server. Es gibt keinen Standardalgorithmus.
Verschlüsselungsalgorithmus für die Kommunikation zwischen Server und Mitglied. Sie können aes-128-cbc, aes-192-cbc oder aes-256-cbc angeben. Es gibt keinen Standardalgorithmus.
Unicast-Kommunikationstyp für Rekey-Nachrichten, die an Gruppenmitglieder gesendet werden.
Lebensdauer des Schlüsselverschlüsselungsschlüssels (KEK). Sie beträgt standardmäßig 3600 Sekunden.
Anzahl der erneuten Nachrichten an einen Gruppenserver ohne Eine Antwort (Standard: 2 Mal) und Zeitraum zwischen erneuten Übertragungen
groupkey-push(Standard: 10 Sekunden).
Wenn die Kommunikation zwischen Servern für eine Gruppe nicht konfiguriert ist, wird die Mitgliedschaftsliste angezeigt, die von den Befehlen für Gruppenmitglieder angezeigt wird, die sich beim Server registriert haben. Mitglieder können aktiv sein show security group-vpn server registered-members oder nicht. Wenn die Kommunikation zwischen Servern für eine Gruppe konfiguriert ist, wird die Gruppenmitgliedschaftsliste löschen. Bei Unicast-Kommunikationstyp werden show security group-vpn server registered-members nur aktive Mitglieder gezeigt.
Grundlegende Informationen zu Gruppen-VPNv2-Schlüsselvorgängen
Dieses Thema enthält die folgenden Abschnitte:
Gruppenschlüssel
Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Der Gruppenserver verwaltet eine Datenbank zum Verfolgen der Beziehung zwischen VPN-Gruppen, Gruppenmitgliedern und Gruppenschlüsseln. Es gibt zwei Arten von Gruppenschlüsseln, die der Server an Mitglieder herunterlädt:
Schlüsselverschlüsselungsschlüssel (KEK): Für die Verschlüsselung des SA-Rekey-Austauschs (GDOI)
groupkey-pushverwendet. Pro Gruppe wird ein KEK unterstützt.Datenverkehrsverschlüsselungsschlüssel (Traffic Encryption Key, TEK): Wird zur Verschlüsselung und Entschlüsselung des IPsec-Datenverkehrs zwischen Gruppenmitgliedern verwendet.
Der mit einer Sicherheitszuordnung verbundene Schlüssel wird von einem Gruppenmitglied nur akzeptiert, wenn auf dem Mitglied eine entsprechende Richtlinie konfiguriert ist. Ein akzeptierter Schlüssel wird für die Gruppe installiert, während ein abgelehnter Schlüssel verworfen wird.
Rekey-Nachrichten
Wenn die Gruppe für die Kommunikation zwischen Servern konfiguriert ist, sendet der Server SA und Schlüsselaktualisierungen mit Rekey-Nachrichten (GDOI) an groupkey-push Gruppenmitglieder. Rekey-Nachrichten werden vor Ablauf der SAs gesendet. Auf diese Weise wird sichergestellt, dass für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern gültige Schlüssel verfügbar sind.
Der Server sendet auch Rekey-Nachrichten, um den Mitgliedern neue Schlüssel zur Verfügung zu stellen, wenn eine Gruppenmitgliedschaft oder die Gruppenzuordnung geändert wurde (z. B. eine Gruppenrichtlinie hinzugefügt oder gelöscht wird).
Kommunikationsoptionen für Servermitglieder müssen auf dem Server konfiguriert werden, damit der Server Rekey-Nachrichten an Gruppenmitglieder senden kann.
Der Gruppenserver sendet eine Kopie der Unicast-Rekey-Nachricht an jedes Gruppenmitglied. Nachdem die Neueinschrift erhalten wurde, müssen die Mitglieder eine Bestätigung (ACK) an den Server senden. Wenn der Server keinen ACK von einem Mitglied erhält (einschließlich der erneuten Übertragung von Rekey-Nachrichten), sieht der Server die Inaktive des Servers aus der Mitgliedschaftsliste aus. Der Server sendet nicht mehr Rekey-Nachrichten an den Member.
Die Konfigurationserklärungen für die Kommunikation zwischen Servern kontrollieren die erneute Verrechnung von number-of-retransmission Rekey-Nachrichten durch den Server, wenn kein ACK von einem Mitglied retransmission-period empfangen wird.
Das Intervall, in dem der Server Rekey-Nachrichten sendet, basiert auf dem Wert der Konfigurationserklärung in der lifetime-seconds [ edit security group-vpn server group group-name ] Hierarchie. Neue Schlüssel werden vor ablaufen der KEK- und TEK-Schlüssel generiert.
Der für KEK wird als Teil der Kommunikation zwischen Servern konfiguriert. Der Standard beträgt lifetime-seconds 3600 Sekunden. Der lifetime-seconds TEK ist für den IPsec-Vorschlag konfiguriert. Der Standard beträgt 3600 Sekunden.
Registrierung von Mitglieder
Wenn ein Gruppenmitglied keinen neuen SA-Schlüssel vom Server erhält, bevor der aktuelle Schlüssel abläuft, muss sich das Mitglied beim Server erneut registrieren und die aktualisierten Schlüssel bei einem GDOI-Austausch groupkey-pull erhalten.
Gruppen-VPNv2-Konfiguration – Übersicht
Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. In diesem Thema werden die Wichtigsten Aufgaben für die Konfiguration von Group VPNv2 beschrieben.
Der Group Controller/Key Server (GCKS) verwaltet Gruppen-VPNv2-Sicherheitszuordnungen (SAs), generiert Verschlüsselungsschlüssel und verteilt sie an Gruppenmitglieder. Sie können einen Group VPNv2-Servercluster zur Bereitstellung von GCKS-Redundanz verwenden. Informationen finden Sie in Gruppen-VPNv2-Server-Clustern.
Konfigurieren Sie auf den Gruppenservern Folgendes:
- IKE 1. Phase SA. Weitere Informationen zur IKE 1 Konfiguration für Group VPNv2finden Sie unter.
- IPsec-SA. Informationen zur IPsec SA-Konfiguration für Group VPNv2finden Sie unter Verstehen der IPsec SA-Konfiguration.
- Informationen für VPN-Gruppen, einschließlich der Gruppenkennung, IKE Gateways für Gruppenmitglieder, die maximale Anzahl von Mitgliedern in der Gruppe und Die Kommunikation zwischen Servern. Die Gruppenkonfiguration umfasst eine Gruppenrichtlinie, die den Datenverkehr definiert, für den die Sicherheitszuordnung und die Schlüssel gelten. Servercluster und Antireplay-Zeitfenster können optional konfiguriert werden. Informationen zur Gruppen-VPNv2-Konfigurationsübersicht und Informationen zu Gruppen-VPNv2-Datenverkehrssteuerung.
Konfigurieren Sie im Gruppenmitglied Folgendes:
IKE 1. Phase SA. Weitere Informationen zur IKE 1 Konfiguration für Group VPNv2finden Sie unter.
