Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPsec-VPN-Konfiguration – Übersicht

Eine VPN-Verbindung kann zwei LANs (Site-to-Site VPN) oder einen Remote-Einwahlbenutzer mit einem LAN verbinden. Der Datenverkehr, der zwischen diesen beiden Punkten fließt, führt über gemeinsame Ressourcen wie Router, Switches und andere Netzwerkgeräte, aus denen das öffentliche WAN besteht. Es wird ein IPsec-Tunnel zwischen zwei beteiligten Geräten erstellt, um die VPN-Kommunikation zu sichern.

IPsec-VPN mit Autokey IKE-Konfiguration – Übersicht

Die IPsec-VPN-Aushandlung erfolgt in zwei Phasen. In Phase 1 erstellen die Teilnehmer einen sicheren Kanal, über den die IPsec-Sicherheitszuordnung (IPsec Security Association, SA) ausgehandelt werden kann. In Phase 2 verhandeln die Teilnehmer die IPsec SA zur Authentifizierung des Datenverkehrs, der durch den Tunnel fließt.

In dieser Übersicht werden die grundlegenden Schritte zum Konfigurieren eines routenbasierten oder richtlinienbasierten IPsec-VPN mithilfe von Autokey-IKE (Preshared Keys oder Zertifikate) beschrieben.

So konfigurieren Sie ein routen- oder richtlinienbasiertes IPsec-VPN mit autokey IKE:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Adressbuchinformationen.

    (Für routenbasierte VPNs) Konfigurieren Sie eine sichere Tunnel-st0.x-Schnittstelle. Konfigurieren Sie das Routing auf dem Gerät.

  2. Konfigurieren Sie Phase 1 des IPsec-VPN-Tunnels.
    1. (Optional) Konfigurieren Sie ein benutzerdefiniertes IKE Phase 1-Angebot. Dieser Schritt ist optional, da Sie einen vordefinierten IKE Phase 1-Vorschlagssatz (Standard, Compatible oder Basic) verwenden können.
    2. Konfigurieren Sie eine IKE-Richtlinie, die entweder auf Ihren benutzerdefinierten IKE Phase 1-Vorschlag oder auf einen vordefinierten IKE Phase 1-Vorschlagssatz verweist. Geben Sie autokey-IKE-Preshared Key- oder Zertifikatsinformationen an. Geben Sie den Modus (haupt- oder aggressiv) für die Phase-1-Börsen an.
    3. Konfigurieren Sie ein IKE-Gateway, das auf die IKE-Richtlinie verweist. Geben Sie die IKE-IDs für lokale und Remote-Geräte an. Wenn die IP-Adresse des Remote-Gateways nicht bekannt ist, geben Sie an, wie das Remote-Gateway identifiziert werden soll.
  3. Konfigurieren Sie Phase 2 des IPsec-VPN-Tunnels.
    1. (Optional) Konfigurieren Sie einen benutzerdefinierten IPsec Phase 2-Vorschlag. Dieser Schritt ist optional, da Sie einen vordefinierten IPsec Phase 2-Vorschlagssatz (Standard, Compatible oder Basic) verwenden können.
    2. Konfigurieren Sie eine IPsec-Richtlinie, die entweder auf Ihren benutzerdefinierten IPsec Phase 2-Vorschlag oder auf einen vordefinierten IPsec Phase 2-Vorschlagssatz verweist. Geben Sie perfect forward secrecy (PFS)-Schlüssel an.
    3. Konfigurieren Sie einen IPsec-VPN-Tunnel, der sowohl auf das IKE-Gateway als auch auf die IPsec-Richtlinie verweist. Geben Sie die Proxy-IDs an, die in Phase 2-Verhandlungen verwendet werden sollen.

      (Für routenbasierte VPNs) Binden Sie die sichere Tunnelschnittstelle st0.x an den IPsec-VPN-Tunnel.

  4. Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr von der Quellzone zur Zielzone zuzulassen.

    (Für richtlinienbasierte VPNs) Geben Sie die Sicherheitsrichtlinienaktion tunnel ipsec-vpn mit dem Namen des konfigurierten IPsec-VPN-Tunnels an.

  5. Aktualisieren Sie Ihre globalen VPN-Einstellungen.

IPsec-VPN mit manueller Schlüsselkonfiguration – Übersicht

In dieser Übersicht werden die grundlegenden Schritte zum Konfigurieren eines routenbasierten oder richtlinienbasierten IPsec-VPN mithilfe manueller Schlüssel beschrieben.

So konfigurieren Sie ein routen- oder richtlinienbasiertes IPsec-VPN mithilfe manueller Schlüssel:

  1. Konfigurieren Sie Schnittstellen, Sicherheitszonen und Adressbuchinformationen.

    (Für routenbasierte VPNs) Routing konfigurieren. Konfigurieren Sie eine sichere Tunnel-st0.x-Schnittstelle.

  2. Konfigurieren Sie einen IPsec-VPN-Tunnel durch Angabe der folgenden Parameter:
    • Authentifizierungsalgorithmus und Schlüssel

    • Verschlüsselungsalgorithmus und -schlüssel

    • Ausgangsschnittstelle

    • IP-Adresse des Peers

    • IPsec-Protokoll für die Sicherheitszuordnung

    • Sicherheitsparameter-Index

    (Für routenbasierte VPNs) Binden Sie die sichere Tunnelschnittstelle st0.x an den IPsec-VPN-Tunnel.

  3. Konfigurieren Sie die Sicherheitsrichtlinie, um den Datenverkehr von der Quellzone zur Zielzone zuzulassen.

    (Für richtlinienbasierte VPNs) Geben Sie die Sicherheitsrichtlinienaktion tunnel ipsec-vpn mit dem Namen des konfigurierten IPsec-VPN-Tunnels an.

Verstehen von IPsec-VPNs mit dynamischen Endpunkten

Überblick

Ein IPSec-VPN-Peer kann über eine IP-Adresse verfügen, die dem Peer, mit dem er die VPN-Verbindung aufbaut, nicht bekannt ist. Ein Peer kann beispielsweise eine IP-Adresse mittels DHCP (Dynamic Host Configuration Protocol) dynamisch zuweisen lassen. Dies kann bei einem Remotezugriffsclient in einer Zweigstelle oder im Homeoffice oder bei einem mobilen Gerät sein, das zwischen verschiedenen physischen Standorten bewegt wird. Oder der Peer kann sich hinter einem NAT-Gerät befinden, das die ursprüngliche Quell-IP-Adresse des Peers in eine andere Adresse übersetzt. Ein VPN-Peer mit einer unbekannten IP-Adresse wird als dynamischer Endpunkt bezeichnet, und ein VPN, das mit einem dynamischen Endgerät eingerichtet wurde, wird als dynamisches Endpunkt-VPN bezeichnet.

Auf Geräten der SRX-Serie wird IKEv1 oder IKEv2 mit dynamischen Endpunkt-VPNs unterstützt. Dynamische Endpunkt-VPNs auf Geräten der SRX-Serie unterstützen IPv4-Datenverkehr in sicheren Tunneln. Ausgehend von Junos OS Version 15.1X49-D80 unterstützen dynamische Endpunkt-VPNs auf Geräten der SRX-Serie IPv6-Datenverkehr in sicheren Tunneln.

IPv6-Datenverkehr wird für AutoVPN-Netzwerke nicht unterstützt.

In den folgenden Abschnitten werden Elemente beschrieben, die bei der Konfiguration eines VPN mit einem dynamischen Endgerät zu beachten sind.

IKE-Identität

Auf dem dynamischen Endgerät muss eine IKE-Identität konfiguriert werden, damit sich das Gerät gegenüber seinem Peer identifiziert. Die lokale Identität des dynamischen Endpunkts wird auf dem Peer überprüft. Standardmäßig erwartet das Gerät der SRX-Serie, dass die IKE-Identität eine der folgenden ist:

  • Wenn Zertifikate verwendet werden, kann ein distinguished Name (DN) verwendet werden, um Benutzer oder eine Organisation zu identifizieren.

