Gruppen-VPNv2
Group VPNv2 führt das Konzept einer vertrauenswürdigen Gruppe ein, um Punkt-zu-Punkt-Tunnel und deren zugehöriges Overlay-Routing zu beseitigen. Alle Gruppenmitglieder teilen sich eine gemeinsame Sicherheitsvereinigung (SECURITY Association, SA), auch bekannt als Gruppen-SA.
Gruppen-VPNv2 – Übersicht
Eine IPsec Security Association (SA) ist eine unidirektionale Vereinbarung zwischen Teilnehmern des virtuellen privaten Netzwerks (VPN), die die regeln definiert, die für Authentifizierungs- und Verschlüsselungsalgorithmen, Schlüsselaustauschmechanismen und sichere Kommunikation verwendet werden sollen. Bei vielen VPN-Implementierungen ist die SA ein Point-to-Point-Tunnel zwischen zwei Sicherheitsgeräten (siehe Abbildung 1).
Group VPNv2 erweitert die IPsec-Architektur zur Unterstützung von SAs, die von einer Gruppe von Sicherheitsgeräten gemeinsam genutzt werden (siehe Abbildung 2). Mit Group VPNv2 wird Any-to-Any-Konnektivität erreicht, indem die ursprünglichen Quell- und Ziel-IP-Adressen im äußeren Header erhalten bleiben. Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt.
Group VPNv2 ist eine erweiterte Version der Gruppen-VPN-Funktion, die in einer früheren Junos OS-Version für Geräte der SRX-Serie eingeführt wurde. Gruppen-VPNv2 auf Geräten von Juniper unterstützen RFC 6407, The Group Domain of Interpretation (GDOI) und sind mit anderen Geräten kompatibel, die RFC 6407 entsprechen.
- Verstehen des GDOI-Protokolls für Group VPNv2
- Verstehen von Gruppen-VPNv2-Servern und -Mitgliedern
- Verstehen der Einschränkungen von Gruppen-VPNv2
- Verstehen der Kommunikation zwischen Gruppen-VPNv2-Servern und -Mitgliedstaaten
- Understanding Group VPNv2 Key Operations
Verstehen des GDOI-Protokolls für Group VPNv2
Group VPNv2 basiert auf RFC 6407, The Group Domain of Interpretation (GDOI). In diesem RFC wird das Protokoll zwischen Gruppenmitgliedern und Gruppenservern beschrieben, um SAs zwischen Gruppenmitgliedern zu erstellen. GDOI-Nachrichten erstellen, pflegen oder löschen SAs für eine Gruppe von Geräten. Group VPNv2 wird auf vSRX-Instanzen und allen Geräten der SRX-Serie unterstützt, mit Ausnahme der Geräte SRX5400, SRX5600 und SRX5800.
Das GDOI-Protokoll läuft auf UDP-Port 848. Das Internet Security Association and Key Management Protocol (ISAKMP) definiert zwei Verhandlungsphasen zur Festlegung von SAs für einen IKE-IPsec-Tunnel. Phase 1 ermöglicht zwei Geräten die Einrichtung eines ISAKMP SA für andere Sicherheitsprotokolle wie GDOI.
Mit Group VPNv2 wird Phase 1 ISAKMP SA-Aushandlung zwischen einem Gruppenserver und einem Gruppenmitglied durchgeführt. Server und Mitglied müssen dieselbe ISAKMP-Richtlinie verwenden. GDOI-Austausch zwischen Server und Mitglied richtet die SAs ein, die mit anderen Gruppenmitgliedern gemeinsam genutzt werden. Ein Gruppenmitglied muss IPsec nicht mit anderen Gruppenmitgliedern aushandeln. GDOI-Börsen müssen durch ISAKMP Phase 1-SAs geschützt werden.
Es gibt zwei Arten von GDOI-Börsen:
Über
groupkey-pullden Austausch kann ein Mitglied SAs und Schlüssel anfordern, die von der Gruppe vom Server gemeinsam genutzt werden. Gruppenmitglieder müssen sich über einen Exchange bei einemgroupkey-pullGruppenserver registrieren.Bei
groupkey-pushdem Austausch handelt es sich um eine einzelne Rekey-Nachricht, die es dem Server ermöglicht, Gruppen-SAs und Schlüssel an Mitglieder zu senden, bevor vorhandene Gruppen-SAs ablaufen. Bei Rekey-Nachrichten handelt es sich um unerwünschte Nachrichten, die vom Server an die Mitglieder gesendet werden.
Verstehen von Gruppen-VPNv2-Servern und -Mitgliedern
Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Das Zentrum von Group VPNv2 ist der Group Controller/Key Server (GCKS). Ein Server-Cluster kann zur Bereitstellung von GCKS-Redundanz verwendet werden.
Der GCKS- oder Gruppenserver führt die folgenden Aufgaben aus:
Kontrolliert die Gruppenmitgliedschaft.
Generiert Verschlüsselungsschlüssel.
Sendet neue Gruppen-SAs und Schlüssel an Mitglieder. Gruppenmitglieder verschlüsseln den Datenverkehr basierend auf den vom Gruppenserver bereitgestellten Gruppen-SAs und Schlüsseln.
Ein Gruppenserver kann mehrere Gruppen bedienen. Ein einzelnes Sicherheitsgerät kann Mitglied mehrerer Gruppen sein.
Jede Gruppe wird durch einen Gruppen-Identifier dargestellt, bei dem es sich um eine Zahl zwischen 1 und 4.294.967.295 handelt. Der Gruppenserver und die Gruppenmitglieder werden über die Gruppenkennung miteinander verknüpft. Es kann nur eine Gruppenkennung pro Gruppe geben, und mehrere Gruppen können nicht dieselbe Gruppenkennung verwenden.
Im Folgenden sehen Sie die Aktionen von Gruppen-VPNv2-Servern und -Mitglieder auf hoher Ebene:
Der Gruppenserver hört die Registrierung von Mitgliedern am UDP-Port 848 ab.
Um sich beim Gruppenserver zu registrieren, richtet das Mitglied zunächst eine IKE SA mit dem Server ein. Ein Mitgliedsgerät muss die korrekte IKE Phase 1-Authentifizierung bereitstellen, um der Gruppe beizutreten. Preshared Key-Authentifizierung auf Mitgliederbasis wird unterstützt.
Nach erfolgreicher Authentifizierung und Registrierung ruft das Mitgliedergerät Gruppen-SAs und Schlüssel für die angegebene Gruppenkennung vom Server mit einem GDOI-Austausch
groupkey-pullab.Der Server fügt das Mitglied zur Mitgliedschaft für die Gruppe hinzu.
Gruppenmitglieder tauschen Pakete mit Gruppen-SA-Schlüsseln aus.
Der Server sendet SA- und Schlüsselaktualisierungen an Gruppenmitglieder mit GDOI-Nachrichten groupkey-push(Rekey). Der Server sendet rekey-Nachrichten, bevor die SAs ablaufen, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.
Eine vom Server gesendete Rekey-Nachricht erfordert eine Bestätigungsnachricht (ack) von jedem Gruppenmitglied. Wenn der Server keine ACK-Nachricht vom Element empfängt, wird die Nachricht des erneuten Schlüssels an die konfigurierte retransmission-period Nachricht erneut übertragen (standardmäßig 10 Sekunden). Wenn es nach der Konfiguration number-of-retransmission keine Antwort vom Mitglied gibt (der Standard ist 2 mal), wird das Mitglied von den registrierten Mitgliedern des Servers entfernt. Die IKE SA zwischen Server und Mitglied wird ebenfalls entfernt.
Der Server sendet auch Rekey-Nachrichten, um mitglieder neue Schlüssel bereitzustellen, wenn sich die Gruppen-SA geändert hat.
Verstehen der Einschränkungen von Gruppen-VPNv2
Gruppen-VPNv2-Server arbeiten nur mit Gruppen-VPNv2-Mitgliedern, die RFC 6407 , The Group Domain of Interpretation (GDOI)unterstützen.
Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Folgende Elemente werden in dieser Version für Group VPNv2 nicht unterstützt:
SNMP.
Verweigern Sie die Richtlinie vom Cisco GET VPN-Server.
PKI-Unterstützung für Phase-1-IKE-Authentifizierung.
Kollokation von Gruppenservern und -membern, bei denen Server- und Mitgliederfunktionen im selben physischen Gerät koexist sind.
Gruppenmitglieder, die als Chassis-Cluster konfiguriert sind.
J-Web-Schnittstelle für Konfiguration und Überwachung.
Multicast-Datenverkehr.
Gruppen-VPNv2 wird in Bereitstellungen, in denen IP-Adressen nicht beibehalten werden können, nicht unterstützt, z. B. über das Internet, in dem NAT verwendet wird.
Verstehen der Kommunikation zwischen Gruppen-VPNv2-Servern und -Mitgliedstaaten
Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Die Kommunikation zwischen Server und Mitgliedern ermöglicht es dem Server, GDOI-Nachrichten groupkey-push (Rekey) an Mitglieder zu senden. Wenn die Server-Member-Kommunikation nicht für die Gruppe konfiguriert ist, können Mitglieder GDOI-Nachrichten groupkey-pull zur Registrierung und Neuregistrierung beim Server senden, der Server kann jedoch keine Nachrichten an Mitglieder senden groupkey-push .
