Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über die IPSec-VPN-Konfiguration

Eine VPN-Verbindung kann zwei LANs (Site-to-Site-VPN) oder einen Benutzer für die Remote-Einwahl und ein LAN verbinden. Der Datenverkehr zwischen diesen beiden Punkten passiert gemeinsame Ressourcen wie Router, Switches und andere Netzwerkgeräte, aus denen das öffentliche WAN besteht. Zwischen zwei Teilnehmergeräten wird ein IPSec-Tunnel erstellt, um die VPN-Kommunikation zu sichern.

Übersicht über die Konfiguration von IPsec VPN mit Autokey IKE-Konfiguration

Die IPSec-VPN-Aushandlung erfolgt in zwei Phasen. In Phase 1 schaffen die Teilnehmer einen sicheren Kanal, über den die IPsec-Sicherheitszuordnung auszuhandeln ist. In Phase 2 handelt die Teilnehmer die IPsec-Sicherheitszuordnung für die Authentifizierung des Datenverkehrs aus, der durch den Tunnel fließt.

In diesem Überblick werden die grundlegenden Schritte zum Konfigurieren eines routenbasierten oder richtlinienbasierten IPsec-VPN mit Autokey IKE (Preshared Keys oder Zertifikate) beschrieben.

So konfigurieren Sie ein routen- oder richtlinienbasiertes IPsec-VPN mit Autokey-IKE:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Adressbuchinformationen.

    (für routenbasierte VPNs) Konfigurieren Sie eine sichere Tunnel st0.x-Schnittstelle. Konfigurieren Sie Routing auf dem Gerät.

  2. Konfigurieren Sie Phase 1 des IPsec-VPN-Tunnels.
    1. (optional) Konfigurieren Sie einen benutzerdefinierten IKE Für Phase 1-Angebot. Dieser Schritt ist optional, da Sie einen vordefinierten Satz IKE Phase 1-Angebot (Standard, Kompatibel oder Basic) verwenden können.
    2. Konfigurieren Sie IKE Richtlinie, die entweder auf Ihren benutzerdefinierten IKE Für Phase 1-Vorschlag oder auf einen vordefinierten Vorschlag für IKE Phase 1 verweist. Geben Sie Autokey-IKE preshared Key- oder Zertifikatsinformationen an. Geben Sie den Modus (Haupt- oder Aggressive) für den Phase-1-Austausch an.
    3. Konfigurieren Sie ein IKE Gateway, das auf die Netzwerkrichtlinie IKE. Geben Sie die IKE-IDs für lokale und Remote-Geräte an. Wenn die IP-Adresse des Remote-Gateways nicht bekannt ist, geben Sie an, wie das Remote-Gateway identifiziert werden soll.
  3. Konfigurieren Sie Phase 2 des IPsec-VPN-Tunnels.
    1. (optional) Konfigurieren Sie einen benutzerdefinierten IPsec Phase 2-Vorschlag. Dieser Schritt ist optional, da Sie einen vordefinierten IPsec Phase 2-Vorschlagsatz (Standard, Compatible oder Basic) verwenden können.
    2. Konfigurieren Sie eine IPsec-Richtlinie, die entweder auf Ihren benutzerdefinierten IPsec-Phase-2-Vorschlag oder auf einen vordefinierten IPsec Phase 2-Vorschlagsatz verweist. Geben Sie die perfekten PfS-Schlüssel (Forward Secrecy) an.
    3. Konfigurieren Sie einen IPsec-VPN-Tunnel, der sowohl auf das IKE-Gateway als auch auf die IPsec-Richtlinie verweist. Geben Sie die Proxy-IDs an, die in Phase-2-Aus verhandlungen verwendet werden sollen.

      (für routenbasierte VPNs) Binden Sie die sichere Tunnelschnittstelle st0.x an den IPSec-VPN-Tunnel.

  4. Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr von der Quellzone zur Zielzone zu ermöglichen.

    (Für richtlinienbasierte VPNs) Geben Sie die Sicherheitsrichtlinie-Aktion mit dem Namen des tunnel ipsec-vpn konfigurierten IPsec-VPN-Tunnels an.

  5. Aktualisieren Sie Ihre globalen VPN-Einstellungen.

Übersicht über die Konfiguration von IPsec-VPN mit manuellen Schlüsseln

In diesem Überblick werden die grundlegenden Schritte zum Konfigurieren eines routenbasierten oder richtlinienbasierten IPsec-VPN mithilfe manueller Schlüssel beschrieben.

Zum Konfigurieren eines routenbasierten oder richtlinienbasierten IPSec-VPNs mithilfe manueller Schlüssel:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Adressbuchinformationen.

    (für routenbasierte VPNs) Routing konfigurieren. Konfigurieren Sie eine sichere Tunnel st0.x-Schnittstelle.

  2. Konfigurieren Sie einen IPSec-VPN-Tunnel mit folgenden Parametern:
    • Authentifizierungsalgorithmus und -schlüssel

    • Verschlüsselungsalgorithmus und -schlüssel

    • Ausgehende Schnittstelle

    • IP-Adresse des Peer

    • IPsec-Protokoll für die Sicherheitsgemeinschaft

    • Sicherheitsparameter-Index

    (für routenbasierte VPNs) Binden Sie die sichere Tunnelschnittstelle st0.x an den IPSec-VPN-Tunnel.

  3. Konfigurieren Sie die Sicherheitsrichtlinie, um Datenverkehr von der Quellzone zum Zielbereich zu ermöglichen.

    (Für richtlinienbasierte VPNs) Geben Sie die Sicherheitsrichtlinie-Aktion mit dem Namen des tunnel ipsec-vpn konfigurierten IPsec-VPN-Tunnels an.

Grundlegende Informationen zu IPSec-VPNs mit dynamischen Endpunkten

Überblick

Ein IPSec-VPN-Peer kann über eine IP-Adresse verfügen, die dem Peer, mit dem er die VPN-Verbindung aufbaut, nicht bekannt ist. Ein Peer kann beispielsweise mithilfe des Dynamic Host Configuration Protocol (DHCP) eine IP-Adresse dynamisch zuweisen. Dies kann bei einem Remotezugriffs-Client in einer Zweigstelle oder im Heimbüro oder bei mobilen Geräten der Fall sein, die zwischen verschiedenen physischen Standorten bewegt werden. Oder der Peer kann sich hinter einem Gerät eines NAT befinden, das die ursprüngliche Quell-IP-Adresse des Peers in eine andere Adresse übersetzt. Ein VPN-Peer mit einer unbekannten IP-Adresse wird als dynamisches Endgerät bezeichnet, und ein VPN, das mit einem dynamischen Endgerät als dynamisches Endpunkt-VPN bezeichnet wird.

Auf Geräten der SRX-Serie wird IKEv1 oder IKEv2 mit dynamischen Endpunkt-VPNs unterstützt. Dynamische Endpunkt-VPNs auf Geräten der SRX-Serie unterstützen IPv4-Datenverkehr in sicheren Tunneln. Dynamische Endpunkt-VPNs auf Geräten der SRX-Serie unterstützen ab dem Junos OS Release 15.1X49-D80 IPv6-Datenverkehr in sicheren Tunneln.

IPv6-Datenverkehr wird für AutoVPN-Netzwerke nicht unterstützt.

In den folgenden Abschnitten werden Elemente beschrieben, die Bei der Konfiguration eines VPN mit einem dynamischen Endgerät zu beachten sind.

IKE-Identität

Auf dem dynamischen Endpunkt muss eine IKE konfiguriert werden, damit das Gerät sich selbst für seinen Peer identifiziert. Die lokale Identität des dynamischen Endpunkts wird im Peer überprüft. Standardmäßig erwartet das Gerät der SRX-IKE, dass eine der folgenden Identitäten ist:

  • Bei Verwendung von Zertifikaten kann zur Identifizierung von Benutzern oder Unternehmen ein distinguished Name (DN) verwendet werden.