  • Ein Hostname oder ein vollständig qualifizierter Domänenname (FQDN), der das Endgerät identifiziert.

  • Ein vollständig qualifizierter Domänenname (UFQDN), auch bekannt als User-at-Hostname. Dies ist eine Zeichenfolge, die dem Format der E-Mail-Adresse folgt.

Aggressiver Modus für IKEv1-Richtlinie

Wenn IKEv1 mit dynamischen Endpunkt-VPNs verwendet wird, muss die IKE-Richtlinie für den aggressiven Modus konfiguriert werden. IKEv2 verwendet keinen aggressiven Modus, sodass Sie entweder den Haupt- oder aggressiven Modus konfigurieren können, wenn Sie IKEv2 mit dynamischen Endpunkt-VPNs verwenden.

IKE-Richtlinien und externe Schnittstellen

Beginnend mit Junos OS Version 12.3X48-D40, Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 können alle dynamischen Endpunkt-Gateways, die auf Geräten der SRX-Serie konfiguriert sind, die dieselbe externe Schnittstelle verwenden, unterschiedliche IKE-Richtlinien verwenden, aber die IKE-Richtlinien müssen das gleiche IKE-Angebot verwenden. Dies gilt für IKEv1 und IKEv2.

NAT

Wenn sich das dynamische Endgerät hinter einem NAT-Gerät befindet, muss NAT-T auf dem Gerät der SRX-Serie konfiguriert werden. Nat-Keepalives können erforderlich sein, um die NAT-Übersetzung während der Verbindung zwischen den VPN-Peers aufrechtzuerhalten. Standardmäßig ist NAT-T auf Geräten der SRX-Serie aktiviert, und NAT-Keepalives werden in Intervallen von 20 Sekunden gesendet.

Gruppen- und gemeinsam genutzte IKE-IDs

Sie können für jeden dynamischen Endpunkt einen individuellen VPN-Tunnel konfigurieren. Bei dynamischen Endpunkt-VPNs von IPv4 können Sie die Gruppen-IKE-ID oder gemeinsam genutzte IKE-ID-Funktionen verwenden, um einer Reihe dynamischer Endpunkte die Gemeinsame Nutzung einer IKE-Gateway-Konfiguration zu ermöglichen.

Mit der Gruppen-IKE-ID können Sie einen gemeinsamen Teil einer vollständigen IKE-ID für alle dynamischen Endpunkte wie "example.net" definieren. Ein benutzerspezifischer Teil, z. B. der Benutzername "Bob", der mit dem gemeinsamen Teil verbunden ist, bildet eine vollständige IKE-ID (Bob.example.net), die jede Benutzerverbindung eindeutig identifiziert.

Die gemeinsam genutzte IKE-ID ermöglicht dynamischen Endgeräten die Gemeinsame Nutzung einer einzigen IKE-ID und eines Preshared Key.

Verstehen der IKE-Identitätskonfiguration

Die IKE-Identifizierung (IKE ID) wird zur Validierung von VPN-Peergeräten während der IKE-Aushandlung verwendet. Die IKE-ID, die vom Gerät der SRX-Serie von einem Remote-Peer empfangen wird, kann eine IPv4- oder IPv6-Adresse, ein Hostname, ein vollständig qualifizierter Domänenname (FQDN), ein Benutzer-FQDN (UFQDN) oder ein distinguished Name (DN) sein. Die vom Remote-Peer gesendete IKE-ID muss dem entsprechen, was vom Gerät der SRX-Serie erwartet wird. Andernfalls schlägt die IKE-ID-Validierung fehl und das VPN wird nicht eingerichtet.

IKE-ID-Typen

Die Geräte der SRX-Serie unterstützen die folgenden Arten von IKE-Identitäten für Remote-Peers:

  • Eine IPv4- oder IPv6-Adresse wird häufig mit Site-to-Site-VPNs verwendet, bei denen der Remote-Peer über eine statische IP-Adresse verfügt.

  • Ein Hostname ist eine Zeichenfolge, die das Remote-Peer-System identifiziert. Dies kann ein FQDN sein, das auf eine IP-Adresse auflöst. Es kann auch ein teilweises FQDN sein, das in Verbindung mit einem IKE-Benutzertyp verwendet wird, um einen bestimmten Remotebenutzer zu identifizieren.

    Wenn ein Hostname anstelle einer IP-Adresse konfiguriert wird, basieren die zugesagte Konfiguration und die nachfolgende Tunneleinrichtung auf der derzeit gelösten IP-Adresse. Wenn sich die IP-Adresse des Remote-Peers ändert, ist die Konfiguration nicht mehr gültig.

  • Ein UFQDN ist eine Zeichenfolge, die dem gleichen Format wie eine E-Mail-Adresse folgt, z user@example.com. B. .

  • Ein DN ist ein Name, der mit digitalen Zertifikaten verwendet wird, um einen Benutzer eindeutig zu identifizieren. Ein DN kann beispielsweise "CN=Benutzer, DC=Beispiel, DC=com" sein. Optional können Sie mit dem container Schlüsselwort angeben, dass die Reihenfolge der Felder in einem DN und deren Werte genau dem konfigurierten DN entsprechen, oder mit dem wildcard Schlüsselwort angeben, dass die Werte von Feldern in einem DN übereinstimmen müssen, aber die Reihenfolge der Felder spielt keine Rolle.

    Ab Junos OS Version 19.4R1 können Sie jetzt nur noch ein dynamisches DN-Attribut zwischen container-string und wildcard-string in der [edit security ike gateway gateway_name dynamic distinguished-name] Hierarchie konfigurieren. Wenn Sie versuchen, das zweite Attribut zu konfigurieren, nachdem Sie das erste Attribut konfiguriert haben, wird das erste Attribut durch das zweite Attribut ersetzt. Bevor Sie Ihr Gerät aktualisieren, müssen Sie eines der Attribute entfernen, wenn Sie beide Attribute konfiguriert haben.

  • Ein IKE-Benutzertyp kann mit AutoVPN- und Remotezugriffs-VPNs verwendet werden, wenn sich mehrere Remote-Peers mit demselben VPN-Gateway auf dem Gerät der SRX-Serie verbinden. Konfigurieren Sie ike-user-type group-ike-id , um eine Gruppen-IKE-ID anzugeben oder ike-user-type shared-ike-id eine gemeinsam genutzte IKE-ID anzugeben.

Remote-IKE-IDs und Site-to-Site-VPNs

Bei Site-to-Site-VPNs kann die IKE-ID des Remote-Peers je nach Konfiguration des Peer-Geräts die IP-Adresse der Ausgangsnetzwerkschnittstelle, eine Loopback-Adresse, einen Hostnamen oder eine manuell konfigurierte IKE-ID sein.

Geräte der SRX-Serie erwarten standardmäßig, dass die IKE-ID des Remote-Peers die mit der set security ike gateway gateway-name address Konfiguration konfigurierte IP-Adresse ist. Wenn die IKE-ID des Remote-Peers einen anderen Wert hat, müssen Sie die remote-identity Anweisung auf der [edit security ike gateway gateway-name] Hierarchieebene konfigurieren.

Beispielsweise wird ein IKE-Gateway auf den Geräten der SRX-Serie mit dem set security ike gateway remote-gateway address 203.0.113.1 Befehl konfiguriert. Die vom Remote-Peer gesendete IKE-ID lautet host.example.netjedoch . Es besteht ein Mismatch zwischen dem, was das Gerät der SRX-Serie für die IKE-ID des Remote-Peers (203.0.113.1) und die tatsächliche IKE-ID (host.example.net) erwartet, die vom Peer gesendet wird. In diesem Fall schlägt die IKE ID-Validierung fehl. Verwenden Sie die set security ike gateway remote-gateway remote-identity hostname host.example.net IKE-ID, die vom Remote-Peer empfangen wurde.

