Übersicht über die IPsec-VPN-Konfiguration
Eine VPN-Verbindung kann zwei LANs (Site-to-Site-VPN) oder einen Remote-DFÜ-Benutzer und ein LAN verbinden. Der Datenverkehr, der zwischen diesen beiden Punkten fließt, durchläuft gemeinsam genutzte Ressourcen wie Router, Switches und andere Netzwerkgeräte, aus denen das öffentliche WAN besteht. Ein IPsec-Tunnel wird zwischen zwei teilnehmenden Geräten erstellt, um die VPN-Kommunikation zu sichern.
IPsec-VPN mit Autokey IKE-Konfigurationsübersicht
Die IPsec-VPN-Aushandlung erfolgt in zwei Phasen. In Phase 1 richten die Teilnehmer einen sicheren Kanal ein, über den die IPsec-Sicherheitszuordnung (Security Association, SA) ausgehandelt wird. In Phase 2 handeln die Teilnehmer die IPsec-Sicherheitszuordnung für die Authentifizierung des Datenverkehrs aus, der durch den Tunnel fließt.
In dieser Übersicht werden die grundlegenden Schritte zum Konfigurieren eines routen- oder richtlinienbasierten IPsec-VPN mithilfe von Autokey-IKE (vorinstallierte Schlüssel oder Zertifikate) beschrieben.
So konfigurieren Sie ein routen- oder richtlinienbasiertes IPsec-VPN mithilfe von Autokey IKE:
Siehe auch
Empfohlene Konfigurationsoptionen für Site-to-Site-VPN mit statischen IP-Adressen
Tabelle 1 Listet die Konfigurationsoptionen für ein generisches Site-to-Site-VPN zwischen zwei Sicherheitsgeräten mit statischen IP-Adressen auf. Das VPN kann entweder routenbasiert oder richtlinienbasiert sein.
Konfigurationsoption |
Kommentar |
|---|---|
IKE-Konfigurationsoptionen: |
|
Hauptmodus |
Wird verwendet, wenn Peers statische IP-Adressen haben. |
RSA- oder DSA-Zertifikate |
RSA- oder DSA-Zertifikate können auf dem lokalen Gerät verwendet werden. Geben Sie den Zertifikattyp (PKCS7 oder X.509) auf dem Peer an. |
Diffie-Hellman (DH) Gruppe 14 |
Die DH-Gruppe 14 bietet mehr Sicherheit als die DH-Gruppen 1, 2 oder 5. |
AES-Verschlüsselung (Advanced Encryption Standard) |
AES ist kryptografisch stärker als Data Encryption Standard (DES) und Triple DES (3DES), wenn die Schlüssellängen gleich sind. Zugelassener Verschlüsselungsalgorithmus für die Standards Federal Information Processing Standards (FIPS) und Common Criteria EAL4. |
SHA-256-Authentifizierung (Secure Hash Algorithm 256) |
SHA-256 bietet mehr kryptografische Sicherheit als SHA-1 oder Message Digest 5 (MD5). |
IPsec-Konfigurationsoptionen: |
|
Perfect Forward Secrecy (PFS) DH-Gruppe 14 |
Die PFS-DH-Gruppe 14 bietet erhöhte Sicherheit, da die Peers einen zweiten DH-Austausch durchführen, um den Schlüssel zu erzeugen, der für die IPsec-Verschlüsselung und -Entschlüsselung verwendet wird. |
Kapselung des ESP-Protokolls (Security Payload) |
ESP bietet sowohl Vertraulichkeit durch Verschlüsselung und Kapselung des ursprünglichen IP-Pakets als auch Integrität durch Authentifizierung. |
AES-Verschlüsselung |
AES ist kryptografisch stärker als DES und 3DES, wenn die Schlüssellängen gleich sind. Zugelassener Verschlüsselungsalgorithmus für die Standards FIPS und Common Criteria EAL4. |
SHA-256-Authentifizierung |
SHA-256 bietet mehr kryptografische Sicherheit als SHA-1 oder MD5. |
Anti-Replay-Schutz |
Standardmäßig aktiviert. Durch das Deaktivieren dieser Funktion können Kompatibilitätsprobleme mit Peers von Drittanbietern behoben werden. |
Siehe auch
Empfohlene Konfigurationsoptionen für Site-to-Site- oder DFÜ-VPNs mit dynamischen IP-Adressen
Tabelle 2 Listet die Konfigurationsoptionen für ein generisches Site-to-Site- oder DFÜ-VPN auf, bei dem die Peer-Geräte über dynamische IP-Adressen verfügen.
Konfigurationsoption |
Kommentar |
|---|---|
IKE-Konfigurationsoptionen: |
|
Hauptmodus |
Wird zusammen mit Zertifikaten verwendet. |
2048-Bit-Zertifikate |
Es können RSA- oder DSA-Zertifikate verwendet werden. Geben Sie das Zertifikat an, das auf dem lokalen Gerät verwendet werden soll. Geben Sie den Zertifikattyp (PKCS7 oder X.509) auf dem Peer an. |
Diffie-Hellman (DH) Gruppe 14 |
Die DH-Gruppe 14 bietet mehr Sicherheit als die DH-Gruppen 1, 2 oder 5. |
AES-Verschlüsselung (Advanced Encryption Standard) |
AES ist kryptografisch stärker als Data Encryption Standard (DES) und Triple DES (3DES), wenn die Schlüssellängen gleich sind. Zugelassener Verschlüsselungsalgorithmus für die Standards Federal Information Processing Standards (FIPS) und Common Criteria EAL4. |
SHA-256-Authentifizierung (Secure Hash Algorithm 256) |
SHA-256 bietet mehr kryptografische Sicherheit als SHA-1 oder Message Digest 5 (MD5). |
IPsec-Konfigurationsoptionen: |
|
Perfect Forward Secrecy (PFS) DH-Gruppe 14 |
Die PFS-DH-Gruppe 14 bietet erhöhte Sicherheit, da die Peers einen zweiten DH-Austausch durchführen, um den Schlüssel zu erzeugen, der für die IPsec-Verschlüsselung und -Entschlüsselung verwendet wird. |
Kapselung des ESP-Protokolls (Security Payload) |
ESP bietet sowohl Vertraulichkeit durch Verschlüsselung und Kapselung des ursprünglichen IP-Pakets als auch Integrität durch Authentifizierung. |
AES-Verschlüsselung |
AES ist kryptografisch stärker als DES und 3DES, wenn die Schlüssellängen gleich sind. Zugelassener Verschlüsselungsalgorithmus für die Standards FIPS und Common Criteria EAL4. |
SHA-256-Authentifizierung |
SHA-256 bietet mehr kryptografische Sicherheit als SHA-1 oder MD5. |
Anti-Replay-Schutz |
Standardmäßig aktiviert. Wenn Sie diese Option deaktivieren, werden möglicherweise Kompatibilitätsprobleme mit Peers von Drittanbietern behoben. |
Siehe auch
Grundlegendes zu IPsec-VPNs mit dynamischen Endpunkten
- Überblick
- IKE-Identität
- Aggressiver Modus für IKEv1-Richtlinie
- IKE-Richtlinien und externe Schnittstellen
- NAT
- Gruppen- und gemeinsam genutzte IKE-IDs
Überblick
Ein IPsec-VPN-Peer kann eine IP-Adresse haben, die dem Peer, mit dem er die VPN-Verbindung herstellt, nicht bekannt ist. Beispielsweise kann einem Peer eine IP-Adresse dynamisch mithilfe von DHCP (Dynamic Host Configuration Protocol) zugewiesen werden. Dies kann bei einem Remote-Access-Client in einer Zweigstelle oder im Homeoffice oder bei einem mobilen Gerät, das sich zwischen verschiedenen physischen Standorten bewegt, der Fall sein. Der Peer kann sich auch hinter einem NAT-Gerät befinden, das die ursprüngliche Quell-IP-Adresse des Peers in eine andere Adresse übersetzt. Ein VPN-Peer mit einer unbekannten IP-Adresse wird als dynamischer Endpunkt bezeichnet, und ein VPN, das mit einem dynamischen Endpunkt eingerichtet wurde, wird als dynamisches Endpunkt-VPN bezeichnet.
Auf Firewalls der SRX-Serie wird IKEv1 oder IKEv2 mit dynamischen Endgeräte-VPNs unterstützt. Dynamische Endgeräte-VPNs auf Firewalls der SRX-Serie unterstützen IPv4-Datenverkehr in sicheren Tunneln. Ab Junos OS Version 15.1X49-D80 unterstützen dynamische Endgeräte-VPNs auf Firewalls der SRX-Serie IPv6-Datenverkehr in sicheren Tunneln.
IPv6-Datenverkehr wird für AutoVPN-Netzwerke nicht unterstützt.
In den folgenden Abschnitten werden die Punkte beschrieben, die bei der Konfiguration eines VPN mit einem dynamischen Endpunkt zu beachten sind.
IKE-Identität
Auf dem dynamischen Endpunkt muss eine IKE-Identität konfiguriert werden, damit sich das Gerät gegenüber seinem Peer identifizieren kann. Die lokale Identität des dynamischen Endpunkts wird auf dem Peer überprüft. Standardmäßig erwartet die Firewall der SRX-Serie, dass die IKE-Identität eine der folgenden ist:
Wenn Zertifikate verwendet werden, kann ein DN (Distinguished Name) verwendet werden, um Benutzer oder eine Organisation zu identifizieren.
Ein Hostname oder vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN), der den Endpunkt identifiziert.
Ein vollqualifizierter Domänenname (Fully Qualified Domain Name, UFQDN) des Benutzers, der auch als Benutzer-at-Hostname bezeichnet wird. Dies ist eine Zeichenfolge, die dem E-Mail-Adressformat folgt.
Aggressiver Modus für IKEv1-Richtlinie
Wenn IKEv1 mit dynamischen Endgeräte-VPNs verwendet wird, muss die IKE-Richtlinie für den aggressiven Modus konfiguriert werden.