Die Server-Member-Kommunikation wird für die Gruppe mithilfe der server-member-communication Konfigurationsanweisung in der [edit security group-vpn server] Hierarchie konfiguriert. Folgende Optionen können definiert werden:
Authentifizierungsalgorithmus (sha-256 oder sha-384) zur Authentifizierung des Mitglieds am Server. Es gibt keinen Standardalgorithmus.
Verschlüsselungsalgorithmus, der für die Kommunikation zwischen Server und Mitglied verwendet wird. Sie können aes-128-cbc, aes-192-cbc oder aes-256-cbc angeben. Es gibt keinen Standardalgorithmus.
Unicast-Kommunikationstyp für rekey-Nachrichten, die an Gruppenmitglieder gesendet werden.
Lebensdauer des Schlüsselverschlüsselungsschlüssels (KEK). Der Standard beträgt 3600 Sekunden.
Anzahl der Zeiten, in denen der Gruppenserver Nachrichten ohne Antwort an ein Gruppenmitglied erneut übersenitet
groupkey-push(der Standard ist das 2-fache) und die Zeitspanne zwischen erneuten Übertragungen (der Standard beträgt 10 Sekunden).
Wenn die Kommunikation zwischen Server und Mitgliedern für eine Gruppe nicht konfiguriert ist, werden in der vom show security group-vpn server registered-members Befehl angezeigten Mitgliedschaftsliste Gruppenmitglieder angezeigt, die sich beim Server registriert haben; Mitglieder können aktiv sein oder nicht. Wenn die Kommunikation zwischen Server und Mitgliedern für eine Gruppe konfiguriert ist, wird die Gruppenmitgliedschaftsliste gelöscht. Beim Unicast-Kommunikationstyp zeigt der show security group-vpn server registered-members Befehl nur aktive Mitglieder an.
Understanding Group VPNv2 Key Operations
Dieses Thema enthält die folgenden Abschnitte:
Gruppenschlüssel
Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Der Gruppenserver verwaltet eine Datenbank, um die Beziehung zwischen VPN-Gruppen, Gruppenmitgliedern und Gruppenschlüsseln zu verfolgen. Es gibt zwei Arten von Gruppenschlüsseln, die der Server an Mitglieder herunterlädt:
Schlüsselverschlüsselungsschlüssel (KEK): Wird zur Verschlüsselung von GDOI-Börsen
groupkey-push(SA Rekey) verwendet. Pro Gruppe wird ein KEK unterstützt.Datenverkehr-Verschlüsselungsschlüssel (TEK): Wird zum Verschlüsseln und Entschlüsseln von IPsec-Datenverkehr zwischen Gruppenmitgliedern verwendet.
Der mit einer SA verbundene Schlüssel wird nur dann von einem Gruppenmitglied akzeptiert, wenn eine entsprechende Richtlinie auf dem Element konfiguriert ist. Für die Gruppe wird ein akzeptierter Schlüssel installiert, während ein abgelehnter Schlüssel verworfen wird.
Neuschlüsselung von Nachrichten
Wenn die Gruppe für die Kommunikation zwischen Server und Mitgliedern konfiguriert ist, sendet der Server SA- und Schlüsselaktualisierungen an Gruppenmitglieder mit GDOI-Nachrichten groupkey-push(Rekey). Rekey-Nachrichten werden gesendet, bevor SAs ablaufen; so wird sichergestellt, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind.
Der Server sendet auch Rekey-Nachrichten zur Bereitstellung neuer Schlüssel an Mitglieder, wenn sich die Gruppenmitgliedschaft ändert oder sich die Gruppen-SA geändert hat (z. B. eine Gruppenrichtlinie wird hinzugefügt oder gelöscht).
Kommunikationsoptionen für Servermitglieder müssen auf dem Server so konfiguriert werden, dass der Server rekey-Nachrichten an Gruppenmitglieder senden kann.
Der Gruppenserver sendet eine Kopie der Unicast-Rekey-Nachricht an jedes Gruppenmitglied. Nach Erhalt der Rekey-Nachricht müssen die Mitglieder eine Bestätigung (ACK) an den Server senden. Wenn der Server keine ACK von einem Mitglied empfängt (einschließlich der erneuten Übertragung von Rekey-Nachrichten), hält der Server das Mitglied für inaktiv und entfernt es aus der Mitgliedschaftsliste. Der Server stoppt das Senden von erneuten Schlüsselmeldungen an das Mitglied.
retransmission-period Die number-of-retransmission Konfigurationsanweisungen für die Server-Mitglieder-Kommunikation steuern die Resendierung von Rekey-Nachrichten durch den Server, wenn kein ACK von einem Mitglied empfangen wird.
Das Intervall, in dem der Server rekey-Nachrichten sendet, basiert auf dem Wert der lifetime-seconds Konfigurationsanweisung in der [edit security group-vpn server group group-name] Hierarchie. Neue Schlüssel werden vor Ablauf der KEK- und TEK-Schlüssel generiert.
Das lifetime-seconds KEK wird als Teil der Kommunikation zwischen Server und Mitglied konfiguriert. Der Standard liegt bei 3600 Sekunden. Die lifetime-seconds Für-TEK-Konfiguration ist für den IPsec-Vorschlag konfiguriert; der Standard beträgt 3600 Sekunden.
Mitgliederregistrierung
Wenn ein Gruppenmitglied vor Ablauf des aktuellen Schlüssels keinen neuen SA-Schlüssel vom Server erhält, muss sich das Mitglied beim Server neu registrieren und aktualisierte Schlüssel mit einer GDOI-Börse groupkey-pull abrufen.
Gruppen-VPNv2- Konfigurationsübersicht
Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. In diesem Thema werden die Hauptaufgaben für die Konfiguration von Gruppen-VPNv2 beschrieben.
Der Group Controller/Key-Server (GCKS) verwaltet die Sicherheitszuordnungen (SAs) group VPNv2 und generiert Verschlüsselungsschlüssel und verteilt sie an Gruppenmitglieder. Sie können einen Group VPNv2-Servercluster verwenden, um GCKS-Redundanz bereitzustellen. Siehe Understanding Group VPNv2 Server Cluster.
Konfigurieren Sie auf den Gruppenservern Folgendes:
- IKE Phase 1 SA. Siehe Understanding IKE Phase 1 Configuration for Group VPNv2 .
- IPsec SA. Siehe Understanding IPsec SA Configuration for Group VPNv2 (Verstehen der IPsec SA-Konfiguration für Gruppen-VPNv2).
- VPN-Gruppeninformationen, einschließlich gruppenspezifischer Kennung, IKE-Gateways für Gruppenmitglieder, maximale Anzahl von Mitgliedern in der Gruppe und Kommunikation zwischen Server und Mitgliedern. Die Gruppenkonfiguration umfasst eine Gruppenrichtlinie, die den Datenverkehr definiert, auf den die SA und die Schlüssel angewendet werden. Das Zeitfenster für Server-Cluster und Antireplay kann optional konfiguriert werden. Siehe Gruppen-VPNv2-Konfigurationsübersicht und Understanding Group VPNv2 Traffic Steering.
Konfigurieren Sie für das Gruppenmitglied Folgendes:
IKE Phase 1 SA. Siehe Understanding IKE Phase 1 Configuration for Group VPNv2 .
IPsec SA. Siehe Understanding IPsec SA Configuration for Group VPNv2 (Verstehen der IPsec SA-Konfiguration für Gruppen-VPNv2).
IPsec-Richtlinie, die die eingehende Zone (in der Regel ein geschütztes LAN), die Ausgangszone (normalerweise ein WAN) und die VPN-Gruppe definiert, für die die Richtlinie gilt. Es können auch "Exclude" oder "Fail-Open"-Regeln angegeben werden. Siehe Understanding Group VPNv2 Traffic Steering.
Sicherheitsrichtlinie, die den Gruppen-VPN-Datenverkehr zwischen den in der IPsec-Richtlinie angegebenen Zonen zulässt.
Der Gruppen-VPNv2-Betrieb erfordert eine funktionierende Routing-Topologie, mit der Clientgeräte ihre beabsichtigten Standorte im gesamten Netzwerk erreichen können.
Die Gruppe wird auf dem Server mit der group Konfigurationsanweisung in der [edit security group-vpn server] Hierarchie konfiguriert.
Die Gruppeninformationen bestehen aus folgenden Informationen:
Gruppen-Kennung – Ein Wert, der die VPN-Gruppe identifiziert. Dieselbe Gruppenkennung muss auf dem Gruppenmitglied konfiguriert werden.
Jedes Gruppenmitglied ist mit der
ike-gatewayKonfigurationsanweisung konfiguriert. Es können mehrere Instanzen dieser Konfigurationsanweisung vorhanden sein, eine für jedes Mitglied der Gruppe.Gruppenrichtlinien– Richtlinien, die für Mitglieder heruntergeladen werden sollen. Gruppenrichtlinien beschreiben den Datenverkehr, auf den die SA und die Schlüssel angewendet werden. Siehe Understanding Group VPNv2 Traffic Steering.