IPsec-SA. Informationen zur IPsec SA-Konfiguration für Group VPNv2finden Sie unter Verstehen der IPsec SA-Konfiguration.
Die IPsec-Richtlinie definiert die eingehende Zone (in der Regel ein geschütztes LAN), die Ausgehende Zone (in der Regel ein WAN) und die VPN-Gruppe, für die die Richtlinie gilt. Auch Regeln zum Ausschließen oder Nicht-Öffnen können festgelegt werden. Siehe Understanding Group VPNv2 Traffic Steering (Verstehen von Gruppen-VPNv2-Datenverkehrssteuerung).
Sicherheitsrichtlinie, um GRUPPEN-VPN-Datenverkehr zwischen den in der IPsec-Richtlinie angegebenen Zonen zu ermöglichen.
Der Betrieb von Gruppen-VPNv2 erfordert eine funktionierende Routing-Topologie, die es Client-Geräten ermöglicht, ihre gedachten Standorte im gesamten Netzwerk zu erreichen.
Die Gruppe wird auf dem Server mit der Konfigurationserklärung group in der [ ] edit security group-vpn server Hierarchie konfiguriert.
Die Gruppeninformationen bestehen aus den folgenden Informationen:
Gruppenkennung: Ein Wert, der die VPN-Gruppe identifiziert. Dieselbe Gruppenkennung muss im Gruppenmitglied konfiguriert sein.
Jedes Gruppenmitglied wird mit der
ike-gatewayKonfigurationserklärung konfiguriert. Diese Konfigurationserklärung kann mehrere Instanzen haben (einen für jedes Mitglied der Gruppe).Gruppenrichtlinien: Richtlinien, die von Mitgliedern heruntergeladen werden sollen. Gruppenrichtlinien beschreiben den Datenverkehr, für den die Sicherheitszuordnung und die Schlüssel gelten. Siehe Understanding Group VPNv2 Traffic Steering (Verstehen von Gruppen-VPNv2-Datenverkehrssteuerung).
Schwellwert für Mitglieder: Die maximale Anzahl von Mitgliedern in der Gruppe. Nachdem der Grenzwert für eine Gruppe erreicht wurde, reagiert ein Server nicht mehr
groupkey-pullauf Initiierungsanfragen neuer Mitglieder. Informationen finden Sie in Gruppen-VPNv2-Server-Clustern.Kommunikation zwischen Servern: Optionale Konfiguration, mit der der Server
groupkey-pushRekey-Nachrichten an Mitglieder senden kann.Server-Cluster: Optionale Konfiguration, die die Redundanz des Group Controller/Key Servers (GCKS) unterstützt. Informationen finden Sie in Gruppen-VPNv2-Server-Clustern.
Antireplay: Optionale Konfiguration, die Paketfilterung und -wiedergabe erkennt. Siehe Understanding Group VPNv2 Antireplay (Verstehen von Gruppen-VPNv2-Antireplay).
Grundlegende IKE Phase 1-Konfiguration für Gruppen-VPNv2
Ein IKE Phase 1-Sicherheitszuordnung zwischen einem Gruppenserver und einem Gruppenmitglied stellt einen sicheren Kanal für die Aushandlung von IPsec-Sicherheitszuordnungen bereit, die von einer Gruppe gemeinsam genutzt werden. Für Standard-IPsec-VPNs auf Sicherheitsgeräten Juniper Networks Sicherheitsgeräten besteht die Konfiguration der 1. Phase aus der Angabe eines IKE Angebot, einer Richtlinie und eines Gateways.
Bei Gruppen-VPNv2 entspricht die Konfiguration IKE Phase 1 SA der Konfiguration von Standard-IPsec-VPNs, wird jedoch in den [ edit security group-vpn server ike ] und [ ] edit security group-vpn member ike Hierarchien ausgeführt. Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt.
In der IKE Angebot wurden die Authentifizierungsmethode und die Authentifizierungs- und Verschlüsselungsalgorithmen festgelegt, die verwendet werden, um einen sicheren Kanal zwischen den Teilnehmern zu öffnen. In der IKE Richtlinienkonfiguration geben Sie den Modus an, in dem der Phase-1-Kanal ausgehandelt wird, geben Sie den Typ des zu verwendenden Schlüsselaustauschs an, und verweisen Sie auf den Phase-1-Vorschlag. In der IKE Gateway-Konfiguration verweisen Sie auf die Richtlinie für Phase 1.
Der IKE und die Richtlinienkonfiguration auf dem Gruppenserver müssen dem IKE und der Richtlinienkonfiguration für Gruppenmitglieder übereinstimmen. Auf einem Gruppenserver wird IKE Gateway für jedes Gruppenmitglied konfiguriert. Für ein Gruppenmitglied können in der Konfiguration des Gateways bis zu vier Serveradressen IKE werden.
Grundlegende Informationen zur IPsec SA-Konfiguration für Group VPNv2
Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Nachdem Server und Mitglied in Phase 1-Verhandlungen einen sicheren und authentifizierten Kanal eingerichtet haben, führen sie die IPsec-Sicherheitsas ein, die von Gruppenmitgliedern gemeinsam genutzt werden, um Daten zu sichern, die von Mitgliedern übermittelt werden. Während die IPsec SA-Konfiguration für Group VPNv2 der Konfiguration von Standard-VPNs ähnelt, muss ein Gruppenmitglied die Sicherheitszuordnung nicht mit anderen Gruppenmitgliedern aushandeln.
Die IPsec-Konfiguration für Group VPNv2 besteht aus den folgenden Informationen:
Auf dem Gruppenserver wird ein IPsec-Angebot für das für die Sicherheitszuordnung zu verwendende Sicherheitsprotokoll, die Authentifizierung und den Verschlüsselungsalgorithmus konfiguriert. Der IPsec SA-Vorschlag wird auf dem Gruppenserver mit der Konfigurationserklärung in der
proposal[ ] Hierarchieedit security group-vpn server ipseckonfiguriert.Auf dem Gruppenmitglied wird ein Autokey-IKE konfiguriert, der auf die Gruppenkennung, den Gruppenserver (mit der Konfigurationsauszug konfiguriert) und die Vom Mitglied für die Verbindung mit Gruppen-Peers verwendete Schnittstelle
ike-gatewayreferenziert. Der Autokey-IKE wird auf dem Mitglied mit der Konfigurationserklärung in dervpn[ ] Hierarchieedit security group-vpn member ipseckonfiguriert.
Siehe auch
Grundlegendes zur Datenverkehrssteuerung in Gruppe VPNv2
Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Der Gruppenserver verteilt IPSec-Sicherheitszuordnungen (SAs) und Schlüssel an Mitglieder einer bestimmten Gruppe. Alle Mitglieder derselben Gruppe teilen sich die gleichen IPSec-SAs. Die sicherheitszuordnung, die auf einem bestimmten Gruppenmitglied installiert ist, wird anhand der Richtlinie festgelegt, die mit der Gruppenzuordnung und der IPsec-Richtlinie verknüpft ist, die auf dem Gruppenmitglied konfiguriert ist.
