Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

IPsec-VPN-Konfiguration – Übersicht

Eine VPN-Verbindung kann zwei LANs (Site-to-Site-VPN) oder einen Remote-Wählbenutzer und ein LAN verbinden. Der Datenverkehr, der zwischen diesen beiden Punkten fließt, passiert gemeinsam genutzte Ressourcen wie Router, Switches und andere Netzwerkgeräte, aus denen das öffentliche WAN besteht. Zur Sicherung der VPN-Kommunikation wird ein IPsec-Tunnel zwischen zwei Geräten der Teilnehmer erstellt.

IPsec-VPN mit Autokey-IKE-Konfiguration – Übersicht

IPsec-VPN-Aushandlung erfolgt in zwei Phasen. In Phase 1 richten die Teilnehmer einen sicheren Kanal für die Aushandlung der IPsec Security Association (SA) ein. In Phase 2 verhandeln die Teilnehmer die IPsec-SA zur Authentifizierung des Datenverkehrs, der durch den Tunnel fließt.

In dieser Übersicht werden die grundlegenden Schritte zur Konfiguration eines routenbasierten oder richtlinienbasierten IPsec-VPN mit Autokey-IKE (preshared Keys oder Zertifikate) beschrieben.

So konfigurieren Sie ein routenbasiertes oder richtlinienbasiertes IPsec-VPN mit Autokey-IKE:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Adressbuchinformationen.

    (Für routenbasierte VPNs) Konfigurieren Sie eine sichere Tunnel st0.x-Schnittstelle. Konfigurieren Sie das Routing auf dem Gerät.

  2. Konfigurieren Sie Phase 1 des IPsec-VPN-Tunnels.
    1. (Optional) Konfigurieren Sie einen benutzerdefinierten IKE Phase 1-Vorschlag. Dieser Schritt ist optional, da Sie einen vordefinierten IKE Phase 1-Vorschlagssatz (Standard, Kompatibel oder Basic) verwenden können.
    2. Konfigurieren Sie eine IKE-Richtlinie, die entweder auf Ihren benutzerdefinierten IKE Phase-1-Vorschlag oder einen vordefinierten IKE-Phase-1-Vorschlagssatz verweist. Geben Sie autokey IKE preshared Key- oder Zertifikatsinformationen an. Geben Sie den Modus (Haupt- oder Aggressivmodus) für den Phase-1-Austausch an.
    3. Konfigurieren Sie ein IKE-Gateway, das auf die IKE-Richtlinie verweist. Geben Sie die IKE-IDs für die lokalen und Remote-Geräte an. Wenn die IP-Adresse des Remote-Gateways nicht bekannt ist, geben Sie an, wie das Remote-Gateway identifiziert werden soll.
  3. Konfigurieren Sie Phase 2 des IPsec-VPN-Tunnels.
    1. (Optional) Konfigurieren Sie einen benutzerdefinierten IPsec-Phase-2-Vorschlag. Dieser Schritt ist optional, da Sie einen vordefinierten IPsec-Phase-2-Vorschlagssatz (Standard, Kompatibel oder Basic) verwenden können.
    2. Konfigurieren Sie eine IPsec-Richtlinie, die entweder auf Ihren benutzerdefinierten IPsec-Phase-2-Vorschlag oder einen vordefinierten IPsec-Phase-2-Vorschlagssatz verweist. Geben Sie die PFS-Schlüssel (Perfect Forward Secrecy) an.
    3. Konfigurieren Sie einen IPsec-VPN-Tunnel, der sowohl auf das IKE-Gateway als auch auf die IPsec-Richtlinie verweist. Geben Sie die Proxy-IDs an, die in Phase-2-Verhandlungen verwendet werden sollen.

      (Für routenbasierte VPNs) Binden Sie die sichere Tunnelschnittstelle st0.x an den IPsec-VPN-Tunnel.

  4. Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr von der Quellzone zur Zielzone zuzulassen.

    (Für richtlinienbasierte VPNs) Geben Sie die Sicherheitsrichtlinienaktion tunnel ipsec-vpn mit dem Namen des IPsec-VPN-Tunnels an, den Sie konfiguriert haben.

  5. Aktualisieren Sie Ihre globalen VPN-Einstellungen.

Siehe auch

Grundlegendes zu IPsec-VPNs mit dynamischen Endgeräten

Überblick

Ein IPsec-VPN-Peer kann eine IP-Adresse haben, die dem Peer, mit dem er die VPN-Verbindung aufbaut, nicht bekannt ist. Zum Beispiel kann einem Peer eine IP-Adresse dynamisch über Dynamic Host Configuration Protocol (DHCP) zugewiesen werden. Dies kann bei einem Remote-Zugriff-Client in einer Zweigstelle oder im Homeoffice der Fall sein oder bei einem mobilen Gerät, das zwischen verschiedenen physischen Standorten bewegt wird. Oder er kann sich hinter einem NAT-Gerät befinden, das die ursprüngliche Quell-IP-Adresse des Peers in eine andere Adresse übersetzt. Ein VPN-Peer mit einer unbekannten IP-Adresse wird als dynamischer Endpunkt und ein VPN mit einem dynamischen Endpunkt als dynamisches Endpunkt-VPN bezeichnet.

Auf Firewalls der SRX-Serie wird IKEv1 oder IKEv2 mit dynamischen Endpunkt-VPNs unterstützt. Dynamische Endpunkt-VPNs auf Firewalls der SRX-Serie unterstützen IPv4-Datenverkehr in sicheren Tunneln. Ab Junos OS Version 15.1X49-D80 unterstützen dynamische Endpunkt-VPNs auf Firewalls der SRX-Serie IPv6-Datenverkehr in sicheren Tunneln.

IPv6-Datenverkehr wird für AutoVPN-Netzwerke nicht unterstützt.

In den folgenden Abschnitten werden Elemente beschrieben, die Sie bei der Konfiguration eines VPN mit einem dynamischen Endgerät beachten sollten.

IKE-Identität

Auf dem dynamischen Endgerät muss eine IKE-Identität konfiguriert werden, damit sich das Gerät für seinen Peer identifizieren kann. Die lokale Identität des dynamischen Endgeräts wird auf dem Peer überprüft. Standardmäßig erwartet die Firewall der SRX-Serie, dass die IKE-Identität eine der folgenden lautet:

  • Wenn Zertifikate verwendet werden, kann ein distinguished Name (DN) zur Identifizierung von Benutzern oder einer Organisation verwendet werden.

  • Ein Hostname oder ein voll qualifizierter Domänenname (FQDN), der das Endgerät identifiziert.

  • Ein vollständig qualifizierter Domänenname (User Fully Qualified Domain Name, UFQDN), auch bekannt als User-at-Hostname. Dies ist eine Zeichenfolge, die dem E-Mail-Adressformat folgt.

Aggressiver Modus für IKEv1-Richtlinie

Wenn IKEv1 mit dynamischen Endpunkt-VPNs verwendet wird, muss die IKE-Richtlinie für den aggressiven Modus konfiguriert werden.

IKE-Richtlinien und externe Schnittstellen

Ab Junos OS Version 12.3X48-D40, Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 können alle dynamischen Endpunkt-Gateways, die auf Firewalls der SRX-Serie konfiguriert sind und dieselbe externe Schnittstelle verwenden, unterschiedliche IKE-Richtlinien verwenden, aber die IKE-Richtlinien müssen den gleichen IKE-Vorschlag verwenden. Dies gilt für IKEv1 und IKEv2.