  • Ein Hostname oder ein vollständig qualifizierter Domainname (FQDN), der das Endgerät identifiziert.

  • Ein vollständig qualifizierter Domänenname (UFQDN), auch als Benutzer-at-Hostname bekannt. Dies ist ein String, der dem Format der E-Mail-Adresse folgt.

Aggressiver Modus für IKEv1-Richtlinie

Wenn IKEv1 mit dynamischen Endpunkt-VPNs verwendet wird, muss die IKE als aggressiver Modus konfiguriert werden. IKEv2 verwendet keinen aggressiven Modus, daher können Sie bei der Verwendung von IKEv2 mit dynamischen Endpunkt-VPNs entweder den Haupt- oder aggressiven Modus konfigurieren.

IKE Richtlinien und externe Schnittstellen

Beginnend mit Junos OS Release 12.3X48-D40, Junos OS Release 15.1X49-D70 und Junos OS Release 17.3R1 können alle dynamischen Endpunkt-Gateways, die auf Geräten der SRX-Serie mit derselben externen Schnittstelle konfiguriert sind, unterschiedliche IKE-Richtlinien verwenden, die IKE-Richtlinien müssen jedoch dasselbe IKE-Angebot verwenden. Dies gilt für IKEv1 und IKEv2.

NAT

Wenn sich der dynamische Endpunkt hinter einem NAT befindet, muss NAT-T auf dem Gerät der SRX-Serie konfiguriert werden. NAT während der Verbindung zwischen DEN VPN-Peers sind möglicherweise Keepalives erforderlich, um die NAT zu pflegen. Standardmäßig ist NAT-T auf Geräten der SRX-Serie aktiviert NAT und NAT-Keepalives werden in 20-Sekunden-Intervallen gesendet.

Gruppen- und Shared IKE-IDs

Sie können für jedes dynamische Endgerät einen individuellen VPN-Tunnel konfigurieren. Bei DYNAMISCHEn IPv4-Endpunkt-VPNs können Sie die Gruppen-IKE-ID oder gemeinsam genutzte IKE-ID-Funktionen verwenden, um eine Reihe dynamischer Endpunkte zu ermöglichen, eine Gateway IKE gemeinsam zu nutzen.

Mit der IKE-ID der Gruppe können Sie einen gemeinsamen Teil einer vollständigen IKE-ID für alle dynamischen Endpunkte definieren, wie z. B. "example.net." Ein benutzerspezifischer Teil, wie der Benutzername "Bob", ist mit dem gemeinsamen Teil als vollständige IKE-ID (Bob.example.net) verbunden, die jede Benutzerverbindung eindeutig identifiziert.

Mit der gemeinsam genutzten IKE-ID können dynamische Endpunkte eine IKE-ID IKE Preshared Key teilen.

Understanding IKE Identity Configuration

Die IKE-Id (IKE-ID) wird zur Validierung von VPN-Peer-Geräten während IKE verwendet. Die IKE-ID, die das Gerät der SRX-Serie von einem Remote-Peer erhält, kann eine IPv4- oder IPv6-Adresse, ein Hostname, ein vollständig qualifizierter Domänenname (FQDN), ein Benutzer FQDN (UFQDN) oder ein ausgezeichneter Name (DN) sein. Die IKE-ID, die vom Remote-Peer gesendet wird, muss den anforderungen des Geräts der SRX-Serie entsprechen. Andernfalls schlägt IKE ID-Validierung fehl und das VPN wird nicht festgelegt.

IKE-ID-Typen

Die Geräte der SRX-Serie unterstützen die folgenden IKE von Identitäten für Remote-Peers:

  • Eine IPv4- oder IPv6-Adresse wird in der Regel mit Standort-zu-Standort-VPNs verwendet, bei denen der Remote-Peer über eine statische IP-Adresse verfügt.

  • Ein Hostname ist ein String, der das Remote-Peer-System identifiziert. Dies kann ein FQDN sein, der zu einer IP-Adresse aufhebt. Es kann auch ein teilweiser FQDN sein, der in Verbindung mit einem bestimmten IKE-Benutzertyp verwendet wird.

    Wenn ein Hostname anstelle einer IP-Adresse konfiguriert wird, basiert die zugesagte Konfiguration und nachfolgende Tunneleinrichtung auf der aktuell gelösten IP-Adresse. Wenn sich die IP-Adresse des Remote-Peers ändert, ist die Konfiguration nicht mehr gültig.

  • Ein UFQDN ist ein String, der demselben Format wie eine E-Mail-Adresse wie user@example.com .

  • Ein DN ist ein Name, der mit digitalen Zertifikaten zur eindeutigen Identifizierung eines Benutzers verwendet wird. Ein DN kann beispielsweise "CN=user, DC=example, DC=com" sein. Optional können Sie das Stichwort verwenden, um anzugeben, dass die Reihenfolge der Felder in einem DN und deren Werte genau mit dem konfigurierten DN übereinstimmen, oder das Schlüsselwort verwenden, um anzugeben, dass die Werte von Feldern in einem DN übereinstimmen müssen, aber die Reihenfolge der Felder spielt containerwildcard keine Rolle.

    Beginnend im Junos OS Release 19.4R1 können Sie jetzt nur noch ein dynamisches DN-Attribut zwischen container-string und in einer Hierarchie wildcard-string[edit security ike gateway gateway_name dynamic distinguished-name] konfigurieren. Wenn Sie versuchen, das zweite Attribut zu konfigurieren, nachdem Sie das erste Attribut konfiguriert haben, wird das erste Attribut durch das zweite Attribut ersetzt. Bevor Sie Ihr Gerät aktualisieren, müssen Sie eines der Attribute löschen, wenn Sie beide Attribute konfiguriert haben.

  • Ein IKE-Benutzertyp kann mit AutoVPN und Remotezugriffs-VPNs verwendet werden, wenn mehrere Remote-Peers eine Verbindung zum gleichen VPN-Gateway auf dem Gerät der SRX-Serie herstellen. Konfigurieren ike-user-type group-ike-id Sie, um eine Gruppennummer IKE bzw. eine gemeinsam genutzte ike-user-type shared-ike-id IKE-ID anzugeben.

Remote IKE-IDs und Standort-zu-Standort-VPNs

Bei Standort-zu-Standort-VPNs kann die IKE-ID des Remote-Peers je nach Konfiguration des Peer-Geräts die IP-Adresse der Ausgangsnetzwerkschnittstellenkarte, eine Loopback-Adresse, ein Hostname oder eine manuell konfigurierte IKE-ID sein.

Standardmäßig erwarten Geräte der SRX-Serie, dass die IKE-ID des Remote-Peers die mit der Konfiguration konfigurierte IP-Adresse set security ike gateway gateway-name address ist. Wenn die IKE-ID des Remote-Peers ein anderer Wert ist, müssen Sie die Anweisung remote-identity auf der [ ] edit security ike gateway gateway-name Hierarchieebene konfigurieren.

Beispielsweise wird ein IKE-Gateway auf Geräten der SRX-Serie mit dem Befehl set security ike gateway remote-gateway address 203.0.113.1 konfiguriert. Die vom Remote-Peer IKE ID gesendete Id ist jedoch host.example.net . Es besteht ein Mismatch zwischen dem, was das Gerät der SRX-Serie von der IKE-ID des Remote-Peer (203.0.113.1) und der tatsächlichen IKE-ID ( ) erwartet, die vom Peer gesendet host.example.net wird. In diesem Fall schlägt IKE ID-Validierung fehl. Verwenden Sie set security ike gateway remote-gateway remote-identity hostname host.example.net die Kennung IKE die vom Remote-Peer empfangen wurde.