IKE-Richtlinien und externe Schnittstellen
Ab Junos OS Version 12.3X48-D40, Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 können alle dynamischen Endgeräte-Gateways, die auf Firewalls der SRX-Serie konfiguriert sind und dieselbe externe Schnittstelle verwenden, unterschiedliche IKE-Richtlinien verwenden, aber die IKE-Richtlinien müssen denselben IKE-Vorschlag verwenden. Dies gilt für IKEv1 und IKEv2.
NAT
Wenn sich der dynamische Endpunkt hinter einem NAT-Gerät befindet, muss NAT-T auf der Firewall der SRX-Serie konfiguriert werden. NAT-Keepalives sind möglicherweise erforderlich, um die NAT-Übersetzung während der Verbindung zwischen den VPN-Peers aufrechtzuerhalten. Standardmäßig ist NAT-T auf Firewalls der SRX-Serie aktiviert, und NAT-Keepalives werden in 20-Sekunden-Intervallen gesendet.
Gruppen- und gemeinsam genutzte IKE-IDs
Sie können für jeden dynamischen Endpunkt einen individuellen VPN-Tunnel konfigurieren. Für VPNs mit dynamischen IPv4-Endpunkten können Sie die Gruppen-IKE-ID oder gemeinsam genutzte IKE-ID-Funktionen verwenden, um einer Reihe dynamischer Endpunkte die gemeinsame Nutzung einer IKE-Gateway-Konfiguration zu ermöglichen.
Mit der Gruppen-IKE-ID können Sie einen gemeinsamen Teil einer vollständigen IKE-ID für alle dynamischen Endpunkte definieren, z. B. "example.net". Ein benutzerspezifischer Teil, z. B. der Benutzername "Bob", der mit dem gemeinsamen Teil verkettet ist, bildet eine vollständige IKE-ID (Bob.example.net), die jede Benutzerverbindung eindeutig identifiziert.
Die gemeinsam genutzte IKE-ID ermöglicht es dynamischen Endgeräten, eine einzelne IKE-ID und einen vorinstallierten Schlüssel gemeinsam zu nutzen.
Siehe auch
Grundlegendes zur IKE-Identitätskonfiguration
Die IKE-Identifikation (IKE-ID) wird zur Validierung von VPN-Peer-Geräten während der IKE-Aushandlung verwendet. Bei der IKE-ID, die die Firewall der SRX-Serie von einem Remote-Peer empfängt, kann es sich um eine IPv4- oder IPv6-Adresse, einen Hostnamen, einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN), einen Benutzer-FQDN (UFQDN) oder einen Distinguished Name (DN) handeln. Die vom Remote-Peer gesendete IKE-ID muss mit den Erwartungen der Firewall der SRX-Serie übereinstimmen. Andernfalls schlägt die Überprüfung der IKE-ID fehl und das VPN wird nicht eingerichtet.
- IKE-ID-Typen
- Remote-IKE-IDs und Site-to-Site-VPNs
- Remote-IKE-IDs und VPNs für dynamische Endgeräte
- Lokale IKE-ID der Firewall der SRX-Serie
IKE-ID-Typen
Die Firewalls der SRX-Serie unterstützen die folgenden Arten von IKE-Identitäten für Remote-Peers:
Eine IPv4- oder IPv6-Adresse wird häufig bei Site-to-Site-VPNs verwendet, bei denen der Remote-Peer eine statische IP-Adresse hat.
Ein Hostname ist eine Zeichenfolge, die das Remote-Peer-System identifiziert. Dabei kann es sich um einen FQDN handeln, der in eine IP-Adresse aufgelöst wird. Es kann sich auch um einen partiellen FQDN handeln, der in Verbindung mit einem IKE-Benutzertyp verwendet wird, um einen bestimmten Remotebenutzer zu identifizieren.
Wenn ein Hostname anstelle einer IP-Adresse konfiguriert wird, basiert die festgeschriebene Konfiguration und der anschließende Tunnelaufbau auf der aktuell aufgelösten IP-Adresse. Wenn sich die IP-Adresse des Remote-Peers ändert, ist die Konfiguration nicht mehr gültig.
Ein UFQDN ist eine Zeichenfolge, die dem gleichen Format wie eine E-Mail-Adresse folgt, z. B . .
user@example.comEin DN ist ein Name, der zusammen mit digitalen Zertifikaten zur eindeutigen Identifizierung eines Benutzers verwendet wird. Ein DN kann z. B. "CN=Benutzer, DC=Beispiel, DC=com" lauten. Optional können Sie das Schlüsselwort verwenden, um anzugeben, dass die Reihenfolge der Felder in einem DN und ihre Werte genau mit dem konfigurierten DN übereinstimmen, oder das Schlüsselwort verwenden, um anzugeben, dass die Werte der Felder in einem DN übereinstimmen müssen, die Reihenfolge der Felder jedoch keine Rolle spielt.
containerwildcardAb Junos OS Version 19.4R1 können Sie jetzt nur noch ein dynamisches DN-Attribut in der und in der Hierarchie konfigurieren.
container-stringwildcard-string[edit security ike gateway gateway_name dynamic distinguished-name]Wenn Sie versuchen, das zweite Attribut zu konfigurieren, nachdem Sie das erste Attribut konfiguriert haben, wird das erste Attribut durch das zweite Attribut ersetzt. Bevor Sie Ihr Gerät aktualisieren, müssen Sie eines der Attribute entfernen, wenn Sie beide Attribute konfiguriert haben.Ein IKE-Benutzertyp kann mit AutoVPN und RAS-VPNs verwendet werden, wenn mehrere Remote-Peers eine Verbindung zum selben VPN-Gateway in der Firewall der SRX-Serie herstellen. Konfigurieren Sie die Option zum Angeben einer Gruppen-IKE-ID oder zum Angeben einer freigegebenen IKE-ID.
ike-user-type group-ike-idike-user-type shared-ike-id
Remote-IKE-IDs und Site-to-Site-VPNs
Bei Site-to-Site-VPNs kann die IKE-ID des Remotepeers je nach Konfiguration des Peergeräts die IP-Adresse der Ausgangsnetzwerkschnittstellenkarte, eine Loopback-Adresse, ein Hostname oder eine manuell konfigurierte IKE-ID sein.
Standardmäßig erwarten Firewalls der SRX-Serie, dass die IKE-ID des Remote-Peers die IP-Adresse ist, die mit der Konfiguration konfiguriert wurde.set security ike gateway gateway-name address Wenn die IKE-ID des Remotepeers einen anderen Wert hat, müssen Sie die Anweisung auf der Hierarchieebene [] konfigurieren.remote-identityedit security ike gateway gateway-name
Beispielsweise wird ein IKE-Gateway auf den Firewalls der SRX-Serie mit dem Befehl konfiguriert.set security ike gateway remote-gateway address 203.0.113.1 Die vom Remotepeer gesendete IKE-ID lautet jedoch .host.example.net Es besteht eine Diskrepanz zwischen dem, was die Firewall der SRX-Serie für die IKE-ID des Remote-Peers (203.0.113.1) erwartet, und der tatsächlichen IKE-ID (), die vom Peer gesendet wird.host.example.net In diesem Fall schlägt die Überprüfung der IKE-ID fehl. Verwenden Sie , um die IKE-ID abzugleichen, die Sie vom Remote-Peer erhalten haben.set security ike gateway remote-gateway remote-identity hostname host.example.net
Remote-IKE-IDs und VPNs für dynamische Endgeräte
Bei dynamischen Endpunkt-VPNs wird die erwartete IKE-ID des Remote-Peers mit den Optionen auf der Hierarchieebene [] konfiguriert.edit security ike gateway gateway-name dynamic Für AutoVPN kann kombiniert mit verwendet werden, wenn es mehrere Peers gibt, die einen gemeinsamen Domänennamen haben.hostnameike-user-type group-ike-id Wenn Zertifikate zur Überprüfung des Peers verwendet werden, kann ein DN konfiguriert werden.
Lokale IKE-ID der Firewall der SRX-Serie
Standardmäßig verwendet die Firewall der SRX-Serie die IP-Adresse ihrer externen Schnittstelle zum Remote-Peer als IKE-ID. Diese IKE-ID kann überschrieben werden, indem die Anweisung auf der Hierarchieebene [] konfiguriert wird.local-identityedit security ike gateway gateway-name Wenn Sie die Anweisung auf einer Firewall der SRX-Serie konfigurieren müssen, stellen Sie sicher, dass die konfigurierte IKE-ID mit der vom Remote-Peer erwarteten IKE-ID übereinstimmt.local-identity
Siehe auch
Konfigurieren von Remote-IKE-IDs für Site-to-Site-VPNs
Standardmäßig validieren Firewalls der SRX-Serie die vom Peer empfangene IKE-ID mit der für das IKE-Gateway konfigurierten IP-Adresse. In bestimmten Netzwerkkonfigurationen stimmt die vom Peer empfangene IKE-ID (bei der es sich um eine IPv4- oder IPv6-Adresse, einen vollqualifizierten Domänennamen [FQDN], einen definierten Namen oder eine E-Mail-Adresse handeln kann) nicht mit dem auf der Firewall der SRX-Serie konfigurierten IKE-Gateway überein. Dies kann zu einem Phase-1-Validierungsfehler führen.
So ändern Sie die Konfiguration der Firewall der SRX-Serie oder des Peer-Geräts für die verwendete IKE-ID:
Konfigurieren Sie die Anweisung auf der Firewall der SRX-Serie auf der Hierarchieebene [] so, dass sie mit der IKE-ID übereinstimmt, die vom Peer empfangen wird.
remote-identityedit security ike gateway gateway-nameWerte können eine IPv4- oder IPv6-Adresse, ein FQDN, ein definierter Name oder eine E-Mail-Adresse sein.Wenn Sie dies nicht konfigurieren , verwendet das Gerät standardmäßig die IPv4- oder IPv6-Adresse, die dem Remotepeer entspricht.
remote-identityStellen Sie auf dem Peer-Gerät sicher, dass die IKE-ID mit der auf der Firewall der SRX-Serie konfigurierten ID übereinstimmt.
remote-identityWenn es sich bei dem Peer-Gerät um eine Firewall der SRX-Serie handelt, konfigurieren Sie die Anweisung auf der Hierarchieebene [].local-identityedit security ike gateway gateway-nameWerte können eine IPv4- oder IPv6-Adresse, ein FQDN, ein definierter Name oder eine E-Mail-Adresse sein.