Member-Schwellenwert – Die maximale Anzahl von Mitgliedern in der Gruppe. Nachdem der Member-Schwellenwert für eine Gruppe erreicht ist, reagiert ein Server nicht mehr auf
groupkey-pullInitiationen von neuen Mitgliedern. Siehe Understanding Group VPNv2 Server Cluster.Kommunikation zwischen Servern und Mitgliedern: Optionale Konfiguration, die es dem Server ermöglicht, rekey-Nachrichten an Mitglieder zu senden
groupkey-push.Server-Cluster: Optionale Konfiguration, die GCKS-Redundanz (Group Controller/Key Server) unterstützt. Siehe Understanding Group VPNv2 Server Cluster.
Antireplay: Optionale Konfiguration zur Erkennung von Paketabfangen und -wiedergabe. Siehe Understanding Group VPNv2 Antireplay.
Verstehen der IKE Phase 1-Konfiguration für Gruppen-VPNv2
Eine IKE Phase 1-SA zwischen einem Gruppenserver und einem Gruppenmitglied richtet einen sicheren Kanal ein, über den IPsec-SAs ausgehandelt werden können, die von einer Gruppe gemeinsam genutzt werden. Bei Standard-IPsec-VPNs auf Sicherheitsgeräten von Juniper Networks besteht die Phase 1 SA-Konfiguration aus der Angabe eines IKE-Vorschlags, einer Richtlinie und eines Gateways.
Für Group VPNv2 ähnelt die IKE Phase 1 SA-Konfiguration der Konfiguration für Standard-IPsec-VPNs, wird jedoch in [edit security group-vpn server ike] und [edit security group-vpn member ike] Hierarchien ausgeführt. Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt.
In der IKE-Vorschlagskonfiguration legen Sie die Authentifizierungsmethode und die Authentifizierungs- und Verschlüsselungsalgorithmen fest, die zum Öffnen eines sicheren Kanals zwischen den Teilnehmern verwendet werden. In der IKE-Richtlinienkonfiguration legen Sie den Modus fest, in dem der Phase-1-Kanal ausgehandelt wird, geben den Typ des zu verwendenden Schlüsselaustauschs an und verweisen auf den Phase-1-Vorschlag. In der IKE-Gateway-Konfiguration verweisen Sie auf die Phase-1-Richtlinie.
Der IKE-Vorschlag und die Richtlinienkonfiguration auf dem Gruppenserver müssen dem IKE-Vorschlag und der Richtlinienkonfiguration auf Gruppenmitgliedern entsprechen. Auf einem Gruppenserver wird für jedes Gruppenmitglied ein IKE-Gateway konfiguriert. Auf einem Gruppenmitglied können in der IKE-Gateway-Konfiguration bis zu vier Serveradressen angegeben werden.
Verstehen der IPsec SA-Konfiguration für Gruppen-VPNv2
Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Nachdem der Server und das Mitglied in Phase 1-Aushandlung einen sicheren und authentifizierten Kanal eingerichtet haben, erstellen sie die IPsec-SAs, die von Gruppenmitgliedern gemeinsam genutzt werden, um Daten zu sichern, die zwischen den Mitgliedern übertragen werden. Während die IPsec SA-Konfiguration für Group VPNv2 der Konfiguration für Standard-VPNs ähnelt, muss ein Gruppenmitglied die SA nicht mit anderen Gruppenmitgliedern aushandeln.
Die IPsec-Konfiguration für Group VPNv2 besteht aus den folgenden Informationen:
Auf dem Gruppenserver wird ein IPsec-Vorschlag für den für die SA verwendeten Sicherheitsprotokoll, die Authentifizierung und den Verschlüsselungsalgorithmus konfiguriert. Der IPsec SA-Vorschlag wird auf dem Gruppenserver mit der
proposalKonfigurationsanweisung in der [edit security group-vpn server ipsec] Hierarchie konfiguriert.Auf dem Gruppenmitglied wird ein Autokey-IKE konfiguriert, der auf die Gruppenkennung, den Gruppenserver (konfiguriert mit der
ike-gatewayKonfigurationsanweisung) und die vom Mitglied zur Verbindung mit Gruppen-Peers verwendete Schnittstelle verweist. Die Autokey-IKE wird auf dem Element mit dervpnKonfigurationsanweisung in der [edit security group-vpn member ipsec] Hierarchie konfiguriert.
Siehe auch
Understanding Group VPNv2 Traffic Steering
Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Der Gruppenserver verteilt IPsec-Sicherheitszuordnungen (SAs) und Schlüssel an Mitglieder einer bestimmten Gruppe. Alle Mitglieder, die zur gleichen Gruppe gehören, haben den gleichen Satz von IPsec-SAs. Die auf einem bestimmten Gruppenmitglied installierte SA wird durch die mit der Gruppen-SA verknüpfte Richtlinie und die auf dem Gruppenmitglied konfigurierte IPsec-Richtlinie bestimmt.
- Auf Gruppenservern konfigurierte Gruppenrichtlinien
- Auf Gruppenmitgliedern konfigurierte IPsec-Richtlinien
- Ausfall schließen
- Offene Ausschluss- und Ausfallregeln
- Prioritäten von IPsec-Richtlinien und -Regeln
Auf Gruppenservern konfigurierte Gruppenrichtlinien
In einer VPN-Gruppe sind jede Gruppen-SA und jeder Schlüssel, den der Server an ein Mitglied drückt, einer Gruppenrichtlinie zugeordnet. Die Gruppenrichtlinie beschreibt den Datenverkehr, auf dem der Schlüssel verwendet werden soll, einschließlich Protokoll, Quelladresse, Quellport, Zieladresse und Zielport. Auf dem Server wird die Gruppenrichtlinie mit den match-policy policy-name Optionen auf der [edit security group-vpn server group name ipsec-sa name] Hierarchieebene konfiguriert.
Gruppenrichtlinien, die identisch sind (konfiguriert mit derselben Quelladresse, Zieladresse, Quellport, Zielport und Protokollwerten), können nicht für eine einzige Gruppe existieren. Wenn Sie versuchen, eine Konfiguration zu bestätigen, die die gleichen Gruppenrichtlinien für eine Gruppe enthält, wird ein Fehler zurückgegeben. Wenn dies geschieht, müssen Sie eine der identischen Gruppenrichtlinien löschen, bevor Sie die Konfiguration bestätigen können.
Auf Gruppenmitgliedern konfigurierte IPsec-Richtlinien
Beim Gruppenmitglied besteht eine IPsec-Richtlinie aus den folgenden Informationen:
Eingehende Zone (
from-zone) für Gruppendatenverkehr.Ausgangszone (
to-zone) für Gruppendatenverkehr.Der Name der Gruppe, für die die IPsec-Richtlinie gilt. Nur ein Gruppen-VPNv2-Name kann durch ein bestimmtes Von-Zone/Zu-Zone-Paar referenziert werden.
Die Schnittstelle, die vom Gruppenmitglied zur Verbindung mit der Gruppen-VPNv2 verwendet wird, muss zur Ausgangszone gehören. Diese Schnittstelle wird mit der group-vpn-external-interface Anweisung auf der [edit security group-vpn member ipsec vpn vpn-name] Hierarchieebene angegeben.
Auf dem Gruppenmitglied wird die IPsec-Richtlinie auf der [edit security ipsec-policy] Hierarchieebene konfiguriert. Datenverkehr, der mit der IPsec-Richtlinie übereinstimmt, wird weiter gegen ausschluss- und ausfalloffene Regeln geprüft, die für die Gruppe konfiguriert sind.
Ausfall schließen
Standardmäßig wird Datenverkehr blockiert, der nicht mit den vom Gruppenserver empfangenen Regeln oder Gruppenrichtlinien übereinstimmt; dies wird als Fail-Close bezeichnet.
Offene Ausschluss- und Ausfallregeln
Bei Gruppenmitgliedern können für jede Gruppe die folgenden Arten von Regeln konfiguriert werden:
Datenverkehr, der von der VPN-Verschlüsselung ausgeschlossen ist. Beispiele für diese Art von Datenverkehr können BGP- oder OSPF-Routingprotokolle sein. Um Datenverkehr von einer Gruppe auszuschließen, verwenden Sie die
set security group-vpn member ipsec vpn vpn-name exclude ruleKonfiguration. Es können maximal 10 Ausschlussregeln konfiguriert werden.Datenverkehr, der für den Kundenbetrieb von entscheidender Bedeutung ist und im Klartext (unverschlüsselt) gesendet werden muss, wenn das Gruppenmitglied für die IPsec SA keinen gültigen Datenverkehrsverschlüsselungsschlüssel (TEK) erhalten hat. Fail-Open-Regeln ermöglichen diesen Datenverkehrsfluss, während der gesamte andere Datenverkehr blockiert wird. Aktivieren Sie fail-open mit der
set security group-vpn member ipsec vpn vpn-name fail-open ruleKonfiguration. Es können maximal 10 fail-open-Regeln konfiguriert werden.
Prioritäten von IPsec-Richtlinien und -Regeln
IPsec-Richtlinien und -Regeln haben für das Gruppenmitglied folgende Prioritäten:
Schließen Sie Regeln aus, die den Datenverkehr definieren, der von der VPN-Verschlüsselung ausgeschlossen werden soll.
Gruppenrichtlinien, die vom Gruppenserver heruntergeladen werden.
Fail-Open-Regeln, die Datenverkehr definieren, der im Klartext gesendet wird, wenn kein gültiges TEK für die SA vorhanden ist.