- Auf Gruppenservern konfigurierte Gruppenrichtlinien
- Auf Gruppenmitgliedern konfigurierte IPsec-Richtlinien
- Fail-Close
- Ausschluss- und Fail-Open-Regeln
- Prioritäten der IPsec-Richtlinien und -Regeln
Auf Gruppenservern konfigurierte Gruppenrichtlinien
In einer VPN-Gruppe werden jede Sicherheitszuordnung der Gruppe und der Schlüssel, den der Server an ein Mitglied übermittelt, einer Gruppenrichtlinie zugeordnet. Die Gruppenrichtlinie beschreibt den Datenverkehr, für den der Schlüssel verwendet werden soll, einschließlich Protokoll, Quelladresse, Quell-Port, Zieladresse und Ziel-Port. Auf dem Server wird die Gruppenrichtlinie mit den Optionen match-policy policy-name auf der [ ] edit security group-vpn server group name ipsec-sa name Hierarchieebene konfiguriert.
Gruppenrichtlinien, die identisch sind (konfiguriert mit der gleichen Quelladresse, Zieladresse, Quell-Port, Ziel-Port und Protokollwerten), können nicht für eine einzige Gruppe vorhanden sein. Wenn Sie versuchen, eine Konfiguration zu commit, die identische Gruppenrichtlinien für eine Gruppe enthält, wird ein Fehler zurückgegeben. In diesem Fall müssen Sie eine identische Gruppenrichtlinien löschen, bevor Sie die Konfiguration festlegen können.
Auf Gruppenmitgliedern konfigurierte IPsec-Richtlinien
Auf dem Gruppenmitglied besteht eine IPsec-Richtlinie aus den folgenden Informationen:
Eingehende Zone (
from-zone) für Gruppendatenverkehr.Ausgehende Zone (
to-zone) für Gruppendatenverkehr.Der Name der Gruppe, für die die IPsec-Richtlinie gilt. Nur ein Gruppen-VPNv2-Name kann durch ein bestimmtes Zonen-/Zonen-Paar referenziert werden.
Die Schnittstelle, die vom Gruppenmitglied für die Verbindung mit Group VPNv2 verwendet wird, muss zur ausgehenden Zone gehören. Diese Schnittstelle wird mit der group-vpn-external-interface Anweisung auf der [ ] edit security group-vpn member ipsec vpn vpn-name Hierarchieebene angegeben.
Auf der Gruppenebene wird die IPsec-Richtlinie auf der [ edit security ipsec-policy ] Hierarchieebene konfiguriert. Datenverkehr, der der IPsec-Richtlinie entspricht, wird weiter gegen Ausschluss- und Fail-Open-Regeln geprüft, die für die Gruppe konfiguriert sind.
Fail-Close
Standardmäßig wird Datenverkehr blockiert, der nicht ausgeschlossene oder nicht offene Regeln oder Gruppenrichtlinien enthält, die vom Gruppenserver empfangen werden. auch fail-close genannt.
Ausschluss- und Fail-Open-Regeln
Für Gruppenmitglieder können für jede Gruppe die folgenden Regeltypen konfiguriert werden:
Datenverkehr, der nicht aus der VPN-Verschlüsselung enthalten ist. Beispiele für diese Art von Datenverkehr können Routing BGP oder OSPF sein. Verwenden Sie die Konfiguration, um Datenverkehr aus einer Gruppe
set security group-vpn member ipsec vpn vpn-name exclude ruleauszuschließen. Es können maximal 10 Ausschlussregeln konfiguriert werden.Datenverkehr, der für den Kundenbetrieb von entscheidender Bedeutung ist und im Klartext (nicht verschlüsselt) gesendet werden muss, wenn das Gruppenmitglied keinen gültigen TEK (Traffic Encryption Key) für die IPsec-SICHERHEITSZUORDNUNG empfangen hat. Durch Regeln, die nicht geöffnet werden, ist dieser Datenverkehrsfluss möglich, während der andere Datenverkehr blockiert wird. Ermöglichen Sie bei der Konfiguration Das
set security group-vpn member ipsec vpn vpn-name fail-open ruleFail-Open-System. Es können maximal 10 ausfalloffene Regeln konfiguriert werden.
Prioritäten der IPsec-Richtlinien und -Regeln
IPsec-Richtlinien und -Regeln haben folgende Prioritäten für das Gruppenmitglied:
Regeln, die Datenverkehr definieren, der von der VPN-Verschlüsselung ausgeschlossen werden soll, ausschließen.
Gruppenrichtlinien, die vom Gruppenserver heruntergeladen werden.
Nicht geöffnete Regeln zur Definition von Datenverkehr, der im klartext gesendet wird, wenn keine gültige TEK für die SICHERHEITSzuordnung gibt.
Fail-Close-Richtlinie, die Datenverkehr blockiert. Dies ist die Standardeinstellung, wenn Datenverkehr nicht ausgeschlossen oder nicht geöffnete Regeln oder Gruppenrichtlinien enthält.
Siehe auch
Verstehen des Gruppen-VPNv2-Wiederherstellungssondenprozesses
Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt. Zwei Situationen können darauf hinweisen, dass ein Gruppenmitglied die Synchronisierung nicht mit dem Gruppenserver und anderen Gruppenmitgliedern durchführen kann:
Das Gruppenmitglied erhält ein Encapsulating Security Payload (ESP)-Paket mit einem unerkannten Security Parameter Index (SPI).
Ausgehender IPsec-Datenverkehr, aber kein eingehender IPsec-Datenverkehr für das Gruppenmitglied.
Wenn eine der beiden Situation erkannt wird, kann ein Wiederherstellungssondierungsprozess für das Gruppenmitglied ausgelöst werden. Der Wiederherstellungsprobeprozess initiiert GDOI-Austausch in bestimmten Abständen, um die Sicherheitszuordnung des Mitglieds groupkey-pull vom Gruppenserver zu aktualisieren. Wenn ein Angriff DoS SPI-Pakete oder der Sender selbst die Synchronisierung nicht durchführen kann, kann die Out-of-Synchronization-Anzeige auf dem Gruppenmitglied einen Fehlalarm sein. Um eine Überlastung des Systems zu vermeiden, wird der groupkey-pull Beginn in Intervallen von 10, 20, 40, 80, 160 und 320 Sekunden wiederholt.
Der Wiederherstellungsprobeprozess ist standardmäßig deaktiviert. Konfigurieren Sie auf der [ ] Hierarchieebene, um den Wiederherstellungsprobeprozess recovery-probeedit security group-vpn member ipsec vpn vpn-name zu aktivieren.
Grundlegendes Gruppen-VPNv2-Antireplay
Gruppen-VPNv2-Antireplay wird auf vSRX Instanzen und allen Geräten der SRX-Serie außer auf SRX5400-, SRX5600- und SRX5800-Geräten unterstützt. Antireplay ist eine IPsec-Funktion, die erkennt, wenn ein Paket abgefangen und dann von Angreifern wiedergegeben wird. Antireplay ist standardmäßig für eine Gruppe deaktiviert.