NAT

Wenn sich das dynamische Endgerät hinter einem NAT-Gerät befindet, muss NAT-T auf der Firewall der SRX-Serie konfiguriert werden. Nat-Keepalives können erforderlich sein, um die NAT-Übersetzung während der Verbindung zwischen den VPN-Peers aufrechtzuerhalten. Standardmäßig ist NAT-T auf Firewalls der SRX-Serie aktiviert, und NAT-Keepalives werden im Intervall von 20 Sekunden gesendet.

Gruppen- und gemeinsam genutzte IKE-IDs

Sie können einen individuellen VPN-Tunnel für jedes dynamische Endgerät konfigurieren. Für dynamische IPv4-Endpunkt-VPNs können Sie die Gruppen-IKE-ID oder gemeinsam genutzte IKE-ID-Funktionen verwenden, um einer Reihe von dynamischen Endgeräten die Freigabe einer IKE-Gateway-Konfiguration zu ermöglichen.

Mit der Gruppen-IKE-ID können Sie einen gemeinsamen Teil einer vollständigen IKE-ID für alle dynamischen Endgeräte definieren, z. B. "example.net". Ein benutzerspezifischer Teil, z. B. der Benutzername "Bob", der mit dem gemeinsamen Teil verkettt ist, bildet eine vollständige IKE-ID (Bob.example.net), die jede Benutzerverbindung eindeutig identifiziert.

Die gemeinsam genutzte IKE-ID ermöglicht es dynamischen Endgeräten, eine einzige IKE-ID und einen vorab freigegebenen Schlüssel gemeinsam zu nutzen.

Siehe auch

Grundlegendes zur IKE-Identitätskonfiguration

Die IKE-Identifizierung (IKE ID) wird für die Validierung von VPN-Peer-Geräten während der IKE-Aushandlung verwendet. Die IKE-ID, die von der Firewall der SRX-Serie von einem Remote-Peer empfangen wird, kann eine IPv4- oder IPv6-Adresse, ein Hostname, ein voll qualifizierter Domänenname (FQDN), ein Benutzer FQDN (UFQDN) oder ein Distinguished Name (DN) sein. Die vom Remote-Peer gesendete IKE-ID muss mit den Erwartungen der Firewall der SRX-Serie übereinstimmen. Andernfalls schlägt die IKE-ID-Validierung fehl und das VPN ist nicht eingerichtet.

IKE-ID-Typen

Die Firewalls der SRX-Serie unterstützen die folgenden Arten von IKE-Identitäten für Remote-Peers:

  • Eine IPv4- oder IPv6-Adresse wird häufig bei Site-to-Site-VPNs verwendet, wobei der Remote-Peer eine statische IP-Adresse hat.

  • Ein Hostname ist eine Zeichenfolge, die das Remote-Peer-System identifiziert. Dabei kann es sich um einen FQDN, der auf eine IP-Adresse auflöst. Es kann auch ein partielles FQDN sein, das zusammen mit einem IKE-Benutzertyp verwendet wird, um einen bestimmten Remotebenutzer zu identifizieren.

    Wenn anstelle einer IP-Adresse ein Hostname konfiguriert wird, basiert die zugesagte Konfiguration und die anschließende Tunneleinrichtung auf der aktuell aufgelösten IP-Adresse. Wenn sich die IP-Adresse des Remote-Peers ändert, ist die Konfiguration nicht mehr gültig.

  • Ein UFQDN ist eine Zeichenfolge, die demselben Format wie eine E-Mail-Adresse folgt, z user@example.com. B. .

  • Ein DN ist ein Name, der mit digitalen Zertifikaten verwendet wird, um einen Benutzer eindeutig zu identifizieren. Ein DN kann beispielsweise "CN=user, DC=example, DC=com" sein. Optional können Sie mit dem container Schlüsselwort angeben, dass die Reihenfolge der Felder in einem DN und ihre Werte genau mit dem konfigurierten DN übereinstimmen, oder das wildcard Schlüsselwort verwenden, um anzugeben, dass die Werte von Feldern in einem DN übereinstimmen müssen, aber die Reihenfolge der Felder spielt keine Rolle.

    Ab Junos OS Version 19.4R1 können Sie jetzt nur ein dynamisches DN-Attribut zwischen container-string und wildcard-string in der [edit security ike gateway gateway_name dynamic distinguished-name] Hierarchie konfigurieren. Wenn Sie versuchen, das zweite Attribut nach der Konfiguration des ersten Attributs zu konfigurieren, wird das erste Attribut durch das zweite Attribut ersetzt. Vor dem Upgrade Ihres Geräts müssen Sie eines der Attribute entfernen, wenn Sie beide Attribute konfiguriert haben.

  • Ein IKE-Benutzertyp kann mit AutoVPN und REMOTE-VPNs verwendet werden, wenn mehrere Remote-Peers mit demselben VPN-Gateway auf der Firewall der SRX-Serie verbunden sind. Konfigurieren Sie ike-user-type group-ike-id , um eine Gruppen-IKE-ID ike-user-type shared-ike-id oder eine gemeinsam genutzte IKE-ID anzugeben.

Remote-IKE-IDs und Site-to-Site-VPNs

Bei Site-to-Site-VPNs kann die IKE-ID des Remote-Peers je nach Konfiguration des Peer-Geräts die IP-Adresse der Ausgangsnetzwerkschnittstellenkarte, eine Loopback-Adresse, einen Hostnamen oder eine manuell konfigurierte IKE-ID sein.

Standardmäßig erwarten Firewalls der SRX-Serie, dass die IKE-ID des Remote-Peers die MIT der set security ike gateway gateway-name address Konfiguration konfigurierte IP-Adresse ist. Wenn die IKE-ID des Remote-Peers einen anderen Wert hat, müssen Sie die remote-identity Anweisung auf Hierarchieebene [edit security ike gateway gateway-name] konfigurieren.

Beispielsweise wird ein IKE-Gateway auf den Firewalls der SRX-Serie mit dem set security ike gateway remote-gateway address 203.0.113.1 Befehl konfiguriert. Die vom Remote-Peer gesendete IKE-ID lautet host.example.netjedoch . Es besteht eine Diskrepanz zwischen den Erwartungen der Firewall der SRX-Serie für die IKE-ID des Remote-Peers (203.0.113.1) und der tatsächlichen IKE-ID (host.example.net), die vom Peer gesendet wird. In diesem Fall schlägt die IKE-ID-Validierung fehl. Verwenden Sie die set security ike gateway remote-gateway remote-identity hostname host.example.net , um die vom Remote-Peer empfangene IKE-ID abzugleichen.

Remote-IKE-IDs und Dynamische Endpunkt-VPNs

Für dynamische Endpunkt-VPNs wird die erwartete IKE-ID des Remote-Peers mit den Optionen auf [edit security ike gateway gateway-name dynamic] Hierarchieebene konfiguriert. Für AutoVPN kann kombiniert mit ike-user-type group-ike-id verwendet werden, hostname wenn mehrere Peers einen gemeinsamen Domänennamen haben. Wenn Zertifikate für die Überprüfung des Peers verwendet werden, kann ein DN konfiguriert werden.