Fail-Close-Richtlinie zur Blockierung des Datenverkehrs. Dies ist der Standard, wenn der Datenverkehr nicht mit den Regeln oder Gruppenrichtlinien von Exclude oder Fail-Open übereinstimmt.
Siehe auch
Understanding the Group VPNv2 Recovery Probe Process
Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt. Zwei Situationen können darauf hinweisen, dass ein Gruppenmitglied nicht mit dem Gruppenserver und anderen Gruppenmitgliedern synchronisiert wird:
Das Gruppenmitglied erhält ein Encapsulating Security Payload (ESP)-Paket mit einem nicht erkannten Security Parameter Index (SPI).
Es gibt ausgehenden IPsec-Datenverkehr, aber keinen eingehenden IPsec-Datenverkehr auf dem Gruppenmitglied.
Wenn eine der beiden Situationen erkannt wird, kann ein Wiederherstellungsuntersuchungsprozess auf dem Gruppenmitglied ausgelöst werden. Der Wiederherstellungsuntersuchungsprozess initiiert GDOI-Austausche groupkey-pull in bestimmten Intervallen, um die SA des Mitglieds vom Gruppenserver zu aktualisieren. Wenn es einen DoS-Angriff auf fehlerhafte SPI-Pakete gibt oder der Sender selbst nicht synchronisiert ist, kann es sich bei der Out-of-Synchronization-Anzeige für das Gruppenmitglied um einen Fehlalarm handeln. Um eine Überlastung des Systems zu vermeiden, wird die groupkey-pull Einleitung in Abständen von 10, 20, 40, 80, 160 und 320 Sekunden erneut eingeleitet.
Der Wiederherstellungsuntersuchungsprozess ist standardmäßig deaktiviert. Um den Wiederherstellungsuntersuchungsprozess zu aktivieren, konfigurieren Sie recovery-probe auf [edit security group-vpn member ipsec vpn vpn-name] Hierarchieebene.
Understanding Group VPNv2 Antireplay
Gruppen-VPNv2-Antireplay wird auf vSRX-Instanzen und allen Geräten der SRX-Serie mit Ausnahme der Geräte SRX5400, SRX5600 und SRX5800 unterstützt. Antireplay ist eine IPSec-Funktion, die erkennen kann, wenn ein Paket abgefangen und dann von Angreifern wiedergegeben wird. Antireplay ist für eine Gruppe standardmäßig deaktiviert.
Jedes IPsec-Paket enthält einen Zeitstempel. Das Gruppenmitglied überprüft, ob der Zeitstempel des Pakets innerhalb des konfigurierten anti-replay-time-window Wertes liegt. Ein Paket wird abgebrochen, wenn der Zeitstempel den Wert überschreitet.
Wir empfehlen, NTP auf allen Geräten zu konfigurieren, die Group VPNv2 Antireplay unterstützen.
Gruppenmitglieder, die auf vSRX-Instanzen auf einem Hostcomputer ausgeführt werden, auf dem der Hypervisor unter hoher Last ausgeführt wird, können Probleme auftreten, die durch die Neukonfiguration des anti-replay-time-window Werts behoben werden können. Wenn Daten, die mit der IPsec-Richtlinie des Gruppenmitglieds übereinstimmen, nicht übertragen werden, überprüfen Sie die show security group-vpn member ipsec statistics Ausgabe auf D3P-Fehler. Stellen Sie sicher, dass NTP ordnungsgemäß funktioniert. Wenn Fehler auftreten, passen Sie den Wert an anti-replay-time-window .
Siehe auch
Beispiel: Konfigurieren eines Gruppen-VPNv2-Servers und von Mitgliedern
In diesem Beispiel wird gezeigt, wie ein Gruppen-VPNv2-Server so konfiguriert wird, dass Gruppencontroller-/Schlüsselserver (GCKS)-Unterstützung für Gruppen-VPNv2-Gruppenmitglieder bereitgestellt werden. Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt.
Anforderungen
Das Beispiel verwendet die folgenden Hardware- und Softwarekomponenten:
Eine unterstützte Gerät der SRX-Serie oder vSRX-Instanz, auf der Junos OS Version 15.1X49-D30 oder höher ausgeführt wird, die Group VPNv2 unterstützt. Dieses Gerät der SRX-Serie oder vSRX-Instanz wird als Group VPNv2-Server betrieben.
Zwei unterstützte Geräte der SRX-Serie oder vSRX-Instanzen, auf denen Junos OS Version 15.1X49-D30 oder höher ausgeführt wird, die Group VPNv2 unterstützen. Diese Geräte oder Instanzen werden als Gruppen-VPNv2-Gruppenmitglieder betrieben.
Zwei unterstützte Geräte der MX-Serie, auf denen Junos OS Version 15.1R2 oder höher ausgeführt wird, die Group VPNv2 unterstützen. Diese Geräte werden als Gruppen-VPNv2-Gruppenmitglieder betrieben.
Auf jedem Gerät müssen ein Hostname, ein Root-Administrator-Kennwort und ein Verwaltungszugriff konfiguriert werden. Wir empfehlen, ntp auch auf jedem Gerät zu konfigurieren.
Der Gruppen-VPNv2-Betrieb erfordert eine funktionierende Routing-Topologie, mit der Clientgeräte ihre beabsichtigten Standorte im gesamten Netzwerk erreichen können. Diese Beispiele konzentrieren sich auf die Gruppen-VPNv2-Konfiguration; wird die Routing-Konfiguration nicht beschrieben.
Überblick
In diesem Beispiel besteht das Gruppen-VPNv2-Netzwerk aus einem Server und vier Mitgliedern. Zwei der Mitglieder sind Geräte der SRX-Serie oder vSRX-Instanzen, während die beiden anderen Mitglieder Geräte der MX-Serie sind. Die gemeinsam genutzten GRUPPEN-VPN-SAs sichern den Datenverkehr zwischen den Gruppenmitgliedern.
Die Gruppen-VPN-SAs müssen durch eine Phase-1-SA geschützt werden. Daher muss die Gruppen-VPN-Konfiguration die Konfiguration von IKE Phase 1-Verhandlungen sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern umfassen.
Die gleiche Gruppenkennung muss sowohl auf dem Gruppenserver als auch auf den Gruppenmitgliedern konfiguriert werden. In diesem Beispiel ist der Gruppenname GROUP_ID-0001 und der Gruppenkennung 1. Die auf dem Server konfigurierte Gruppenrichtlinie gibt an, dass SA und Schlüssel auf den Datenverkehr zwischen Subnetzen im Bereich 172.16.0.0/12 angewendet werden.
Auf Mitgliedern der SRX- oder vSRX-Gruppe wird eine IPsec-Richtlinie für die Gruppe konfiguriert, wobei die LAN-Zone als from-zone (eingehender Datenverkehr) und die WAN-Zone als die Zone (ausgehender Datenverkehr) fungiert. Es ist auch eine Sicherheitsrichtlinie erforderlich, um den Datenverkehr zwischen den LAN- und WAN-Zonen zu ermöglichen.
Topologie
Abbildung 3 zeigt die Geräte von Juniper Networks an, die für dieses Beispiel konfiguriert werden sollen.
Konfiguration
- Konfigurieren des Gruppenservers
- Konfigurieren von Gruppenmitglied GM-0001 (Gerät der SRX-Serie oder vSRX-Instanz)
- Konfigurieren von Gruppenmitglied GM-0002 (Gerät der SRX-Serie oder vSRX-Instanz)
- Konfigurieren von Gruppenmitglied GM-0003 (Gerät der MX-Serie)
- Konfigurieren von Gruppenmitglied GM-0004 (Gerät der MX-Serie)
Konfigurieren des Gruppenservers
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/1 unit 0 family inet address 10.10.100.1/24 set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set security zones security-zone GROUPVPN host-inbound-traffic system-services ike set security zones security-zone GROUPVPN host-inbound-traffic system-services ssh set security zones security-zone GROUPVPN host-inbound-traffic system-services ping set security zones security-zone GROUPVPN interfaces ge-0/0/1.0 set routing-options static route 10.18.101.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.102.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.103.0/24 next-hop 10.10.100.254 set routing-options static route 10.18.104.0/24 next-hop 10.10.100.254 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn server ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn server ike policy GMs mode main set security group-vpn server ike policy GMs proposals PSK-SHA256-DH14-AES256 set security group-vpn server ike policy GMs pre-shared-key ascii-text "$ABC123" set security group-vpn server ike gateway GM-0001 ike-policy GMs set security group-vpn server ike gateway GM-0001 address 10.18.101.1 set security group-vpn server ike gateway GM-0001 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0002 ike-policy GMs set security group-vpn server ike gateway GM-0002 address 10.18.102.1 set security group-vpn server ike gateway GM-0002 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0003 ike-policy GMs set security group-vpn server ike gateway GM-0003 address 10.18.103.1 set security group-vpn server ike gateway GM-0003 local-address 10.10.100.1 set security group-vpn server ike gateway GM-0004 ike-policy GMs set security group-vpn server ike gateway GM-0004 address 10.18.104.1 set security group-vpn server ike gateway GM-0004 local-address 10.10.100.1 set security group-vpn server ipsec proposal AES256-SHA256-L3600 authentication-algorithm hmac-sha-256-128 set security group-vpn server ipsec proposal AES256-SHA256-L3600 encryption-algorithm aes-256-cbc set security group-vpn server ipsec proposal AES256-SHA256-L3600 lifetime-seconds 3600 set security group-vpn server group GROUP_ID-0001 group-id 1 set security group-vpn server group GROUP_ID-0001 member-threshold 2000 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0001 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0002 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0003 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0004 set security group-vpn server group GROUP_ID-0001 ike-gateway GM-0005 set security group-vpn server group GROUP_ID-0001 anti-replay-time-window 1000 set security group-vpn server group GROUP_ID-0001 server-member-communication communication-type unicast set security group-vpn server group GROUP_ID-0001 server-member-communication encryption-algorithm aes-256-cbc set security group-vpn server group GROUP_ID-0001 server-member-communication lifetime-seconds 7200 set security group-vpn server group GROUP_ID-0001 server-member-communication sig-hash-algorithm sha-256 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 proposal AES256-SHA256-L3600 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 source 172.16.0.0/12 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 destination 172.16.0.0/12 set security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001 match-policy 1 protocol 0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den Gruppen-VPNv2-Server:
Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.