Remote-IKE-IDs und Dynamic Endpoint-VPNs

Für dynamische Endpunkt-VPNs wird die von einem Remote-Peer erwartete IKE-ID mit den Optionen auf der [ edit security ike gateway gateway-name dynamic ] Hierarchieebene konfiguriert. Für AutoVPN kann in Kombination mit mehreren Peers mit einem gemeinsamen Domainnamen hostnameike-user-type group-ike-id verwendet werden. Wenn Zertifikate zur Überprüfung des Peers verwendet werden, kann ein DN konfiguriert werden.

Lokale IKE-ID des Geräts der SRX-Serie

Standardmäßig verwendet das Gerät der SRX-Serie die IP-Adresse seiner externen Schnittstelle zum Remote-Peer als IKE-ID. Diese IKE-ID kann durch die Konfiguration der Anweisung auf local-identity der [ edit security ike gateway gateway-name ] Hierarchieebene überschrieben werden. Wenn Sie die Anweisung auf einem Gerät der SRX-Serie konfigurieren müssen, stellen Sie sicher, dass die konfigurierte IKE-ID mit der vom Remote-Peer erwarteten local-identity IKE-ID entspricht.

Konfigurieren von Remote-IKE-IDs für Site-to-Site-VPNs

Standardmäßig validieren Geräte der SRX-Serie die IKE ID, die vom Peer empfangen wurde, mit der für das Gateway konfigurierten IP-IKE Gateway. In bestimmten Netzwerkeinrichtungs entspricht die vom Peer empfangene IKE-ID (kann eine IPv4- oder IPv6-Adresse, der vollständig qualifizierte Domänenname [FQDN], ein ausgezeichneter Name oder eine E-Mail-Adresse sein) nicht dem auf dem Gerät der SRX-Serie konfigurierten IKE-Gateway. Dies kann zu einem Validierungsfehler in Phase 1 führen.

Um die Konfiguration des Geräts der SRX-Serie oder des Peer-Geräts für die verwendete IKE-ID zu ändern:

  • Konfigurieren Sie auf dem Gerät der SRX-Serie die Anweisung auf der [ ] Hierarchieebene, um der IKE-ID zu gleichen, die vom remote-identityedit security ike gateway gateway-name Peer empfangen wird. Werte können eine IPv4- oder IPv6-Adresse, FQDN, Distinguished Name oder E-Mail-Adresse sein.

    Wenn Sie nicht konfigurieren, verwendet das Gerät die remote-identity IPv4- oder IPv6-Adresse, die standardmäßig dem Remote-Peer entspricht.

  • Stellen Sie auf dem Peer-Gerät sicher, dass die IKE-ID mit der auf dem Gerät der remote-identity SRX-Serie konfigurierten identisch ist. Wenn ein Peergerät ein Gerät der SRX-Serie ist, konfigurieren Sie die Anweisung local-identity auf der [ ] edit security ike gateway gateway-name Hierarchieebene. Werte können eine IPv4- oder IPv6-Adresse, FQDN, Distinguished Name oder E-Mail-Adresse sein.

Grundlegende OSPF und OSPFv3-Authentifizierung auf Geräten der SRX-Serie

OSPFv3 verfügt nicht über eine integrierte Authentifizierungsmethode und verlässt sich zur Bereitstellung dieser Funktionen auf die IP Security (IPsec)-Suite. IPsec bietet Authentifizierung des Ursprungs, Datenintegrität, Vertraulichkeit, Wiedergabeschutz und Unauthentifizierung des Ursprungs. Sie können IPsec verwenden, um spezifische OSPFv3-Schnittstellen und virtuelle Links zu sichern und Verschlüsselung für OSPF bereitstellen.

OSPFv3 verwendet den IP-Authentifizierungs-Header (AH) und die IP Encapsulating Security Payload (ESP)-Teile des IPsec-Protokolls zur Authentifizierung von Routinginformationen zwischen Peers. AH kann für verbindungslose Integrität und Dateninsprungsauthentifizierung sorgen. Es bietet außerdem Schutz vor Wiedergaben. AH authentifiziert so viele IP-Header wie möglich und die Protokolldaten der oberen Ebene. Es kann jedoch sein, dass sich einige IP-Header-Felder bei der Übertragung ändern. Da der Wert dieser Felder vom Sender möglicherweise nicht vorhersagbar ist, können sie nicht durch AH geschützt werden. ESP kann Verschlüsselung und eingeschränkte Vertraulichkeit des Datenverkehrsflusses bzw. verbindungslose Integrität, Daten originsauthentifizierung und einen Anti-Replay-Dienst bereitstellen.

IPsec basiert auf Sicherheitszuordnungen (SAs). Eine Sicherheitszuordnung besteht aus einer Reihe von IPsec-Spezifikationen, die zwischen Geräten ausgehandelt werden, die eine IPsec-Beziehung herstellen. Diese Simplex-Verbindung bietet Sicherheitsdienste für die von der SICHERHEITSzuordnung übertragenen Pakete. Diese Spezifikationen beinhalten die Einstellungen für die Authentifizierungs-, Verschlüsselungs- und IPsec-Protokollart, die beim Aufbau der IPsec-Verbindung verwendet werden sollen. Mit einer Sicherheitszuordnung werden Verschlüsselung und Authentifizierung eines bestimmten Datenstroms in einer Richtung verwendet. Daher werden die Datenströme bei normalem bidirektionalem Datenverkehr durch zwei Sicherheits-As geschützt. Eine mit OSPFv3 zu verwendende Sicherheitszuordnung muss manuell konfiguriert und im Transportmodus verwendet werden. Statische Werte müssen an beiden Enden der Sicherheitszuordnung konfiguriert werden.

Um IPsec für OSPF oder OSPFv3 zu konfigurieren, definieren Sie zunächst eine manuelle SICHERHEITSzuordnung mit der Option security-association sa-name auf der [ ] edit security ipsec Hierarchieebene. Diese Funktion unterstützt nur bidirektionale manuelle Schlüssel-SAs im Transportmodus. Manuelle SAs erfordern keine Aushandlung zwischen den Peers. Alle Werte einschließlich der Schlüssel sind statisch und in der Konfiguration festgelegt. In manuellen Sicherheits-SAs werden statisch die Werte, Algorithmen und Schlüssel des Security Parameter Index (SPI) festgelegt, und es müssen konfigurationen an beiden Endpunkten (OSPF oder OSPFv3-Peers) abgestimmt werden. Daher muss jeder Peer über die gleichen konfigurierten Optionen für die Kommunikation verfügen.

Die tatsächliche Auswahl an Verschlüsselungs- und Authentifizierungsalgorithmen wird Ihrem IPsec-Administrator, es gibt jedoch folgende Empfehlungen:

  • Verwenden Sie ESP mit Null-Verschlüsselung zur Authentifizierung von Protokoll-Headern, nicht jedoch zum IPv6-Header, Erweiterungs-Header und den Optionen. Bei Null-Verschlüsselung entscheiden Sie sich, keine Verschlüsselung in Protokoll-Headern zu bieten. Dies kann zur Fehlerbehebung und Fehlerbehebung nützlich sein. Weitere Informationen zur Null-Verschlüsselung finden Sie unter RFC 2410, The NULL Encryption Algorithm and Its Use with IPsec (Der NULL-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec).

  • Verwenden Sie ESP mit DES oder 3DES, um umfassende Vertraulichkeit zu gewährleisten.

  • Verwenden Sie AH zur Authentifizierung von Protokoll-Headern, unveränderlichen Feldern in IPv6-Headern sowie Erweiterungs-Headern und -Optionen.

Die konfigurierte SICHERHEITSzuordnung wird auf die OSPF- oder OSPFv3-Konfigurationen wie folgt angewendet:

  • Für eine OSPF- oder OSPFv3-Schnittstelle enthalten Sie die Anweisung auf der ipsec-sa name [ ] oder [ ] edit protocols ospf area area-id interface interface-nameedit protocols ospf3 area area-id interface interface-name Hierarchieebene. Es kann für eine Schnittstelle oder OSPFv3-Schnittstelle nur ein IPsec SA OSPF name angegeben werden. für unterschiedliche OSPF/OSPFv3-Schnittstellen kann jedoch die gleiche IPsec-SICHERHEITSzuordnung angeben.

