IPsec-VPN – Übersicht
Ein VPN ist ein privates Netzwerk, das ein öffentliches Netzwerk verwendet, um zwei oder mehr Remote-Standorte zu verbinden. Anstatt dedizierte Verbindungen zwischen Netzwerken zu verwenden, verwenden VPNs virtuelle Verbindungen, die durch öffentliche Netzwerke geroutet (getunnelt) werden. IPsec VPN ist ein Protokoll, das aus einer Reihe von Standards besteht, die zum Aufbau einer VPN-Verbindung verwendet werden.
Ein VPN bietet ein Mittel, mit dem Remotecomputer sicher über ein öffentliches WAN wie das Internet kommunizieren können.
Eine VPN-Verbindung kann zwei LANs (Site-to-Site-VPN) oder einen Remote-DFÜ-Benutzer und ein LAN verbinden. Der Datenverkehr, der zwischen diesen beiden Punkten fließt, durchläuft gemeinsam genutzte Ressourcen wie Router, Switches und andere Netzwerkgeräte, aus denen das öffentliche WAN besteht. Um die VPN-Kommunikation während der Übertragung durch das WAN zu sichern, erstellen die beiden Teilnehmer einen IPsec-Tunnel (IP Security).
Der Begriff Tunnel bezeichnet nicht den Tunnelmodus (siehe Paketverarbeitung im Tunnelmodus). Stattdessen bezieht es sich auf die IPsec-Verbindung.
IPsec-VPN-Topologien auf Firewalls der SRX-Serie
Im Folgenden sind einige der IPsec-VPN-Topologien aufgeführt, die vom Betriebssystem Junos unterstützt werden:
Site-to-Site-VPNs: Verbindet zwei Standorte in einer Organisation miteinander und ermöglicht eine sichere Kommunikation zwischen den Standorten.
Hub-and-Spoke-VPNs: Verbindet Zweigstellen mit der Unternehmenszentrale in einem Unternehmensnetzwerk. Sie können diese Topologie auch verwenden, um Spokes miteinander zu verbinden, indem Sie Datenverkehr über den Hub senden.
VPNs für Remote-Zugriff: Ermöglicht es Benutzern, die zu Hause oder auf Reisen arbeiten, sich mit der Unternehmenszentrale und ihren Ressourcen zu verbinden. Diese Topologie wird manchmal auch als .end-to-site tunnel
Siehe auch
Vergleich von richtlinienbasierten und routenbasierten VPNs
Es ist wichtig, die Unterschiede zwischen richtlinienbasierten und routenbasierten VPNs zu verstehen und zu verstehen, warum eines dem anderen vorzuziehen ist.
Tabelle 1 listet die Unterschiede zwischen routenbasierten VPNs und richtlinienbasierten VPNs auf.
|
Routenbasierte VPNs |
Richtlinienbasierte VPNs |
|---|---|
|
Bei routenbasierten VPNs verweist eine Richtlinie nicht ausdrücklich auf einen VPN-Tunnel. |
Bei richtlinienbasierten VPN-Tunneln wird ein Tunnel als ein Objekt behandelt, das zusammen mit Quelle, Ziel, Anwendung und Aktion eine Tunnelrichtlinie darstellt, die VPN-Datenverkehr zulässt. |
|
Die Richtlinie verweist auf eine Zieladresse. |
In einer richtlinienbasierten VPN-Konfiguration verweist eine Tunnelrichtlinie namentlich auf einen VPN-Tunnel. |
|
Die Anzahl der routenbasierten VPN-Tunnel, die Sie erstellen, wird durch die Anzahl der Routeneinträge oder die Anzahl der vom Gerät unterstützten st0-Schnittstellen begrenzt, je nachdem, welche Zahl niedriger ist. |
Die Anzahl der richtlinienbasierten VPN-Tunnel, die Sie erstellen können, ist durch die Anzahl der Richtlinien begrenzt, die das Gerät unterstützt. |
|
Die routenbasierte VPN-Tunnelkonfiguration ist eine gute Wahl, wenn Sie Tunnelressourcen schonen und gleichzeitig granulare Einschränkungen für den VPN-Datenverkehr festlegen möchten. |
Bei einem richtlinienbasierten VPN können Sie zwar zahlreiche Tunnelrichtlinien erstellen, die auf denselben VPN-Tunnel verweisen, aber jedes Tunnelrichtlinienpaar erstellt eine individuelle IPsec-Sicherheitszuordnung (SA) mit dem Remote-Peer. Jede SA zählt als individueller VPN-Tunnel. |
|
Bei einem routenbasierten Ansatz für VPNs ist die Regulierung des Datenverkehrs nicht an die Art und Weise seiner Bereitstellung gekoppelt. Sie können Dutzende von Richtlinien konfigurieren, um den Datenverkehr zu regulieren, der durch einen einzigen VPN-Tunnel zwischen zwei Standorten fließt, und es ist nur eine IPsec-Sicherheitszuordnung aktiv. Außerdem können Sie mit einer routenbasierten VPN-Konfiguration Richtlinien erstellen, die auf ein Ziel verweisen, das über einen VPN-Tunnel erreicht wird, in dem die Aktion verweigert wird. |
In einer richtlinienbasierten VPN-Konfiguration muss die Aktion zulässig sein und einen Tunnel umfassen. |
|