Remote-IKE-IDs und Dynamische Endpunkt-VPNs

Bei dynamischen Endpunkt-VPNs wird die erwartete IKE-ID des Remote-Peers mit den Optionen auf der [edit security ike gateway gateway-name dynamic] Hierarchieebene konfiguriert. Für AutoVPN hostname kann in Kombination mit ike-user-type group-ike-id mehreren Peers mit einem gemeinsamen Domänennamen verwendet werden. Wenn Zertifikate zur Überprüfung des Peers verwendet werden, kann ein DN konfiguriert werden.

Lokale IKE-ID des Geräts der SRX-Serie

Standardmäßig verwendet das Gerät der SRX-Serie die IP-Adresse seiner externen Schnittstelle zum Remote-Peer als IKE-ID. Diese IKE-ID kann überschrieben werden, indem die local-identity Anweisung auf der [edit security ike gateway gateway-name] Hierarchieebene konfiguriert wird. Wenn Sie die Anweisung auf einem Gerät der local-identity SRX-Serie konfigurieren müssen, stellen Sie sicher, dass die konfigurierte IKE-ID mit der vom Remote-Peer erwarteten IKE-ID übereinstimmt.

Konfigurieren von Remote-IKE-IDs für Site-to-Site-VPNs

Standardmäßig validieren Geräte der SRX-Serie die vom Peer erhaltene IKE-ID mit der für das IKE-Gateway konfigurierten IP-Adresse. In bestimmten Netzwerkeinrichtungen entspricht die vom Peer empfangene IKE-ID (d. h. eine IPv4- oder IPv6-Adresse, ein voll qualifizierter Domänenname [FQDN], ein distinguisheder Name oder eine E-Mail-Adresse) nicht dem auf dem Gerät der SRX-Serie konfigurierten IKE-Gateway. Dies kann zu einem Validierungsfehler in Phase 1 führen.

So ändern Sie die Konfiguration des Geräts der SRX-Serie oder des Peer-Geräts für die verwendete IKE-ID:

  • Konfigurieren Sie auf dem Gerät der SRX-Serie die remote-identity Anweisung auf der [edit security ike gateway gateway-name] Hierarchieebene so, dass sie der vom Peer empfangenen IKE-ID entspricht. Werte können eine IPv4- oder IPv6-Adresse, FQDN, einen definierten Namen oder eine E-Mail-Adresse sein.

    Wenn Sie die Konfiguration nicht konfigurieren remote-identity, verwendet das Gerät standardmäßig die IPv4- oder IPv6-Adresse, die dem Remote-Peer entspricht.

  • Stellen Sie auf dem Peer-Gerät sicher, dass die IKE-ID die gleiche ist wie die remote-identity auf dem Gerät der SRX-Serie konfigurierte. Wenn es sich bei dem Peer-Gerät um ein Gerät der SRX-Serie handelt, konfigurieren Sie die local-identity Anweisung auf der [edit security ike gateway gateway-name] Hierarchieebene. Werte können eine IPv4- oder IPv6-Adresse, FQDN, einen definierten Namen oder eine E-Mail-Adresse sein.

Verstehen der OSPF- und OSPFv3-Authentifizierung auf Geräten der SRX-Serie

OSPFv3 verfügt über keine integrierte Authentifizierungsmethode und verlässt sich bei der Bereitstellung dieser Funktionen auf die IP-Sicherheitssuite (IPsec). IPsec bietet Authentifizierung des Ursprungs, Datenintegrität, Vertraulichkeit, Wiedergabeschutz und Nichtanruf von Quellen. Sie können IPsec verwenden, um bestimmte OSPFv3-Schnittstellen und virtuelle Verbindungen zu sichern und Verschlüsselung für OSPF-Pakete bereitzustellen.

OSPFv3 verwendet den IP-Authentifizierungs-Header (AH) und die IP-Encapsulating Security Payload (ESP)-Teile des IPsec-Protokolls zur Authentifizierung von Routing-Informationen zwischen Peers. AH kann verbindungslose Integrität und Datenursprungsauthentifizierung bereitstellen. Es bietet auch Schutz vor Wiederholungen. AH authentifiziert so viele IP-Header wie möglich sowie Protokolldaten der oberen Ebene. Einige IP-Header-Felder können sich jedoch bei der Übertragung ändern. Da der Wert dieser Felder vom Absender möglicherweise nicht vorhersehbar ist, können sie nicht durch AH geschützt werden. ESP kann Verschlüsselung und eingeschränkte Vertraulichkeit des Datenverkehrsflusses oder verbindungslose Integrität, Datenursprungsauthentifizierung und einen Anti-Replay-Service bieten.

IPsec basiert auf Sicherheitszuordnungen (SAs). Bei einer SA handelt es sich um eine Reihe von IPsec-Spezifikationen, die zwischen Geräten ausgehandelt werden, die eine IPsec-Beziehung aufbauen. Diese simplex-Verbindung bietet Sicherheitsservices für die Pakete, die von der SA übertragen werden. Diese Spezifikationen enthalten Präferenzen für die Art der Authentifizierung, Verschlüsselung und des IPsec-Protokolls, die beim Herstellen der IPsec-Verbindung verwendet werden sollen. Eine SA wird zur Verschlüsselung und Authentifizierung eines bestimmten Datenflusses in eine Richtung verwendet. Daher werden die Datenströme im normalen bidirektionalen Datenverkehr durch ein Paar SAs gesichert. Eine SA, die mit OSPFv3 verwendet werden soll, muss manuell konfiguriert werden und den Transportmodus verwenden. Statische Werte müssen an beiden Enden der SA konfiguriert werden.

Um IPsec für OSPF oder OSPFv3 zu konfigurieren, definieren Sie zunächst eine manuelle SA mit der security-association sa-name Option auf der [edit security ipsec] Hierarchieebene. Diese Funktion unterstützt nur bidirektionale manuelle Schlüssel-SAs im Transportmodus. Manuelle Servicevereinbarungen erfordern keine Verhandlungen zwischen den Peers. Alle Werte, einschließlich der Schlüssel, sind statisch und in der Konfiguration angegeben. Manuelle SAs definieren statisch die zu verwendenden Security Parameter Index (SPI)-Werte, Algorithmen und Schlüssel und erfordern übereinstimmende Konfigurationen auf beiden Endpunkten (OSPF oder OSPFv3-Peers). Daher muss jeder Peer über die gleichen konfigurierten Optionen für die Kommunikation verfügen.

Die tatsächliche Auswahl der Verschlüsselungs- und Authentifizierungsalgorithmen bleibt Ihrem IPsec-Administrator überlassen. wir haben jedoch die folgenden Empfehlungen:

  • Verwenden Sie ESP mit Null-Verschlüsselung, um Authentifizierung für Protokoll-Header bereitzustellen, nicht jedoch für den IPv6-Header, die Erweiterungs-Header und -Optionen. Bei Nullverschlüsselung wählen Sie keine Verschlüsselung für Protokoll-Header. Dies kann für fehlerbehebungs- und debugging-Zwecke nützlich sein. Weitere Informationen zur Nullverschlüsselung finden Sie unter RFC 2410, Der NULL-Verschlüsselungsalgorithmus und seine Verwendung mit IPsec.

  • Verwenden Sie ESP mit DES oder 3DES für vollständige Vertraulichkeit.

  • Verwenden Sie AH zur Authentifizierung von Protokoll-Headern, unveränderlichen Feldern in IPv6-Headern und Erweiterungs-Headern und -Optionen.