  • Für eine OSPF oder OSPFv3-virtuelle Verbindung fügen Sie die Aussage auf der ipsec-sa name [ ] oder [ ] edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-idedit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id Hierarchieebene ein. Sie müssen die gleiche IPsec-Sicherheitszuordnung für alle virtuellen Verbindungen mit derselben Remote-Endpunktadresse konfigurieren.

Folgende Einschränkungen gelten für die IPsec-Authentifizierung OSPF oder OSPFv3 auf Geräten der SRX-Serie:

  • Manuelle VPN-Konfigurationen, die auf der [ ] Hierarchieebene konfiguriert sind, können nicht auf OSPF- oder OSPFv3-Schnittstellen oder virtuelle Links angewendet werden, um IPsec-Authentifizierung und -Vertraulichkeit edit security ipsec vpn vpn-name manual zu gewährleisten.

  • IPsec kann nicht für die OSPF- oder OSPFv3-Authentifizierung konfiguriert werden, wenn auf dem Gerät ein vorhandenes IPsec-VPN mit den gleichen lokalen und Remoteadressen konfiguriert ist.

  • IPsec für OSPF oder OSPFv3-Authentifizierung wird nicht über sichere Tunnel-St0-Schnittstellen unterstützt.

  • Das Neuschlüsseln manueller Schlüssel wird nicht unterstützt.

  • Dynamic Internet Key Exchange (IKE) SAs werden nicht unterstützt.

  • Es wird nur der IPsec-Transportmodus unterstützt. Im Transportmodus wird nur die Payload (die von Ihnen übertragenen Daten) des IP-Pakets verschlüsselt, authentifiziert oder beides. Tunnelmodus wird nicht unterstützt.

  • Da nur bidirektionale manuelle Sicherheitszuordnungen unterstützt werden, müssen alle OSPFv3-Peers mit derselben IPsec-SA konfiguriert werden. Sie konfigurieren eine manuelle bidirektionale SICHERHEITSzuordnung auf der [ edit security ipsec ] Hierarchieebene.

  • Sie müssen die gleiche IPsec-Sicherheitszuordnung für alle virtuellen Verbindungen mit derselben Remote-Endpunktadresse konfigurieren.

Beispiel: Konfigurieren der IPsec-Authentifizierung für eine OSPF Schnittstelle auf einem Gerät der SRX-Serie

In diesem Beispiel wird gezeigt, wie Eine manuelle Sicherheitszuordnung (Manual Security Association, SA) zu einer Sicherheitsschnittstelle OSPF wird.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie die Geräteschnittstellen.

  • Konfigurieren Sie die Router-Kennungen für die Geräte in Ihrem Netzwerk OSPF Netzwerk.

  • Steuerung OSPF bestimmte Router-Wahl.

  • Konfigurieren Sie ein 1-Bereichs-OSPF Netzwerk.

  • Konfigurieren Sie ein Multi-are-OSPF-Netzwerk.

Überblick

Sie können die IPsec-Authentifizierung sowohl für OSPF als auch für OSPFv3 verwenden. Sie konfigurieren die manuelle Sicherheitszuordnung separat und wenden sie auf die zutreffende Konfiguration OSPF Konfiguration an. Listen Sie in diesem Beispiel die für die manuelle Sicherheitszuordnung konfigurierten Parameter Tabelle 3 und Werte auf.

Tabelle 3: Manueller SA für IPsec-OSPF Schnittstellenauthentifizierung

Parameter

Wert

SA-Name

sa1

Modus

Transport

Richtung

Bidirektionale

Protokoll

Ah

Spi

256

Authentifizierungsalgorithmus

Schlüssel

hmac-md5-96

(ASCII) 123456789012abc

Verschlüsselungsalgorithmus

Schlüssel

des des

(ASCII) cba210987654321

Konfiguration

Konfigurieren einer manuellen Sicherheitszuordnung

CLI-Konfiguration

Um eine manuelle SA, die für die IPsec-Authentifizierung auf einer OSPF-Schnittstelle verwendet werden soll, schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie Line Breaks, ändern Sie alle Details, die für die Konfiguration des Netzwerks erforderlich sind, kopieren Sie die Befehle, und fügen Sie die Befehle auf der [ ] Hierarchieebene in die CLI ein und geben Sie sie dann im Konfigurationsmodus editcommit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie eine manuelle Sicherheitszuordnung:

  1. Geben Sie einen Namen für die Sicherheitszuordnung ein.

  2. Geben Sie den Modus der manuellen SICHERHEITSzuordnung an.

  3. Konfigurieren Sie die Richtung der manuellen SICHERHEITSzuordnung.

  4. Konfigurieren Sie die Verwendung des IPsec-Protokolls.

  5. Konfigurieren Sie den Wert der SPI.

  6. Konfigurieren Sie Authentifizierungsalgorithmus und -schlüssel.

  7. Konfigurieren Sie Verschlüsselungsalgorithmus und -schlüssel.

Ergebnisse

Bestätigen Sie Ihre Konfiguration durch Eingabe des show security ipsec Befehls. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Nachdem Sie das Kennwort konfiguriert haben, wird das Kennwort selbst nicht mehr verwendet. Die Ausgabe zeigt die verschlüsselte Form des konfigurierten Kennworts an.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Aktivieren der IPsec-Authentifizierung für eine OSPF Schnittstellen

CLI-Konfiguration

Um eine manuelle SICHERHEITSzuordnung, die für die IPsec-Authentifizierung verwendet wird, schnell auf eine OSPF-Schnittstelle anzuwenden, den folgenden Befehl zu kopieren, in eine Textdatei zu einfügen, alle zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlichen Details zu ändern, den Befehl auf der [ ] Hierarchieebene in den CLI zu kopieren und dann im Konfigurationsmodus ein editcommit eingaben.

Schritt-für-Schritt-Verfahren

So aktivieren Sie die IPsec-Authentifizierung für eine OSPF Schnittstellen:

  1. Erstellen Sie OSPF Bereich.

    Um OSPFv3 anzugeben, fügen Sie die ospf3 Anweisung auf der [edit protocols] Hierarchieebene ein.

  2. Die Schnittstelle angeben.

  3. Wenden Sie die manuelle IPsec-Sicherheitszuordnung an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration durch Eingabe des show ospf interface detail Befehls. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Geben Sie den Befehl ein, um Ihre OSPFv3-Konfiguration zu show protocols ospf3 bestätigen.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung der Einstellungen für IPsec Security Association

Zweck

Überprüfen Sie die konfigurierten Einstellungen für die IPsec-Sicherheitsgemeinschaft. Überprüfen Sie die folgenden Informationen:

  • Das Feld "Sicherheits-Zuordnung" zeigt den Namen der konfigurierten Sicherheitsgemeinschaft an.

  • Das SPI-Feld zeigt den konfigurierten Wert an.

  • Das Mode-Feld zeigt den Transportmodus an.

  • Das Feld "Typ" zeigt manuell die Art der Sicherheitsgemeinschaft an.

Aktion

Geben Sie im Betriebsmodus den Befehl show ospf interface detail ein.

Überprüfung der IPsec Security Association auf der OSPF Schnittstellen

Zweck

Stellen Sie sicher, dass die konfigurierte IPsec-Sicherheitsgemeinschaft auf die Netzwerkschnittstelle OSPF wurde. Bestätigen, dass das Feld des IPsec-SA-Namens den Namen der konfigurierten IPsec-Sicherheitszuordnung anzeigt.

Aktion

Geben Sie im Betriebsmodus den Befehl für OSPF show ospf interface detail und den Befehl für show ospf3 interface detail OSPFv3 ein.