[edit interfaces] user@host# set ge-0/0/1 unit 0 family inet address 10.10.100.1/24 [edit security zones security-zone GROUPVPN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 then reject user@host# set global policy 1000 then log session-init user@host# set global policy 1000 then count user@host# set default-policy deny-all
Konfigurieren Sie statische Routen.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.102.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.103.0/24 next-hop 10.10.100.254 user@host# set static route 10.18.104.0/24 next-hop 10.10.100.254
Konfigurieren Sie das IKE-Angebot, die Richtlinie und die Gateways.
[edit security group-vpn server ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn server ike policy GMs] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn server ike gateway GM-0001] user@host# set ike-policy GMs user@host# set address 10.18.101.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0002] user@host# set ike-policy GMs user@host# set address 10.18.102.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0003] user@host# set ike-policy GMs user@host# set address 10.18.103.1 user@host# set local-address 10.10.100.1 [edit security group-vpn server ike gateway GM-0004] user@host# set ike-policy GMs user@host# set address 10.18.104.1 user@host# set local-address 10.10.100.1
Konfigurieren Sie den IPsec-Vorschlag.
[edit security group-vpn server ipsec proposal AES256-SHA256-L3600] user@host# set authentication-algorithm hmac-sha-256-128 user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 3600 VPN Group
Konfigurieren Sie die Gruppe.
[edit security group-vpn server group GROUP_ID-0001] user@host# set group-id 1 user@host# set member-threshold 2000 user@host# set ike-gateway GM-0001 user@host# set ike-gateway GM-0002 user@host# set ike-gateway GM-0003 user@host# set ike-gateway GM-0004 user@host# set anti-replay-time-window 1000
Konfigurieren Sie die Kommunikation zwischen Servern und Einzelnen.
[edit security group-vpn server group GROUP_ID-0001 server-member-communication] user@host# set communication-type unicast user@host# set encryption-algorithm aes-256-cbc user@host# set lifetime-seconds 7200 user@host# set sig-hash-algorithm sha-256
Konfigurieren Sie die Gruppenrichtlinie, die auf die Gruppenmitglieder heruntergeladen werden soll.
[edit security group-vpn server group GROUP_ID-0001 ipsec-sa GROUP_ID-0001] user@host# set proposal AES256-SHA256-L3600 user@host# set match-policy 1 source 172.16.0.0/12 user@host# set match-policy 1 destination 172.16.0.0/12 user@host# set match-policy 1 protocol 0
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus durch Eingabe von show interfaces, show routing-optionsund show security Befehlen. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 10.10.100.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.10.100.254;
route 10.18.102.0/24 next-hop 10.10.100.254;
route 10.18.103.0/24 next-hop 10.10.100.254;
route 10.18.104.0/24 next-hop 10.10.100.254;
}
[edit]
user@host# show security
group-vpn {
server {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
authentication-algorithm sha-256;
dh-group group14;
encryption-algorithm aes-256-cbc;
}
policy GMs {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway GM-0001 {
ike-policy GMs;
address 10.18.101.1;
local-address 10.10.100.1;
}
gateway GM-0002 {
ike-policy GMs;
address 10.18.102.1;
local-address 10.10.100.1;
}
gateway GM-0003 {
ike-policy GMs;
address 10.18.103.1;
local-address 10.10.100.1;
}
gateway GM-0004 {
ike-policy GMs;
address 10.18.104.1;
local-address 10.10.100.1;
}
}
ipsec {
proposal AES256-SHA256-L3600 {
authentication-algorithm hmac-sha-256-128;
encryption-algorithm aes-256-cbc;
lifetime-seconds 3600;
}
}
group GROUP_ID-0001 {
group-id 1;
member-threshold 2000;
ike-gateway GM-0001;
ike-gateway GM-0002;
ike-gateway GM-0003;
ike-gateway GM-0004;
anti-replay-time-window 1000;
server-member-communication {
communication-type unicast;
lifetime-seconds 7200;
encryption-algorithm aes-256-cbc;
sig-hash-algorithm sha-256;
}
ipsec-sa GROUP_ID-0001 {
proposal AES256-SHA256-L3600;
match-policy 1 {
source 172.16.0.0/12;
destination 172.16.0.0/12;
protocol 0;
}
}
}
}
}
policies {
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone GROUPVPN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Konfigurieren von Gruppenmitglied GM-0001 (Gerät der SRX-Serie oder vSRX-Instanz)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 description To_LAN set interfaces ge-0/0/0 unit 0 family inet address 172.16.101.1/24 set interfaces ge-0/0/1 unit 0 description To_KeySrv set interfaces ge-0/0/1 unit 0 family inet address 10.18.101.1/24 set security zones security-zone LAN host-inbound-traffic system-services ike set security zones security-zone LAN host-inbound-traffic system-services ssh set security zones security-zone LAN host-inbound-traffic system-services ping set security zones security-zone LAN interfaces ge-0/0/0.0 set security zones security-zone WAN host-inbound-traffic system-services ike set security zones security-zone WAN host-inbound-traffic system-services ssh set security zones security-zone WAN host-inbound-traffic system-services ping set security zones security-zone WAN interfaces ge-0/0/1.0 set security address-book global address 172.16.0.0/12 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match application any set security policies from-zone LAN to-zone WAN policy 1 then permit set security policies from-zone LAN to-zone WAN policy 1 then log session-init set security policies from-zone WAN to-zone LAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match application any set security policies from-zone WAN to-zone LAN policy 1 then permit set security policies from-zone WAN to-zone LAN policy 1 then log session-init set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set routing-options static route 10.18.102.0/24 next-hop 10.18.101.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.101.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.101.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.101.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.101.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.101.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group-vpn-external-interface ge-0/0/1.0 set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 recovery-probe set security ipsec-policy from-zone LAN to-zone WAN ipsec-group-vpn GROUP_ID-0001
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.
[edit interfaces] user@host# set ge-0/0/0 unit 0 description To_LAN user@host# set ge-0/0/0 unit 0 family inet address 172.16.101.1/24 user@host# set ge-0/0/1 unit 0 description To_KeySrv user@host# set ge-0/0/1 unit 0 family inet address 10.18.101.1/24 [edit security zones security-zone LAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/0.0 [edit security] user@host# set address-book global address 172.16.0.0/12 172.16.0.0/12 [edit security zones security-zone WAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security policies from-zone LAN to-zone WAN] user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies from-zone WAN to-zone LAN user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 match then reject user@host# set global policy 1000 match then log session-init user@host# set global policy 1000 match then count user@host# set default-policy deny-all
Konfigurieren Sie statische Routen.
[edit routing-options] user@host# set static route 10.18.102.0/24 next-hop 10.18.101.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.101.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.101.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.101.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.101.254
Konfigurieren Sie das IKE-Angebot, die Richtlinie und das Gateway.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.101.1
Konfigurieren Sie die IPsec SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group-vpn-external-interface ge-0/0/1.0 user@host# set group 1 user@host# set recovery-probe
Konfigurieren Sie die IPsec-Richtlinie.