Siehe auch
Grundlegendes zur OSPF- und OSPFv3-Authentifizierung auf Firewalls der SRX-Serie
OSPFv3 verfügt nicht über eine integrierte Authentifizierungsmethode und verlässt sich auf die IP Security (IPsec)-Suite, um diese Funktionalität bereitzustellen. IPsec bietet Authentifizierung des Ursprungs, Datenintegrität, Vertraulichkeit, Replay-Schutz und Nichtleugnung der Quelle. Sie können IPsec verwenden, um bestimmte OSPFv3-Schnittstellen und virtuelle Verbindungen zu sichern und Verschlüsselung für OSPF-Pakete bereitzustellen.
OSPFv3 verwendet den IP-Authentifizierungsheader (AH) und die ESP-Teile (IP Encapsulating Security Payload) des IPsec-Protokolls, um Routing-Informationen zwischen Peers zu authentifizieren. AH bietet verbindungslose Integrität und Datenursprungsauthentifizierung. Es bietet auch Schutz vor Wiederholungen. AH authentifiziert so viel IP-Header wie möglich sowie die Protokolldaten der oberen Ebene. Einige IP-Header-Felder können sich jedoch während der Übertragung ändern. Da der Wert dieser Felder für den Absender möglicherweise nicht vorhersehbar ist, können sie nicht durch AH geschützt werden. ESP kann Verschlüsselung und eingeschränkte Vertraulichkeit des Datenverkehrsflusses oder verbindungslose Integrität, Datenursprungsauthentifizierung und einen Anti-Replay-Service bieten.
IPsec basiert auf Sicherheitsassoziationen (Security Associations, SAs). Bei einer Sicherheitszuordnung handelt es sich um eine Reihe von IPsec-Spezifikationen, die zwischen Geräten ausgehandelt werden, die eine IPsec-Beziehung herstellen. Diese Simplex-Verbindung bietet Sicherheitsdienste für die Pakete, die von der SA übertragen werden. Diese Spezifikationen umfassen Einstellungen für die Art der Authentifizierung, Verschlüsselung und des IPsec-Protokolls, die beim Herstellen der IPsec-Verbindung verwendet werden sollen. Eine Sicherheitszuordnung wird verwendet, um einen bestimmten Datenstrom in eine Richtung zu verschlüsseln und zu authentifizieren. Daher werden die Datenströme im normalen bidirektionalen Datenverkehr durch ein Paar Sicherheitszuordnungen gesichert. Eine Sicherheitszuordnung, die mit OSPFv3 verwendet werden soll, muss manuell konfiguriert werden und den Transportmodus verwenden. Statische Werte müssen an beiden Enden der Sicherheitszuordnung konfiguriert werden.
Um IPsec für OSPF oder OSPFv3 zu konfigurieren, definieren Sie zunächst eine manuelle Sicherheitszuordnung mit der Option auf der Hierarchieebene [].security-association sa-nameedit security ipsec Diese Funktion unterstützt nur bidirektionale manuelle Schlüssel-SAs im Transportmodus. Manuelle Sicherheitszuordnungen erfordern keine Verhandlungen zwischen den Peers. Alle Werte, einschließlich der Schlüssel, sind statisch und werden in der Konfiguration angegeben. Manuelle Sicherheitszuordnungen definieren statisch die zu verwendenden SPI-Werte, Algorithmen und Schlüssel (Security Parameter Index) und erfordern übereinstimmende Konfigurationen auf beiden Endpunkten (OSPF- oder OSPFv3-Peers). Daher muss jeder Peer über die gleichen konfigurierten Optionen für die Kommunikation verfügen.
Die tatsächliche Wahl der Verschlüsselungs- und Authentifizierungsalgorithmen bleibt Ihrem IPsec-Administrator überlassen. Wir haben jedoch die folgenden Empfehlungen:
Verwenden Sie ESP mit NULL-Verschlüsselung, um die Authentifizierung für Protokollheader bereitzustellen, jedoch nicht für den IPv6-Header, Erweiterungsheader und Optionen. Bei der NULL-Verschlüsselung entscheiden Sie sich dafür, keine Verschlüsselung für Protokollheader bereitzustellen. Dies kann für die Fehlerbehebung und das Debuggen nützlich sein. Weitere Informationen zur NULL-Verschlüsselung finden Sie unter RFC 2410, Der NULL-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec.
Verwenden Sie ESP mit DES oder 3DES, um absolute Vertraulichkeit zu gewährleisten.
Verwenden Sie AH, um die Authentifizierung für Protokollheader, unveränderliche Felder in IPv6-Headern sowie Erweiterungsheader und -optionen bereitzustellen.
Die konfigurierte SA wird wie folgt auf die OSPF- oder OSPFv3-Konfigurationen angewendet:
Fügen Sie für eine OSPF- oder OSPFv3-Schnittstelle die Anweisung auf der Hierarchieebene [] oder [] ein.
ipsec-sa nameedit protocols ospf area area-id interface interface-nameedit protocols ospf3 area area-id interface interface-nameFür eine OSPF- oder OSPFv3-Schnittstelle kann nur ein IPsec-SA-Name angegeben werden. Verschiedene OSPF/OSPFv3-Schnittstellen können jedoch dieselbe IPsec-Sicherheitszuordnung angeben.Fügen Sie für einen virtuellen OSPF- oder OSPFv3-Link die Anweisung auf der Hierarchieebene [] oder [] ein.
ipsec-sa nameedit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-idedit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-idSie müssen dieselbe IPsec-Sicherheitszuordnung für alle virtuellen Links mit derselben Remoteendpunktadresse konfigurieren.
Die folgenden Einschränkungen gelten für die IPsec-Authentifizierung für OSPF oder OSPFv3 auf Firewalls der SRX-Serie:
Manuelle VPN-Konfigurationen, die auf der Hierarchieebene [] konfiguriert werden, können nicht auf OSPF- oder OSPFv3-Schnittstellen oder virtuelle Links angewendet werden, um IPsec-Authentifizierung und Vertraulichkeit bereitzustellen.
edit security ipsec vpn vpn-name manualSie können IPsec nicht für die OSPF- oder OSPFv3-Authentifizierung konfigurieren, wenn auf dem Gerät ein IPsec-VPN mit denselben lokalen und Remoteadressen konfiguriert ist.
IPsec für OSPF- oder OSPFv3-Authentifizierung wird über sichere Tunnel-ST0-Schnittstellen nicht unterstützt.
Die erneute Eingabe manueller Schlüssel wird nicht unterstützt.
Dynamic Internet Key Exchange (IKE)-Sicherheitszuordnungen werden nicht unterstützt.
Es wird nur der IPsec-Transportmodus unterstützt. Im Transportmodus wird nur die Nutzlast (die übertragenen Daten) des IP-Pakets verschlüsselt und/oder authentifiziert. Der Tunnelmodus wird nicht unterstützt.
Da nur bidirektionale manuelle Sicherheitszuordnungen unterstützt werden, müssen alle OSPFv3-Peers mit derselben IPsec-Sicherheitszuordnung konfiguriert werden. Sie konfigurieren eine manuelle bidirektionale SA auf der Hierarchieebene [].
edit security ipsecSie müssen dieselbe IPsec-Sicherheitszuordnung für alle virtuellen Links mit derselben Remoteendpunktadresse konfigurieren.
Siehe auch
Beispiel: Konfigurieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle auf einer Firewall der SRX-Serie
In diesem Beispiel wird gezeigt, wie eine manuelle Sicherheitszuordnung (SA) konfiguriert und auf eine OSPF-Schnittstelle angewendet wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Geräteschnittstellen.
Konfigurieren Sie die Router-IDs für die Geräte in Ihrem OSPF-Netzwerk.
Kontrollieren Sie die OSPF-designierte Router-Auswahl.
Konfigurieren Sie ein OSPF-Netzwerk mit nur einem Bereich.
Konfigurieren Sie ein OSPF-Netzwerk mit mehreren Bereichen.
Überblick
Sie können die IPsec-Authentifizierung sowohl für OSPF als auch für OSPFv3 verwenden. Sie konfigurieren die manuelle SA separat und wenden sie auf die entsprechende OSPF-Konfiguration an. listet die Parameter und Werte auf, die in diesem Beispiel für die manuelle Sicherheitszuordnung konfiguriert wurden.Tabelle 3
Parameter |
Wert |
|---|---|
SA-Name |
sa1 |
Modus |
Transport |
Richtung |
Bidirektionale |
Protokoll |
AH |
SPI |
256 |
Authentifizierungsalgorithmus Schlüssel |
HMAC-MD5-96 (ASCII) 123456789012abc |
Verschlüsselungsalgorithmus Schlüssel |
des (ASCII) cba210987654321 |
Konfiguration
Konfigurieren einer manuellen SA
CLI-Schnellkonfiguration
Um schnell eine manuelle Sicherheitszuordnung für die IPsec-Authentifizierung auf einer OSPF-Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [] ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .editcommit
[edit] set security ipsec security-association sa1 set security ipsec security-association sa1 mode transport set security ipsec security-association sa1 manual direction bidirectional set security ipsec security-association sa1 manual direction bidirectional protocol ah set security ipsec security-association sa1 manual direction bidirectional spi 256 set security ipsec security-association sa1 manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc set security ipsec security-association sa1 manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie eine manuelle Sicherheitszuordnung:
Geben Sie einen Namen für die Sicherheitszuordnung an.
[edit] user@host# edit security ipsec security-association sa1
Geben Sie den Modus der manuellen Sicherheitszuordnung an.