Lokale IKE-ID der Firewall der SRX-Serie

Standardmäßig verwendet die Firewall der SRX-Serie die IP-Adresse ihrer externen Schnittstelle zum Remote-Peer als IKE-ID. Diese IKE-ID kann durch Konfiguration der local-identity Anweisung auf [edit security ike gateway gateway-name] Hierarchieebene außer Kraft gesetzt werden. Wenn Sie die Anweisung für eine Firewall der local-identity SRX-Serie konfigurieren müssen, stellen Sie sicher, dass die konfigurierte IKE-ID mit der vom Remote-Peer erwarteten IKE-ID übereinstimmt.

Siehe auch

Konfigurieren von Remote-IKE-IDs für Site-to-Site-VPNs

Standardmäßig überprüfen Firewalls der SRX-Serie die vom Peer empfangene IKE-ID mit der für das IKE-Gateway konfigurierten IP-Adresse. In bestimmten Netzwerkkonfigurationen entspricht die vom Peer empfangene IKE-ID (bei der es sich um eine IPv4- oder IPv6-Adresse, einen voll qualifizierten Domänennamen [FQDN], einen eindeutigen Namen oder eine E-Mail-Adresse handeln kann) nicht mit dem auf der Firewall der SRX-Serie konfigurierten IKE-Gateway. Dies kann zu einem Fehler der Phase-1-Validierung führen.

So ändern Sie die Konfiguration der Firewall der SRX-Serie oder des Peer-Geräts für die verwendete IKE-ID:

  • Konfigurieren Sie die Anweisung auf der Firewall der remote-identity SRX-Serie auf Hierarchieebene [edit security ike gateway gateway-name] so, dass sie mit der vom Peer empfangenen IKE-ID übereinstimmt. Werte können eine IPv4- oder IPv6-Adresse, FQDN, distinguished Name oder E-Mail-Adresse sein.

    Wenn Sie nicht konfigurieren remote-identity, verwendet das Gerät standardmäßig die IPv4- oder IPv6-Adresse, die dem Remote-Peer entspricht.

  • Stellen Sie auf dem Peer-Gerät sicher, dass die IKE-ID die gleiche ist wie die auf der remote-identity Firewall der SRX-Serie konfigurierte. Wenn es sich bei dem Peer-Gerät um eine Firewall der SRX-Serie handelt, konfigurieren Sie die local-identity Anweisung auf Hierarchieebene [edit security ike gateway gateway-name]. Werte können eine IPv4- oder IPv6-Adresse, FQDN, distinguished Name oder E-Mail-Adresse sein.

Siehe auch

Verständnis der OSPF- und OSPFv3-Authentifizierung bei Firewalls der SRX-Serie

OSPFv3 verfügt nicht über eine integrierte Authentifizierungsmethode und verlässt sich auf die IP Security (IPsec)-Suite, um diese Funktionalität bereitzustellen. IPsec bietet Authentifizierung des Ursprungs, Datenintegrität, Vertraulichkeit, Wiedergabeschutz und Nichtrepudiation von Quellen. Sie können IPsec verwenden, um spezifische OSPFv3-Schnittstellen und virtuelle Verbindungen zu sichern und verschlüsselung für OSPF-Pakete bereitzustellen.

OSPFv3 verwendet den IP-Authentifizierungs-Header (AH) und die IP Encapsulating Security Payload (ESP)-Teile des IPsec-Protokolls, um Routing-Informationen zwischen Peers zu authentifizieren. AH kann verbindungslose Integrität und Datenursprungsauthentifizierung bieten. Es bietet auch Schutz vor Wiedergaben. AH authentifiziert so viel wie möglich des IP-Headers sowie der Protokolldaten der oberen Ebene. Einige IP-Header-Felder können sich jedoch bei der Übertragung ändern. Da der Wert dieser Felder vom Absender möglicherweise nicht vorhersehbar ist, können sie nicht durch AH geschützt werden. ESP kann Verschlüsselung und begrenzte Vertraulichkeit des Datenverkehrs oder verbindungslose Integrität, Datenursprungsauthentifizierung und einen Anti-Replay-Service bieten.

IPsec basiert auf Sicherheitszuordnungen (Security Associations, SAs). Ein SA ist eine Reihe von IPsec-Spezifikationen, die zwischen Geräten ausgehandelt werden, die eine IPsec-Beziehung herstellen. Diese Simplex-Verbindung stellt Sicherheitsservices für die Pakete bereit, die von der SA übertragen werden. Diese Spezifikationen enthalten Einstellungen für die Art der Authentifizierung, Verschlüsselung und des IPsec-Protokolls, die beim Aufbau der IPsec-Verbindung verwendet werden sollen. Eine SA wird verwendet, um einen bestimmten Datenstrom in eine Richtung zu verschlüsseln und zu authentifizieren. Daher werden die Datenströme im normalen bidirektionalen Datenverkehr durch ein Paar SAs gesichert. Eine SA, die mit OSPFv3 verwendet werden soll, muss manuell konfiguriert werden und den Transportmodus verwenden. Statische Werte müssen an beiden Enden der SA konfiguriert werden.

Um IPsec für OSPF oder OSPFv3 zu konfigurieren, definieren Sie zunächst eine manuelle SA mit der security-association sa-name Option auf [edit security ipsec] Hierarchieebene. Diese Funktion unterstützt nur bidirektionale manuelle Schlüssel-SAs im Transportmodus. Manuelle SAs erfordern keine Aushandlung zwischen peers. Alle Werte, einschließlich der Schlüssel, sind statisch und in der Konfiguration angegeben. Manuelle SAs definieren statisch die Werte, Algorithmen und Schlüssel, die verwendet werden sollen, und erfordern übereinstimmende Konfigurationen auf beiden Endgeräten (OSPF- oder OSPFv3-Peers). Daher müssen für jeden Peer dieselben Konfigurationsoptionen vorhanden sein, damit die Kommunikation stattfinden kann.

Die auswahl der Verschlüsselungs- und Authentifizierungsalgorithmen bleibt Ihrem IPsec-Administrator überlassen. wir haben jedoch die folgenden Empfehlungen:

  • Verwenden Sie ESP mit Nullverschlüsselung, um Authentifizierung für Protokoll-Header bereitzustellen, nicht jedoch für den IPv6-Header, erweiterungs-Header und Optionen. Bei Nullverschlüsselung entscheiden Sie sich dafür, keine Verschlüsselung in Protokoll-Headern bereitzustellen. Dies kann für die Fehlerbehebung und Fehlerbehebung nützlich sein. Weitere Informationen zur Nullverschlüsselung finden Sie unter RFC 2410, Der NULL-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec.

  • Verwenden Sie ESP mit DES oder 3DES für vollständige Vertraulichkeit.

  • Verwenden Sie AH, um Authentifizierung für Protokoll-Header, unveränderliche Felder in IPv6-Headern sowie Erweiterungs-Header und -Optionen bereitzustellen.

Die konfigurierte SA wird wie folgt auf die OSPF- oder OSPFv3-Konfigurationen angewendet:

  • Fügen Sie die ipsec-sa name Anweisung für eine OSPF- oder OSPFv3-Schnittstelle auf Hierarchieebene [edit protocols ospf area area-id interface interface-name] oder [edit protocols ospf3 area area-id interface interface-name] ein. Für eine OSPF- oder OSPFv3-Schnittstelle kann nur ein IPsec-SA-Name angegeben werden. jedoch können verschiedene OSPF/OSPFv3-Schnittstellen dieselbe IPsec-SA angeben.