Die konfigurierte SA wird wie folgt auf die OSPF- oder OSPFv3-Konfigurationen angewendet:

  • Fügen Sie für eine OSPF- oder OSPFv3-Schnittstelle die ipsec-sa name Anweisung auf [edit protocols ospf area area-id interface interface-name] oder [edit protocols ospf3 area area-id interface interface-name] Hierarchieebene ein. Für eine OSPF- oder OSPFv3-Schnittstelle kann nur ein IPsec SA-Name angegeben werden; Verschiedene OSPF/OSPFv3-Schnittstellen können jedoch dieselbe IPsec SA angeben.

  • Fügen Sie für einen virtuellen OSPF- oder OSPFv3-Link die ipsec-sa name Anweisung auf [edit protocols ospf area area-id virtual-link neighbor-id router-id transit-area area-id] oder [edit protocols ospf3 area area-id virtual-link neighbor-id router-id transit-area area-id] Hierarchieebene ein. Sie müssen dieselbe IPsec-SA für alle virtuellen Verbindungen mit derselben Remote-Endpunktadresse konfigurieren.

Die folgenden Einschränkungen gelten für die IPsec-Authentifizierung für OSPF oder OSPFv3 auf Geräten der SRX-Serie:

  • Manuelle VPN-Konfigurationen, die auf [edit security ipsec vpn vpn-name manual] Hierarchieebene konfiguriert sind, können nicht auf OSPF- oder OSPFv3-Schnittstellen oder virtuelle Links angewendet werden, um IPsec-Authentifizierung und Vertraulichkeit zu gewährleisten.

  • Sie können IPsec nicht für die OSPF- oder OSPFv3-Authentifizierung konfigurieren, wenn auf dem Gerät ein vorhandenes IPsec-VPN mit denselben lokalen und Remote-Adressen konfiguriert ist.

  • IPsec für OSPF- oder OSPFv3-Authentifizierung wird über sichere Tunnel-ST0-Schnittstellen nicht unterstützt.

  • Das Erneutschlüsseln manueller Schlüssel wird nicht unterstützt.

  • Dynamic Internet Key Exchange (IKE)-SAs werden nicht unterstützt.

  • Es wird nur der IPsec-Transportmodus unterstützt. Im Transportmodus ist nur der Payload (die übertragenen Daten) des IP-Pakets verschlüsselt, authentifiziert oder beides. Der Tunnelmodus wird nicht unterstützt.

  • Da nur bidirektionale manuelle SAs unterstützt werden, müssen alle OSPFv3-Peers mit derselben IPsec SA konfiguriert werden. Sie konfigurieren eine manuelle bidirektionale SA auf der [edit security ipsec] Hierarchieebene.

  • Sie müssen dieselbe IPsec-SA für alle virtuellen Verbindungen mit derselben Remote-Endpunktadresse konfigurieren.

Beispiel: Konfigurieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle auf einem Gerät der SRX-Serie

Dieses Beispiel zeigt, wie Sie eine manuelle Sicherheitszuordnung (SA) auf eine OSPF-Schnittstelle konfigurieren und anwenden.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie die Geräteschnittstellen.

  • Konfigurieren Sie die Router-Identifikatoren für die Geräte in Ihrem OSPF-Netzwerk.

  • Kontrolle der OSPF-Designrouterwahl.

  • Konfigurieren Sie ein OSPF-Netzwerk mit einem Einzigen Bereich.

  • Konfigurieren Sie ein OsPF-Netzwerk mit mehreren Bereichen.

Überblick

Sie können die IPsec-Authentifizierung sowohl für OSPF als auch für OSPFv3 verwenden. Sie konfigurieren die manuelle SA separat und wenden sie auf die entsprechende OSPF-Konfiguration an. Tabelle 3 listet in diesem Beispiel die für die manuelle SA konfigurierten Parameter und Werte auf.

Tabelle 3: Manuelle SA für IPsec OSPF-Schnittstellenauthentifizierung

Parameter

Wert

SA-Name

sa1

Modus

Transport

Richtung

Bidirektionale

Protokoll

AH

SPI

256

Authentifizierungsalgorithmus

Schlüssel

hmac-md5-96

(ASCII) 123456789012abc

Verschlüsselungsalgorithmus

Schlüssel

des

(ASCII) cba210987654321

Konfiguration

Konfigurieren einer manuellen SA

CLI-Schnellkonfiguration

Um eine manuelle SA für die IPsec-Authentifizierung auf einer OSPF-Schnittstelle schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf der [edit] Hierarchieebene in die CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie eine manuelle SA:

  1. Geben Sie einen Namen für die SA an.

  2. Geben Sie den Modus der manuellen Sa an.

  3. Konfigurieren Sie die Richtung der manuellen SA.

  4. Konfigurieren Sie das zu verwendene IPsec-Protokoll.

  5. Konfigurieren Sie den Wert des SPI.

  6. Konfigurieren Sie den Authentifizierungsalgorithmus und den Schlüssel.

  7. Konfigurieren Sie den Verschlüsselungsalgorithmus und den Schlüssel.

Ergebnisse

Bestätigen Sie Ihre Konfiguration, indem Sie den show security ipsec Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Nach der Konfiguration des Kennworts wird das Kennwort selbst nicht angezeigt. Die Ausgabe zeigt die verschlüsselte Form des konfigurierten Kennworts an.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Aktivieren der IPsec-Authentifizierung für eine OSPF-Schnittstelle

CLI-Schnellkonfiguration

Um eine für die IPsec-Authentifizierung verwendete manuelle SA schnell auf eine OSPF-Schnittstelle anzuwenden, kopieren Sie den folgenden Befehl, fügen Sie ihn in eine Textdatei ein, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, und kopieren Sie den Befehl, und fügen Sie ihn auf der [edit] Hierarchieebene in die CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

So aktivieren Sie die IPsec-Authentifizierung für eine OSPF-Schnittstelle:

  1. Erstellen Sie einen OSPF-Bereich.

    Um OSPFv3 anzugeben, fügen Sie die ospf3 Anweisung auf Hierarchieebene [edit protocols] ein.

  2. Geben Sie die Schnittstelle an.

  3. Wenden Sie die manuelle IPsec-SA an.

Ergebnisse

Bestätigen Sie Ihre Konfiguration, indem Sie den show ospf interface detail Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Um Ihre OSPFv3-Konfiguration zu bestätigen, geben Sie den show protocols ospf3 Befehl ein.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der IPsec-Sicherheitszuordnungseinstellungen

Zweck

Überprüfen Sie die konfigurierten IPsec-Sicherheitszuordnungseinstellungen. Überprüfen Sie die folgenden Informationen:

  • Das Feld Sicherheitsverbund zeigt den Namen der konfigurierten Sicherheits-Ordnung an.

  • Das SPI-Feld zeigt den von Ihnen konfigurierten Wert an.

  • Das Feld "Modus" zeigt den Transportmodus an.

  • Das Feld Typ zeigt manuell als Typ der Sicherheitsverbindung an.

Aktion

Geben Sie im Betriebsmodus den show ospf interface detail Befehl ein.

Überprüfen der IPsec-Sicherheitszuordnung an der OSPF-Schnittstelle

Zweck

Vergewissern Sie sich, dass die von Ihnen konfigurierte IPsec-Sicherheitszuordnung auf die OSPF-Schnittstelle angewendet wurde. Bestätigen Sie, dass im Feld IPsec SA-Name der Name der konfigurierten IPsec-Sicherheitszuordnung angezeigt wird.

Aktion

Geben Sie im Betriebsmodus den show ospf interface detail Befehl für OSPF ein und geben Sie den show ospf3 interface detail Befehl für OSPFv3 ein.

Konfigurieren von IPSec-VPN mithilfe des VPN-Assistenten

Mit dem VPN-Assistenten können Sie eine grundlegende IPsec-VPN-Konfiguration durchführen, einschließlich Phase 1 und Phase 2. Für eine erweiterte Konfiguration verwenden Sie die J-Web-Schnittstelle oder die CLI. Diese Funktion wird auf Geräten wie SRX300, SRX320, SRX340, SRX345 und SRX550HM unterstützt.