[edit security ipsec security-association sa1] user@host# set mode transport
Konfigurieren Sie die Richtung der manuellen Sicherheitszuordnung.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional
Konfigurieren Sie das zu verwendende IPsec-Protokoll.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional protocol ah
Konfigurieren Sie den Wert der SPI.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional spi 256
Konfigurieren Sie den Authentifizierungsalgorithmus und den Schlüssel.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional authentication algorithm hmac-md5-96 key ascii-text 123456789012abc
Konfigurieren Sie den Verschlüsselungsalgorithmus und den Schlüssel.
[edit security ipsec security-association sa1] user@host# set manual direction bidirectional encryption algorithm des key ascii-text cba210987654321
Ergebnisse
Bestätigen Sie Ihre Konfiguration, indem Sie den Befehl eingeben.show security ipsec Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Nachdem Sie das Kennwort konfiguriert haben, wird das Kennwort selbst nicht angezeigt. In der Ausgabe wird die verschlüsselte Form des von Ihnen konfigurierten Kennworts angezeigt.
[edit]
user@host# show security ipsec
security-association sa1 {
mode transport;
manual {
direction bidirectional {
protocol ah;
spi 256;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
encryption {
algorithm des;
key ascii-text "$9$AP5Hp1RcylMLxSygoZUHk1REhKMVwY2oJx7jHq.zF69A0OR"; ## SECRET-DATA
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Aktivieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle
CLI-Schnellkonfiguration
Um eine manuelle SA, die für die IPsec-Authentifizierung verwendet wird, schnell auf eine OSPF-Schnittstelle anzuwenden, kopieren Sie den folgenden Befehl, fügen Sie ihn in eine Textdatei ein, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie den Befehl und fügen Sie ihn in die CLI auf der Hierarchieebene [] ein, und rufen Sie ihn dann aus dem Konfigurationsmodus auf .editcommit
[edit] set protocols ospf area 0.0.0.0 interface so-0/2/0 ipsec-sa sa1
Schritt-für-Schritt-Anleitung
So aktivieren Sie die IPsec-Authentifizierung für eine OSPF-Schnittstelle:
Erstellen Sie einen OSPF-Bereich.
Um OSPFv3 anzugeben, schließen Sie die Anweisung auf Hierarchieebene ein.
ospf3[edit protocols][edit] user@host# edit protocols ospf area 0.0.0.0
Geben Sie die Schnittstelle an.
[edit protocols ospf area 0.0.0.0] user@host# edit interface so-0/2/0
Wenden Sie die IPsec-manuelle SA an.
[edit protocols ospf area 0.0.0.0 interface so-0/2/0.0] user@host# set ipsec-sa sa1
Ergebnisse
Bestätigen Sie Ihre Konfiguration, indem Sie den Befehl eingeben.show ospf interface detail Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Um Ihre OSPFv3-Konfiguration zu bestätigen, geben Sie den Befehl ein.show protocols ospf3
[edit]
user@host# show protocols ospf
area 0.0.0.0 {
interface so-0/2/0.0 {
ipsec-sa sa1;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der IPsec-Sicherheitszuordnungseinstellungen
- Überprüfen der IPsec-Sicherheitszuordnung auf der OSPF-Schnittstelle
Überprüfen der IPsec-Sicherheitszuordnungseinstellungen
Zweck
Überprüfen Sie die konfigurierten IPsec-Sicherheitszuordnungseinstellungen. Überprüfen Sie die folgenden Informationen:
Im Feld Sicherheitszuordnung wird der Name der konfigurierten Sicherheitszuordnung angezeigt.
Im Feld SPI wird der von Ihnen konfigurierte Wert angezeigt.
Im Feld "Modus" wird der Transportmodus angezeigt.
Im Feld "Typ" wird "Manuell" als Typ der Sicherheitszuordnung angezeigt.
Was
Geben Sie im Betriebsmodus den Befehl ein.show ospf interface detail
Überprüfen der IPsec-Sicherheitszuordnung auf der OSPF-Schnittstelle
Zweck
Stellen Sie sicher, dass die von Ihnen konfigurierte IPsec-Sicherheitszuordnung auf die OSPF-Schnittstelle angewendet wurde. Vergewissern Sie sich, dass im Feld IPsec-SA-Name der Name der konfigurierten IPsec-Sicherheitszuordnung angezeigt wird.
Was
Geben Sie im Betriebsmodus den Befehl für OSPF und den Befehl für OSPFv3 ein .show ospf interface detailshow ospf3 interface detail
Konfigurieren von IPsec-VPN mithilfe des VPN-Assistenten
Mit dem VPN-Assistenten können Sie eine grundlegende IPsec-VPN-Konfiguration durchführen, einschließlich Phase 1 und Phase 2. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder die CLI. Diese Funktion wird auf Geräten der Serien SRX300, SRX320, SRX340, SRX345 und SRX550HM unterstützt.
So konfigurieren Sie IPsec-VPN mithilfe des VPN-Assistenten:
- Wählen Sie in der J-Web-Oberfläche aus .
Configure>Device Setup>VPN - Klicken Sie auf die Schaltfläche VPN-Assistent starten.
- Folgen Sie den Anweisungen des Assistenten.
Der obere linke Bereich der Assistentenseite zeigt an, wo Sie sich im Konfigurationsprozess befinden. Im unteren linken Bereich der Seite wird die feldsensitive Hilfe angezeigt. Wenn Sie auf einen Link unter der Überschrift Ressourcen klicken, wird das Dokument in Ihrem Browser geöffnet. Wenn das Dokument in einem neuen Tab geöffnet wird, achten Sie darauf, beim Schließen des Dokuments nur den Tab (nicht das Browserfenster) zu schließen.
Siehe auch
Beispiel: Konfigurieren eines Hub-and-Spoke-VPN
In diesem Beispiel wird gezeigt, wie ein Hub-and-Spoke-IPsec-VPN für eine Bereitstellung der Enterprise-Klasse konfiguriert wird. Informationen zu Site-to-Site-IPSec-VPN mit IKEv1 und IKEv2 finden Sie unter Routenbasiertes IPsec-VPN mit IKEv1 bzw. Routenbasiertes IPsec-VPN mit IKEv1.https://www.juniper.net/documentation/us/en/software/junos/vpn-ipsec/topics/topic-map/security-vpns-for-ikev2.html#id-example-configuring-a-route-based-vpn-for-ikev2
Anforderungen
In diesem Beispiel wird die folgende Hardware verwendet:
SRX240-Gerät
SRX5800 Gerät
SSG140-Gerät
Bevor Sie beginnen, lesen Sie IPsec – Übersicht.
Überblick
In diesem Beispiel wird beschrieben, wie ein Hub-and-Spoke-VPN konfiguriert wird, das typischerweise in Zweigstellenbereitstellungen zu finden ist. Der Dreh- und Angelpunkt ist die Unternehmenszentrale, und es gibt zwei Speichen – eine Zweigstelle in Sunnyvale, Kalifornien, und eine Zweigstelle in Westford, Massachusetts. Benutzer in den Zweigstellen verwenden das VPN, um Daten sicher mit der Unternehmenszentrale zu übertragen.
Abbildung 1 zeigt ein Beispiel für eine Hub-and-Spoke-VPN-Topologie. In dieser Topologie befindet sich ein SRX5800 Gerät in der Unternehmenszentrale. Eine Firewall der SRX-Serie befindet sich in der Niederlassung Westford und ein SSG140-Gerät in der Niederlassung in Sunnyvale.