Jedes IPSec-Paket enthält einen Zeitstempel. Der Gruppenmitglied überprüft, ob die Zeitstempel des Pakets unter den konfigurierten Wert anti-replay-time-window fällt. Wenn der Zeitstempel den Wert überschreitet, wird ein Paket gelöscht.
Es wird empfohlen, NTP auf allen Geräten zu konfigurieren, die Group VPNv2-Antireplay unterstützen.
Gruppenmitglieder, die auf vSRX Instanzen auf einem Hostcomputer ausgeführt werden, auf dem der Hypervisor unter starker Last ausgeführt wird, können Probleme erfahren, die durch die Neukonfiguration des Werts behoben werden anti-replay-time-window können. Wenn Daten, die der IPsec-Richtlinie des Gruppenmitglieds nicht entspricht, nicht übertragen werden, überprüfen Sie die Ausgabe show security group-vpn member ipsec statistics auf D3P-Fehler. Achten Sie darauf, dass NTP korrekt funktioniert. Wenn Fehler auftreten, passen Sie den anti-replay-time-window Wert an.
Siehe auch
Beispiel: Konfigurieren eines Gruppen-VPNv2-Servers und einer Gruppe von Mitgliedern
In diesem Beispiel wird gezeigt, wie ein Group VPNv2-Server konfiguriert wird, um Gruppen-Controller-/Schlüsselserver (GCKS) für Gruppen-VPNv2-Gruppenmitglieder zu unterstützen. Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein unterstütztes Gerät der SRX-Serie oder eine vSRX-Instanz, auf der Junos OS Release 15.1X49-D30 oder höher ausgeführt wird, das Group VPNv2 unterstützt. Dieses Gerät der SRX-Serie vSRX Instanz wird als Group VPNv2-Server ausgeführt.
Zwei unterstützte Geräte der SRX-Serie oder vSRX Instanzen, auf denen Junos OS Version 15.1X49-D30 oder höher ausgeführt werden, die Group VPNv2 unterstützen. Diese Geräte oder Instanzen werden als Gruppen-VPNv2-Gruppenmitglieder betrieben.
Zwei unterstützte Geräte der MX-Serie Junos OS die 15.1R2 oder höher ausgeführt werden, die Group VPNv2 unterstützen. Diese Geräte werden als Gruppen-VPNv2-Gruppenmitglieder betrieben.
Für jedes Gerät müssen der Hostname, das Kennwort für den Root-Administrator und der Verwaltungszugriff konfiguriert werden. Es wird empfohlen, ntp auch auf jedem Gerät zu konfigurieren.
Der Betrieb von Gruppen-VPNv2 erfordert eine funktionierende Routing-Topologie, die es Client-Geräten ermöglicht, ihre gedachten Standorte im gesamten Netzwerk zu erreichen. In diesen Beispielen geht es um die Group VPNv2-Konfiguration, wird die Routing-Konfiguration nicht beschrieben.
Überblick
In diesem Beispiel besteht das Gruppen-VPNv2-Netzwerk aus einem Server und vier Mitgliedern. Zwei der Mitglieder sind Geräte der SRX-Serie oder Instanzen vSRX, die anderen zwei Mitglieder Geräte der MX-Serie. Die VPN-Sicherheitsas für gemeinsam genutzte Gruppen sichern den Datenverkehr zwischen Gruppenmitgliedern.
Die VPN-Sicherheitszuordnungen der Gruppe müssen durch eine Sicherheitszuordnung der Phase 1 geschützt werden. Daher muss die VPN-Gruppenkonfiguration die Konfiguration IKE Phase-1-Aus verhandlungen sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern beinhalten.
Dieselbe Gruppenkennung muss sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert sein. In diesem Beispiel ist der Gruppenname GROUP_ID-0001 und die Gruppenkennung 1. Die auf dem Server konfigurierte Gruppenrichtlinie gibt an, dass SA und Schlüssel auf den Datenverkehr zwischen Subnetzen im Bereich von 172.16.0.0/12 angewendet werden.
Auf SrX- oder vSRX-Gruppenmitgliedern wird eine IPSec-Richtlinie für die Gruppe mit der LAN-Zone als Abzone (eingehender Datenverkehr) und der WAN-Zone als To-Zone (ausgehender Datenverkehr) konfiguriert. Zudem ist eine Sicherheitsrichtlinie erforderlich, um den Datenverkehr zwischen der LAN- und WAN-Zone zu ermöglichen.
Topologie
Abbildung 3 zeigt den Juniper Networks, die für dieses Beispiel konfiguriert werden sollen.
Konfiguration
- Konfigurieren des Gruppenservers
- Konfigurieren eines Gruppenmitglieds GM-0001 (Gerät der SRX-Serie oder vSRX Instanz)
- Konfigurieren des Gruppenmitglieds GM-0002 (Gerät der SRX-Serie oder vSRX Instanz)
- Mitglied der Gruppe konfigurieren GM-0003 (Gerät der MX-Serie)
- Konfiguration von Gruppenmitglied GM-0004 (Gerät der MX-Serie)
Konfigurieren des Gruppenservers
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/1 unit 0 family inet address 10.10.100.1/24 set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set security zones security-zone GROUPVPN host-inbound-traffic system-services ike set security zones security-zone GROUPVPN host-inbound-traffic system-services ssh set security zones security-zone GROUPVPN host-inbound-traffic system-services ping set security zones security-zone GROUPVPN interfaces ge-0/0/1.0 set routing-options static route 10.18.101.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.102.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.103.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.104.0/24 next-hop 10.10.100.254 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn server ike policy GMs mode main set security group-vpn server ike policy GMs proposals PSK-SHA256-DH14-AES256 set security group-vpn server ike policy GMs pre-shared-key ascii-text "$ABC123" set security group-vpn server ike gateway GM-0001 ike-policy GMs set security group-vpn server ike gateway GM-0001 address 10.18.101.1 set security group-vpn server ike gateway GM-0001 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0002 ike-policy GMs set security group-vpn server ike gateway GM-0002 address 10.18.102.1 set security group-vpn server ike gateway GM-0002 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0003 ike-policy GMs set security group-vpn server ike gateway GM-0003 address 10.18.103.1 set security group-vpn server ike gateway GM-0003 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0004 ike-policy GMs set security group-vpn server ike gateway GM-0004 address 10.18.104.1 set security group-vpn server ike gateway GM-0004 local-address 10.10.100.1 set security group-vpn server ipsec proposal AES256-SHA256-L3600 authentication-algorithm hmac-sha-256-128 set security group-vpn server ipsec proposal AES256-SHA256-L3600 encryption-algorithm aes-256-cbc set security group-vpn server ipsec proposal AES256-SHA256-L3600 lifetime-seconds 3600 set security group-vpn server group GROUP_ID-0001 group-id 1 set security group-vpn server group GROUP_ID-0001 member-threshold 2000 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0001 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0002 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0003 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0004 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0005 set security group-vpn server group GROUP_ID-0001 anti-replay-time-window 1000 set security group-vpn server group GROUP_ID-0001 server-member-communication communication-type unicast set security group-vpn server group GROUP_ID-0001 server-member-communication encryption-algorithm aes-256-cbc set security group-vpn server group GROUP_ID-0001 server-member-communication lifetime-seconds 7200 set security group-vpn server group GROUP_ID-0001 server-member-communication sig-hash-algorithm sha-256 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 proposal AES256-SHA256-L3600 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 source 172.16.0.0/12 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 destination 172.16.0.0/12 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 protocol 0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.