Konfigurieren von IPSec-VPN mithilfe des VPN-Assistenten

Mit dem VPN-Assistenten können Sie eine grundlegende IPsec-VPN-Konfiguration ausführen, einschließlich Phase 1 und Phase 2. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder das CLI. Diese Funktion wird auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten unterstützt.

So konfigurieren Sie IPsec VPN mithilfe des VPN-Assistenten:

  1. Wählen Configure>Device Setup>VPN Sie in der J-Web-Schnittstelle aus.
  2. Klicken Sie auf die Schaltfläche "VPN-Assistenten starten".
  3. Befolgen Sie die Eingabeaufforderungen des Assistenten.

Der obere linke Bereich der Assistentenseite zeigt, wo Sie sich im Konfigurationsprozess befinden. Der untere linke Bereich der Seite zeigt eine feldsensible Hilfe. Wenn Sie unter der Überschrift "Ressourcen" auf einen Link klicken, wird das Dokument in Ihrem Browser geöffnet. Wenn das Dokument auf einer neuen Registerkarte geöffnet wird, schließen Sie beim Schließen des Dokuments nur die Registerkarte (nicht das Browserfenster).

Beispiel: Konfigurieren eines Hub-and-Spoke-VPN

In diesem Beispiel wird gezeigt, wie ein Hub-and-Spoke-IPsec-VPN für eine Bereitstellung der Unternehmensklasse konfiguriert wird.

Anforderungen

In diesem Beispiel wird folgende Hardware verwendet:

  • SRX240 Gerät

  • SRX5800-Gerät

  • SSG140-Gerät

Lesen Sie zunächst IPsec - Übersicht ...

Überblick

In diesem Beispiel wird die Konfiguration eines Hub-and-Spoke-VPN beschrieben, das normalerweise in Zweigstellenbereitstellungen zu finden ist. Der Hub ist das Firmenbüro, und es gibt zwei Spokes: eine Zweigstelle in Sunnyvale, Kalifornien, und eine Zweigstelle in Westford, Massachusetts. Benutzer in den Zweigniederlassungen verwenden das VPN, um Daten sicher an das Firmenbüro zu übertragen.

Abbildung 1 zeigt ein Beispiel für eine Hub-and-Spoke-VPN-Topologie. In dieser Topologie befindet sich SRX5800 Unternehmensgerät. Ein Gerät der SRX-Serie befindet sich in der Zweigstelle in Westford, und ein SSG140-Gerät befindet sich in der Zweigstelle Sunnyvale.

Abbildung 1: Hub-and-Spoke-VPN-TopologieHub-and-Spoke-VPN-Topologie

In diesem Beispiel konfigurieren Sie den Hub des Unternehmensbüros, die Westford-Spoke und den Sunnyvale-Spoke. Zuerst konfigurieren Sie Schnittstellen, statische IPv4- und Standardrouten, Sicherheitszonen und Adressbücher. Dann konfigurieren Sie die IKE Phase 1- und IPsec-Phase 2-Parameter und binden die St0.0-Schnittstelle an IPsec VPN. Auf dem Hub konfigurieren Sie st0.0 für Multipoint und fügen einen statischen Eintrag in der NHTB-Tabelle für die Spoke in Sunnyvale hinzu. Schließlich konfigurieren Sie die Sicherheitsrichtlinie und TCP-MSS-Parameter. Sehen Tabelle 4 Sie sich die in diesem Beispiel verwendeten Tabelle 8 Konfigurationsparameter an.

Tabelle 4: Informationen zu Schnittstelle, Sicherheitszone und Adressbuch

Hub-or-Spoke-Hub

Funktion

Name

Konfigurationsparameter

Hub

Schnittstellen

ge-0/0/0.0

192.168.10.1/24

   

ge-0/0/3.0

10.1.1.2/30

   

st0

10.11.11.10/24

Sprach

Schnittstellen

ge-0/0/0.0

10.3.3.2/30

   

ge-0/0/3.0

192.168.178.1/24

   

st0

10.11.11.12/24

Hub

Sicherheitszonen

Vertrauen

  • Alle Systemservices sind zulässig.

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

   

nicht vertrauenswürdig

  • IKE ist der einzige zulässige Systemdienst.

  • Die ge-0/0/3.0-Schnittstelle ist an diese Zone gebunden.

   

Vpn

Die St0.0-Schnittstelle ist an diese Zone gebunden.

Sprach

Sicherheitszonen

Vertrauen

  • Alle Systemservices sind zulässig.

  • Die ge-0/0/3.0-Schnittstelle ist an diese Zone gebunden.

   

nicht vertrauenswürdig

  • IKE ist der einzige zulässige Systemdienst.

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

   

Vpn

Die St0.0-Schnittstelle ist an diese Zone gebunden.

Hub

Adressbucheinträge

Lokales Net

  • Diese Adresse ist das Adressbuch der Trust Zone.

  • Die Adresse für diesen Adressbucheintrag ist 192.168.10.0/24.

   

sunnyvale-net

  • Dieses Adressbuch ist für das Adressbuch der VPN-Zone geschrieben.

  • Die Adresse für diesen Adressbucheintrag ist 192.168.168.0/24.

   

Westford Net

  • Diese Adresse ist das Adressbuch der VPN-Zone.

  • Die Adresse für diesen Adressbucheintrag ist 192.168.178.0/24.

Sprach

Adressbucheinträge

Lokales Net

  • Diese Adresse ist das Adressbuch der Trust Zone.

  • Die Adresse für diesen Adressbucheintrag ist 192.168.168.178.0/24.

   

corp-net

  • Diese Adresse ist das Adressbuch der VPN-Zone.

  • Die Adresse für diesen Adressbucheintrag ist 192.168.10.0/24.

   

sunnyvale-net

  • Diese Adresse ist das Adressbuch der VPN-Zone.

  • Die Adresse für diesen Adressbucheintrag ist 192.168.168.0/24.

Tabelle 5: IKE von Konfigurationsparametern der 1. Phase

Hub-or-Spoke-Hub

Funktion

Name

Konfigurationsparameter

Hub

Vorschlag

ike-phase1-proposal

  • Authentifizierungsmethode: Pre-Shared Keys

  • Diffie-Hellman-Gruppe: group2

  • Authentifizierungsalgorithmus: sha1

  • Verschlüsselungsalgorithmus: aes-128-cbc

 

Richtlinie

ike-phase1-policy

  • Modus: Wichtigsten

  • Referenz für Vorschläge: ike-phase1-proposal

  • IKE Authentifizierungsmethode für Richtlinien in Phase 1: Pre-Shared-Key Ascii-Text

 

Gateway

gw-westford

  • IKE Richtlinienreferenz: ike-phase1-policy

  • Externe Schnittstelle: ge-0/0/3.0

  • Gateway-Adresse: 10.3.3.2

   

gw-sunnyvale

  • IKE Richtlinienreferenz: ike-phase1-policy

  • Externe Schnittstelle: ge-0/0/3.0

  • Gateway-Adresse: 10.2.2.2

Sprach

Vorschlag

ike-phase1-proposal

  • Authentifizierungsmethode: Pre-Shared Keys

  • Diffie-Hellman-Gruppe: group2

  • Authentifizierungsalgorithmus: sha1

  • Verschlüsselungsalgorithmus: aes-128-cbc

 

Richtlinie

ike-phase1-policy

  • Modus: Wichtigsten

  • Referenz für Vorschläge: ike-phase1-proposal

  • IKE Authentifizierungsmethode für Richtlinien in Phase 1: Pre-Shared-Key Ascii-Text

 

Gateway

gw-unternehmen

  • IKE Richtlinienreferenz: ike-phase1-policy

  • Externe Schnittstelle: ge-0/0/0.0

  • Gateway-Adresse: 10.1.1.2

Tabelle 6: IPsec Phase 2-Konfigurationsparameter

Hub-or-Spoke-Hub

Funktion

Name

Konfigurationsparameter

Hub

Vorschlag

ipsec-phase2-proposal

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-sha1-96

  • Verschlüsselungsalgorithmus: aes-128-cbc

 