[edit security ipsec-policy from-zone LAN to-zone WAN] user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus durch Eingabe von show interfaces, show routing-optionsund show security Befehlen. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.101.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.101.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.102.0/24 next-hop 10.18.101.254;
route 10.18.103.0/24 next-hop 10.18.101.254;
route 10.18.104.0/24 next-hop 10.18.101.254;
route 172.16.101.0/24 next-hop 10.18.101.254;
route 172.16.102.0/24 next-hop 10.18.101.254;
route 172.16.103.0/24 next-hop 10.18.101.254;
route 172.16.104.0/24 next-hop 10.18.101.254;
route 10.10.100.0/24 next-hop 10.18.101.254;
}
[edit]
user@host# show security
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
server-address 10.10.100.1;
local-address 10.18.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
ipsec-policy {
from-zone LAN to-zone WAN {
ipsec-group-vpn GROUP_ID-0001;
}
}
policies {
from-zone LAN to-zone WAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Konfigurieren von Gruppenmitglied GM-0002 (Gerät der SRX-Serie oder vSRX-Instanz)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/0 unit 0 description To_LAN set interfaces ge-0/0/0 unit 0 family inet address 172.16.102.1/24 set interfaces ge-0/0/1 unit 0 description To_KeySrv set interfaces ge-0/0/1 unit 0 family inet address 10.18.102.1/24 set security zones security-zone LAN host-inbound-traffic system-services ike set security zones security-zone LAN host-inbound-traffic system-services ssh set security zones security-zone LAN host-inbound-traffic system-services ping set security zones security-zone LAN interfaces ge-0/0/0.0 set security zones security-zone WAN host-inbound-traffic system-services ike set security zones security-zone WAN host-inbound-traffic system-services ssh set security zones security-zone WAN host-inbound-traffic system-services ping set security zones security-zone WAN interfaces ge-0/0/1.0 set security address-book global address 172.16.0.0/12 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone LAN to-zone WAN policy 1 match application any set security policies from-zone LAN to-zone WAN policy 1 then permit set security policies from-zone LAN to-zone WAN policy 1 then log session-init set security policies from-zone WAN to-zone LAN policy 1 match source-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match destination-address 172.16.0.0/12 set security policies from-zone WAN to-zone LAN policy 1 match application any set security policies from-zone WAN to-zone LAN policy 1 then permit set security policies from-zone WAN to-zone LAN policy 1 then log session-init set security policies global policy 1000 match source-address any set security policies global policy 1000 match destination-address any set security policies global policy 1000 match application any set security policies global policy 1000 match from-zone any set security policies global policy 1000 match to-zone any set security policies global policy 1000 then reject set security policies global policy 1000 then log session-init set security policies global policy 1000 then count set security policies default-policy deny-all set routing-options static route 10.18.101.0/24 next-hop 10.18.102.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.102.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.102.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.102.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.102.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.102.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group-vpn-external-interface ge-0/0/1.0 set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 recovery-probe set security ipsec-policy from-zone LAN to-zone WAN ipsec-group-vpn GROUP_ID-0001
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie Schnittstellen, Sicherheitszonen und Sicherheitsrichtlinien.
[edit interfaces] user@host# set ge-0/0/0 unit 0 description To_LAN user@host# set ge-0/0/0 unit 0 family inet address 172.16.102.1/24 user@host# set ge-0/0/1 unit 0 description To_KeySrv user@host# set ge-0/0/1 unit 0 family inet address 10.18.101.1/24 [edit security zones security-zone LAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/0.0 [edit security zones security-zone WAN] user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services ssh user@host# set host-inbound-traffic system-services ping user@host# set interfaces ge-0/0/1.0 [edit security] user@host# set address-book global address 172.16.0.0/12 172.16.0.0/12 [edit security policies from-zone LAN to-zone WAN] user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies from-zone WAN to-zone LAN user@host# set policy 1 match source-address 172.16.0.0/12 user@host# set policy 1 match destination-address 172.16.0.0/12 user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set then log session-init [edit security policies] user@host# set global policy 1000 match source-address any user@host# set global policy 1000 match destination-address any user@host# set global policy 1000 match application any user@host# set global policy 1000 match from-zone any user@host# set global policy 1000 match to-zone any user@host# set global policy 1000 match then reject user@host# set global policy 1000 match then log session-init user@host# set global policy 1000 match then count user@host# set default-policy deny-all
Konfigurieren Sie statische Routen.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.102.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.102.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.102.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.102.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.102.254
Konfigurieren Sie das IKE-Angebot, die Richtlinie und das Gateway.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256] user@host# set authentication-method pre-shared-keys user@host# set authentication-algorithm sha-256 user@host# set dh-group group14 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.102.1
Konfigurieren Sie die IPsec SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group-vpn-external-interface ge-0/0/1.0 user@host# set group 1 user@host# set recovery-probe
Konfigurieren Sie die IPsec-Richtlinie.
[edit security ipsec-policy from-zone LAN to-zone WAN] user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus durch Eingabe von show interfaces, show routing-optionsund show security Befehlen. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
description To_LAN;
family inet {
address 172.16.102.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
description To_KeySrv;
family inet {
address 10.18.102.1/24;
}
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.102.254;
route 10.18.103.0/24 next-hop 10.18.102.254;
route 10.18.104.0/24 next-hop 10.18.102.254;
route 172.16.101.0/24 next-hop 10.18.102.254;
route 172.16.102.0/24 next-hop 10.18.102.254;
route 172.16.103.0/24 next-hop 10.18.102.254;
route 172.16.104.0/24 next-hop 10.18.102.254;
route 10.10.100.0/24 next-hop 10.18.102.254;
}
[edit]
user@host# show security
address-book {
global {
address 172.16.0.0/12 172.16.0.0/12;
}
}
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
server-address 10.10.100.1;
local-address 10.18.102.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv;
group-vpn-external-interface ge-0/0/1.0;
group 1;
recovery-probe;
}
}
}
}
policies {
from-zone LAN to-zone WAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
from-zone WAN to-zone LAN {
policy 1 {
match {
source-address 172.16.0.0/12;
destination-address 172.16.0.0/12;
application any;
}
then {
permit;
log {
session-init;
}
}
}
}
global {
policy 1000 {
match {
source-address any;
destination-address any;
application any;
from-zone any;
to-zone any;
}
then {
reject;
log {
session-init;
}
count;
}
}
}
default-policy {
deny-all;
}
}
zones {
security-zone LAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone WAN {
host-inbound-traffic {
system-services {
ike;
ssh;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
}
Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .
Konfigurieren von Gruppenmitglied GM-0003 (Gerät der MX-Serie)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet address 10.18.103.1/24 set interfaces xe-0/0/2 unit 0 family inet address 172.16.103.1/24 set interfaces ms-0/2/0 unit 0 family inet set routing-options static route 10.18.101.0/24 next-hop 10.18.103.254 set routing-options static route 10.18.102.0/24 next-hop 10.18.103.254 set routing-options static route 10.18.104.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.103.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.103.254 set routing-options static route 10.10.100.0/24 next-hop 10.18.103.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy KeySrv mode main set security group-vpn member ike policy KeySrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy KeySrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway KeySrv ike-policy KeySrv set security group-vpn member ike gateway KeySrv server-address 10.10.100.1 set security group-vpn member ike gateway KeySrv local-address 10.18.103.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway KeySrv set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output set security group-vpn member ipsec vpn GROUP_ID-0001 tunnel-mtu 1400 set security group-vpn member ipsec vpn GROUP_ID-0001 df-bit clear set services service-set GROUP_ID-0001 interface-service service-interface ms-0/2/0.0 set services service-set GROUP_ID-0001 ipsec-group-vpn GROUP_ID-0001 set firewall family inet service-filter GroupVPN-KS term inbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks then skip set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks then skip set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from source-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from destination-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 then service
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet address 10.18.103.1/24 user@host# set xe-0/0/2 unit 0 family inet address 172.16.103.1/24 user@host# set ms-0/2/0 unit 0 family inet
Routing konfigurieren.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.103.254 user@host# set static route 10.18.102.0/24 next-hop 10.18.103.254 user@host# set static route 10.18.104.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.103.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.103.254 user@host# set static route 10.10.100.0/24 next-hop 10.18.103.254
Konfigurieren Sie IKE-Angebot, -Richtlinie und -Gateway.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256 ] user@host# set authentication-method pre-shared-keys user@host# set group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.103.1
Konfigurieren Sie die IPsec SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group 1 user@host# set match-direction output user@host# set tunnel-mtu 1400 user@host# set df-bit clear
Konfigurieren Sie den Servicefilter.
[edit firewall family inet service-filter GroupVPN-KS] user@host# set term inbound-ks from destination-address 10.10.100.1/32 user@host# set term inbound-ks from source-address 10.10.100.1/32 user@host# set term inbound-ks then skip user@host# set term outbound-ks from destination-address 10.10.100.1/32 user@host# set term outbound-ks then skip user@host# set term GROUP_ID-0001 from source-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 from destination-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 then service
Konfigurieren Sie den Service-Set.