So konfigurieren Sie den Group VPNv2-Server:
Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.10.100.1/24 [edit security zones security-zone GROUPVPN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 then reject user@host# set global policy 1000 then log session-init user@host# set global policy 1000 then count user@host# set default-policy deny-all
Konfigurieren Sie die statischen Routen.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.102.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.103.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.104.0/24 next-hop 10.10.100.254
Konfigurieren Sie IKE Angebot, Richtlinien und Gateways.
[edit security group-vpn server ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn server ike policy GMs] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn server ike gateway GM-0001] user@host# set ike-policy GMs user@host# set address 10.18.101.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0002] user@host# set ike-policy GMs user@host# set address 10.18.102.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0003] user@host# set ike-policy GMs user@host# set address 10.18.103.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0004] user@host# set ike-policy GMs user@host# set address 10.18.104.1 user@host# set local-address 10.10.100.1
Konfigurieren Sie den IPsec-Vorschlag.
[edit security group-vpn server ipsec proposal AES256-SHA256-L3600] user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 3600 VPN Group
Gruppe konfigurieren.
[edit security group-vpn server group GROUP_ID-0001] user@host# set group-id 1 user@host# set member-threshold 2000 user@host# set ike-gateway GM-0001 user@host# set ike-gateway GM-0002 user@host# set ike-gateway GM-0003 user@host# set ike-gateway GM-0004 user@host# set anti-replay-time-window 1000
Konfiguration der Kommunikation zwischen den Servern
[edit security group-vpn server group GROUP_ID-0001 server-member-communication] user@host# set communication-type unicast user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 7200 user@host# set sig-hash-algorithm sha-256
Konfigurieren Sie die Gruppenrichtlinie, die von den Gruppenmitgliedern heruntergeladen werden soll.
[edit security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001] user@host# set proposal AES256-SHA256-L3600 user@host# set match-policy 1 source 172.16.0.0/12 user@host# set match-policy 1 destination 172.16.0.0/12 user@host# set match-policy 1 protocol 0
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow routing-options , und Befehle show security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 10.10.100.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.10.100.254;
route 10.18.102.0/24 next-hop 10.10.100.254;
route 10.18.103.0/24 next-hop 10.10.100.254;
route 10.18.104.0/24 next-hop 10.10.100.254;
}
[edit]
user@host# show security
group-vpn {
server {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
authentication-algorithm sha-256;
dh-group group14;
encryption-algorithm aes-256-cbc;
}
policy GMs {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
local-address 10.10.100.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
local-address 10.10.100.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
local-address 10.10.100.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
local-address 10.10.100.1;
}
}
ipsec {
proposal AES256-SHA256-L3600 {
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
}
group GROUP_ID-0001 {
group-id 1;
member-threshold 2000;
ike-gateway GM-0001;
ike-gateway GM-0002;
ike-gateway GM-0003;
ike-gateway GM-0004;
anti-replay-time-window 1000;
server-member-communication {
communication-type unicast;
lifetime-seconds 7200;
encryption-algorithm aes-256-cbc;
sig-hash-algorithm sha-256;
}
ipsec-sa GROUP_ID-0001 {
proposal AES256-SHA256-L3600;
match-policy 1 {
source 172.16.0.0/12;
destination 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone GROUPVPN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren eines Gruppenmitglieds GM-0001 (Gerät der SRX-Serie oder vSRX Instanz)
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/0 unit 0 description To_LAN set interfaces ge-0/0/0 unit 0 family inet address 172.16.101.1/24 set interfaces ge-0/0/1 unit 0 description To_KeySrv set interfaces ge-0/0/1 unit 0 family inet address 10.18.101.1/24 set security zones security-zone LAN host-inbound-traffic system-services ike set security zones security-zone LAN host-inbound-traffic system-services ssh set security zones security-zone LAN host-inbound-traffic system-services ping set security zones security-zone LAN interfaces ge-0/0/0.0 set security zones security-zone WAN host-inbound-traffic system-services ike set security zones security-zone WAN host-inbound-traffic system-services ssh set security zones security-zone WAN host-inbound-traffic system-services ping set security zones security-zone WAN interfaces ge-0/0/1.0 set security address-book global address 172.16.0.0/12 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match application any set security policies from-zone LAN to-zone WAN policy 1 then permit set security policies from-zone LAN to-zone WAN policy 1 then log session-init set security policies from-zone WAN to-zone LAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match application any set security policies from-zone WAN to-zone LAN policy 1 then permit set security policies from-zone WAN to-zone LAN policy 1 then log session-init set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set routing-options static route 10.18.102.0/24 next-hop 10.18.101.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.101.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.101.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.101.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.101.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group-vpn-external-interface ge-0/0/1.0 set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 recovery-probe set security ipsec-policy from-zone LAN to-zone WAN ipsec-group-vpn GROUP_ID-0001
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.
[edit interfaces] user@host# set ge-0/0/0 unit 0 description To_LAN user@host# set ge-0/0/0 unit 0 family inet address 172.16.101.1/24 user@host# set ge-0/0/1 unit 0 description To_KeySrv user@host# set ge-0/0/1 unit 0 family inet address 10.18.101.1/24 [edit security zones security-zone LAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/0.0 [edit security] user@host# set address-book global address 172.16.0.0/12 172.16.0.0/12 [edit security zones security-zone WAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security policies from-zone LAN to-zone WAN] user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies from-zone WAN to-zone LAN user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 match then reject user@host# set global policy 1000 match then log session-init user@host# set global policy 1000 match then count user@host# set default-policy deny-all
Konfigurieren Sie die statischen Routen.
[edit routing-options] user@host# set static route 10.18.102.0/24 next-hop 10.18.101.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.101.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.101.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.101.254
Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.101.1
Konfigurieren Sie IPsec SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group-vpn-external-interface ge-0/0/1.0 user@host# set group 1 user@host# set recovery-probe
Konfigurieren Sie die IPsec-Richtlinie.