So konfigurieren Sie IPsec-VPN mit dem VPN-Assistenten:

  1. Wählen Sie Configure>Device Setup>VPN in der J-Web-Schnittstelle aus.
  2. Klicken Sie auf die Schaltfläche "VPN-Assistent starten".
  3. Befolgen Sie die Eingabeaufforderungen des Assistenten.

Der obere linke Bereich der Assistentenseite zeigt an, wo Sie sich im Konfigurationsvorgang befinden. Im unteren linken Bereich der Seite finden Sie hilfeempfindliche Hilfe. Wenn Sie unter der Überschrift Ressourcen auf einen Link klicken, wird das Dokument in Ihrem Browser geöffnet. Wenn das Dokument auf einer neuen Registerkarte geöffnet wird, schließen Sie beim Schließen des Dokuments nur die Registerkarte (nicht das Browserfenster).

Beispiel: Konfigurieren eines Hub-and-Spoke-VPN

Dieses Beispiel zeigt, wie Sie ein Hub-and-Spoke-IPsec-VPN für eine Bereitstellung der Unternehmensklasse konfigurieren.

Anforderungen

In diesem Beispiel wird folgende Hardware verwendet:

  • SRX240-Gerät

  • SRX5800-Gerät

  • SSG140-Gerät

Bevor Sie beginnen, lesen Sie IPsec-Übersicht.

Überblick

In diesem Beispiel wird beschrieben, wie ein Hub-and-Spoke-VPN konfiguriert wird, das normalerweise in Zweigstellenbereitstellungen zu finden ist. Der Hub ist das Firmenbüro und es gibt zwei Speichen: eine Zweigstelle in Sunnyvale, Kalifornien, und eine Zweigstelle in Westford, Massachusetts. Benutzer in den Zweigniederlassungen nutzen das VPN zur sicheren Datenübertragung mit dem Firmenbüro.

Abbildung 1 zeigt ein Beispiel für eine Hub-and-Spoke-VPN-Topologie. In dieser Topologie befindet sich ein SRX5800-Gerät im Firmenbüro. Ein Gerät der SRX-Serie befindet sich in der Zweigstelle Westford und ein SSG140-Gerät in der Zweigstelle Sunnyvale.

Abbildung 1: Hub-and-Spoke-VPN-TopologieHub-and-Spoke-VPN-Topologie

In diesem Beispiel konfigurieren Sie den Firmenbüro-Hub, die Westford-Spoke und die Sunnyvale-Spoke. Zuerst konfigurieren Sie Schnittstellen, statische IPv4- und Standardrouten, Sicherheitszonen und Adressbücher. Dann konfigurieren Sie IKE Phase 1- und IPsec Phase 2-Parameter und binden die st0.0-Schnittstelle an das IPsec-VPN. Im Hub konfigurieren Sie st0.0 für Multipoint und fügen einen statischen NHTB-Tabelleneintrag für die Sunnyvale-Spoke hinzu. Schließlich konfigurieren Sie Sicherheitsrichtlinien und TCP-MSS-Parameter. Sehen Sie sich Tabelle 4Tabelle 8 in diesem Beispiel bestimmte Konfigurationsparameter an.

Tabelle 4: Informationen zu Schnittstelle, Sicherheitszone und Adressbuch

Hub-and-Spoke-Plattform

Funktion

Name

Konfigurationsparameter

Hub

Schnittstellen

ge-0/0/0.0

192.168.10.1/24

   

ge-0/0/3.0

10.1.1.2/30

   

st0

10.11.11.10/24

Sprach

Schnittstellen

ge-0/0/0.0

10.3.3.2/30

   

ge-0/0/3.0

192.168.178.1/24

   

st0

10.11.11.12/24

Hub

Sicherheitszonen

Vertrauen

  • Alle Systemservices sind zulässig.

  • Die Ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

   

nicht vertrauenswürdig

  • IKE ist der einzige zulässige Systemdienst.

  • Die Ge-0/0/3.0-Schnittstelle ist an diese Zone gebunden.

   

Vpn

Die St0.0-Schnittstelle ist an diese Zone gebunden.

Sprach

Sicherheitszonen

Vertrauen

  • Alle Systemservices sind zulässig.

  • Die Ge-0/0/3.0-Schnittstelle ist an diese Zone gebunden.

   

nicht vertrauenswürdig

  • IKE ist der einzige zulässige Systemdienst.

  • Die Ge-0/0/0.0-Schnittstelle ist an diese Zone gebunden.

   

Vpn

Die St0.0-Schnittstelle ist an diese Zone gebunden.

Hub

Adressbucheinträge

local-net

  • Diese Adresse ist für das Adressbuch der Vertrauenszone.

  • Die Adresse dieses Adressbucheintrags lautet 192.168.10.0/24.

   

sunnyvale-net

  • Dieses Adressbuch ist für das Adressbuch der VPN-Zone.

  • Die Adresse dieses Adressbucheintrags lautet 192.168.168.0/24.

   

westford-net

  • Diese Adresse ist für das Adressbuch der VPN-Zone.

  • Die Adresse dieses Adressbucheintrags lautet 192.168.178.0/24.

Sprach

Adressbucheinträge

local-net

  • Diese Adresse ist für das Adressbuch der Vertrauenszone.

  • Die Adresse dieses Adressbucheintrags lautet 192.168.168.178.0/24.

   

corp-net

  • Diese Adresse ist für das Adressbuch der VPN-Zone.

  • Die Adresse dieses Adressbucheintrags lautet 192.168.10.0/24.

   

sunnyvale-net

  • Diese Adresse ist für das Adressbuch der VPN-Zone.

  • Die Adresse dieses Adressbucheintrags lautet 192.168.168.0/24.

Tabelle 5: Konfigurationsparameter für IKE Phase 1

Hub-and-Spoke-Plattform

Funktion

Name

Konfigurationsparameter

Hub

Vorschlag

ike-phase1-proposal

  • Authentifizierungsmethode: pre-shared-keys

  • Diffie-Hellman-Gruppe: group2

  • Authentifizierungsalgorithmus: sha1

  • Verschlüsselungsalgorithmus: aes-128-cbc

 

Richtlinien

ike-phase1-policy

  • Modus: Wichtigsten

  • Vorschlagsreferenz: IKE Phase 1-Vorschlag

  • IKE Phase 1-Richtlinienauthentifizierungsmethode: pre-shared-key ascii-text

 

Gateway

gw-westford

  • IKE-Richtlinienreferenz: IKE-Phase1-Richtlinie

  • Externe Schnittstelle: ge-0/0/3.0

  • Gateway-Adresse: 10.3.3.2

   

gw-sunnyvale

  • IKE-Richtlinienreferenz: IKE-Phase1-Richtlinie

  • Externe Schnittstelle: ge-0/0/3.0

  • Gateway-Adresse: 10.2.2.2

Sprach

Vorschlag

ike-phase1-proposal

  • Authentifizierungsmethode: pre-shared-keys

  • Diffie-Hellman-Gruppe: group2

  • Authentifizierungsalgorithmus: sha1

  • Verschlüsselungsalgorithmus: aes-128-cbc

 

Richtlinien

ike-phase1-policy

  • Modus: Wichtigsten

  • Vorschlagsreferenz: IKE Phase 1-Vorschlag

  • IKE Phase 1-Richtlinienauthentifizierungsmethode: pre-shared-key ascii-text

 

Gateway

gw-corporate

  • IKE-Richtlinienreferenz: IKE-Phase1-Richtlinie

  • Externe Schnittstelle: ge-0/0/0.0

  • Gateway-Adresse: 10.1.1.2

Tabelle 6: IPsec Phase 2-Konfigurationsparameter

Hub-and-Spoke-Plattform

Funktion

Name

Konfigurationsparameter

Hub

Vorschlag

ipsec-phase2-proposal

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-sha1-96

  • Verschlüsselungsalgorithmus: aes-128-cbc

 