Richtlinie

ipsec-phase2-policy

  • Referenz für Vorschläge: ipsec-phase2-proposal

  • Pfs: Diffie-Hellman-Gruppe2

 

VPN

VPN Sunnyvale

  • IKE Gateway-Referenz: gw-sunnyvale

  • IPsec-Richtlinienreferenz: ipsec-phase2-policy

  • An Schnittstelle binden: st0.0

   

VPN Westford

  • IKE Gateway-Referenz: gw-westford

  • IPsec-Richtlinienreferenz: ipsec-phase2-policy

  • An Schnittstelle binden: st0.0

Sprach

Vorschlag

ipsec-phase2-proposal

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-sha1-96

  • Verschlüsselungsalgorithmus: aes-128-cbc

 

Richtlinie

ipsec-phase2-policy

  • Referenz für Vorschläge: ipsec-phase2-proposal

  • Pfs: Diffie-Hellman-Gruppe2

 

VPN

VPN-Unternehmen

  • IKE Gateway-Referenz: gw-unternehmen

  • IPsec-Richtlinienreferenz: ipsec-phase2-policy

  • An Schnittstelle binden: st0.0

Tabelle 7: Konfigurationsparameter für Sicherheitsrichtlinien

Hub-or-Spoke-Hub

Zweck

Name

Konfigurationsparameter

Hub

Die Sicherheitsrichtlinie ermöglicht Datenverkehr von der Trust Zone zur VPN-Zone.

Lokale Spokes

  • Kriterien für Übereinstimmungen:

    • Source-Address Local-Net

    • destination-address sunnyvale-net

    • Zieladresse Westford-net

    • Anwendungs-

 

Die Sicherheitsrichtlinie ermöglicht den Datenverkehr von der VPN-Zone zur Trust Zone.

Spokes zu lokal

Kriterien für Übereinstimmungen:

  • Source-Address Sunnyvale-net

  • Quelladresse Westford-Net

  • destination-address local-net

  • Anwendungs-

 

Die Sicherheitsrichtlinie ermöglicht den Verkehr in der Zone.

Spoke-to-Spoke

Kriterien für Übereinstimmungen:

  • Quelladresse beliebiger

  • zieladressen alle

  • Anwendungs-

Sprach

Die Sicherheitsrichtlinie ermöglicht Datenverkehr von der Trust Zone zur VPN-Zone.

zum Unternehmen

  • Kriterien für Übereinstimmungen:

    • Source-Address Local-Net

    • Zieladresse Corp-Net

    • destination-address sunnyvale-net

    • Anwendungs-

 

Die Sicherheitsrichtlinie ermöglicht den Datenverkehr von der VPN-Zone zur Trust Zone.

aus dem Konzern

Kriterien für Übereinstimmungen:

  • Quelladresse Corp-Net

  • Source-Address Sunnyvale-net

  • destination-address local-net

  • Anwendungs-

 

Die Sicherheitsrichtlinie ermöglicht Datenverkehr von der nicht vertrauenswürdigen Zone zur Trust Zone.

zulassen

Kriterien für Übereinstimmungen:

  • Quelladresse beliebiger

  • Quellziel-Any

  • Anwendungs-

  • Maßnahmen zulassen: Source-NAT-Schnittstelle

    Durch Angabe übersetzt das Gerät der SRX-Serie die Quell-IP-Adresse und den Port für ausgehenden Datenverkehr unter Verwendung der IP-Adresse der Ausgangsschnittstelle als Quell-IP-Adresse und eines zufälligen source-nat interface High-Number-Ports für den Quellport.

Tabelle 8: TCP-MSS-Konfigurationsparameter

Zweck

Konfigurationsparameter

TCC-MSS wird als Teil des TCP-Three-Way-Handshakes ausgehandelt und beschränkt die maximale Größe eines TCP-Segments, um die MTU Grenzen eines Netzwerks besser zu ensprechen. Beim VPN-Datenverkehr kann der IPsec-Einkapselungs-Overhead in Verbindung mit dem IP- und Frame-Overhead dazu führen, dass das resultierende ESP-Paket den Wert MTU der physischen Schnittstelle überschreitet und so eine Fragmentierung verursacht. Fragmentierung führt zu einer höheren Nutzung von Bandbreite und Geräteressourcen.

Der Wert von 1350 ist ein empfohlener Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einer Datenraten von MTU von 1500 oder mehr. Um eine optimale Leistung zu erzielen, müssen Sie möglicherweise verschiedene TCP-MSS-Werte ausprobieren. Sie könnten beispielsweise den Wert ändern, wenn ein Gerät MTU in der Pfad einen geringeren Pfad hat oder wenn ein zusätzlicher Overhead wie PPP oder Frame Relay besteht.

MSS-Wert: 1350

Konfiguration

Konfigurieren grundlegender Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für den Hub

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

Zum Konfigurieren grundlegender Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für den Hub:

  1. Konfigurieren Sie Informationen über die Ethernet-Schnittstellen.

  2. Konfigurieren Sie statische Routeninformationen.

  3. Konfigurieren Sie die Nicht vertrauenswürdige Sicherheitszone.

  4. Weisen Sie der Sicherheitszone, die nicht vertrauenswürdig ist, eine Schnittstelle zu.

  5. Geben Sie zulässige Systemservices für die Nicht vertrauenswürdige Sicherheitszone an.

  6. Konfigurieren Sie die Sicherheitszone für Vertrauen.

  7. Weisen Sie der Sicherheitszone der vertrauenswürdigen Sicherheit eine Schnittstelle zu.

  8. Geben Sie zulässige Systemservices für die Sicherheitszone der Vertrauensstellung an.

  9. Erstellen Sie ein Adressbuch, und fügen Sie eine Zone ihm an.

  10. Konfigurieren Sie die VPN-Sicherheitszone.

  11. Weisen Sie der VPN-Sicherheitszone eine Schnittstelle zu.

  12. Erstellen Sie ein weiteres Adressbuch, und fügen Sie eine Zone ihm an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow routing-options , und Befehle show security zonesshow security address-book eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfiguration IKE Hub-Konfiguration

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren IKE Hubs:

  1. Erstellen Sie den IKE Phase 1-Angebot.

  2. Definieren Sie die IKE Authentifizierungsmethode für einen Vorschlag.

  3. Definieren Sie IKE Angebot der Diffie-Hellman-Gruppe.

  4. Definieren Sie den IKE Authentifizierungsalgorithmus für einen Vorschlag.

  5. Definieren Sie den IKE Verschlüsselungsalgorithmus für den Vorgeschlagenen.

  6. Erstellen Sie IKE Richtlinie für Phase 1.

  7. Legen Sie den IKE Phase-1-Richtlinienmodus fest.

  8. Geben Sie einen Bezug zum IKE an.

  9. Definieren Sie die IKE Authentifizierungsmethode für Richtlinien in Phase 1.

  10. Erstellen Sie ein IKE-Gateway der phase 1, und definieren Sie seine externe Schnittstelle.

  11. Definieren Sie den IKE Phase 1-Richtlinienreferenz.

  12. Definieren Sie die IKE Phase 1 Gateway-Adresse.

  13. Erstellen Sie ein IKE-Gateway der phase 1, und definieren Sie seine externe Schnittstelle.

  14. Definieren Sie den IKE Phase 1-Richtlinienreferenz.

  15. Definieren Sie die IKE Phase 1 Gateway-Adresse.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security ike eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

IPSec-Konfiguration für den Hub

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie IPsec für den Hub:

  1. Einen IPsec-Phase-2-Vorschlag erstellen.

  2. Geben Sie das IPsec Phase 2-Vorschlagsprotokoll an.

  3. Geben Sie den Authentifizierungsalgorithmus für IPsec Phase 2-Vorschlag an.

  4. Geben Sie den Verschlüsselungsalgorithmus für IPsec Phase 2 an.

  5. Erstellen Sie die Richtlinie für IPsec Phase 2.

  6. Geben Sie die Referenz für IPsec Phase 2-Angebot an.

  7. IPsec Phase 2 PFS für Diffie-Hellman Group 2 angeben.

  8. Geben Sie die IKE Gateways an.

  9. Geben Sie die Richtlinien für IPsec Phase 2 an.

  10. Legen Sie die zu bindende Schnittstelle fest.

  11. Konfigurieren Sie die ST0-Schnittstelle als Multipoint.

  12. Fügen Sie statische "NHTB"-Tabelleneinträge für die Büros Sunnyvale und Westford hinzu.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security ipsec eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Sicherheitsrichtlinien für den Hub

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

So konfigurieren Sie Sicherheitsrichtlinien für den Hub:

  1. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Trust Zone zur VPN-Zone zu ermöglichen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Vertrauenswürdigkeitszone zu ermöglichen.