[edit security ipsec-policy from-zone LAN to-zone WAN] user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow routing-options , und Befehle show security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.101.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.101.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.102.0/24 next-hop 10.18.101.254;
route 10.18.103.0/24 next-hop 10.18.101.254;
route 10.18.104.0/24 next-hop 10.18.101.254;
route 172.16.101.0/24 next-hop 10.18.101.254;
route 172.16.102.0/24 next-hop 10.18.101.254;
route 172.16.103.0/24 next-hop 10.18.101.254;
route 172.16.104.0/24 next-hop 10.18.101.254;
route 10.10.100.0/24 next-hop 10.18.101.254;
}
[edit]
user@host# show security
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
server-address 10.10.100.1;
local-address 10.18.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
ipsec-policy {
from-zone LAN to-zone WAN {
ipsec-group-vpn GROUP_ID-0001;
}
}
policies {
from-zone LAN to-zone WAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfigurieren des Gruppenmitglieds GM-0002 (Gerät der SRX-Serie oder vSRX Instanz)
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/0 unit 0 description To_LAN set interfaces ge-0/0/0 unit 0 family inet address 172.16.102.1/24 set interfaces ge-0/0/1 unit 0 description To_KeySrv set interfaces ge-0/0/1 unit 0 family inet address 10.18.102.1/24 set security zones security-zone LAN host-inbound-traffic system-services ike set security zones security-zone LAN host-inbound-traffic system-services ssh set security zones security-zone LAN host-inbound-traffic system-services ping set security zones security-zone LAN interfaces ge-0/0/0.0 set security zones security-zone WAN host-inbound-traffic system-services ike set security zones security-zone WAN host-inbound-traffic system-services ssh set security zones security-zone WAN host-inbound-traffic system-services ping set security zones security-zone WAN interfaces ge-0/0/1.0 set security address-book global address 172.16.0.0/12 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match application any set security policies from-zone LAN to-zone WAN policy 1 then permit set security policies from-zone LAN to-zone WAN policy 1 then log session-init set security policies from-zone WAN to-zone LAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match application any set security policies from-zone WAN to-zone LAN policy 1 then permit set security policies from-zone WAN to-zone LAN policy 1 then log session-init set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set routing-options static route 10.18.101.0/24 next-hop 10.18.102.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.102.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.102.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.102.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.102.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group-vpn-external-interface ge-0/0/1.0 set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 recovery-probe set security ipsec-policy from-zone LAN to-zone WAN ipsec-group-vpn GROUP_ID-0001
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.
[edit interfaces] user@host# set ge-0/0/0 unit 0 description To_LAN user@host# set ge-0/0/0 unit 0 family inet address 172.16.102.1/24 user@host# set ge-0/0/1 unit 0 description To_KeySrv user@host# set ge-0/0/1 unit 0 family inet address 10.18.101.1/24 [edit security zones security-zone LAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/0.0 [edit security zones security-zone WAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security] user@host# set address-book global address 172.16.0.0/12 172.16.0.0/12 [edit security policies from-zone LAN to-zone WAN] user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies from-zone WAN to-zone LAN user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 match then reject user@host# set global policy 1000 match then log session-init user@host# set global policy 1000 match then count user@host# set default-policy deny-all
Konfigurieren Sie die statischen Routen.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.102.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.102.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.102.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.102.254
Konfigurieren Sie IKE Angebot, Richtlinie und Gateway des Gateways.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.102.1
Konfigurieren Sie IPsec SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group-vpn-external-interface ge-0/0/1.0 user@host# set group 1 user@host# set recovery-probe
Konfigurieren Sie die IPsec-Richtlinie.
[edit security ipsec-policy from-zone LAN to-zone WAN] user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow routing-options , und Befehle show security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.102.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.102.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.102.254;
route 10.18.103.0/24 next-hop 10.18.102.254;
route 10.18.104.0/24 next-hop 10.18.102.254;
route 172.16.101.0/24 next-hop 10.18.102.254;
route 172.16.102.0/24 next-hop 10.18.102.254;
route 172.16.103.0/24 next-hop 10.18.102.254;
route 172.16.104.0/24 next-hop 10.18.102.254;
route 10.10.100.0/24 next-hop 10.18.102.254;
}
[edit]
user@host# show security
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
server-address 10.10.100.1;
local-address 10.18.102.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
policies {
from-zone LAN to-zone WAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Mitglied der Gruppe konfigurieren GM-0003 (Gerät der MX-Serie)
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet address 10.18.103.1/24 set interfaces xe-0/0/2 unit 0 family inet address 172.16.103.1/24 set interfaces ms-0/2/0 unit 0 family inet set routing-options static route 10.18.101.0/24 next-hop 10.18.103.254 set routing-options static route 10.18.102.0/24 next-hop 10.18.103.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.103.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.103.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.103.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output set security group-vpn member ipsec vpn GROUP_ID-0001 tunnel-mtu 1400 set security group-vpn member ipsec vpn GROUP_ID-0001 df-bit clear set services service-set GROUP_ID-0001 interface-service service-interface ms-0/2/0.0 set services service-set GROUP_ID-0001 ipsec-group-vpn GROUP_ID-0001 set firewall family inet service-filter GroupVPN-KS term inbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks then skip set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks then skip set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from source-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from destination-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 then service
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet address 10.18.103.1/24 user@host# set xe-0/0/2 unit 0 family inet address 172.16.103.1/24 user@host# set ms-0/2/0 unit 0 family inet
Routing konfigurieren.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.103.254 user@host# set static route 10.18.102.0/24 next-hop 10.18.103.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.103.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.103.254
Konfiguration IKE Angebot, Richtlinie und Gateway
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256 ] user@host# set authentication-method pre-shared-keys user@host# set group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.103.1
Konfigurieren Sie IPsec SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group 1 user@host# set match-direction output user@host# set tunnel-mtu 1400 user@host# set df-bit clear
Konfigurieren Sie den Servicefilter.
[edit firewall family inet service-filter GroupVPN-KS] user@host# set term inbound-ks from destination-address 10.10.100.1/32 user@host# set term inbound-ks from source-address 10.10.100.1/32 user@host# set term inbound-ks then skip user@host# set term outbound-ks from destination-address 10.10.100.1/32 user@host# set term outbound-ks then skip user@host# set term GROUP_ID-0001 from source-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 from destination-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 then service
Konfigurieren Sie den Service-Set.