Richtlinien

ipsec-phase2-policy

  • Vorschlagsreferenz: IPsec-Phase2-Vorschlag

  • PFS: Diffie-Hellman Group2

 

VPN

VPN-Sunnyvale

  • IKE-Gateway-Referenz: gw-sunnyvale

  • IPsec-Richtlinienreferenz: Ipsec-Phase2-Richtlinie

  • Bindung an Schnittstelle: st0.0

   

VPN-Westford

  • IKE-Gateway-Referenz: gw-westford

  • IPsec-Richtlinienreferenz: Ipsec-Phase2-Richtlinie

  • Bindung an Schnittstelle: st0.0

Sprach

Vorschlag

ipsec-phase2-proposal

  • Protokoll: Esp

  • Authentifizierungsalgorithmus: hmac-sha1-96

  • Verschlüsselungsalgorithmus: aes-128-cbc

 

Richtlinien

ipsec-phase2-policy

  • Vorschlagsreferenz: IPsec-Phase2-Vorschlag

  • PFS: Diffie-Hellman Group2

 

VPN

VPN-Unternehmen

  • IKE-Gateway-Referenz: gw-corporate

  • IPsec-Richtlinienreferenz: Ipsec-Phase2-Richtlinie

  • Bindung an Schnittstelle: st0.0

Tabelle 7: Konfigurationsparameter für Sicherheitsrichtlinien

Hub-and-Spoke-Plattform

Zweck

Name

Konfigurationsparameter

Hub

Die Sicherheitsrichtlinie ermöglicht den Datenverkehr von der Trust-Zone zur VPN-Zone.

Local-to-Spokes

  • Übereinstimmungskriterien:

    • Quelladresse local-net

    • Zieladresse Sunnyvale-net

    • Zieladresse westford-net

    • Anwendung beliebig

 

Die Sicherheitsrichtlinie ermöglicht den Datenverkehr von der VPN-Zone zur Trust-Zone.

Spokes-to-Local

Übereinstimmungskriterien:

  • Quelladresse sunnyvale-net

  • Quelladresse westford-net

  • Zieladresse local-net

  • Anwendung beliebig

 

Die Sicherheitsrichtlinie ermöglicht intrazoneninternen Datenverkehr.

Spoke-to-Spoke

Übereinstimmungskriterien:

  • Quelladresse beliebig

  • Zieladresse beliebig

  • Anwendung beliebig

Sprach

Die Sicherheitsrichtlinie ermöglicht den Datenverkehr von der Trust-Zone zur VPN-Zone.

to-corp

  • Übereinstimmungskriterien:

    • Quelladresse local-net

    • Zieladresse corp-net

    • Zieladresse Sunnyvale-net

    • Anwendung beliebig

 

Die Sicherheitsrichtlinie ermöglicht den Datenverkehr von der VPN-Zone zur Trust-Zone.

from-corp

Übereinstimmungskriterien:

  • Quelladresse corp-net

  • Quelladresse sunnyvale-net

  • Zieladresse local-net

  • Anwendung beliebig

 

Die Sicherheitsrichtlinie ermöglicht den Datenverkehr von der Nicht-Vertrauenswürdig-Zone zur Trust-Zone.

permit-any

Übereinstimmungskriterien:

  • Quelladresse beliebig

  • Quell-Ziel beliebig

  • Anwendung beliebig

  • Maßnahmen zulassen: Source-NAT-Schnittstelle

    Durch Angabe source-nat interfaceübersetzt das Gerät der SRX-Serie die Quell-IP-Adresse und den Port für ausgehenden Datenverkehr unter Verwendung der IP-Adresse der Ausgangsschnittstelle als Quell-IP-Adresse und eines zufälligen High-Number-Port für den Quell-Port.

Tabelle 8: TCP-MSS-Konfigurationsparameter

Zweck

Konfigurationsparameter

TCC-MSS wird im Rahmen des TCP-Drei-Wege-Handshakes ausgehandelt und begrenzt die maximale Größe eines TCP-Segments, um die MTU-Grenzwerte für ein Netzwerk besser zu erreichen. Beim VPN-Datenverkehr kann der IPsec-Einkapselungs-Overhead zusammen mit dem IP- und Frame-Overhead dazu führen, dass das resultierende ESP-Paket die MTU der physischen Schnittstelle übersteigt, was zu einer Fragmentierung führt. Fragmentierung führt zu einer höheren Nutzung von Bandbreite und Geräteressourcen.

Der Wert 1350 ist ein empfohlener Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einer MTU von mindestens 1500. Möglicherweise müssen Sie mit verschiedenen TCP-MSS-Werten experimentieren, um eine optimale Leistung zu erzielen. Sie können beispielsweise den Wert ändern, wenn ein Gerät im Pfad eine niedrigere MTU hat oder wenn ein zusätzlicher Overhead wie PPP oder Frame Relay vorhanden ist.

MSS-Wert: 1350

Konfiguration

Konfiguration grundlegender Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für den Hub

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie grundlegende Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für den Hub:

  1. Konfigurieren Sie Ethernet-Schnittstelleninformationen.

  2. Konfigurieren Sie statische Routeninformationen.

  3. Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.

  4. Weisen Sie der Sicherheitszone, die nicht vertrauenswürdig ist, eine Schnittstelle zu.

  5. Geben Sie zulässige Systemservices für die Nicht-vertrauenswürdige Sicherheitszone an.

  6. Konfigurieren Sie die Sicherheitszone "Trust".

  7. Weisen Sie der Sicherheitszone Trust eine Schnittstelle zu.

  8. Geben Sie zulässige Systemservices für die Sicherheitszone Trust an.

  9. Erstellen Sie ein Adressbuch und fügen Sie eine Zone an.

  10. Konfigurieren Sie die VPN-Sicherheitszone.

  11. Weisen Sie der VPN-Sicherheitszone eine Schnittstelle zu.

  12. Erstellen Sie ein weiteres Adressbuch und fügen Sie eine Zone hinzu.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , , show routing-optionsshow security zonesundshow security address-book. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von IKE für den Hub

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IKE für den Hub:

  1. Erstellen Sie den IKE Phase 1-Vorschlag.

  2. Definieren Sie die IKE-Authentifizierungsmethode für Vorschläge.

  3. Beschreiben Sie den IKE-Vorschlag Diffie-Hellman-Gruppe.

  4. Beschreiben Sie den IKE-Authentifizierungsalgorithmus für Vorschläge.

  5. Beschreiben Sie den IKE-Algorithmus für die Vorschlagsverschlüsselung.

  6. Erstellen Sie eine IKE Phase 1-Richtlinie.

  7. Legen Sie den IKE Phase 1-Richtlinienmodus fest.

  8. Geben Sie einen Verweis auf den IKE-Vorschlag an.

  9. Definieren Sie die IKE Phase 1-Richtlinienauthentifizierungsmethode.

  10. Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie die externe Schnittstelle.

  11. Definieren Sie die IKE Phase 1-Richtlinienreferenz.

  12. Definieren Sie die IKE Phase 1-Gateway-Adresse.

  13. Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie die externe Schnittstelle.

  14. Definieren Sie die IKE Phase 1-Richtlinienreferenz.

  15. Definieren Sie die IKE Phase 1-Gateway-Adresse.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security ike Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von IPsec für den Hub

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IPsec für den Hub:

  1. Erstellen Sie einen IPsec Phase 2-Vorschlag.

  2. Geben Sie das IPsec Phase 2-Vorschlagsprotokoll an.

  3. Geben Sie den IPsec Phase 2-Authentifizierungsalgorithmus an.

  4. Geben Sie den Algorithmus für die IPsec-Phase 2-Verschlüsselung an.

  5. Erstellen Sie die IPsec Phase 2-Richtlinie.

  6. Geben Sie die IPsec Phase 2-Vorschlagsreferenz an.

  7. Geben Sie IPsec Phase 2 PFS an, um Diffie-Hellman Group 2 zu verwenden.

  8. Geben Sie die IKE-Gateways an.

  9. Geben Sie die IPsec Phase 2-Richtlinien an.

  10. Geben Sie die zu bindene Schnittstelle an.

  11. Konfigurieren Sie die ST0-Schnittstelle als Multipoint.

  12. Fügen Sie statische NHTB-Tabelleneinträge für die Büros in Sunnyvale und Westford hinzu.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security ipsec Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von Sicherheitsrichtlinien für den Hub

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Sicherheitsrichtlinien für den Hub:

  1. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Trust-Zone zur VPN-Zone zuzulassen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Vertrauenswürdigen Zone zuzulassen.