  • Fügen Sie die ipsec-sa name Anweisung für einen virtuellen Link für OSPF oder OSPFv3 auf Hierarchieebene einedit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-idedit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id. Sie müssen dieselbe IPsec SA für alle virtuellen Verbindungen mit derselben Remoteendpunktadresse konfigurieren.

Die folgenden Einschränkungen gelten für die IPsec-Authentifizierung für OSPF oder OSPFv3 auf Firewalls der SRX-Serie:

  • Manuelle VPN-Konfigurationen, die auf [edit security ipsec vpn vpn-name manual] Hierarchieebene konfiguriert sind, können nicht auf OSPF- oder OSPFv3-Schnittstellen oder virtuelle Links angewendet werden, um IPsec-Authentifizierung und Vertraulichkeit bereitzustellen.

  • Sie können IPsec nicht für DIE OSPF- oder OSPFv3-Authentifizierung konfigurieren, wenn auf dem Gerät ein IPsec-VPN mit denselben lokalen und Remote-Adressen konfiguriert ist.

  • IPsec für OSPF- oder OSPFv3-Authentifizierung wird über sichere Tunnel st0-Schnittstellen nicht unterstützt.

  • Ein erneutes Nachschlüsseln von manuellen Schlüsseln wird nicht unterstützt.

  • Dynamic Internet Key Exchange (IKE) SAs werden nicht unterstützt.

  • Nur der IPsec-Transportmodus wird unterstützt. Im Transportmodus wird nur die Nutzlast (die übertragenen Daten) des IP-Pakets verschlüsselt, authentifiziert oder beides. Der Tunnelmodus wird nicht unterstützt.

  • Da nur bidirektionale manuelle SAs unterstützt werden, müssen alle OSPFv3-Peers mit derselben IPsec SA konfiguriert werden. Sie konfigurieren eine manuelle bidirektionale SA auf Hierarchieebene [edit security ipsec]

  • Sie müssen dieselbe IPsec SA für alle virtuellen Verbindungen mit derselben Remoteendpunktadresse konfigurieren.

Siehe auch

Beispiel: Konfigurieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle auf einer Firewall der SRX-Serie

Dieses Beispiel zeigt, wie Sie eine manuelle Sicherheitszuordnung (Security Association, SA) auf eine OSPF-Schnittstelle konfigurieren und anwenden.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie die Geräteschnittstellen.

  • Konfigurieren Sie die Router-Kennungen für die Geräte in Ihrem OSPF-Netzwerk.

  • Wählen Sie den vom OSPF vorgesehenen Router aus.

  • Konfigurieren Sie ein OSPF-Netzwerk mit einem einzigen Bereich.

  • Konfigurieren Sie ein OSPF-Netzwerk mit mehreren Umgebungen.

Überblick

Sie können IPsec-Authentifizierung sowohl für OSPF als auch für OSPFv3 verwenden. Sie konfigurieren die manuelle SA separat und wenden sie auf die entsprechende OSPF-Konfiguration an. Tabelle 3 listet die Parameter und Werte auf, die für die manuelle SA in diesem Beispiel konfiguriert wurden.

Tabelle 3: Manuelle SA für IPsec-OSPF-Schnittstellenauthentifizierung

Parameter

Wert

SA-Name

sa1

Modus

Transport

Richtung

Bidirektionale

Protokoll

AH

SPI

256

Authentifizierungsalgorithmus

Schlüssel

hmac-md5-96

(ASCII) 123456789012abc

Verschlüsselungsalgorithmus

Schlüssel

des

(ASCII) cba210987654321

Konfiguration

Konfiguration einer manuellen SA

CLI-Schnellkonfiguration

Um schnell eine manuelle SA für die IPsec-Authentifizierung auf einer OSPF-Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle auf Hierarchieebene in dieedit CLI und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie eine manuelle SA:

  1. Geben Sie einen Namen für die SA ein.

  2. Geben Sie den Modus der manuellen SA an.

  3. Konfigurieren Sie die Richtung der manuellen SA.

  4. Konfigurieren Sie das IPsec-Protokoll für die Verwendung.

  5. Konfigurieren Sie den Wert des SPI.

  6. Konfigurieren Sie den Authentifizierungsalgorithmus und -schlüssel.

  7. Konfigurieren Sie den Verschlüsselungsalgorithmus und -schlüssel.

Ergebnisse

Bestätigen Sie Ihre Konfiguration durch Eingabe des show security ipsec Befehls. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Nach der Konfiguration des Kennworts sehen Sie das Kennwort selbst nicht mehr. Die Ausgabe zeigt die verschlüsselte Form des konfigurierten Kennworts an.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Aktivieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle

CLI-Schnellkonfiguration

Um eine manuelle SA, die für die IPsec-Authentifizierung verwendet wird, schnell auf eine OSPF-Schnittstelle anzuwenden, kopieren Sie den folgenden Befehl, fügen ihn in eine Textdatei ein, ändern alle erforderlichen Details, um ihre Netzwerkkonfiguration zu entsprechen, kopieren Sie den Befehl, fügen sie auf Hierarchieebene [edit] in die CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

So aktivieren Sie die IPsec-Authentifizierung für eine OSPF-Schnittstelle:

  1. Erstellen Sie einen OSPF-Bereich.

    Um OSPFv3 anzugeben, fügen Sie die ospf3 Anweisung auf [edit protocols] Hierarchieebene ein.

  2. Geben Sie die Schnittstelle an.

  3. Wenden Sie die IPsec-manuelle SA an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration durch Eingabe des show ospf interface detail Befehls. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Geben Sie den show protocols ospf3 Befehl ein, um Ihre OSPFv3-Konfiguration zu bestätigen.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der IPsec Security Association-Einstellungen

Zweck

Überprüfen Sie die konfigurierten IPsec-Sicherheitszuordnungseinstellungen. Überprüfen Sie die folgenden Informationen:

  • Das Feld "Security association" zeigt den Namen der konfigurierten Sicherheitszuordnung an.

  • Im Feld SPI wird der von Ihnen konfigurierte Wert angezeigt.

  • Im Feld "Modus" wird der Transportmodus angezeigt.

  • Das Feld Typ wird als Typ der Sicherheitszuordnung manuell angezeigt.

Aktion

Geben Sie im Betriebsmodus den show ospf interface detail Befehl ein.

Überprüfen der IPsec Security Association auf der OSPF-Schnittstelle

Zweck

Stellen Sie sicher, dass die konfigurierte IPsec-Sicherheitszuordnung auf die OSPF-Schnittstelle angewendet wurde. Bestätigen Sie, dass im Feld "IPsec SA-Name" der Name der konfigurierten IPsec-Sicherheitszuordnung angezeigt wird.

Aktion

Geben Sie im Betriebsmodus den show ospf interface detail Befehl für OSPF ein, und geben Sie den show ospf3 interface detail Befehl für OSPFv3 ein.

Siehe auch

Konfigurieren von IPsec-VPN mit dem VPN-Assistenten

Mit dem VPN-Assistenten können Sie eine grundlegende IPsec-VPN-Konfiguration durchführen, einschließlich Phase 1 und Phase 2. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder die CLI. Diese Funktion wird auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten unterstützt.