  3. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr in der Zone zu ermöglichen.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von TCP-MSS für den Hub

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Zur Konfiguration von TCP-MSS-Informationen für den Hub:

  1. Konfigurieren Sie TCP-MSS-Informationen.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security flow eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren der grundlegenden Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für Westford Spoke

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

Zur Konfiguration grundlegender Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für die Westford Spoke:

  1. Konfigurieren Sie Informationen über die Ethernet-Schnittstellen.

  2. Konfigurieren Sie statische Routeninformationen.

  3. Konfigurieren Sie die Nicht vertrauenswürdige Sicherheitszone.

  4. Weisen Sie der Sicherheitszone eine Schnittstelle zu.

  5. Geben Sie zulässige Systemservices für die Nicht vertrauenswürdige Sicherheitszone an.

  6. Konfigurieren Sie die Sicherheitszone für Vertrauen.

  7. Weisen Sie der Sicherheitszone der vertrauenswürdigen Sicherheit eine Schnittstelle zu.

  8. Geben Sie zulässige Systemservices für die Sicherheitszone der Vertrauensstellung an.

  9. Konfigurieren Sie die VPN-Sicherheitszone.

  10. Weisen Sie der VPN-Sicherheitszone eine Schnittstelle zu.

  11. Erstellen Sie ein Adressbuch, und fügen Sie eine Zone ihm an.

  12. Erstellen Sie ein weiteres Adressbuch, und fügen Sie eine Zone ihm an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow routing-options , und Befehle show security zonesshow security address-book eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfiguration IKE für Westford Spoke

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

Zur Konfiguration IKE für Westford Spoke:

  1. Erstellen Sie den IKE Phase 1-Angebot.

  2. Definieren Sie die IKE Authentifizierungsmethode für einen Vorschlag.

  3. Definieren Sie IKE Angebot der Diffie-Hellman-Gruppe.

  4. Definieren Sie den IKE Authentifizierungsalgorithmus für einen Vorschlag.

  5. Definieren Sie den IKE Verschlüsselungsalgorithmus für den Vorgeschlagenen.

  6. Erstellen Sie IKE Richtlinie für Phase 1.

  7. Legen Sie den IKE Phase-1-Richtlinienmodus fest.

  8. Geben Sie einen Bezug zum IKE an.

  9. Definieren Sie die IKE Authentifizierungsmethode für Richtlinien in Phase 1.

  10. Erstellen Sie ein IKE-Gateway der phase 1, und definieren Sie seine externe Schnittstelle.

  11. Definieren Sie den IKE Phase 1-Richtlinienreferenz.

  12. Definieren Sie die IKE Phase 1 Gateway-Adresse.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security ike eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von IPsec für Westford Spoke

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

Zur Konfiguration von IPsec für Westford Spoke:

  1. Einen IPsec-Phase-2-Vorschlag erstellen.

  2. Geben Sie das IPsec Phase 2-Vorschlagsprotokoll an.

  3. Geben Sie den Authentifizierungsalgorithmus für IPsec Phase 2-Vorschlag an.

  4. Geben Sie den Verschlüsselungsalgorithmus für IPsec Phase 2 an.

  5. Erstellen Sie die Richtlinie für IPsec Phase 2.

  6. Geben Sie die Referenz für IPsec Phase 2-Angebot an.

  7. IPsec Phase 2 PFS für Diffie-Hellman Group 2 angeben.

  8. Geben Sie das IKE Gateway an.

  9. Geben Sie die IPsec Phase 2-Richtlinie an.

  10. Legen Sie die zu bindende Schnittstelle fest.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security ipsec eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von Sicherheitsrichtlinien für Westford Spoke

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus CLI Benutzerhandbuch.

Zur Konfiguration von Sicherheitsrichtlinien für Westford Spoke:

  1. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Trust Zone zur VPN-Zone zu ermöglichen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Vertrauenswürdigkeitszone zu ermöglichen.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren von TCP-MSS für Westford Spoke

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

Zur Konfiguration von TCP-MSS für die Westford Spoke:

  1. Konfigurieren Sie TCP-MSS-Informationen.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security flow eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Konfigurieren des Sunnyvale Spoke

CLI-Konfiguration

In diesem Beispiel wird ein Gerät der SSG-Serie für den Spoke in Sunnyvale verwendet. Als Referenz wird die Konfiguration für das Gerät der SSG-Serie bereitgestellt. Informationen zur Konfiguration von Geräten der SSG-Serie finden Sie im ScreenOS-Referenzhandbuchzu Konzepten und https://www.juniper.net/documentation.

Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie line breaks, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung des Status IKE Phase 1

Zweck

Überprüfen Sie den IKE Phase 1-Status.

Aktion

Bevor Sie den Überprüfungsprozess beginnen, müssen Sie den Datenverkehr von einem Host im 192.168.10/24-Netzwerk an einen Host in den Netzwerken 192.168.168/24 und 192.168.178/24 senden, um die Tunnel hoch zu bringen. Bei routenbasierten VPNs können Sie Datenverkehr, der vom Gerät der SRX-Serie initiiert wurde, durch den Tunnel senden. Wir empfehlen, dass Sie beim Testen von IPsec-Tunneln Testdatenverkehr von einem separaten Gerät auf einer Seite des VPN an ein zweites Gerät auf der anderen Seite des VPN senden. Initiieren Sie beispielsweise einen Ping von 192.168.10.10 bis 192.168.168.10.

Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein. Verwenden Sie den Befehl, nachdem Sie eine Index-Nummer aus dem Befehl show security ike security-associations index index_number detail erhalten haben.

Bedeutung

Im show security ike security-associations Befehl werden alle aktiven IKE Phase 1-SAs aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE und externen Schnittstelleneinstellungen in Ihrer Konfiguration.

Wenn Anforderungen aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist eindeutig für jede IKE SICHERHEITSzuordnung, die Sie im Befehl verwenden können, um weitere Informationen über die show security ike security-associations index detail Sicherheitszuordnung zu erhalten.

  • Remoteadresse: Vergewissern Sie sich, dass die Remote-IP-Adresse korrekt ist.

  • Bundesland

    • UP – Die Phase 1-Sicherheitszuordnung wurde festgelegt.

    • DOWN: Es gab ein Problem bei der Einführung der Lösung für phase 1.

  • Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.

Stellen Sie sicher, dass die folgenden Informationen in Ihrer Konfiguration korrekt sind:

  • Externe Schnittstellen (die Schnittstelle muss die Schnittstelle sein, die Pakete IKE erhält)

  • IKE von Richtlinienparametern

  • Preshared-Schlüsselinformationen

  • Parameter des Angebot für Phase 1 (müssen sowohl auf Peers abgestimmt sein)

Der show security ike security-associations index 1 detail Befehl listet zusätzliche Informationen zur Sicherheitsgemeinschaft mit einer Indexnummer 1 auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Lebensdauer der Phase 1

  • Datenverkehrsstatistiken (können zur Prüfung des ordnungsgemäßen Datenverkehrsflusses in beide Richtungen verwendet werden)

  • Rolleninformationen für Daten über Rollen des /der Reaktions-/Reaktionsfunktion

    Die Fehlerbehebung wird am besten für Peers in der Rolle des Befragten durchgeführt.