  3. Erstellen Sie die Sicherheitsrichtlinie, um intrazoneninternen Datenverkehr zu ermöglichen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von TCP-MSS für den Hub

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

So konfigurieren Sie TCP-MSS-Informationen für den Hub:

  1. Konfigurieren Sie TCP-MSS-Informationen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security flow Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfiguration grundlegender Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für den Westford Spoke

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie grundlegende Netzwerk-, Sicherheitszonen- und Adressbuchinformationen für die Sprachumgebung von Westford:

  1. Konfigurieren Sie Ethernet-Schnittstelleninformationen.

  2. Konfigurieren Sie statische Routeninformationen.

  3. Konfigurieren Sie die nicht vertrauenswürdige Sicherheitszone.

  4. Weisen Sie der Sicherheitszone eine Schnittstelle zu.

  5. Geben Sie zulässige Systemservices für die Nicht-vertrauenswürdige Sicherheitszone an.

  6. Konfigurieren Sie die Sicherheitszone "Trust".

  7. Weisen Sie der Sicherheitszone Trust eine Schnittstelle zu.

  8. Geben Sie zulässige Systemservices für die Sicherheitszone Trust an.

  9. Konfigurieren Sie die VPN-Sicherheitszone.

  10. Weisen Sie der VPN-Sicherheitszone eine Schnittstelle zu.

  11. Erstellen Sie ein Adressbuch und fügen Sie eine Zone an.

  12. Erstellen Sie ein weiteres Adressbuch und fügen Sie eine Zone hinzu.

Ergebnisse

Bestätigen Sie Im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfacesBefehle , , show routing-optionsshow security zonesundshow security address-book. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von IKE für den Westford Spoke

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IKE für westford spoke:

  1. Erstellen Sie den IKE Phase 1-Vorschlag.

  2. Definieren Sie die IKE-Authentifizierungsmethode für Vorschläge.

  3. Beschreiben Sie den IKE-Vorschlag Diffie-Hellman-Gruppe.

  4. Beschreiben Sie den IKE-Authentifizierungsalgorithmus für Vorschläge.

  5. Beschreiben Sie den IKE-Algorithmus für die Vorschlagsverschlüsselung.

  6. Erstellen Sie eine IKE Phase 1-Richtlinie.

  7. Legen Sie den IKE Phase 1-Richtlinienmodus fest.

  8. Geben Sie einen Verweis auf den IKE-Vorschlag an.

  9. Definieren Sie die IKE Phase 1-Richtlinienauthentifizierungsmethode.

  10. Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie die externe Schnittstelle.

  11. Definieren Sie die IKE Phase 1-Richtlinienreferenz.

  12. Definieren Sie die IKE Phase 1-Gateway-Adresse.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security ike Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von IPsec für Westford Spoke

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie IPsec für westford spoke:

  1. Erstellen Sie einen IPsec Phase 2-Vorschlag.

  2. Geben Sie das IPsec Phase 2-Vorschlagsprotokoll an.

  3. Geben Sie den IPsec Phase 2-Authentifizierungsalgorithmus an.

  4. Geben Sie den Algorithmus für die IPsec-Phase 2-Verschlüsselung an.

  5. Erstellen Sie die IPsec Phase 2-Richtlinie.

  6. Geben Sie die IPsec Phase 2-Vorschlagsreferenz an.

  7. Geben Sie IPsec Phase 2 PFS an, um Diffie-Hellman Group 2 zu verwenden.

  8. Geben Sie das IKE-Gateway an.

  9. Geben Sie die IPsec Phase 2-Richtlinie an.

  10. Geben Sie die zu bindene Schnittstelle an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security ipsec Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von Sicherheitsrichtlinien für Westford Spoke

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Sicherheitsrichtlinien für Westford Spoke:

  1. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Trust-Zone zur VPN-Zone zuzulassen.

  2. Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der VPN-Zone zur Vertrauenswürdigen Zone zuzulassen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfigurieren von TCP-MSS für Westford Spoke

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

So konfigurieren Sie TCP-MSS für westford spoke:

  1. Konfigurieren Sie TCP-MSS-Informationen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security flow Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Konfiguration des Sunnyvale Spoke

CLI-Schnellkonfiguration

In diesem Beispiel wird ein Gerät der SSG-Serie für die Sunnyvale-Spoke verwendet. Als Referenz wird die Konfiguration für das Gerät der SSG-Serie bereitgestellt. Informationen zur Konfiguration von Geräten der SSG-Serie finden Sie im ScreenOS-Referenzleitfaden konzepte und -beispiele, der sich unter https://www.juniper.net/documentation befindet.

Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie folgende Aufgaben aus:

Überprüfung des IKE Phase 1-Status

Zweck

Überprüfen Sie den IKE Phase 1-Status.

Aktion

Bevor Sie mit der Überprüfung beginnen, müssen Sie den Datenverkehr von einem Host im Netzwerk 192.168.10/24 an einen Host in den Netzwerken 192.168.168/24 und 192.168.178/24 senden, um die Tunnel hochzubringen. Für routenbasierte VPNs können Sie Datenverkehr, der vom Gerät der SRX-Serie initiiert wurde, über den Tunnel senden. Wir empfehlen, dass Sie beim Testen von IPsec-Tunneln Testdatenverkehr von einem separaten Gerät auf einer Seite des VPN an ein zweites Gerät auf der anderen Seite des VPN senden. Initiieren Sie beispielsweise einen Ping von 192.168.10.10 bis 192.168.168.10.

Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Verwenden Sie den Befehl, nachdem Sie eine Indexnummer aus dem show security ike security-associations index index_number detail Befehl erhalten haben.

Bedeutung

Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1-SAs auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung von Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.

Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:

  • Index: Dieser Wert ist eindeutig für jede IKE SA, die Sie im show security ike security-associations index detail Befehl verwenden können, um weitere Informationen über die SA zu erhalten.

  • Remote-Adresse: Vergewissern Sie sich, dass die Remote-IP-Adresse korrekt ist.

  • Bundesland

    • UP – Phase 1 SA wurde eingerichtet.

    • DOWN: Es gab ein Problem bei der Einrichtung von Phase 1 SA.

  • Modus – Vergewissern Sie sich, dass der richtige Modus verwendet wird.

Vergewissern Sie sich, dass die folgenden Informationen in Ihrer Konfiguration korrekt sind:

  • Externe Schnittstellen (die Schnittstelle muss die Schnittstelle sein, die IKE-Pakete empfängt)

  • IKE-Richtlinienparameter

  • Vorinstallierte Schlüsselinformationen

  • Phase 1-Vorschlagsparameter (müssen auf beiden Peers übereinstimmen)

Der show security ike security-associations index 1 detail Befehl listet zusätzliche Informationen zur Sicherheitszuordnung mit einer Indexnummer 1 auf:

  • Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen

  • Phase 1-Lebensdauer

  • Datenverkehrsstatistiken (können zur Überprüfung des ordnungsgemäßen Datenverkehrsflusses in beide Richtungen verwendet werden)

  • Rolleninformationen für Initiator und Responder

    Die Fehlerbehebung wird am besten auf dem Peer mithilfe der Responder-Rolle durchgeführt.