In diesem Beispiel konfigurieren Sie den Hub der Unternehmenszentrale, die Westford-Speiche und die Sunnyvale-Speiche. Zunächst konfigurieren Sie Schnittstellen, statische IPv4- und Standardrouten, Sicherheitszonen und Adressbücher. Anschließend konfigurieren Sie die Parameter IKE Phase 1 und IPsec Phase 2 und binden die st0.0-Schnittstelle an das IPsec-VPN. Auf dem Hub konfigurieren Sie st0.0 für Multipoint und fügen einen statischen NHTB-Tabelleneintrag für die Sunnyvale-Speiche hinzu. Abschließend konfigurieren Sie die Sicherheitsrichtlinie und die TCP-MSS-Parameter. Informationen zu den in diesem Beispiel verwendeten Konfigurationsparametern finden Sie hier.Tabelle 4Tabelle 8
Hub oder Speiche |
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|---|
Hub |
Schnittstellen |
GE-0/0/0.0 |
192.168.10.1/24 |
GE-0/0/3.0 |
10.1.1.2/30 |
||
st0 |
10.11.11.10/24 |
||
Sprach |
Schnittstellen |
GE-0/0/0.0 |
10.3.3.2/30 |
GE-0/0/3.0 |
192.168.178.1/24 |
||
ST0 |
10.11.11.12/24 |
||
Hub |
Sicherheitszonen |
Vertrauen |
|
Unglaubwürdigkeit |
|
||
Vpn |
Die Schnittstelle st0.0 ist an diese Zone gebunden. |
||
Sprach |
Sicherheitszonen |
Vertrauen |
|
Unglaubwürdigkeit |
|
||
Vpn |
Die Schnittstelle st0.0 ist an diese Zone gebunden. |
||
Hub |
Adressbucheinträge |
lokales Netz |
|
sunnyvale-net |
|
||
Westford-Netz |
|
||
Sprach |
Adressbucheinträge |
lokales Netz |
|
corp-net |
|
||
sunnyvale-net |
|
Hub oder Speiche |
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|---|
Hub |
Vorschlag |
ike-phase1-vorschlag |
|
Richtlinien |
ike-phase1-policy |
|
|
Gateway |
GW-Westford |
|
|
GW-Sunnyvale |
|
||
Sprach |
Vorschlag |
ike-phase1-vorschlag |
|
Richtlinien |
ike-phase1-policy |
|
|
Gateway |
GW-Unternehmen |
|
Hub oder Speiche |
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|---|
Hub |
Vorschlag |
IPsec-Phase2-Vorschlag |
|
Richtlinien |
ipsec-phase2-policy |
|
|
VPN |
vpn-sunnyvale |
|
|
VPN-Westford |
|
||
Sprach |
Vorschlag |
IPsec-Phase2-Vorschlag |
|
Richtlinien |
ipsec-phase2-policy |
|
|
VPN |
VPN-Unternehmen |
|
Hub oder Speiche |
Zweck |
Name |
Konfigurationsparameter |
|---|---|---|---|
Hub |
Die Sicherheitsrichtlinie lässt Datenverkehr von der Vertrauenszone zur VPN-Zone zu. |
Local-to-Spokes |
|
Die Sicherheitsrichtlinie lässt Datenverkehr von der VPN-Zone zur Vertrauenszone zu. |
Spokes-to-Local |
Übereinstimmungskriterien:
|
|
Die Sicherheitsrichtlinie lässt Datenverkehr innerhalb einer Zone zu. |
Spoke-to-Spoke |
Übereinstimmungskriterien:
|
|
Sprach |
Die Sicherheitsrichtlinie lässt Datenverkehr von der Vertrauenszone zur VPN-Zone zu. |
to-corp |
|
Die Sicherheitsrichtlinie lässt Datenverkehr von der VPN-Zone zur Vertrauenszone zu. |
from-corp |
Übereinstimmungskriterien:
|
|
Die Sicherheitsrichtlinie lässt Datenverkehr von der nicht vertrauenswürdigen Zone zur vertrauenswürdigen Zone zu. |
permit-any |
Übereinstimmungskriterien:
|
Zweck |
Konfigurationsparameter |
|---|---|
TCC-MSS wird als Teil des TCP-Drei-Wege-Handshakes ausgehandelt und begrenzt die maximale Größe eines TCP-Segments, um besser an die MTU-Grenzwerte in einem Netzwerk anzupassen. Bei VPN-Datenverkehr kann der IPsec-Kapselungs-Overhead zusammen mit dem IP- und Frame-Overhead dazu führen, dass das resultierende ESP-Paket die MTU der physischen Schnittstelle überschreitet, was zu einer Fragmentierung führt. Fragmentierung führt zu einer erhöhten Nutzung von Bandbreite und Geräteressourcen. Der Wert 1350 ist ein empfohlener Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einer MTU von 1500 oder mehr. Möglicherweise müssen Sie mit verschiedenen TCP-MSS-Werten experimentieren, um eine optimale Leistung zu erzielen. Beispielsweise müssen Sie möglicherweise den Wert ändern, wenn ein Gerät im Pfad eine niedrigere MTU aufweist oder wenn zusätzlicher Overhead wie PPP oder Frame Relay vorhanden ist. |
MSS-Wert: 1350 |
Konfiguration
- Konfigurieren grundlegender Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für die Hub-Zentrale
- Konfigurieren von IKE für den Hub
- Konfigurieren von IPsec für den Hub
- Konfigurieren von Sicherheitsrichtlinien für den Hub
- Konfigurieren von TCP-MSS für den Hub
- Konfigurieren grundlegender Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für Westford Spoke
- Konfigurieren von IKE für die Westford-Speiche
- Konfigurieren von IPsec für Westford Spoke
- Konfigurieren von Sicherheitsrichtlinien für Westford Spoke
- Konfigurieren von TCP-MSS für Westford Spoke
- Konfigurieren der Sunnyvale-Speiche
Konfigurieren grundlegender Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für die Hub-Zentrale
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 set interfaces st0 unit 0 family inet address 10.11.11.10/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12 set security zones security-zone untrust interfaces ge-0/0/3.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.10.0/24 set security address-book book1 attach zone trust set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 address westford-net 192.168.178.0/24 set security address-book book2 attach zone vpn
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie grundlegende Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für den Hub:
Konfigurieren Sie die Ethernet-Schnittstelleninformationen.
[edit] user@hub# set interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@hub# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/30 user@hub# set interfaces st0 unit 0 family inet address 10.11.11.10/24
Konfigurieren Sie statische Routeninformationen.
[edit] user@hub# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 user@hub# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.11 user@hub# set routing-options static route 192.168.178.0/24 next-hop 10.11.11.12
Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.
[edit ] user@hub# set security zones security-zone untrust
Weisen Sie der nicht vertrauenswürdigen Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone untrust] user@hub# set interfaces ge-0/0/3.0
Geben Sie die zulässigen Systemdienste für die nicht vertrauenswürdige Sicherheitszone an.
[edit security zones security-zone untrust] user@hub# set host-inbound-traffic system-services ike
Konfigurieren Sie die Sicherheitszone für die Vertrauensstellung.
[edit] user@hub# edit security zones security-zone trust
Weisen Sie der Vertrauenssicherheitszone eine Schnittstelle zu.
[edit security zones security-zone trust] user@hub# set interfaces ge-0/0/0.0
Geben Sie die zulässigen Systemdienste für die Vertrauenssicherheitszone an.
[edit security zones security-zone trust] user@hub# set host-inbound-traffic system-services all
Erstellen Sie ein Adressbuch, und fügen Sie ihm eine Zone zu.
[edit security address-book book1] user@hub# set address local-net 10.10.10.0/24 user@hub# set attach zone trust
Konfigurieren Sie die VPN-Sicherheitszone.
[edit] user@hub# edit security zones security-zone vpn
Weisen Sie der VPN-Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone vpn] user@hub# set interfaces st0.0
Erstellen Sie ein weiteres Adressbuch, und fügen Sie ihm eine Zone zu.
[edit security address-book book2] user@hub# set address sunnyvale-net 192.168.168.0/24 user@hub# set address westford-net 192.168.178.0/24 user@hub# set attach zone vpn
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , und eingeben.show interfacesshow routing-optionsshow security zonesshow security address-book Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@hub# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 10.1.1.2/30
}
}
}
st0{
unit 0 {
family inet {
address 10.11.11.10/24
}
}
}
[edit]
user@hub# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
route 192.168.168.0/24 next-hop 10.11.11.11;
route 192.168.178.0/24 next-hop 10.11.11.12;
}
[edit]
user@hub# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone vpn {
host-inbound-traffic {
}
interfaces {
st0.0;
}
}
[edit]
user@hub# show security address-book
book1 {
address local-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address sunnyvale-net 192.168.168.0/24;
address westford-net 192.168.178.0/24;
attach {
zone vpn;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren von IKE für den Hub
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-westford external-interface ge-0/0/3.0 set security ike gateway gw-westford ike-policy ike-phase1-policy set security ike gateway gw-westford address 10.3.3.2 set security ike gateway gw-sunnyvale external-interface ge-0/0/3.0 set security ike gateway gw-sunnyvale ike-policy ike-phase1-policy set security ike gateway gw-sunnyvale address 10.2.2.2
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie IKE für die Hub-Zentrale:
Erstellen Sie den Vorschlag für die IKE-Phase 1.
[edit security ike] user@hub# set proposal ike-phase1-proposal
Definieren Sie die Authentifizierungsmethode für den IKE-Vorschlag.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-method pre-shared-keys
Definieren Sie die Diffie-Hellman-Gruppe des IKE-Vorschlags.
[edit security ike proposal ike-phase1-proposal] user@hub# set dh-group group2
Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike-phase1-proposal] user@hub# set authentication-algorithm sha1
Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike-phase1-proposal] user@hub# set encryption-algorithm aes-128-cbc
Erstellen Sie eine IKE-Phase-1-Richtlinie.
[edit security ike] user@hub# set policy ike-phase1-policy
Legen Sie den IKE-Richtlinienmodus Phase 1 fest.
[edit security ike policy ike-phase1-policy] user@hub# set mode main
Geben Sie einen Verweis auf den IKE-Vorschlag an.
[edit security ike policy ike-phase1-policy] user@hub# set proposals ike-phase1-proposal
Definieren Sie die Authentifizierungsmethode für die IKE-Phase-1-Richtlinie.
[edit security ike policy ike-phase1-policy] user@hub# set pre-shared-key ascii-text “$ABC123”
Erstellen Sie ein IKE-Phase-1-Gateway, und definieren Sie seine externe Schnittstelle.
[edit security ike] user@hub# set gateway gw-westford external-interface ge-0/0/3.0
Definieren Sie die IKE-Phase-1-Richtlinienreferenz.
[edit security ike] user@hub# set gateway gw-westford ike-policy ike-phase1-policy
Definieren Sie die Gateway-Adresse der IKE-Phase 1.
[edit security ike] user@hub# set gateway gw-westford address 10.3.3.2
Erstellen Sie ein IKE-Phase-1-Gateway, und definieren Sie seine externe Schnittstelle.
[edit security ike] user@hub# set gateway gw-sunnyvale external-interface ge-0/0/3.0
Definieren Sie die IKE-Phase-1-Richtlinienreferenz.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale ike-policy ike-phase1-policy
Definieren Sie die Gateway-Adresse der IKE-Phase 1.
[edit security ike gateway] user@hub# set gateway gw-sunnyvale address 10.2.2.2
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security ike Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@hub# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-sunnyvale {
ike-policy ike-phase1-policy;
address 10.2.2.2;
external-interface ge-0/0/3.0;
}
gateway gw-westford {
ike-policy ike-phase1-policy;
address 10.3.3.2;
external-interface ge-0/0/3.0;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren von IPsec für den Hub
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-westford ike gateway gw-westford set security ipsec vpn vpn-westford ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-westford bind-interface st0.0 set security ipsec vpn vpn-sunnyvale ike gateway gw-sunnyvale set security ipsec vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-sunnyvale bind-interface st0.0 set interfaces st0 unit 0 multipoint set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie IPsec für den Hub:
Erstellen Sie einen IPsec-Phase-2-Vorschlag.
[edit] user@hub# set security ipsec proposal ipsec-phase2-proposal
Geben Sie das IPsec-Phase-2-Vorschlagsprotokoll an.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set protocol esp
Geben Sie den IPsec-Vorschlagsauthentifizierungsalgorithmus der Phase 2 an.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set authentication-algorithm hmac-sha1-96
Geben Sie den IPsec-Phase-2-Vorschlagsverschlüsselungsalgorithmus an.
[edit security ipsec proposal ipsec-phase2-proposal] user@hub# set encryption-algorithm aes-128-cbc
Erstellen Sie die IPsec Phase 2-Richtlinie.
[edit security ipsec] user@hub# set policy ipsec-phase2-policy
Geben Sie die IPsec-Phase-2-Vorschlagsreferenz an.