So konfigurieren Sie IPsec-VPN mithilfe des VPN-Assistenten:

  1. Wählen Sie die Option Configure>Device Setup>VPN in der J-Web-Benutzeroberfläche aus.
  2. Klicken Sie auf die Schaltfläche VPN-Assistenten starten.
  3. Folgen Sie den Anweisungen des Assistenten.

Der obere linke Bereich der Assistentenseite zeigt, wo Sie sich im Konfigurationsprozess befinden. Im unteren linken Bereich der Seite finden Sie feldsensitive Hilfe. Wenn Sie unter der Überschrift "Ressourcen" auf einen Link klicken, wird das Dokument in Ihrem Browser geöffnet. Wenn das Dokument auf einer neuen Registerkarte geöffnet wird, schließen Sie beim Schließen des Dokuments nur die Registerkarte (nicht das Browserfenster).

Siehe auch

Beispiel: Konfiguration eines Hub-and-Spoke-VPN

Dieses Beispiel zeigt, wie Sie ein Hub-and-Spoke-IPsec-VPN für eine Bereitstellung der Enterprise-Klasse konfigurieren. Informationen zu Site-IPSec-VPN mit IKEv1 und IKEv2 finden Sie unter routenbasiertes IPsec-VPN mit IKEv1 bzw . routenbasiertes IPsec-VPN mit IKEv1 .

Anforderungen

In diesem Beispiel wird die folgende Hardware verwendet:

  • SRX240-Gerät

  • SRX5800-Gerät

  • Gerät SSG140

Bevor Sie beginnen, lesen Sie IPsec – Übersicht.

Überblick

In diesem Beispiel wird die Konfiguration eines Hub-and-Spoke-VPN beschrieben, das normalerweise in Zweigstellenbereitstellungen zu finden ist. Der Hub ist das Büro des Unternehmens, und es gibt zwei Spokes – eine Zweigstelle in Sunnyvale, Kalifornien, Kalifornien, und eine Zweigstelle in Westford, Massachusetts. Benutzer in den Zweigstellen nutzen das VPN, um Daten sicher mit dem Büro des Unternehmens zu übertragen.

Abbildung 1 zeigt ein Beispiel für eine Hub-and-Spoke-VPN-Topologie. In dieser Topologie befindet sich ein SRX5800-Gerät in der Geschäftsstelle des Unternehmens. Eine Firewall der SRX-Serie befindet sich in der Zweigstelle in Westford und ein SSG140-Gerät befindet sich in der Zweigstelle in Sunnyvale.

Abbildung 1: Hub-and-Spoke-VPN-TopologieHub-and-Spoke-VPN-Topologie

In diesem Beispiel konfigurieren Sie den Hub des Unternehmensbüros, den Westford Spoke und den Spoke Sunnyvale. Zuerst konfigurieren Sie Schnittstellen, statische IPv4- und Standardrouten, Sicherheitszonen und Adressbücher. Dann konfigurieren Sie IKE Phase 1 und IPsec Phase 2 Parameter und binden die st0.0-Schnittstelle an das IPsec-VPN. Auf dem Hub konfigurieren Sie st0.0 für Multipoint und fügen einen statischen NHTB-Tabelleneintrag für die Sunnyvale-Spoke hinzu. Schließlich konfigurieren Sie die Sicherheitsrichtlinie und TCP-MSS-Parameter. Sehen Sie Tabelle 4 sich die spezifischen Konfigurationsparameter an Tabelle 8 , die in diesem Beispiel verwendet werden.

Tabelle 4: Schnittstellen-, Sicherheitszones- und Adressbuchinformationen

Hub-or-Spoke

Funktion

Name

Konfigurationsparameter

Hub

Schnittstellen

ge-0/0/0.0

192.168.10.1/24
   

ge-0/0/3.0

10.1.1.2/30
   

st0

10.11.11.10/24

Sprach

Schnittstellen

ge-0/0/0.0

10.3.3.2/30
   

ge-0/0/3.0

192.168.178.1/24
   

st0

10.11.11.12/24

Hub

Sicherheitszonen

Vertrauen

  • Alle Systemservices sind zulässig.

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.
   

nicht vertrauenswürdig

  • IKE ist der einzige zugelassene Systemdienst.

  • Die ge-0/0/3.0-Schnittstelle ist an diese Zone gebunden.
   

Vpn

Die st0.0-Schnittstelle ist an diese Zone gebunden.

Sprach

Sicherheitszonen

Vertrauen

  • Alle Systemservices sind zulässig.

  • Die ge-0/0/3.0-Schnittstelle ist an diese Zone gebunden.
   

nicht vertrauenswürdig

  • IKE ist der einzige zugelassene Systemdienst.

  • Die ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.
   

Vpn

Die st0.0-Schnittstelle ist an diese Zone gebunden.

Hub

Adressbucheinträge

local-net

  • Diese Adresse ist für das Adressbuch der Trust Zone.

  • Die Adresse für diesen Adressbucheintrag ist 192.168.10.0/24.
   

Sunnyvale-net

  • Dieses Adressbuch ist für das Adressbuch der VPN-Zone.

  • Die Adresse für diesen Adressbucheintrag ist 192.168.168.0/24.
   

westford-net

  • Diese Adresse ist für das Adressbuch der VPN-Zone.

  • Die Adresse für diesen Adressbucheintrag lautet 192.168.178.0/24.

Sprach

Adressbucheinträge

local-net

  • Diese Adresse ist für das Adressbuch der Trust Zone.

  • Die Adresse für diesen Adressbucheintrag ist 192.168.168.178.0/24.
   

corp-net

  • Diese Adresse ist für das Adressbuch der VPN-Zone.

  • Die Adresse für diesen Adressbucheintrag ist 192.168.10.0/24.
   

Sunnyvale-net

  • Diese Adresse ist für das Adressbuch der VPN-Zone.

  • Die Adresse für diesen Adressbucheintrag ist 192.168.168.0/24.
Tabelle 5: IKE Phase 1 Konfigurationsparameter

Hub-or-Spoke

Funktion

Name

Konfigurationsparameter

Hub

Vorschlag

ike-phase1-Vorschlag

  • Authentifizierungsmethode: Pre-Shared-Keys

  • Diffie-Hellman-Gruppe: gruppe2

  • Authentifizierungsalgorithmus: sha1

  • Verschlüsselungsalgorithmus: aes-128-cbc
 

Richtlinien

ike-phase1-Richtlinie

  • Modus: Wichtigsten

  • Referenz für den Vorschlag: ike-phase1-Vorschlag

  • IKE Phase 1 Richtlinienauthentifizierungsmethode: ascii-text mit freigegebenem Schlüssel
 

Gateway

gw-westford

  • IKE-Richtlinienreferenz: ike-phase1-Richtlinie

  • Externe Schnittstelle: ge-0/0/3.0

  • Gateway-Adresse: 10.3.3.2
   

gw-sunnyvale

  • IKE-Richtlinienreferenz: ike-phase1-Richtlinie

  • Externe Schnittstelle: ge-0/0/3.0

  • Gateway-Adresse: 10.2.2.2

Sprach

Vorschlag

ike-phase1-Vorschlag

  • Authentifizierungsmethode: Pre-Shared-Keys

  • Diffie-Hellman-Gruppe: gruppe2

  • Authentifizierungsalgorithmus: sha1

  • Verschlüsselungsalgorithmus: aes-128-cbc
 

Richtlinien

ike-phase1-Richtlinie

  • Modus: Wichtigsten

  • Referenz für den Vorschlag: ike-phase1-Vorschlag

  • IKE Phase 1 Richtlinienauthentifizierungsmethode: ascii-text mit freigegebenem Schlüssel
 