  • Anzahl der erstellten IPsec-SAs

  • Anzahl der laufenden Phase-2-Verhandlungen

Überprüfen des IPsec Phase 2-Status

Zweck

Überprüfen Sie den IPsec Phase 2-Status.

Aktion

Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Verwenden Sie den Befehl, nachdem Sie eine Indexnummer aus dem show security ipsec security-associations index index_number detail Befehl erhalten haben.

Bedeutung

Die Ausgabe aus dem show security ipsec security-associations Befehl listet die folgenden Informationen auf:

  • Die ID-Nummer lautet 16385. Verwenden Sie diesen Wert mit dem show security ipsec security-associations index Befehl, um weitere Informationen zu dieser bestimmten SA zu erhalten.

  • Es gibt ein IPsec SA-Paar mit Port 500, was angibt, dass kein NAT-Traversal implementiert ist. (NAT-Traversal verwendet Port 4500 oder einen anderen zufälligen High-Number-Port.)

  • Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (bzw. lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 28756/unlim gibt an, dass die Lebensdauer von Phase 2 in 28756 Sekunden abläuft und keine Lebensgröße angegeben wurde, was bedeutet, dass sie unbegrenzt ist. Die Lebensdauer von Phase 2 kann von der Lebensdauer der Phase 1 abweichen, da Phase 2 nicht von Phase 1 nach dem Einschalten des VPN abhängt.

  • Die VPN-Überwachung für diese SA ist nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, gibt U an, dass die Überwachung aktiviert ist, und D zeigt an, dass die Überwachung ausfällt.

  • Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.

Die Ausgabe aus dem show security ipsec security-associations index 16385 detail Befehl listet die folgenden Informationen auf:

  • Die lokale Identität und die Remote-Identität bilden die Proxy-ID für die SA.

    Eine Proxy-ID-Mismatch ist eine der häufigsten Ursachen für einen Fehler in Phase 2. Wenn keine IPsec SA aufgeführt ist, bestätigen Sie, dass Phase 2-Vorschläge, einschließlich der Proxy-ID-Einstellungen, für beide Peers korrekt sind. Bei routenbasierten VPNs lautet die Standard-Proxy-ID local=0.0.0.0/0, remote=0.0.0.0/0 und service=any. Probleme können mit mehreren routenbasierten VPNs von der gleichen Peer-IP auftreten. In diesem Fall muss eine eindeutige Proxy-ID für jede IPsec-SA angegeben werden. Für einige Drittanbieter muss die Proxy-ID manuell eingegeben werden, um die Übereinstimmung zu ermöglichen.

  • Ein weiterer häufiger Grund für einen Fehler in Phase 2 ist die Angabe der ST-Schnittstellenbindung. Wenn IPsec nicht abgeschlossen werden kann, überprüfen Sie das kmd-Protokoll oder legen Sie Trace-Optionen fest.

Verifizierung der Next-Hop-Tunnelbindungen

Zweck

Nachdem Phase 2 für alle Peers abgeschlossen ist, überprüfen Sie die Next-Hop-Tunnelbindungen.

Aktion

Geben Sie im Betriebsmodus den show security ipsec next-hop-tunnels Befehl ein.

Bedeutung

Die Next-Hop-Gateways sind die IP-Adressen für die ST0-Schnittstellen aller Remote-Spoke-Peers. Der nächste Hop sollte mit dem korrekten IPsec-VPN-Namen verknüpft sein. Wenn kein NHTB-Eintrag vorhanden ist, kann das Hub-Gerät nicht unterscheiden, welches IPsec-VPN mit welchem nächsten Hop verknüpft ist.

Das Flag-Feld hat einen der folgenden Werte:

  • Statisch: NHTB wurde manuell in den St0.0-Schnittstellenkonfigurationen konfiguriert, was erforderlich ist, wenn der Peer kein Gerät der SRX-Serie ist.

  • Auto– NHTB wurde nicht konfiguriert, aber der Eintrag wurde während phase 2-Verhandlungen zwischen zwei Geräten der SRX-Serie automatisch in die NHTB-Tabelle eingefügt.

Es gibt keine NHTB-Tabelle für einen der Spoke-Sites in diesem Beispiel. Aus Der Spoke-Perspektive ist die ST0-Schnittstelle immer noch ein Punkt-zu-Punkt-Link mit nur einer IPsec-VPN-Bindung.

Überprüfen statischer Routen für lokale Remote-PEER-LANs

Zweck

Vergewissern Sie sich, dass die statische Route auf die ST0-IP-Adresse des Spoke-Peers verweist.

Aktion

Geben Sie im Betriebsmodus den show route Befehl ein.

Der nächste Hop ist die ST0-IP-Adresse des Remote-Peers, und beide Routen zeigen als ausgangsschnittstelle auf st0.0.

Überprüfen von Statistiken und Fehlern für eine IPsec-Sicherheitszuordnung

Zweck

Überprüfen Sie ESP- und Authentifizierungs-Headerzähler und -Fehler auf eine IPsec-Sicherheitszuordnung.

Aktion

Geben Sie im Betriebsmodus den show security ipsec statistics index Befehl ein.

Sie können den show security ipsec statistics Befehl auch verwenden, um Statistiken und Fehler für alle SAs zu überprüfen.

Um alle IPsec-Statistiken zu löschen, verwenden Sie den clear security ipsec statistics Befehl.

Bedeutung

Wenn bei einem VPN Paketverluste auftreten, können Sie den Befehl oder show security ipsec statistics detail den show security ipsec statistics Befehl mehrmals ausführen, um zu bestätigen, dass die verschlüsselten und entschlüsselten Paketzähler inkrementiert sind. Sie sollten auch prüfen, ob die anderen Fehlerzähler inkrementiert sind.

Testen des Datenverkehrsflusses über das VPN

Zweck

Überprüfen Sie den Datenverkehrsfluss über das VPN.

Aktion

Sie können den ping Befehl vom Gerät der SRX-Serie verwenden, um den Datenverkehrsfluss zu einem Remote-Host-PC zu testen. Stellen Sie sicher, dass Sie die Quellschnittstelle angeben, damit die Routensuche korrekt ist und die entsprechenden Sicherheitszonen während der Richtliniensuche referenziert werden.

Geben Sie im Betriebsmodus den ping Befehl ein.

Sie können den ping Befehl auch über das Gerät der SSG-Serie verwenden.

Bedeutung

Wenn der ping Befehl auf dem Gerät der SRX- oder SSG-Serie ausfällt, kann es zu einem Problem mit Routing, Sicherheitsrichtlinien, Endhost oder der Verschlüsselung und Entschlüsselung von ESP-Paketen kommen.

Release-Verlaufstabelle
Release
Beschreibung
19.4R1
Ab Junos OS Version 19.4R1 können Sie jetzt nur noch ein dynamisches DN-Attribut zwischen container-string und wildcard-string in der [edit security ike gateway gateway_name dynamic distinguished-name] Hierarchie konfigurieren. Wenn Sie versuchen, das zweite Attribut zu konfigurieren, nachdem Sie das erste Attribut konfiguriert haben, wird das erste Attribut durch das zweite Attribut ersetzt. Bevor Sie Ihr Gerät aktualisieren, müssen Sie eines der Attribute entfernen, wenn Sie beide Attribute konfiguriert haben.
15.1X49-D80
Ausgehend von Junos OS Version 15.1X49-D80 unterstützen dynamische Endpunkt-VPNs auf Geräten der SRX-Serie IPv6-Datenverkehr in sicheren Tunneln.
12.3X48-D40
Beginnend mit Junos OS Version 12.3X48-D40, Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 können alle dynamischen Endpunkt-Gateways, die auf Geräten der SRX-Serie konfiguriert sind, die dieselbe externe Schnittstelle verwenden, unterschiedliche IKE-Richtlinien verwenden, aber die IKE-Richtlinien müssen das gleiche IKE-Angebot verwenden.