  • Anzahl der erstellten IPsec-SAs

  • Anzahl der aus Phase 2 derzeit aus vorbereitungen

Überprüfung des IPsec-Phase-2-Status

Zweck

Überprüfen des IPsec-Phase-2-Status

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec security-associations ein. Verwenden Sie den Befehl, nachdem Sie eine Index-Nummer aus dem Befehl show security ipsec security-associations index index_number detail erhalten haben.

Bedeutung

Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:

  • Die ID-Nummer ist 16385. Nutzen Sie diesen Wert mit dem show security ipsec security-associations index Befehl, um weitere Informationen zu dieser speziellen Sicherheitszuordnung zu erhalten.

  • Es gibt ein IPsec SA-Paar mit Port 500, was bedeutet, dass kein IPSec-NAT implementiert ist. (NAT-Traversal verwendet Port 4500 oder einen anderen zufälligen High-Number-Port.)

  • SpIs, die Lebensdauer (in Sekunden) und die Nutzungsbegrenzung (bzw. Lebenszeit in KB) sind für beide Richtungen dargestellt. Der Wert von 28756/unlim bedeutet, dass die Lebensdauer der Phase 2 in 28756 Sekunden endet und dass keine Lebensdauer angegeben wurde, was bedeutet, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann von der Lebensdauer von Phase 1 abweichen, da Phase 2 nicht von Phase 1 abhing, nachdem das VPN da ist.

  • Die VPN-Überwachung ist für diese SICHERHEITSzuordnung nicht aktiviert, wie in einer Bindestriche in der Spalte "Mon" angegeben. Wenn die VPN-Überwachung aktiviert ist, gibt U an, dass die Überwachung aktiv ist und D bedeutet, dass die Überwachung deaktiviert ist.

  • Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.

Die Ausgabe des show security ipsec security-associations index 16385 detail Befehls listet die folgenden Informationen auf:

  • Die proxy-ID für die Sicherheitszuordnung ist die lokale identität und die Remote-Identität.

    Ein Proxy-ID-Mismatch ist eine der häufigsten Ursachen für einen Fehler in Phase 2. Falls keine IPsec SA aufgeführt ist, bestätigen Sie, dass Phase 2-Angebote, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Bei routenbasierten VPNs ist die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können mit mehreren Routen-basierten VPNs von derselben Peer-IP-Adresse auftreten. In diesem Fall muss für jede IPSec-Sicherheitszuordnung eine eindeutige Proxy-ID angegeben werden. Bei einigen Drittanbieter muss die Proxy-ID manuell eingegeben werden, um zu übereinstimmen.

  • Ein weiterer häufiger Grund für einen Fehler in Phase 2 ist die Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, prüfen Sie das kmd-Protokoll oder legen Sie Trace-Optionen fest.

Überprüfung der Next-Hop-Tunnel-Bindungen

Zweck

Nachdem Phase 2 für alle Peers abgeschlossen ist, überprüfen Sie die Next-Hop-Tunnelbindungen.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec next-hop-tunnels ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die ST0-Schnittstellen aller Remote-Spoke-Peers. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden. Falls kein "NHTB"-Eintrag vorhanden ist, kann das Hubgerät sich nicht vom IPsec VPN des nächsten Hops unterscheiden.

Das Flag-Feld hat einen der folgenden Werte:

  • Statisch: Die NHTB wurde in den st0.0-Schnittstellenkonfigurationen manuell konfiguriert. Dies ist erforderlich, wenn der Peer kein Gerät der SRX-Serie ist.

  • Auto – Die NHTB wurde nicht konfiguriert, doch der Eintrag wurde automatisch in die "NHTB"-Tabelle eingedringt, während die Ausgespräche zwischen zwei Geräten der SRX-Serie in Phase 2 geführt wurden.

Für die Spoke-Standorte in diesem Beispiel gibt es keine NHTB-Tabelle. Aus Sicht der Spoke ist die ST0-Schnittstelle immer noch ein Punkt-zu-Punkt-Link mit nur einer IPsec-VPN-Verbindung.

Überprüfung statischer Routen für lokale Remote-Peer-LANs

Zweck

Stellen Sie sicher, dass die statische Route auf die ST0-IP-Adresse des Spoke-Peer verweist.

Aktion

Geben Sie im Betriebsmodus den Befehl show route ein.

Der nächste Hop ist die ST0-IP-Adresse des Remote-Peers, und beide Routen führen als ausgehende Schnittstelle auf st0.0.

Überprüfung von Statistiken und Fehlern für eine IPsec Security Association

Zweck

Überprüfen der ESP- und Authentifizierungsüberschriftzähler und -fehler für eine IPsec-Sicherheits association.

Aktion

Geben Sie im Betriebsmodus den Befehl show security ipsec statistics index ein.

Sie können den Befehl auch show security ipsec statistics verwenden, um Statistiken und Fehler für alle AAs zu überprüfen.

Verwenden Sie den Befehl, um alle IPsec-Statistiken zu clear security ipsec statistics löschen.

Bedeutung

Wenn in einem VPN Probleme beim Paketverlust angezeigt werden, können Sie den Befehl bzw. den Befehl mehrere Male ausführen, um zu bestätigen, dass die verschlüsselten und entschlüsselten Paketzähler show security ipsec statisticsshow security ipsec statistics detail inkrementieren. Sie sollten auch prüfen, ob die anderen Fehlerzähler inkrementierend sind.

Prüfen des Datenverkehrsflusses über das VPN

Zweck

Überprüfen Sie den Datenverkehrsfluss im VPN.

Aktion

Sie können den Befehl des Geräts ping der SRX-Serie verwenden, um den Datenverkehrsfluss zu einem Remote-Host-PC zu testen. Achten Sie darauf, dass Sie die Quellschnittstelle angeben, sodass die Routensuche korrekt ist und bei der Richtliniensuche auf die entsprechenden Sicherheitszonen Bezug nehmen.

Geben Sie im Betriebsmodus den Befehl ping ein.

Sie können den Befehl auch ping auf dem Gerät der SSG-Serie verwenden.

Bedeutung

Wenn der Befehl beim Gerät der SRX- oder SSG-Serie ausfällt, kann es Probleme mit dem Routing, den Sicherheitsrichtlinien, dem End-Host oder der Verschlüsselung und Entschlüsselung der ping ESP-Pakete geben.

Release-Verlaufstabelle
Release
Beschreibung
19.4R1
Beginnend im Junos OS Release 19.4R1 können Sie jetzt nur noch ein dynamisches DN-Attribut zwischen container-string und in einer Hierarchie wildcard-string[edit security ike gateway gateway_name dynamic distinguished-name] konfigurieren. Wenn Sie versuchen, das zweite Attribut zu konfigurieren, nachdem Sie das erste Attribut konfiguriert haben, wird das erste Attribut durch das zweite Attribut ersetzt. Bevor Sie Ihr Gerät aktualisieren, müssen Sie eines der Attribute löschen, wenn Sie beide Attribute konfiguriert haben.
15.1X49-D80
Dynamische Endpunkt-VPNs auf Geräten der SRX-Serie unterstützen ab dem Junos OS Release 15.1X49-D80 IPv6-Datenverkehr in sicheren Tunneln.
12.3X48-D40
Beginnend mit Junos OS Release 12.3X48-D40, Junos OS Release 15.1X49-D70 und Junos OS Release 17.3R1 können alle dynamischen Endpunkt-Gateways, die auf Geräten der SRX-Serie mit derselben externen Schnittstelle konfiguriert sind, unterschiedliche IKE-Richtlinien verwenden, die IKE-Richtlinien müssen jedoch dasselbe IKE-Angebot verwenden.