[edit services service-set GROUP_ID-0001] user@host# set interface-service service-interface ms-0/2/0.0 user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show routing-optionsshow security, show servicesund eingebenshow firewall. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.103.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.103.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.103.254;
route 10.18.102.0/24 next-hop 10.18.103.254;
route 10.18.104.0/24 next-hop 10.18.103.254;
route 172.16.101.0/24 next-hop 10.18.103.254;
route 172.16.102.0/24 next-hop 10.18.103.254;
route 172.16.103.0/24 next-hop 10.18.103.254;
route 172.16.104.0/24 next-hop 10.18.103.254;
}
[edit]
user@host# show security
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
local-address 10.18.103.1;
server-address 10.10.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
}
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
destination-address {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.10.100.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
}
}
Konfigurieren von Gruppenmitglied GM-0004 (Gerät der MX-Serie)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS set interfaces xe-0/0/1 unit 0 family inet address 10.18.104.1/24 set interfaces xe-0/0/2 unit 0 family inet address 172.16.104.1/24 set interfaces ms-0/2/0 unit 0 family inet set routing-options static route 10.18.101.0/24 next-hop 10.18.104.254 set routing-options static route 10.18.102.0/24 next-hop 10.18.104.254 set routing-options static route 10.18.103.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.101.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.102.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.103.0/24 next-hop 10.18.104.254 set routing-options static route 172.16.104.0/24 next-hop 10.18.104.254 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-method pre-shared-keys set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 dh-group group14 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 authentication-algorithm sha-256 set security group-vpn member ike proposal PSK-SHA256-DH14-AES256 encryption-algorithm aes-256-cbc set security group-vpn member ike policy SubSrv mode main set security group-vpn member ike policy SubSrv proposals PSK-SHA256-DH14-AES256 set security group-vpn member ike policy SubSrv pre-shared-key ascii-text "$ABC123" set security group-vpn member ike gateway SubSrv ike-policy SubSrv set security group-vpn member ike gateway SubSrv server-address 10.17.101.1 set security group-vpn member ike gateway SubSrv server-address 10.17.102.1 set security group-vpn member ike gateway SubSrv server-address 10.17.103.1 set security group-vpn member ike gateway SubSrv server-address 10.17.104.1 set security group-vpn member ike gateway SubSrv local-address 10.18.104.1 set security group-vpn member ipsec vpn GROUP_ID-0001 ike-gateway SubSrv set security group-vpn member ipsec vpn GROUP_ID-0001 group 1 set security group-vpn member ipsec vpn GROUP_ID-0001 match-direction output set security group-vpn member ipsec vpn GROUP_ID-0001 tunnel-mtu 1400 set security group-vpn member ipsec vpn GROUP_ID-0001 df-bit clear set services service-set GROUP_ID-0001 interface-service service-interface ms-0/2/0.0 set services service-set GROUP_ID-0001 ipsec-group-vpn GROUP_ID-0001 set firewall family inet service-filter GroupVPN-KS term inbound-ks from destination-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term inbound-ks from source-address 10.10.100.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.101.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.102.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.103.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks from destination-address 10.17.104.1/32 set firewall family inet service-filter GroupVPN-KS term outbound-ks then skip set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from source-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 from destination-address 172.16.0.0/12 set firewall family inet service-filter GroupVPN-KS term GROUP_ID-0001 then service
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das Gruppen-VPNv2-Mitglied:
Konfigurieren Sie die Schnittstellen.
[edit interfaces] user@host# set xe-0/0/1 unit 0 family inet service input service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet service output service-set GROUP_ID-0001 service-filter GroupVPN-KS user@host# set xe-0/0/1 unit 0 family inet address 10.18.104.1/24 user@host# set xe-0/0/2 unit 0 family inet address 172.16.104.1/24 user@host# set ms-0/2/0 unit 0 family inet
Routing konfigurieren.
[edit routing-options] user@host# set static route 10.18.101.0/24 next-hop 10.18.104.254 user@host# set static route 10.18.102.0/24 next-hop 10.18.104.254 user@host# set static route 10.18.103.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.101.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.102.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.103.0/24 next-hop 10.18.104.254 user@host# set static route 172.16.104.0/24 next-hop 10.18.104.254
Konfigurieren Sie IKE-Angebot, -Richtlinie und -Gateway.
[edit security group-vpn member ike proposal PSK-SHA256-DH14-AES256 ] user@host# set authentication-method pre-shared-keys user@host# set group group14 user@host# set authentication-algorithm sha-256 user@host# set encryption-algorithm aes-256-cbc [edit security group-vpn member ike policy KeySrv ] user@host# set mode main user@host# set proposals PSK-SHA256-DH14-AES256 user@host# set pre-shared-key ascii-text "$ABC123" [edit security group-vpn member ike gateway KeySrv] user@host# set ike-policy KeySrv user@host# set server-address 10.10.100.1 user@host# set local-address 10.18.104.1
Konfigurieren Sie die IPsec SA.
[edit security group-vpn member ipsec vpn GROUP_ID-0001] user@host# set ike-gateway KeySrv user@host# set group 1 user@host# set match-direction output user@host# set tunnel-mtu 1400 user@host# set df-bit clear
Konfigurieren Sie den Servicefilter.
[edit firewall family inet service-filter GroupVPN-KS] user@host# set term inbound-ks from destination-address 10.10.101.1/32 user@host# set term inbound-ks from source-address 10.10.101.1/32 user@host# set term inbound-ks then skip user@host# set term outbound-ks from destination-address 10.17.101.1/32 user@host# set term outbound-ks from destination-address 10.17.102.1/32 user@host# set term outbound-ks from destination-address 10.17.103.1/32 user@host# set term outbound-ks from destination-address 10.17.104.1/32 user@host# set term outbound-ks then skip user@host# set term GROUP_ID-0001 from source-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 from destination-address 172.16.0.0/12 user@host# set term GROUP_ID-0001 then service
Konfigurieren Sie den Service-Set.
[edit services service-set GROUP_ID-0001] user@host# set interface-service service-interface ms-0/2/0.0 user@host# set ipsec-group-vpn GROUP_ID-0001
Ergebnisse
Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration, indem Sie die show interfacesBefehle , , show routing-optionsshow security, show servicesund eingebenshow firewall. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
xe-0/0/1 {
unit 0 {
family inet {
service {
input {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
output {
service-set GROUP_ID-0001 service-filter GroupVPN-KS;
}
}
address 10.18.104.1/24;
}
}
}
xe-0/0/2 {
unit 0 {
family inet {
address 172.16.104.1/24;
}
}
}
ms-0/2/0 {
unit 0 {
family inet;
}
}
[edit]
user@host# show routing-options
static {
route 10.18.101.0/24 next-hop 10.18.104.254;
route 10.18.102.0/24 next-hop 10.18.104.254;
route 10.18.103.0/24 next-hop 10.18.104.254;
route 172.16.101.0/24 next-hop 10.18.104.254;
route 172.16.102.0/24 next-hop 10.18.104.254;
route 172.16.103.0/24 next-hop 10.18.104.254;
route 172.16.104.0/24 next-hop 10.18.104.254;
}
[edit]
user@host# show security
group-vpn {
member {
ike {
proposal PSK-SHA256-DH14-AES256 {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
}
policy KeySrv {
mode main;
proposals PSK-SHA256-DH14-AES256;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway KeySrv {
ike-policy KeySrv;
local-address 10.18.104.1;
server-address 10.17.101.1;
}
}
ipsec {
vpn GROUP_ID-0001 {
ike-gateway KeySrv
group 1;
match-direction output;
tunnel-mtu 1400;
df-bit clear;
}
}
}
}
[edit]
user@host# show services
service-set GROUP_ID-0001 {
interface-service {
service-interface ms-0/2/0.0;
}
ipsec-group-vpn GROUP_ID-0001;
}
[edit]
user@host# show firewall
family inet {
service-filter GroupVPN-KS {
term inbound-ks {
from {
destination-address {
10.10.100.1/32;
}
source-address {
10.10.100.1/32;
}
}
then skip;
}
term outbound-ks {
from {
destination-address {
10.17.101.1/32;
10.17.102.1/32;
10.17.103.1/32;
10.17.104.1/32;
}
}
then skip;
}
term GROUP_ID-0001 {
from {
source-address {
172.16.0.0/12;
}
destination-address {
172.16.0.0/12;
}
}
then service;
}
}
}
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Registrierung von Gruppenmitglied überprüfen
- Überprüfen der Verteilung von Gruppenschlüsseln
- Überprüfen von Gruppen-VPN-SAs auf dem Gruppenserver
- Überprüfen von Gruppen-VPN-SAs für Gruppenmitglieder
- Überprüfen von IPsec-SAs auf dem Gruppenserver
- Überprüfen von IPsec-SAs für Gruppenmitglieder
- Überprüfen von Gruppenrichtlinien (nur SRX- oder vSRX-Gruppenmitglieder)
Registrierung von Gruppenmitglied überprüfen
Zweck
Vergewissern Sie sich, dass Gruppenmitglieder auf dem Server registriert sind.
Aktion
Geben Sie im Betriebsmodus die Befehle und show security group-vpn server registered-members detail die show security group-vpn server registered-members Befehle auf dem Server ein.
user@host> show security group-vpn server registered-members Group: GROUP_ID-0001, Group Id: 1 Total number of registered members: 2 Member Gateway Member IP Last Update Vsys GM-0001 10.18.101.1 Thu Nov 19 2015 16:31:09 root GM-0003 10.18.103.1 Thu Nov 19 2015 16:29:47 root
user@host> show security group-vpn server registered-members detail
GGroup: GROUP_ID-0001, Group Id: 1
Total number of registered members: 2
Member gateway: GM-0001, Member IP: 10.18.101.1, Vsys: root
Last Update: Thu Nov 19 2015 16:31:09
Stats:
Pull Succeeded : 2
Pull Failed : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Member gateway: GM-0003, Member IP: 10.18.103.1, Vsys: root
Last Update: Thu Nov 19 2015 16:29:47
Stats:
Pull Succeeded : 1
Pull Failed : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Überprüfen der Verteilung von Gruppenschlüsseln
Zweck
Überprüfen Sie, ob Gruppenschlüssel an Mitglieder verteilt sind.
Aktion
Geben Sie im Betriebsmodus den show security group-vpn server statistics Befehl auf dem Gruppenserver ein.
user@host> show security group-vpn server statistics
Group: GROUP_ID-0001, Group Id: 1
Stats:
Pull Succeeded : 4
Pull Failed : 0
Pull Exceed Member Threshold : 0
Push Sent : 0
Push Acknowledged : 0
Push Unacknowledged : 0
Überprüfen von Gruppen-VPN-SAs auf dem Gruppenserver
Zweck
Überprüfen von Gruppen-VPN-SAs auf dem Gruppenserver.