Gateway

gw-corporate

  • IKE-Richtlinienreferenz: ike-phase1-Richtlinie

  • Externe Schnittstelle: ge-0/0/0.0

  • Gateway-Adresse: 10.1.1.2
Tabelle 6: IPsec Phase 2-Konfigurationsparameter

Hub-or-Spoke

Funktion

Name

Konfigurationsparameter

Hub

Vorschlag

Ipsec-Phase2-Vorschlag

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-sha1-96

  • Verschlüsselungsalgorithmus: aes-128-cbc
 

Richtlinien

Ipsec-Phase2-Richtlinie

  • Referenz für den Vorschlag: Ipsec-Phase2-Vorschlag

  • PFS: Diffie-Hellman Gruppe2
 

VPN

vpn-sunnyvale

  • IKE-Gateway-Referenz: gw-sunnyvale

  • IPsec-Richtlinienreferenz: Ipsec-Phase2-Richtlinie

  • An Schnittstelle binden: st0.0
   

vpn-westford

  • IKE-Gateway-Referenz: gw-westford

  • IPsec-Richtlinienreferenz: Ipsec-Phase2-Richtlinie

  • An Schnittstelle binden: st0.0

Sprach

Vorschlag

Ipsec-Phase2-Vorschlag

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-sha1-96

  • Verschlüsselungsalgorithmus: aes-128-cbc
 

Richtlinien

Ipsec-Phase2-Richtlinie

  • Referenz für den Vorschlag: Ipsec-Phase2-Vorschlag

  • PFS: Diffie-Hellman Gruppe2
 

VPN

vpn-corporate

  • IKE-Gateway-Referenz: gw-corporate

  • IPsec-Richtlinienreferenz: Ipsec-Phase2-Richtlinie

  • An Schnittstelle binden: st0.0
Tabelle 7: Konfigurationsparameter für Sicherheitsrichtlinien

Hub-or-Spoke

Zweck

Name

Konfigurationsparameter

Hub

Die Sicherheitsrichtlinie erlaubt den Datenverkehr von der Trust Zone zur VPN-Zone.

Local-to-Spokes

  • Übereinstimmungskriterien:

    • source-address local-net

    • Zieladresse sunnyvale-net

    • Zieladresse westford-net

    • Anwendung beliebiger
 

Die Sicherheitsrichtlinie erlaubt den Datenverkehr von der VPN-Zone zur Trust Zone.

Spokes-to-Local

Übereinstimmungskriterien:

  • Quelladresse sunnyvale-net

  • Quelladresse westford-net

  • destination-address local-net

  • Anwendung beliebiger
 

Die Sicherheitsrichtlinie erlaubt den Datenverkehr innerhalb der Zone.

Spoke-to-Spoke

Übereinstimmungskriterien:

  • Source-Address Any

  • Zieladresse any

  • Anwendung beliebiger

Sprach

Die Sicherheitsrichtlinie erlaubt den Datenverkehr von der Trust Zone zur VPN-Zone.

to-corp

  • Übereinstimmungskriterien:

    • source-address local-net

    • Zieladresse corp-net

    • Zieladresse sunnyvale-net

    • Anwendung beliebiger
 

Die Sicherheitsrichtlinie erlaubt den Datenverkehr von der VPN-Zone zur Trust Zone.

von der Korpor

Übereinstimmungskriterien:

  • Source-Address Corp-net

  • Quelladresse sunnyvale-net

  • destination-address local-net

  • Anwendung beliebiger
 

Die Sicherheitsrichtlinie erlaubt den Datenverkehr von der nicht vertrauenswürdigen Zone zur Trust Zone.

permit-any

Übereinstimmungskriterien:

  • Source-Address Any

  • Source-Destination any

  • Anwendung beliebiger

  • Aktion zulassen: Source-NAT-Schnittstelle

    Indem Sie angeben source-nat interface, übersetzt die Firewall der SRX-Serie die Quell-IP-Adresse und den Port für ausgehenden Datenverkehr, indem sie die IP-Adresse der Ausgangsschnittstelle als Quell-IP-Adresse und einen zufällig hohen Anzahl-Port für den Quellport verwendet.
Tabelle 8: TCP-MSS-Konfigurationsparameter

Zweck

Konfigurationsparameter

TCC-MSS wird als Teil des TCP-Drei-Wege-Handshakes ausgehandelt und begrenzt die maximale Größe eines TCP-Segments, um besser an die MTU-Grenzen in einem Netzwerk zu passen. Für VPN-Datenverkehr kann der IPsec-Kapselungsaufwand zusammen mit dem IP- und Frame-Overhead dazu führen, dass das resultierende ESP-Paket die MTU der physischen Schnittstelle übersteigt, was zu Fragmentierung führt. Fragmentierung führt zu einer erhöhten Nutzung von Bandbreite und Geräteressourcen.

Der Wert 1350 ist ein empfohlener Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einem MTU von 1500 oder mehr. Möglicherweise müssen Sie mit verschiedenen TCP-MSS-Werten experimentieren, um eine optimale Leistung zu erzielen. Sie müssen beispielsweise den Wert ändern, wenn ein Gerät im Pfad eine niedrigere MTU hat oder wenn zusätzlichen Overhead wie PPP oder Frame Relay entsteht.

MSS-Wert: 1350

Konfiguration

Konfigurieren von Grundlegenden Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für den Hub

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie grundlegende Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für den Hub:

  1. Konfigurieren Sie Die Ethernet-Schnittstelleninformationen.

  2. Konfigurieren Sie statische Routeninformationen.

  3. Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.

  4. Weisen Sie der nicht vertrauenswürdigen Sicherheitszone eine Schnittstelle zu.

  5. Geben Sie zulässige Systemservices für die nicht vertrauenswürdige Sicherheitszone an.

  6. Konfigurieren Sie die Vertrauenssicherheitszone.

  7. Weisen Sie der Trust Security Zone eine Schnittstelle zu.

  8. Geben Sie zulässige Systemservices für die Vertrauenssicherheitszone an.

  9. Erstellen Sie ein Adressbuch und fügen Sie eine Zone an.

  10. Konfigurieren Sie die VPN-Sicherheitszone.

  11. Weisen Sie der VPN-Sicherheitszone eine Schnittstelle zu.

  12. Erstellen Sie ein anderes Adressbuch und fügen Sie eine Zone an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show routing-options, show security zonesund show security address-book eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IKE für den Hub

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IKE für den Hub:

  1. Erstellen Sie den IKE Phase 1-Vorschlag.

  2. Definieren sie die Authentifizierungsmethode für IKE-Vorschläge.

  3. Definieren Sie die IKE-Vorschlag Diffie-Hellman-Gruppe.

  4. Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.

  5. Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.