[edit services service-set GROUP_ID-0001] user@host# set interface-service service-interface ms-0/2/0.0 user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , und Befehle show routing-optionsshow securityshow servicesshow firewall eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.103.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.103.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.103.254;
route 10.18.102.0/24 next-hop 10.18.103.254;
route 10.18.104.0/24 next-hop 10.18.103.254;
route 172.16.101.0/24 next-hop 10.18.103.254;
route 172.16.102.0/24 next-hop 10.18.103.254;
route 172.16.103.0/24 next-hop 10.18.103.254;
route 172.16.104.0/24 next-hop 10.18.103.254;
}
[edit]
user@host# show security
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
local-address 10.18.103.1;
server-address 10.10.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
}
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
destination-address {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.10.100.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
}
}
Konfiguration von Gruppenmitglied GM-0004 (Gerät der MX-Serie)
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet address 10.18.104.1/24 set interfaces xe-0/0/2 unit 0 family inet address 172.16.104.1/24 set interfaces ms-0/2/0 unit 0 family inet set routing-options static route 10.18.101.0/24 next-hop 10.18.104.254 set routing-options static route 10.18.102.0/24 next-hop 10.18.104.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.104.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy SubSrv mode main set security group-vpn member ike policy SubSrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy SubSrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway SubSrv ike-policy SubSrv set security group-vpn member ike gateway SubSrv server-address 10.17.101.1 set security group-vpn member ike gateway SubSrv server-address 10.17.102.1 set security group-vpn member ike gateway SubSrv server-address 10.17.103.1 set security group-vpn member ike gateway SubSrv server-address 10.17.104.1 set security group-vpn member ike gateway SubSrv local-address 10.18.104.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway SubSrv set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output set security group-vpn member ipsec vpn GROUP_ID-0001 tunnel-mtu 1400 set security group-vpn member ipsec vpn GROUP_ID-0001 df-bit clear set services service-set GROUP_ID-0001 interface-service service-interface ms-0/2/0.0 set services service-set GROUP_ID-0001 ipsec-group-vpn GROUP_ID-0001 set firewall family inet service-filter GroupVPN-KS term inbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.101.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.102.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.103.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.104.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks then skip set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from source-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from destination-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 then service
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet address 10.18.104.1/24 user@host# set xe-0/0/2 unit 0 family inet address 172.16.104.1/24 user@host# set ms-0/2/0 unit 0 family inet
Routing konfigurieren.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.104.254 user@host# set static route 10.18.102.0/24 next-hop 10.18.104.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.104.254
Konfiguration IKE Angebot, Richtlinie und Gateway
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256 ] user@host# set authentication-method pre-shared-keys user@host# set group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.104.1
Konfigurieren Sie IPsec SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group 1 user@host# set match-direction output user@host# set tunnel-mtu 1400 user@host# set df-bit clear
Konfigurieren Sie den Servicefilter.
[edit firewall family inet service-filter GroupVPN-KS] user@host# set term inbound-ks from destination-address 10.10.101.1/32 user@host# set term inbound-ks from source-address 10.10.101.1/32 user@host# set term inbound-ks then skip user@host# set term outbound-ks from destination-address 10.17.101.1/32 user@host# set term outbound-ks from destination-address 10.17.102.1/32 user@host# set term outbound-ks from destination-address 10.17.103.1/32 user@host# set term outbound-ks from destination-address 10.17.104.1/32 user@host# set term outbound-ks then skip user@host# set term GROUP_ID-0001 from source-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 from destination-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 then service
Konfigurieren Sie den Service-Set.
[edit services service-set GROUP_ID-0001] user@host# set interface-service service-interface ms-0/2/0.0 user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfaces , , und Befehle show routing-optionsshow securityshow servicesshow firewall eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.104.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.104.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.104.254;
route 10.18.102.0/24 next-hop 10.18.104.254;
route 10.18.103.0/24 next-hop 10.18.104.254;
route 172.16.101.0/24 next-hop 10.18.104.254;
route 172.16.102.0/24 next-hop 10.18.104.254;
route 172.16.103.0/24 next-hop 10.18.104.254;
route 172.16.104.0/24 next-hop 10.18.104.254;
}
[edit]
user@host# show security
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
local-address 10.18.104.1;
server-address 10.17.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
}
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
destination-address {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
}
}
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
- Verifizierung der Registrierung von Gruppenanmeldungen für Mitglieder der Gruppe
- Überprüfung der Verteilung von Gruppenschlüsseln
- Überprüfung von Gruppen-VPN-SAs auf dem Gruppenserver
- Überprüfung von Gruppen-VPN-SAs auf Gruppenmitgliedern
- Überprüfung der IPsec-SAs auf dem Gruppenserver
- Überprüfung der IPsec-Richtlinien für Gruppenmitglieder
- Überprüfung von Gruppenrichtlinien (nur SRX- oder vSRX-Gruppenmitglieder)
Verifizierung der Registrierung von Gruppenanmeldungen für Mitglieder der Gruppe
Zweck
Vergewissern Sie sich, dass Gruppenmitglieder auf dem Server registriert wurden.
Aktion
Geben Sie im Betriebsmodus die show security group-vpn server registered-members Befehle und die Befehle auf dem Server show security group-vpn server registered-members detail ein.
user@host> show security group-vpn server registered-members Group: GROUP_ID-0001, Group Id: 1 Total number of registered members: 2 Member Gateway Member IP Last Update Vsys GM-0001 10.18.101.1 Thu Nov 19 2015 16:31:09 root GM-0003 10.18.103.1 Thu Nov 19 2015 16:29:47 root
user@host> show security group-vpn server registered-members detail
GGroup: GROUP_ID-0001, Group Id: 1
Total number of registered members: 2
Member gateway: GM-0001, Member IP: 10.18.101.1, Vsys: root
Last Update: Thu Nov 19 2015 16:31:09
Stats:
Pull Succeeded : 2
Pull Failed : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Member gateway: GM-0003, Member IP: 10.18.103.1, Vsys: root
Last Update: Thu Nov 19 2015 16:29:47
Stats:
Pull Succeeded : 1
Pull Failed : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Überprüfung der Verteilung von Gruppenschlüsseln
Zweck
Vergewissern Sie sich, dass Gruppenschlüssel an Mitglieder verteilt sind.
Aktion
Geben Sie im Betriebsmodus den show security group-vpn server statistics Befehl auf dem Gruppenserver ein.
user@host> show security group-vpn server statistics
Group: GROUP_ID-0001, Group Id: 1
Stats:
Pull Succeeded : 4
Pull Failed : 0
Pull Exceed Member Threshold : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Überprüfung von Gruppen-VPN-SAs auf dem Gruppenserver
Zweck
Überprüfen der Gruppen-VPN-SAs auf dem Gruppenserver
Aktion
Geben Sie im Betriebsmodus die show security group-vpn server kek security-associations Befehle und die Befehle auf dem show security group-vpn server kek security-associations detail Gruppenserver ein.
user@host> show security group-vpn server kek security-associations Index Life:sec Initiator cookie Responder cookie GroupId 738879 1206 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn server kek security-associations detail Index 738879, Group Name: GROUP_ID-0001, Group Id: 1 Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64 Authentication method: RSA Lifetime: Expires in 1204 seconds, Activated Rekey in 694 seconds Algorithms: Sig-hash : sha256 Encryption : aes256-cbc Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Server Member Communication: Unicast Retransmission Period: 10, Number of Retransmissions: 2 Group Key Push sequence number: 0 PUSH negotiations in progress: 0
Überprüfung von Gruppen-VPN-SAs auf Gruppenmitgliedern
Zweck
Überprüfen der GRUPPEN-VPN-SAs auf Gruppenmitgliedern
Aktion
Geben Sie im Betriebsmodus die Befehle und die Befehle auf der SRX oder vSRX show security group-vpn member kek security-associationsshow security group-vpn member kek security-associations detail ein.
user@host> show security group-vpn member kek security-associations Index Server Address Life:sec Initiator cookie Responder cookie GroupId 5455810 10.10.100.1 1093 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn member kek security-associations detail
Index 5455810, Group Id: 1
Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.101.1, GDOI Server: 10.10.100.1
Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64
Lifetime: Expires in 1090 seconds
Group Key Push Sequence number: 0
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
Geben Sie im Betriebsmodus die show security group-vpn member kek security-associations Befehle und die Befehle auf dem show security group-vpn member kek security-associations detail Gruppenmitglied der MX-Serie ein.
user@host> show security group-vpn member kek security-associations Index Server Address Life:sec Initiator cookie Responder cookie GroupId 488598 10.10.100.1 963 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn member kek security-associations detail
Index 488598, Group Id: 1
Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.103.1, GDOI Server: 10.10.100.1
Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64
Lifetime: Expires in 961 seconds
Group Key Push Sequence number: 0
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
Überprüfung der IPsec-SAs auf dem Gruppenserver
Zweck
IPsec-SAs auf dem Gruppenserver überprüfen.