[edit security ipsec policy ipsec-phase2-policy] user@hub# set proposals ipsec-phase2-proposal
Geben Sie IPsec Phase 2 PFS an, um Diffie-Hellman-Gruppe 2 zu verwenden.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Geben Sie die IKE-Gateways an.
[edit security ipsec] user@hub# set vpn vpn-westford ike gateway gw-westford user@hub# set vpn vpn-sunnyvale ike gateway gw-sunnyvale
Geben Sie die IPsec-Richtlinien der Phase 2 an.
[edit security ipsec] user@hub# set vpn vpn-westford ike ipsec-policy ipsec-phase2-policy user@hub# set vpn vpn-sunnyvale ike ipsec-policy ipsec-phase2-policy
Geben Sie die Schnittstelle an, die gebunden werden soll.
[edit security ipsec] user@hub# set vpn vpn-westford bind-interface st0.0 user@hub# set vpn vpn-sunnyvale bind-interface st0.0
Konfigurieren Sie die st0-Schnittstelle als Multipoint.
[edit] user@hub# set interfaces st0 unit 0 multipoint
Fügen Sie statische NHTB-Tabelleneinträge für die Büros in Sunnyvale und Westford hinzu.
[edit] user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.11 ipsec-vpn vpn-sunnyvale user@hub# set interfaces st0 unit 0 family inet next-hop-tunnel 10.11.11.12 ipsec-vpn vpn-westford
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security ipsec Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@hub# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-sunnyvale {
bind-interface st0.0;
ike {
gateway gw-sunnyvale;
ipsec-policy ipsec-phase2-policy;
}
}
vpn vpn-westford {
bind-interface st0.0;
ike {
gateway gw-westford;
ipsec-policy ipsec-phase2-policy;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren von Sicherheitsrichtlinien für den Hub
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set security policies from-zone trust to-zone vpn policy local-to-spokes match source-address local-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy local-to-spokes match destination-address westford-net set security policies from-zone trust to-zone vpn policy local-to-spokes match application any set security policies from-zone trust to-zone vpn policy local-to-spokes then permit set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy spokes-to-local match source-address westford-net set security policies from-zone vpn to-zone trust policy spokes-to-local match destination-address local-net set security policies from-zone vpn to-zone trust policy spokes-to-local match application any set security policies from-zone vpn to-zone trust policy spokes-to-local then permit set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match source-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match destination-address any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke match application any set security policies from-zone vpn to-zone vpn policy spoke-to-spoke then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie Sicherheitsrichtlinien für die Hub-Zentrale:
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone zur VPN-Zone zuzulassen.
[edit security policies from-zone trust to-zone vpn] user@hub# set policy local-to-spokes match source-address local-net user@hub# set policy local-to-spokes match destination-address sunnyvale-net user@hub# set policy local-to-spokes match destination-address westford-net user@hub# set policy local-to-spokes match application any user@hub# set policy local-to-spokes then permit
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Vertrauenszone zuzulassen.
[edit security policies from-zone vpn to-zone trust] user@hub# set policy spokes-to-local match source-address sunnyvale-net user@hub# set policy spokes-to-local match source-address westford-net user@hub# set policy spokes-to-local match destination-address local-net user@hub# set policy spokes-to-local match application any user@hub# set policy spokes-to-local then permit
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr innerhalb der Zone zuzulassen.
[edit security policies from-zone vpn to-zone vpn] user@hub# set policy spoke-to-spoke match source-address any user@hub# set policy spoke-to-spoke match destination-address any user@hub# set policy spoke-to-spoke match application any user@hub# set policy spoke-to-spoke then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@hub# show security policies
from-zone trust to-zone vpn {
policy local-to-spokes {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone vpn {
policy spoke-to-spoke {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren von TCP-MSS für den Hub
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set security flow tcp-mss ipsec-vpn mss 1350
Schritt-für-Schritt-Anleitung
So konfigurieren Sie TCP-MSS-Informationen für die Hub-Zentrale:
Konfigurieren Sie TCP-MSS-Informationen.
[edit] user@hub# set security flow tcp-mss ipsec-vpn mss 1350
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security flow Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@hub# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren grundlegender Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für Westford Spoke
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 set interfaces st0 unit 0 family inet address 10.11.11.12/24 set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10 set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone vpn interfaces st0.0 set security address-book book1 address local-net 192.168.178.0/24 set security address-book book1 attach zone trust set security address-book book2 address corp-net 10.10.10.0/24 set security address-book book2 address sunnyvale-net 192.168.168.0/24 set security address-book book2 attach zone vpn
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie grundlegende Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für die Westford-Speiche:
Konfigurieren Sie die Ethernet-Schnittstelleninformationen.
[edit] user@spoke# set interfaces ge-0/0/0 unit 0 family inet address 10.3.3.2/30 user@spoke# set interfaces ge-0/0/3 unit 0 family inet address 192.168.178.1/24 user@spoke# set interfaces st0 unit 0 family inet address 10.11.11.12/24
Konfigurieren Sie statische Routeninformationen.
[edit] user@spoke# set routing-options static route 0.0.0.0/0 next-hop 10.3.3.1 user@spoke# set routing-options static route 10.10.10.0/24 next-hop 10.11.11.10 user@spoke# set routing-options static route 192.168.168.0/24 next-hop 10.11.11.10
Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.
[edit] user@spoke# set security zones security-zone untrust
Weisen Sie der Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone untrust] user@spoke# set interfaces ge-0/0/0.0
Geben Sie die zulässigen Systemdienste für die nicht vertrauenswürdige Sicherheitszone an.
[edit security zones security-zone untrust] user@spoke# set host-inbound-traffic system-services ike
Konfigurieren Sie die Sicherheitszone für die Vertrauensstellung.
[edit] user@spoke# edit security zones security-zone trust
Weisen Sie der Vertrauenssicherheitszone eine Schnittstelle zu.
[edit security zones security-zone trust] user@spoke# set interfaces ge-0/0/3.0
Geben Sie die zulässigen Systemdienste für die Vertrauenssicherheitszone an.
[edit security zones security-zone trust] user@spoke# set host-inbound-traffic system-services all
Konfigurieren Sie die VPN-Sicherheitszone.
[edit] user@spoke# edit security zones security-zone vpn
Weisen Sie der VPN-Sicherheitszone eine Schnittstelle zu.
[edit security zones security-zone vpn] user@spoke# set interfaces st0.0
Erstellen Sie ein Adressbuch, und fügen Sie ihm eine Zone zu.
[edit security address-book book1] user@spoke# set address local-net 192.168.178.0/24 user@spoke# set attach zone trust
Erstellen Sie ein weiteres Adressbuch, und fügen Sie ihm eine Zone zu.
[edit security address-book book2] user@spoke# set address corp-net 10.10.10.0/24 user@spoke# set address sunnyvale-net 192.168.168.0/24 user@spoke# set attach zone vpn
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , und eingeben.show interfacesshow routing-optionsshow security zonesshow security address-book Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@spoke# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.3.3.2/30;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.178.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.11.11.10/24;
}
}
}
[edit]
user@spoke# show routing-options
static {
route 0.0.0.0/0 next-hop 10.3.3.1;
route 192.168.168.0/24 next-hop 10.11.11.10;
route 10.10.10.0/24 next-hop 10.11.11.10;
}
[edit]
user@spoke# show security zones
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/3.0;
}
}
security-zone vpn {
interfaces {
st0.0;
}
}
[edit]
user@spoke# show security address-book
book1 {
address corp-net 10.10.10.0/24;
attach {
zone trust;
}
}
book2 {
address local-net 192.168.178.0/24;
address sunnyvale-net 192.168.168.0/24;
attach {
zone vpn;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren von IKE für die Westford-Speiche
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set security ike proposal ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ike-phase1-proposal dh-group group2 set security ike proposal ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ike-phase1-policy mode main set security ike policy ike-phase1-policy proposals ike-phase1-proposal set security ike policy ike-phase1-policy pre-shared-key ascii-text “$ABC123” set security ike gateway gw-corporate external-interface ge-0/0/0.0 set security ike gateway gw-corporate ike-policy ike-phase1-policy set security ike gateway gw-corporate address 10.1.1.2
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie IKE für die Westford-Speiche:
Erstellen Sie den Vorschlag für die IKE-Phase 1.
[edit security ike] user@spoke# set proposal ike-phase1-proposal
Definieren Sie die Authentifizierungsmethode für den IKE-Vorschlag.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-method pre-shared-keys
Definieren Sie die Diffie-Hellman-Gruppe des IKE-Vorschlags.
[edit security ike proposal ike-phase1-proposal] user@spoke# set dh-group group2
Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike-phase1-proposal] user@spoke# set authentication-algorithm sha1
Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ike-phase1-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Erstellen Sie eine IKE-Phase-1-Richtlinie.
[edit security ike] user@spoke# set policy ike-phase1-policy
Legen Sie den IKE-Richtlinienmodus Phase 1 fest.
[edit security ike policy ike-phase1-policy] user@spoke# set mode main
Geben Sie einen Verweis auf den IKE-Vorschlag an.
[edit security ike policy ike-phase1-policy] user@spoke# set proposals ike-phase1-proposal
Definieren Sie die Authentifizierungsmethode für die IKE-Phase-1-Richtlinie.
[edit security ike policy ike-phase1-policy] user@spoke# set pre-shared-key ascii-text “$ABC123”
Erstellen Sie ein IKE-Phase-1-Gateway, und definieren Sie seine externe Schnittstelle.
[edit security ike] user@spoke# set gateway gw-corporate external-interface ge-0/0/0.0
Definieren Sie die IKE-Phase-1-Richtlinienreferenz.
[edit security ike] user@spoke# set gateway gw-corporate ike-policy ike-phase1-policy
Definieren Sie die Gateway-Adresse der IKE-Phase 1.