  6. Erstellen Sie eine IKE Phase-1-Richtlinie.

  7. Legen Sie den IKE Phase 1-Richtlinienmodus fest.

  8. Geben Sie einen Verweis auf den IKE-Vorschlag an.

  9. Definieren der IKE Phase 1-Richtlinienauthentifizierungsmethode.

  10. Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie dessen externe Schnittstelle.

  11. Definieren der IKE Phase 1-Richtlinienreferenz.

  12. Definieren Sie die IKE Phase 1 Gateway-Adresse.

  13. Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie dessen externe Schnittstelle.

  14. Definieren der IKE Phase 1-Richtlinienreferenz.

  15. Definieren Sie die IKE Phase 1 Gateway-Adresse.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IPsec für den Hub

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IPsec für den Hub:

  1. Erstellen Sie einen IPsec-Phase-2-Vorschlag.

  2. Geben Sie das IPsec-Phase 2-Vorschlagsprotokoll an.

  3. Geben Sie den IPsec Phase 2-Authentifizierungsalgorithmus an.

  4. Geben Sie den IPsec Phase 2-Vorschlagsverschlüsselungsalgorithmus an.

  5. Erstellen Sie die IPsec-Phase-2-Richtlinie.

  6. Geben Sie die IPsec-Phase-2-Vorschlagsreferenz an.

  7. Geben Sie IPsec Phase 2 PFS an, um Diffie-Hellman Group 2 zu verwenden.

  8. Geben Sie die IKE-Gateways an.

  9. Geben Sie die IPsec-Phase-2-Richtlinien an.

  10. Geben Sie die Schnittstelle an, die gebunden werden soll.

  11. Konfigurieren Sie die st0-Schnittstelle als Multipoint.

  12. Fügen Sie statische NHTB-Tabelleneinträge für die Büros in Sunnyvale und Westford hinzu.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von Sicherheitsrichtlinien für den Hub

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Sicherheitsrichtlinien für den Hub:

  1. Erstellen Sie die Sicherheitsrichtlinie, um den Datenverkehr von der Trust Zone zur VPN-Zone zuzulassen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Trust Zone zuzulassen.

  3. Erstellen Sie die Sicherheitsrichtlinie, um den Datenverkehr innerhalb der Zone zu erlauben.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von TCP-MSS für den Hub

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

So konfigurieren Sie TCP-MSS-Informationen für den Hub:

  1. Konfigurieren Sie TCP-MSS-Informationen.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security flow Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von Grundlegenden Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für den Westford Spoke

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie grundlegende Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für den Westford Spoke:

  1. Konfigurieren Sie Die Ethernet-Schnittstelleninformationen.

  2. Konfigurieren Sie statische Routeninformationen.

  3. Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.

  4. Weisen Sie der Sicherheitszone eine Schnittstelle zu.

  5. Geben Sie zulässige Systemservices für die nicht vertrauenswürdige Sicherheitszone an.

  6. Konfigurieren Sie die Vertrauenssicherheitszone.

  7. Weisen Sie der Trust Security Zone eine Schnittstelle zu.

  8. Geben Sie zulässige Systemservices für die Vertrauenssicherheitszone an.

  9. Konfigurieren Sie die VPN-Sicherheitszone.

  10. Weisen Sie der VPN-Sicherheitszone eine Schnittstelle zu.

  11. Erstellen Sie ein Adressbuch und fügen Sie eine Zone an.

  12. Erstellen Sie ein anderes Adressbuch und fügen Sie eine Zone an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show routing-options, show security zonesund show security address-book eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration von IKE für Westford Spoke

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IKE für den Westford Spoke:

  1. Erstellen Sie den IKE Phase 1-Vorschlag.

  2. Definieren sie die Authentifizierungsmethode für IKE-Vorschläge.

  3. Definieren Sie die IKE-Vorschlag Diffie-Hellman-Gruppe.

  4. Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.

  5. Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.

  6. Erstellen Sie eine IKE Phase-1-Richtlinie.

  7. Legen Sie den IKE Phase 1-Richtlinienmodus fest.

  8. Geben Sie einen Verweis auf den IKE-Vorschlag an.

  9. Definieren der IKE Phase 1-Richtlinienauthentifizierungsmethode.

  10. Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie dessen externe Schnittstelle.

  11. Definieren der IKE Phase 1-Richtlinienreferenz.

  12. Definieren Sie die IKE Phase 1 Gateway-Adresse.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von IPsec für Westford Spoke

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IPsec für den Westford Spoke:

  1. Erstellen Sie einen IPsec-Phase-2-Vorschlag.

  2. Geben Sie das IPsec-Phase 2-Vorschlagsprotokoll an.

  3. Geben Sie den IPsec Phase 2-Authentifizierungsalgorithmus an.

  4. Geben Sie den IPsec Phase 2-Vorschlagsverschlüsselungsalgorithmus an.

  5. Erstellen Sie die IPsec-Phase-2-Richtlinie.

  6. Geben Sie die IPsec-Phase-2-Vorschlagsreferenz an.

  7. Geben Sie IPsec Phase 2 PFS an, um Diffie-Hellman Group 2 zu verwenden.

  8. Geben Sie das IKE-Gateway an.

  9. Geben Sie die IPsec-Phase-2-Richtlinie an.

  10. Geben Sie die Schnittstelle an, die gebunden werden soll.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von Sicherheitsrichtlinien für westford Spoke

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Sicherheitsrichtlinien für den Westford Spoke:

  1. Erstellen Sie die Sicherheitsrichtlinie, um den Datenverkehr von der Trust Zone zur VPN-Zone zuzulassen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Trust Zone zuzulassen.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfigurieren von TCP-MSS für westford Spoke

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

So konfigurieren Sie TCP-MSS für den Westford Spoke:

  1. Konfigurieren Sie TCP-MSS-Informationen.

Ergebnisse

Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security flow Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Konfiguration des Sunnyvale Spoke

CLI-Schnellkonfiguration

In diesem Beispiel wird ein Gerät der SSG-Serie für die Spoke sunnyvale verwendet. Als Referenz wird die Konfiguration für das Gerät der SSG-Serie angegeben. Informationen zur Konfiguration von Geräten der Concepts and Examples ScreenOS Reference GuideSSG-Serie finden Sie unter https://www.juniper.net/documentation.

Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern alle erforderlichen Details, um ihre Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung des IKE Phase 1-Status

Zweck

Überprüfen Sie den Status von IKE Phase 1.

Aktion

Bevor Sie mit der Überprüfung beginnen, müssen Sie Datenverkehr von einem Host im Netzwerk 192.168.10/24 an einen Host in den Netzwerken 192.168.168/24 und 192.168.178/24 senden, um die Tunnel hochzubringen. Bei routenbasierten VPNs können Sie den von der Firewall der SRX-Serie initiierten Datenverkehr durch den Tunnel senden. Wir empfehlen, dass Sie beim Testen von IPsec-Tunneln Testdaten von einem separaten Gerät auf der einen Seite des VPN an ein zweites Gerät auf der anderen Seite des VPN senden. Starten Sie beispielsweise einen Ping von 192.168.10.10 bis 192.168.168.10.

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Verwenden Sie show security ike security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.

Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im show security ike security-associations index detail Befehl verwenden können, um weitere Informationen zur SA zu erhalten.

  • Remote-Adresse: Stellen Sie sicher, dass die Remote-IP-Adresse korrekt ist.

  • Bundesland

    • UP: Phase 1 SA wurde eingerichtet.