Aktion
Geben Sie im Betriebsmodus die show security group-vpn server ipsec security-associations Befehle und die Befehle auf dem show security group-vpn server ipsec security-associations detail Gruppenserver ein.
user@host> show security group-vpn server ipsec security-associations Group: GROUP_ID-0001, Group Id: 1 Total IPsec SAs: 1 IPsec SA Algorithm SPI Lifetime GROUP_ID-0001 ESP:aes-256/sha256 1c548e4e 1156
user@host> show security group-vpn server ipsec security-associations detail
Group: GROUP_ID-0001, Group Id: 1
Total IPsec SAs: 1
IPsec SA: GROUP_ID-0001
Protocol: ESP, Authentication: sha256, Encryption: aes-256
Anti-replay: D3P enabled
SPI: 1c548e4e
Lifetime: Expires in 1152 seconds, Activated
Rekey in 642 seconds
Policy Name: 1
Source: 172.16.0.0/12
Destination: 172.16.0.0/12
Source Port: 0
Destination Port: 0
Protocol: 0
Überprüfung der IPsec-Richtlinien für Gruppenmitglieder
Zweck
IPsec-SAs der Gruppenmitglieder überprüfen.
Aktion
Geben Sie im Betriebsmodus die Befehle und die Befehle auf der SRX oder vSRX show security group-vpn member ipsec security-associationsshow security group-vpn member ipsec security-associations detail ein.
user@host> show security group-vpn member ipsec security-associations Total active tunnels: 1 ID Server Port Algorithm SPI Life:sec/kb GId lsys <>49152 10.10.100.1 848 ESP:aes-256/sha256-128 1c548e4e 1073/ unlim 1 root
user@host> show security group-vpn member ipsec security-associations detail
Virtual-system: root Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.101.1, GDOI Server: 10.10.100.1
Group Id: 1
Routing Instance: default
Recovery Probe: Enabled
DF-bit: clear
Stats:
Pull Succeeded : 4
Pull Failed : 3
Pull Timeout : 3
Pull Aborted : 0
Push Succeeded : 6
Push Failed : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(10): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
List of policies received from server:
Tunnel-id: 49152
Source IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Destination IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Direction: bi-directional, SPI: 1c548e4e
Protocol: ESP, Authentication: sha256-128, Encryption: aes-256
Hard lifetime: Expires in 1070 seconds, Activated
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 931 seconds
Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: D3P enabled
Geben Sie im Betriebsmodus die show security group-vpn member ipsec security-associations Befehle und die Befehle auf dem show security group-vpn member ipsec security-associations detail Gruppenmitglied der MX-Serie ein.
user@host> show security group-vpn member ipsec security-associations Total active tunnels: 1 ID Server Port Algorithm SPI Life:sec/kb GId lsys <>10001 10.10.100.1 848 ESP:aes-256/sha256-128 1c548e4e 947/ unlim 1 root
user@host> show security group-vpn member ipsec security-associations detail
Virtual-system: root Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.103.1, GDOI Server: 10.10.100.1
Group Id: 1
Rule Match Direction: output, Tunnel-MTU: 1400
Routing Instance: default
DF-bit: clear
Stats:
Pull Succeeded : 2
Pull Failed : 0
Pull Timeout : 1
Pull Aborted : 0
Push Succeeded : 2
Push Failed : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(1): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
List of policies received from server:
Tunnel-id: 10001
Source IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Destination IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Direction: bi-directional, SPI: 1c548e4e
Protocol: ESP, Authentication: sha256-128, Encryption: aes-256
Hard lifetime: Expires in 945 seconds, Activated
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 840 seconds
Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: D3P enabled
Überprüfung von Gruppenrichtlinien (nur SRX- oder vSRX-Gruppenmitglieder)
Zweck
Überprüfen von Gruppenrichtlinien für SRX- vSRX Gruppenmitglieder
Aktion
Geben Sie im Betriebsmodus den show security group-vpn member policy Befehl des Gruppenmitglieds ein.
user@host> show security group-vpn member policy Group VPN Name: GROUP_ID-0001, Group Id: 1 From-zone: LAN, To-zone: WAN Tunnel-id: 49152, Policy type: Secure Source : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol <0> Destination : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol <0> Tunnel-id: 63488, Policy type: Fail-close Source : IP <0.0.0.0 - 255.255.255.255>, Port <0 - 65535>, Protocol <0> Destination : IP <0.0.0.0 - 255.255.255.255>, Port <0 - 65535>, Protocol <0>
Beispiel: Konfigurieren der Gruppen-VPNv2 Kommunikation zwischen Servern für Unicast Rekey-Nachrichten
In diesem Beispiel wird gezeigt, wie der Server Unicast-Rekey-Nachrichten an Gruppenmitglieder sendet, um sicherzustellen, dass für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern gültige Schlüssel verfügbar sind. Gruppen-VPNv2 wird auf geräten SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 sowie vSRX-Instanzen unterstützt.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie den Gruppenserver und die Mitglieder für IKE 1-Aushandlung.
Konfigurieren Sie den Gruppenserver und die Mitglieder für IPsec SA.
Konfigurieren Sie die
g1Gruppe auf dem Gruppenserver.
Überblick
In diesem Beispiel geben Sie die folgenden Kommunikationsparameter für Server an, die für die Gruppe verwendet g1 werden:
Der Server sendet Unicast-Rekey-Nachrichten an Gruppenmitglieder.
aes-128-cbc wird zur Verschlüsselung des Datenverkehrs zwischen dem Server und den Mitgliedern verwendet.
sha-256 wird zur Mitgliederauthentifizierung verwendet.
Die Standardwerte werden für die KEK-Lebensdauer und erneute Übertragungen verwendet.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI Editors im Konfigurationsmodus.
Konfiguration der Kommunikation zwischen Servern:
Legen Sie den Kommunikationstyp fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set communications-type unicast
Legen Sie den Verschlüsselungsalgorithmus fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm aes-128-cbc
Festlegen der Mitgliederauthentifizierung.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha-256
Überprüfung
Geben Sie den Befehl ein, um sicherzustellen, dass die Konfiguration ordnungsgemäß show security group-vpn server group g1 server-member-communication funktioniert.