[edit security ike] user@spoke# set gateway gw-corporate address 10.1.1.2
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security ike Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@spoke# show security ike
proposal ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-phase1-policy {
mode main;
proposals ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-corporate {
ike-policy ike-phase1-policy;
address 10.1.1.2;
external-interface ge-0/0/0.0;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren von IPsec für Westford Spoke
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set security ipsec proposal ipsec-phase2-proposal protocol esp set security ipsec proposal ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipsec-phase2-policy proposals ipsec-phase2-proposal set security ipsec policy ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn vpn-corporate ike gateway gw-corporate set security ipsec vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy set security ipsec vpn vpn-corporate bind-interface st0.0
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie IPsec für den Westford-Spoke:
Erstellen Sie einen IPsec-Phase-2-Vorschlag.
[edit] user@spoke# set security ipsec proposal ipsec-phase2-proposal
Geben Sie das IPsec-Phase-2-Vorschlagsprotokoll an.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set protocol esp
Geben Sie den IPsec-Vorschlagsauthentifizierungsalgorithmus der Phase 2 an.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set authentication-algorithm hmac-sha1-96
Geben Sie den IPsec-Phase-2-Vorschlagsverschlüsselungsalgorithmus an.
[edit security ipsec proposal ipsec-phase2-proposal] user@spoke# set encryption-algorithm aes-128-cbc
Erstellen Sie die IPsec Phase 2-Richtlinie.
[edit security ipsec] user@spoke# set policy ipsec-phase2-policy
Geben Sie die IPsec-Phase-2-Vorschlagsreferenz an.
[edit security ipsec policy ipsec-phase2-policy] user@spoke# set proposals ipsec-phase2-proposal
Geben Sie IPsec Phase 2 PFS an, um Diffie-Hellman-Gruppe 2 zu verwenden.
[edit security ipsec policy ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
Geben Sie das IKE-Gateway an.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike gateway gw-corporate
Geben Sie die IPsec-Richtlinie Phase 2 an.
[edit security ipsec] user@spoke# set vpn vpn-corporate ike ipsec-policy ipsec-phase2-policy
Geben Sie die Schnittstelle an, die gebunden werden soll.
[edit security ipsec] user@spoke# set vpn vpn-corporate bind-interface st0.0
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security ipsec Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@spoke# show security ipsec
proposal ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec-phase2-proposal;
}
vpn vpn-corporate {
bind-interface st0.0;
ike {
gateway gw-corporate;
ipsec-policy ipsec-phase2-policy;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren von Sicherheitsrichtlinien für Westford Spoke
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set security policies from-zone trust to-zone vpn policy to-corporate match source-address local-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address corp-net set security policies from-zone trust to-zone vpn policy to-corporate match destination-address sunnyvale-net set security policies from-zone trust to-zone vpn policy to-corporate application any set security policies from-zone trust to-zone vpn policy to-corporate then permit set security policies from-zone vpn to-zone trust policy from-corporate match source-address corp-net set security policies from-zone vpn to-zone trust policy from-corporate match source-address sunnyvale-net set security policies from-zone vpn to-zone trust policy from-corporate match destination-address local-net set security policies from-zone vpn to-zone trust policy from-corporate application any set security policies from-zone vpn to-zone trust policy from-corporate then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie die Sicherheitsrichtlinien für die Westford Spoke:
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Vertrauenszone zur VPN-Zone zuzulassen.
[edit security policies from-zone trust to-zone vpn] user@spoke# set policy to-corp match source-address local-net user@spoke# set policy to-corp match destination-address corp-net user@spoke# set policy to-corp match destination-address sunnyvale-net user@spoke# set policy to-corp match application any user@spoke# set policy to-corp then permit
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Vertrauenszone zuzulassen.
[edit security policies from-zone vpn to-zone trust] user@spoke# set policy spokes-to-local match source-address corp-net user@spoke# set policy spokes-to-local match source-address sunnyvale-net user@spoke# set policy spokes-to-local match destination-address local-net user@spoke# set policy spokes-to-local match application any user@spoke# set policy spokes-to-local then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security policies Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@spoke# show security policies
from-zone trust to-zone vpn {
policy to-corp {
match {
source-address local-net;
destination-address [ sunnyvale-net westford-net ];
application any;
}
then {
permit;
}
}
}
from-zone vpn to-zone trust {
policy spokes-to-local {
match {
source-address [ sunnyvale-net westford-net ];
destination-address local-net;
application any;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren von TCP-MSS für Westford Spoke
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set security flow tcp-mss ipsec-vpn mss 1350
Schritt-für-Schritt-Anleitung
So konfigurieren Sie TCP-MSS für die Westford-Speiche:
Konfigurieren Sie TCP-MSS-Informationen.
[edit] user@spoke# set security flow tcp-mss ipsec-vpn mss 1350
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl eingeben.show security flow Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@spoke# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Konfigurieren der Sunnyvale-Speiche
CLI-Schnellkonfiguration
In diesem Beispiel wird ein Gerät der SSG-Serie für die Sunnyvale-Speiche verwendet. Als Referenz wird die Konfiguration für das Gerät der SSG-Serie bereitgestellt. Informationen zum Konfigurieren von Geräten der SSG-Serie finden Sie unter , das sich unter https://www.juniper.net/documentation befindet.Concepts and Examples ScreenOS Reference Guidehttps://www.juniper.net/documentation
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]commit
set zone name "VPN" set interface ethernet0/6 zone "Trust" set interface "tunnel.1" zone "VPN" set interface ethernet0/6 ip 192.168.168.1/24 set interface ethernet0/6 route set interface ethernet0/0 ip 10.2.2.2/30 set interface ethernet0/0 route set interface tunnel.1 ip 10.11.11.11/24 set flow tcp-mss 1350 set address "Trust" "sunnyvale-net" 192.168.168.0 255.255.255.0 set address "VPN" "corp-net" 10.10.10.0 255.255.255.0 set address "VPN" "westford-net" 192.168.178.0 255.255.255.0 set ike gateway "corp-ike" address 10.1.1.2 Main outgoing-interface ethernet0/0 preshare "395psksecr3t" sec-level standard set vpn corp-vpn monitor optimized rekey set vpn "corp-vpn" bind interface tunnel.1 set vpn "corp-vpn" gateway "corp-ike" replay tunnel idletime 0 sec-level standard set policy id 1 from "Trust" to "Untrust" "ANY" "ANY" "ANY" nat src permit set policy id 2 from "Trust" to "VPN" "sunnyvale-net" "corp-net" "ANY" permit set policy id 2 exit set dst-address "westford-net" exit set policy id 3 from "VPN" to "Trust" "corp-net" "sunnyvale-net" "ANY" permit set policy id 3 set src-address "westford-net" exit set route 10.10.10.0/24 interface tunnel.1 set route 192.168.178.0/24 interface tunnel.1 set route 0.0.0.0/0 interface ethernet0/0 gateway 10.2.2.1
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen des IKE-Phase-1-Status
- Überprüfen des IPsec-Phase-2-Status
- Überprüfen von Next-Hop-Tunnelbindungen
- Überprüfen statischer Routen für lokale Remote-Peer-LANs
- Überprüfen von Statistiken und Fehlern für eine IPsec-Sicherheitszuordnung
- Testen des Datenverkehrsflusses über das VPN
Überprüfen des IKE-Phase-1-Status
Zweck
Überprüfen Sie den Status von IKE Phase 1.
Was
Bevor Sie mit dem Verifizierungsprozess beginnen, müssen Sie Datenverkehr von einem Host im Netzwerk 192.168.10/24 an einen Host in den Netzwerken 192.168.168/24 und 192.168.178/24 senden, um die Tunnel hochzufahren. Bei routenbasierten VPNs können Sie den von der Firewall der SRX-Serie initiierten Datenverkehr durch den Tunnel leiten. Wir empfehlen, beim Testen von IPsec-Tunneln Testdatenverkehr von einem separaten Gerät auf der einen Seite des VPN an ein zweites Gerät auf der anderen Seite des VPN zu senden. Initiieren Sie beispielsweise einen Ping von 192.168.10.10 bis 192.168.168.10.
Geben Sie im Betriebsmodus den Befehl ein.show security ike security-associations Nachdem Sie eine Indexnummer aus dem Befehl erhalten haben, verwenden Sie den Befehl.show security ike security-associations index index_number detail
user@hub> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 6 10.3.3.2 UP 94906ae2263bbd8e 1c35e4c3fc54d6d3 Main 7 10.2.2.2 UP 7e7a1c0367dfe73c f284221c656a5fbc Main
user@hub> show security ike security-associations index 6 detail
IKE peer 10.3.3.2, Index 6,
Role: Responder, State: UP
Initiator cookie: 94906ae2263bbd8e,, Responder cookie: 1c35e4c3fc54d6d3
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Lifetime: Expires in 3571 seconds
Algorithms:
Authentication : sha1
Encryption : aes-cbc (128 bits)
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1128
Output bytes : 988
Input packets : 6
Output packets : 5
Flags: Caller notification sent
IPSec security associations: 1 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 1350777248
Local: 10.1.1.2:500, Remote: 10.3.3.2:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for doneBedeutung
Der Befehl listet alle aktiven IKE-Phase-1-Sicherheitszuordnungen auf.show security ike security-associations Wenn keine Sicherheitszuordnungen aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und die Einstellungen für externe Schnittstellen in Ihrer Konfiguration.
Wenn Sicherheitszuordnungen aufgeführt sind, überprüfen Sie die folgenden Informationen:
Index: Dieser Wert ist für jede IKE-SA eindeutig, den Sie im Befehl verwenden können, um weitere Informationen über die SA zu erhalten.
show security ike security-associations index detailRemote-Adresse: Vergewissern Sie sich, dass die Remote-IP-Adresse korrekt ist.
Bundesland
UP: Die Phase-1-Sicherheitszuordnung wurde eingerichtet.
DOWN: Beim Einrichten der Phase-1-SA ist ein Problem aufgetreten.
Modus: Vergewissern Sie sich, dass der richtige Modus verwendet wird.