    • DOWN: Es gab ein Problem bei der Einrichtung der Phase 1 SA.

  • Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.

Stellen Sie sicher, dass die folgenden Informationen in Ihrer Konfiguration korrekt sind:

  • Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)

  • IKE-Richtlinienparameter

  • Vorab-Schlüsselinformationen

  • Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)

Der show security ike security-associations index 1 detail Befehl listet zusätzliche Informationen zur Sicherheitszuordnung mit der Indexnummer 1 auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Phase 1 Lebensdauer

  • Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)

  • Informationen zu Initiator- und Responder-Rollen

    Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.

  • Anzahl der erstellten IPsec-SAs

  • Anzahl der laufenden Phase-2-Verhandlungen

Überprüfung des IPsec-Phase-2-Status

Zweck

Überprüfen Sie den IPsec-Phase-2-Status.

Aktion

Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Verwenden Sie show security ipsec security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.

Bedeutung

Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:

  • Die ID-Nummer ist 16385. Verwenden Sie diesen Wert mit dem show security ipsec security-associations index Befehl, um weitere Informationen zu dieser bestimmten SA zu erhalten.

  • Es gibt ein IPsec SA-Paar mit Port 500, was anzeigt, dass keine NAT-Traversal implementiert ist. (NAT-Traversal verwendet Port 4500 oder einen anderen zufälligen, hohen Anzahl-Port.)

  • Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 28756/unlim zeigt an, dass die Lebensdauer der Phase 2 in 28756 Sekunden abläuft und keine Lebensgröße angegeben wurde, was angibt, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.

  • Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.

  • Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.

Die Ausgabe des show security ipsec security-associations index 16385 detail Befehls listet die folgenden Informationen auf:

  • Die lokale und Remote-Identität machen die Proxy-ID für die SA aus.

    Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phase-2-Fehler. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass die Vorschläge der Phase 2, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Für routenbasierte VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können bei mehreren routenbasierten VPNs von derselben Peer-IP auftreten. In diesem Fall muss für jede IPsec-SA eine eindeutige Proxy-ID angegeben werden. Bei einigen Drittanbietern muss die Proxy-ID zur Übereinstimmung manuell eingegeben werden.

  • Ein weiterer häufiger Grund für das Ausfallen von Phase 2 ist die Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, überprüfen Sie das kmd-Protokoll oder legen Sie Trace-Optionen fest.

Überprüfen der Next-Hop-Tunnel-Bindungen

Zweck

Nachdem Phase 2 für alle Peers abgeschlossen ist, überprüfen Sie die Next-Hop-Tunnelbindung.

Aktion

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die st0-Schnittstellen aller Remote-Spoke-Peers. Der nächste Hop sollte mit dem richtigen IPsec-VPN-Namen verknüpft sein. Wenn kein NHTB-Eintrag vorhanden ist, gibt es für das Hub-Gerät keine Möglichkeit, zu unterscheiden, welches IPsec-VPN mit welchem nächsten Hop verknüpft ist.

Das Feld Flag hat einen der folgenden Werte:

  • Statisch: NHTB wurde manuell in den St0.0-Schnittstellenkonfigurationen konfiguriert, was erforderlich ist, wenn es sich bei dem Peer nicht um eine Firewall der SRX-Serie handelt.

  • Auto– NHTB wurde nicht konfiguriert, aber der Eintrag wurde während Phase-2-Verhandlungen zwischen zwei Firewalls der SRX-Serie automatisch in die NHTB-Tabelle eingefüllt.

In diesem Beispiel gibt es keine NHTB-Tabelle für eine der Spoke-Standorte. Aus Der Spoke-Perspektive ist die st0-Schnittstelle immer noch ein Punkt-zu-Punkt-Link mit nur einer IPsec-VPN-Bindung.

Überprüfung statischer Routen für remote Peer Local LANs

Zweck

Stellen Sie sicher, dass die statische Route auf die st0-IP-Adresse des Spoke-Peers verweist.

Aktion

Geben Sie im Betriebsmodus den show route Befehl ein.

Der nächste Hop ist die st0-IP-Adresse des Remote-Peers, und beide Routen zeigen auf st0.0 als ausgehende Schnittstelle.

Überprüfen von Statistiken und Fehlern für eine IPsec-Sicherheitszuordnung

Zweck

Überprüfen Sie ESP- und Authentifizierungs-Header-Zähler und -Fehler für eine IPsec-Sicherheitszuordnung.

Aktion

Geben Sie im Betriebsmodus den show security ipsec statistics index Befehl ein.

Sie können den show security ipsec statistics Befehl auch verwenden, um Statistiken und Fehler für alle SAs zu überprüfen.

Verwenden Sie den clear security ipsec statistics Befehl, um alle IPsec-Statistiken zu löschen.

Bedeutung

Wenn in einem VPN Paketverluste auftreten, können Sie den Befehl oder show security ipsec statistics detail den show security ipsec statistics Befehl mehrmals ausführen, um zu bestätigen, dass die Zähler für verschlüsselte und entschlüsselte Pakete inkrementieren. Sie sollten auch prüfen, ob die anderen Fehlerindikatoren inkrementiert werden.

Testen des Datenverkehrsflusses über das VPN

Zweck

Überprüfen Sie den Datenverkehrsfluss über das VPN.

Aktion

Sie können den ping Befehl der Firewall der SRX-Serie verwenden, um den Datenverkehrsfluss zu einem Remote-Host-PC zu testen. Stellen Sie sicher, dass Sie die Quellschnittstelle angeben, damit die Routensuche korrekt ist und auf die entsprechenden Sicherheitszonen bei der Richtliniensuche verwiesen wird.

Geben Sie im Betriebsmodus den ping Befehl ein.

Sie können auch den ping Befehl des Geräts der SSG-Serie verwenden.

Bedeutung

Wenn der ping Befehl vom Gerät der SRX- oder SSG-Serie fehlschlägt, liegt möglicherweise ein Problem mit dem Routing, den Sicherheitsrichtlinien, dem Endhost oder der Ver- und Entschlüsselung von ESP-Paketen vor.

Siehe auch

Verwandte Themen

Release-Verlaufstabelle
Release
Beschreibung
19.4R1
Ab Junos OS Version 19.4R1 können Sie jetzt nur ein dynamisches DN-Attribut zwischen container-string und wildcard-string in der [edit security ike gateway gateway_name dynamic distinguished-name] Hierarchie konfigurieren. Wenn Sie versuchen, das zweite Attribut nach der Konfiguration des ersten Attributs zu konfigurieren, wird das erste Attribut durch das zweite Attribut ersetzt. Vor dem Upgrade Ihres Geräts müssen Sie eines der Attribute entfernen, wenn Sie beide Attribute konfiguriert haben.
15.1X49-D80
Ab Junos OS Version 15.1X49-D80 unterstützen dynamische Endpunkt-VPNs auf Firewalls der SRX-Serie IPv6-Datenverkehr in sicheren Tunneln.
12.3X48-D40
Ab Junos OS Version 12.3X48-D40, Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 können alle dynamischen Endpunkt-Gateways, die auf Firewalls der SRX-Serie konfiguriert sind und dieselbe externe Schnittstelle verwenden, unterschiedliche IKE-Richtlinien verwenden, aber die IKE-Richtlinien müssen den gleichen IKE-Vorschlag verwenden.