Aktion
Geben Sie im Betriebsmodus die Befehle und show security group-vpn server kek security-associations detail die show security group-vpn server kek security-associations Befehle auf dem Gruppenserver ein.
user@host> show security group-vpn server kek security-associations Index Life:sec Initiator cookie Responder cookie GroupId 738879 1206 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn server kek security-associations detail Index 738879, Group Name: GROUP_ID-0001, Group Id: 1 Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64 Authentication method: RSA Lifetime: Expires in 1204 seconds, Activated Rekey in 694 seconds Algorithms: Sig-hash : sha256 Encryption : aes256-cbc Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Server Member Communication: Unicast Retransmission Period: 10, Number of Retransmissions: 2 Group Key Push sequence number: 0 PUSH negotiations in progress: 0
Überprüfen von Gruppen-VPN-SAs für Gruppenmitglieder
Zweck
Überprüfen von Gruppen-VPN-SAs für die Gruppenmitglieder.
Aktion
Geben Sie im Betriebsmodus die Befehle und show security group-vpn member kek security-associations detail die show security group-vpn member kek security-associations Befehle des SRX- oder vSRX-Gruppenmitglieds ein.
user@host> show security group-vpn member kek security-associations Index Server Address Life:sec Initiator cookie Responder cookie GroupId 5455810 10.10.100.1 1093 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn member kek security-associations detail
Index 5455810, Group Id: 1
Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.101.1, GDOI Server: 10.10.100.1
Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64
Lifetime: Expires in 1090 seconds
Group Key Push Sequence number: 0
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
Geben Sie im Betriebsmodus die Befehle und show security group-vpn member kek security-associations detail die show security group-vpn member kek security-associations Befehle des Gruppenmitglieds der MX-Serie ein.
user@host> show security group-vpn member kek security-associations Index Server Address Life:sec Initiator cookie Responder cookie GroupId 488598 10.10.100.1 963 a471513492db1e13 24045792a4b3dd64 1
user@host> show security group-vpn member kek security-associations detail
Index 488598, Group Id: 1
Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.103.1, GDOI Server: 10.10.100.1
Initiator cookie: a471513492db1e13, Responder cookie: 24045792a4b3dd64
Lifetime: Expires in 961 seconds
Group Key Push Sequence number: 0
Algorithms:
Sig-hash : hmac-sha256-128
Encryption : aes256-cbc
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Stats:
Push received : 0
Delete received : 0
Überprüfen von IPsec-SAs auf dem Gruppenserver
Zweck
Überprüfen Sie IPsec-SAs auf dem Gruppenserver.
Aktion
Geben Sie im Betriebsmodus die Befehle und show security group-vpn server ipsec security-associations detail die show security group-vpn server ipsec security-associations Befehle auf dem Gruppenserver ein.
user@host> show security group-vpn server ipsec security-associations Group: GROUP_ID-0001, Group Id: 1 Total IPsec SAs: 1 IPsec SA Algorithm SPI Lifetime GROUP_ID-0001 ESP:aes-256/sha256 1c548e4e 1156
user@host> show security group-vpn server ipsec security-associations detail
Group: GROUP_ID-0001, Group Id: 1
Total IPsec SAs: 1
IPsec SA: GROUP_ID-0001
Protocol: ESP, Authentication: sha256, Encryption: aes-256
Anti-replay: D3P enabled
SPI: 1c548e4e
Lifetime: Expires in 1152 seconds, Activated
Rekey in 642 seconds
Policy Name: 1
Source: 172.16.0.0/12
Destination: 172.16.0.0/12
Source Port: 0
Destination Port: 0
Protocol: 0
Überprüfen von IPsec-SAs für Gruppenmitglieder
Zweck
Überprüfen sie IPsec-SAs für die Gruppenmitglieder.
Aktion
Geben Sie im Betriebsmodus die Befehle und show security group-vpn member ipsec security-associations detail die show security group-vpn member ipsec security-associations Befehle des SRX- oder vSRX-Gruppenmitglieds ein.
user@host> show security group-vpn member ipsec security-associations Total active tunnels: 1 ID Server Port Algorithm SPI Life:sec/kb GId lsys <>49152 10.10.100.1 848 ESP:aes-256/sha256-128 1c548e4e 1073/ unlim 1 root
user@host> show security group-vpn member ipsec security-associations detail
Virtual-system: root Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.101.1, GDOI Server: 10.10.100.1
Group Id: 1
Routing Instance: default
Recovery Probe: Enabled
DF-bit: clear
Stats:
Pull Succeeded : 4
Pull Failed : 3
Pull Timeout : 3
Pull Aborted : 0
Push Succeeded : 6
Push Failed : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(10): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
List of policies received from server:
Tunnel-id: 49152
Source IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Destination IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Direction: bi-directional, SPI: 1c548e4e
Protocol: ESP, Authentication: sha256-128, Encryption: aes-256
Hard lifetime: Expires in 1070 seconds, Activated
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 931 seconds
Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: D3P enabled
Geben Sie im Betriebsmodus die Befehle und show security group-vpn member ipsec security-associations detail die show security group-vpn member ipsec security-associations Befehle des Gruppenmitglieds der MX-Serie ein.
user@host> show security group-vpn member ipsec security-associations Total active tunnels: 1 ID Server Port Algorithm SPI Life:sec/kb GId lsys <>10001 10.10.100.1 848 ESP:aes-256/sha256-128 1c548e4e 947/ unlim 1 root
user@host> show security group-vpn member ipsec security-associations detail
Virtual-system: root Group VPN Name: GROUP_ID-0001
Local Gateway: 10.18.103.1, GDOI Server: 10.10.100.1
Group Id: 1
Rule Match Direction: output, Tunnel-MTU: 1400
Routing Instance: default
DF-bit: clear
Stats:
Pull Succeeded : 2
Pull Failed : 0
Pull Timeout : 1
Pull Aborted : 0
Push Succeeded : 2
Push Failed : 0
Server Failover : 0
Delete Received : 0
Exceed Maximum Keys(4) : 0
Exceed Maximum Policies(1): 0
Unsupported Algo : 0
Flags:
Rekey Needed: no
List of policies received from server:
Tunnel-id: 10001
Source IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Destination IP: ipv4_subnet(any:0,[0..7]=172.16.0.0/12)
Direction: bi-directional, SPI: 1c548e4e
Protocol: ESP, Authentication: sha256-128, Encryption: aes-256
Hard lifetime: Expires in 945 seconds, Activated
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 840 seconds
Mode: Tunnel, Type: Group VPN, State: installed
Anti-replay service: D3P enabled
Überprüfen von Gruppenrichtlinien (nur SRX- oder vSRX-Gruppenmitglieder)
Zweck
Überprüfen der Gruppenrichtlinien auf SRX- oder vSRX-Gruppenmitgliedern.
Aktion
Geben Sie im Betriebsmodus den show security group-vpn member policy Befehl auf dem Gruppenmitglied ein.
user@host> show security group-vpn member policy Group VPN Name: GROUP_ID-0001, Group Id: 1 From-zone: LAN, To-zone: WAN Tunnel-id: 49152, Policy type: Secure Source : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol <0> Destination : IP <172.16.0.0 - 172.31.255.255>, Port <0 - 65535>, Protocol <0> Tunnel-id: 63488, Policy type: Fail-close Source : IP <0.0.0.0 - 255.255.255.255>, Port <0 - 65535>, Protocol <0> Destination : IP <0.0.0.0 - 255.255.255.255>, Port <0 - 65535>, Protocol <0>
Beispiel: Konfigurieren der Group VPNv2 Server-Member-Kommunikation für Unicast Rekey-Nachrichten
In diesem Beispiel wird gezeigt, wie der Server Unicast-Rekey-Nachrichten an Gruppenmitglieder senden kann, um sicherzustellen, dass gültige Schlüssel für die Verschlüsselung des Datenverkehrs zwischen Gruppenmitgliedern verfügbar sind. Gruppen-VPNv2 wird auf Geräten der SERIE SRX300, SRX320, SRX340, SRX345, SRX550HM, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen unterstützt.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie den Gruppenserver und die Mitglieder für die IKE Phase 1-Aushandlung.
Konfigurieren Sie den Gruppenserver und die Mitglieder für IPsec SA.
Konfigurieren Sie die Gruppe
g1auf dem Gruppenserver.
Überblick
In diesem Beispiel geben Sie die folgenden Kommunikationsparameter für Servermitglieder für die Gruppe an g1:
Der Server sendet Unicast-Rekey-Nachrichten an Gruppenmitglieder.
aes-128-cbc wird zur Verschlüsselung des Datenverkehrs zwischen Server und Mitgliedern verwendet.
sha-256 wird für die Mitgliederauthentifizierung verwendet.
Standardwerte werden für die Lebensdauer und Retransmissionen von KEK verwendet.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die Kommunikation zwischen Server und Mitglied:
Legen Sie den Kommunikationstyp fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set communications-type unicast
Legen Sie den Verschlüsselungsalgorithmus fest.
[edit security group-vpn server group g1 server-member-communication] user@host# set encryption-algorithm aes-128-cbc
Die Mitgliederauthentifizierung festlegen.
[edit security group-vpn server group g1 server-member-communication] user@host# set sig-hash-algorithm sha-256
Überprüfung
Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, geben Sie den show security group-vpn server group g1 server-member-communication Befehl ein.