Vergewissern Sie sich, dass die folgenden Informationen in Ihrer Konfiguration korrekt sind:
Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)
Parameter der IKE-Richtlinie
Informationen zum vorinstallierten Schlüssel
Vorschlagsparameter für Phase 1 (müssen auf beiden Peers übereinstimmen)
Der Befehl listet zusätzliche Informationen zur Sicherheitszuordnung mit der Indexnummer 1 auf:show security ike security-associations index 1 detail
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
Phase 1 Lebensdauer
Verkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr in beide Richtungen ordnungsgemäß fließt)
Informationen zur Rolle des Initiators und des Responders
Die Fehlerbehebung wird am besten auf dem Peer mithilfe der Responder-Rolle durchgeführt.
Anzahl der erstellten IPsec-Sicherheitszuordnungen
Anzahl der laufenden Phase-2-Verhandlungen
Überprüfen des IPsec-Phase-2-Status
Zweck
Überprüfen Sie den IPsec-Phase 2-Status.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ipsec security-associations Nachdem Sie eine Indexnummer aus dem Befehl erhalten haben, verwenden Sie den Befehl.show security ipsec security-associations index index_number detail
user@hub> show security ipsec security-associations total configured sa: 4 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16384 10.2.2.2 500 ESP:aes-128/sha1 b2fc36f8 3364/ unlim - 0 >16384 10.2.2.2 500 ESP:aes-128/sha1 5d73929e 3364/ unlim - 0 ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys <16385 10.3.3.2 500 ESP:3des/sha1 70f789c6 28756/unlim - 0 >16385 10.3.3.2 500 ESP:3des/sha1 80f4126d 28756/unlim - 0
user@hub> show security ipsec security-associations index 16385 detail
Virtual-system: Root
Local Gateway: 10.1.1.2, Remote Gateway: 10.3.3.2
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 1895270854, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Direction: outbound, SPI: 2163479149, AUX-SPI: 0
Hard lifetime: Expires in 28729 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 28136 seconds
Mode: tunnel, Type: dynamic, State: installed, VPN Monitoring: -
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: enabled, Replay window size: 32
Bedeutung
Die Ausgabe des Befehls listet die folgenden Informationen auf:show security ipsec security-associations
Die ID-Nummer lautet 16385. Verwenden Sie diesen Wert mit dem Befehl, um weitere Informationen zu dieser bestimmten Sicherheitszuordnung abzurufen.
show security ipsec security-associations indexEs gibt ein IPsec-SA-Paar, das Port 500 verwendet, was darauf hinweist, dass keine NAT-Traversierung implementiert ist. (NAT-Traversal verwendet Port 4500 oder einen anderen zufälligen Port mit hohen Zahlen.)
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensdauer in KB) werden für beide Richtungen angezeigt. Der Wert 28756/ unlim gibt an, dass die Lebensdauer von Phase 2 in 28756 Sekunden abläuft und dass keine Lebensdauer angegeben wurde, was bedeutet, dass sie unbegrenzt ist. Die Lebensdauer von Phase 2 kann sich von der Lebensdauer von Phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.
Die VPN-Überwachung ist für diese Sicherheitszuordnung nicht aktiviert, wie durch einen Bindestrich in der Spalte Mon angegeben. Wenn die VPN-Überwachung aktiviert ist, zeigt U an, dass die Überwachung aktiv ist, und D gibt an, dass die Überwachung nicht verfügbar ist.
Das virtuelle System (vsys) ist das Stammsystem und listet immer 0 auf.
Die Ausgabe des Befehls listet die folgenden Informationen auf:show security ipsec security-associations index 16385 detail
Die lokale Identität und die Remoteidentität bilden die Proxy-ID für die SA.
Eine Nichtübereinstimmung der Proxy-ID ist eine der häufigsten Ursachen für einen Phase-2-Fehler. Wenn keine IPsec-Sicherheitszuordnung aufgeführt ist, vergewissern Sie sich, dass die Vorschläge für Phase 2, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Bei routenbasierten VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können bei mehreren routenbasierten VPNs von derselben Peer-IP auftreten. In diesem Fall muss für jede IPsec-SA eine eindeutige Proxy-ID angegeben werden. Bei einigen Drittanbietern muss die Proxy-ID manuell eingegeben werden, um eine Übereinstimmung zu erzielen.
Ein weiterer häufiger Grund für den Ausfall von Phase 2 ist die fehlende Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, überprüfen Sie das kmd-Protokoll, oder legen Sie die Ablaufverfolgungsoptionen fest.
Überprüfen von Next-Hop-Tunnelbindungen
Zweck
Nachdem Phase 2 für alle Peers abgeschlossen ist, überprüfen Sie die Tunnelbindungen für den nächsten Hop.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ipsec next-hop-tunnels
user@hub> show security ipsec next-hop-tunnels Next-hop gateway interface IPSec VPN name Flag 10.11.11.11 st0.0 sunnyvale-vpn Static 10.11.11.12 st0.0 westford-vpn Auto
Bedeutung
Bei den Next-Hop-Gateways handelt es sich um die IP-Adressen für die st0-Schnittstellen aller Remote-Spoke-Peers. Der nächste Hop sollte dem richtigen IPsec-VPN-Namen zugeordnet werden. Wenn kein NHTB-Eintrag vorhanden ist, kann das Hub-Gerät nicht unterscheiden, welches IPsec-VPN welchem nächsten Hop zugeordnet ist.
Das Feld Flag weist einen der folgenden Werte auf:
Statisch – NHTB wurde manuell in den Schnittstellenkonfigurationen st0.0 konfiguriert, was erforderlich ist, wenn es sich bei dem Peer nicht um eine Firewall der SRX-Serie handelt.
Auto – NHTB wurde nicht konfiguriert, aber der Eintrag wurde während der Phase-2-Verhandlungen zwischen zwei Firewalls der SRX-Serie automatisch in die NHTB-Tabelle eingetragen
In diesem Beispiel gibt es für keine der Spoke-Sites eine NHTB-Tabelle. Aus der Spoke-Perspektive ist die st0-Schnittstelle immer noch eine Punkt-zu-Punkt-Verbindung mit nur einer IPsec-VPN-Bindung.
Überprüfen statischer Routen für lokale Remote-Peer-LANs
Zweck
Stellen Sie sicher, dass die statische Route auf die st0-IP-Adresse des Spoke-Peers verweist.
Was
Geben Sie im Betriebsmodus den Befehl ein.show route
user@hub> show route 192.168.168.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.168.0/24 *[Static/5] 00:08:33
> to 10.11.11.11 via st0.0user@hub> show route 192.168.178.10
inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.178.0/24 *[Static/5] 00:04:04
> to 10.11.11.12 via st0.0Der nächste Hop ist die st0-IP-Adresse des Remotepeers, und beide Routen verweisen auf st0.0 als ausgehende Schnittstelle.
Überprüfen von Statistiken und Fehlern für eine IPsec-Sicherheitszuordnung
Zweck
Überprüfen Sie ESP- und Authentifizierungsheaderzähler und -fehler auf eine IPsec-Sicherheitszuordnung.
Was
Geben Sie im Betriebsmodus den Befehl ein.show security ipsec statistics index
user@hub> show security ipsec statistics index 16385 ESP Statistics: Encrypted bytes: 920 Decrypted bytes: 6208 Encrypted packets: 5 Decrypted packets: 87 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Sie können den Befehl auch verwenden, um Statistiken und Fehler für alle Sicherheitszuordnungen zu überprüfen.show security ipsec statistics
Verwenden Sie den Befehl, um alle IPsec-Statistiken zu löschen.clear security ipsec statistics
Bedeutung
Wenn Sie Probleme mit Paketverlusten in einem VPN feststellen, können Sie den Befehl or mehrmals ausführen, um zu bestätigen, dass die Zähler für verschlüsselte und entschlüsselte Pakete inkrementiert werden.show security ipsec statisticsshow security ipsec statistics detail Sie sollten auch überprüfen, ob die anderen Fehlerzähler inkrementiert werden.
Testen des Datenverkehrsflusses über das VPN
Zweck
Überprüfen Sie den Datenverkehrsfluss über das VPN.
Was
Sie können den Befehl der Firewall der SRX-Serie verwenden, um den Datenverkehrsfluss zu einem Remote-Host-PC zu testen.ping Stellen Sie sicher, dass Sie die Quellschnittstelle angeben, damit die Routensuche korrekt ist und während der Richtliniensuche auf die entsprechenden Sicherheitszonen verwiesen wird.
Geben Sie im Betriebsmodus den Befehl ein.ping
user@hub> ping 192.168.168.10 interface ge-0/0/0 count 5 PING 192.168.168.10 (192.168.168.10): 56 data bytes 64 bytes from 192.168.168.10: icmp_seq=0 ttl=127 time=8.287 ms 64 bytes from 192.168.168.10: icmp_seq=1 ttl=127 time=4.119 ms 64 bytes from 192.168.168.10: icmp_seq=2 ttl=127 time=5.399 ms 64 bytes from 192.168.168.10: icmp_seq=3 ttl=127 time=4.361 ms 64 bytes from 192.168.168.10: icmp_seq=4 ttl=127 time=5.137 ms --- 192.168.168.10 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 4.119/5.461/8.287/1.490 ms
Sie können auch den Befehl vom Gerät der SSG-Serie verwenden.ping
user@hub> ping 192.168.10.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.10.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=4/4/5 ms
ssg-> ping 192.168.178.10 from ethernet0/6 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.178.10, timeout is 1 seconds from ethernet0/6 !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=8/8/10 ms
Bedeutung
Wenn der Befehl vom Gerät der SRX- oder SSG-Serie fehlschlägt, liegt möglicherweise ein Problem mit dem Routing, den Sicherheitsrichtlinien, dem Endhost oder der Verschlüsselung und Entschlüsselung von ESP-Paketen vor.ping
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
container-stringwildcard-string[edit security ike gateway gateway_name dynamic distinguished-name] Wenn Sie versuchen, das zweite Attribut zu konfigurieren, nachdem Sie das erste Attribut konfiguriert haben, wird das erste Attribut durch das zweite Attribut ersetzt. Bevor Sie Ihr Gerät aktualisieren, müssen Sie eines der Attribute entfernen, wenn Sie beide Attribute konfiguriert haben.