Routenbasierte VPNs unterstützen den Austausch dynamischer Routing-Informationen über VPN-Tunnel. Sie können eine Instanz eines dynamischen Routingprotokolls, z. B. OSPF, auf einer st0-Schnittstelle aktivieren, die an einen VPN-Tunnel gebunden ist. |
Der Austausch dynamischer Routing-Informationen wird in richtlinienbasierten VPNs nicht unterstützt. |
|
Routenbasierte Konfigurationen werden für Hub-and-Spoke-Topologien verwendet. |
Richtlinienbasierte VPNs können nicht für Hub-and-Spoke-Topologien verwendet werden. |
|
Bei routenbasierten VPNs verweist eine Richtlinie nicht ausdrücklich auf einen VPN-Tunnel. |
Wenn ein Tunnel keine großen Netzwerke mit dynamischen Routing-Protokollen verbindet und Sie keine Tunnel konservieren oder verschiedene Richtlinien definieren müssen, um den Datenverkehr durch den Tunnel zu filtern, ist ein richtlinienbasierter Tunnel die beste Wahl. |
|
Routenbasierte VPNs unterstützen keine VPN-Konfigurationen für den Remotezugriff (DFÜ). |
Richtlinienbasierte VPN-Tunnel sind für VPN-Konfigurationen mit Remotezugriff (DFÜ) erforderlich. |
|
Routenbasierte VPNs funktionieren bei einigen Drittanbietern möglicherweise nicht richtig. |
Richtlinienbasierte VPNs können erforderlich sein, wenn der Drittanbieter separate Sicherheitszuordnungen für jedes Remote-Subnetz benötigt. |
|
Wenn das Sicherheitsgerät eine Routensuche durchführt, um die Schnittstelle zu finden, über die es Datenverkehr senden muss, um eine Adresse zu erreichen, findet es eine Route über eine sichere Tunnelschnittstelle () , die an einen bestimmten VPN-Tunnel gebunden ist. Bei einem routenbasierten VPN-Tunnel können Sie einen Tunnel als Mittel zum Übermitteln von Datenverkehr in Betracht ziehen und die Richtlinie als Methode zum Zulassen oder Verweigern der Übermittlung dieses Datenverkehrs betrachten. |
Bei einem richtlinienbasierten VPN-Tunnel können Sie einen Tunnel als Element beim Aufbau einer Richtlinie betrachten. |
|
Routenbasierte VPNs unterstützen NAT für st0-Schnittstellen. |
Richtlinienbasierte VPNs können nicht verwendet werden, wenn NAT für getunnelten Datenverkehr erforderlich ist. |
Die Proxy-ID wird sowohl für routenbasierte als auch für richtlinienbasierte VPNs unterstützt. Routenbasierte Tunnel bieten auch die Verwendung mehrerer Datenverkehrsselektoren, die auch als Multi-Proxy-ID bezeichnet werden. Ein Datenverkehrsselektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar aus lokalem und Remote-IP-Adresspräfix, Quellportbereich, Zielportbereich und Protokoll übereinstimmt. Sie definieren einen Datenverkehrsselektor innerhalb eines bestimmten routenbasierten VPNs, was zu mehreren IPsec-Sicherheitszuordnungen der Phase 2 führen kann. Nur Datenverkehr, der einem Datenverkehrsselektor entspricht, wird über eine Sicherheitszuordnung zugelassen. Die Datenverkehrsauswahl ist in der Regel erforderlich, wenn es sich bei Remote-Gateway-Geräten um Geräte handelt, die nicht von Juniper Networks stammen.
Richtlinienbasierte VPNs werden nur auf SRX5400, SRX5600 und SRX5800 Line unterstützt. Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.
Siehe auch
Vergleich von richtlinienbasierten VPNs und routenbasierten VPNs
Tabelle 2 fasst die Unterschiede zwischen richtlinienbasierten VPNs und routenbasierten VPNs zusammen.
Richtlinienbasierte VPNs |
Routenbasierte VPNs |
|---|---|
In richtlinienbasierten VPNs wird ein Tunnel als Objekt behandelt, das zusammen mit Quelle, Ziel, Anwendung und Aktion eine Tunnelrichtlinie darstellt, die VPN-Datenverkehr zulässt. |
In routenbasierten VPNs verweist eine Richtlinie nicht ausdrücklich auf einen VPN-Tunnel. |
Eine Tunnelrichtlinie verweist namentlich auf einen VPN-Tunnel. |
Eine Route bestimmt, welcher Datenverkehr basierend auf einer Ziel-IP-Adresse durch den Tunnel gesendet wird. |
Die Anzahl der richtlinienbasierten VPN-Tunnel, die Sie erstellen können, ist durch die Anzahl der Tunnel begrenzt, die das Gerät unterstützt. |
Die Anzahl der routenbasierten VPN-Tunnel, die Sie erstellen, wird durch die Anzahl der st0-Schnittstellen (für Punkt-zu-Punkt-VPNs) oder die Anzahl der vom Gerät unterstützten Tunnel begrenzt, je nachdem, welcher Wert niedriger ist. |
Bei einem richtlinienbasierten VPN können Sie zwar zahlreiche Tunnelrichtlinien erstellen, die auf denselben VPN-Tunnel verweisen, aber jedes Tunnelrichtlinienpaar erstellt eine individuelle IPsec-Sicherheitszuordnung mit dem Remotepeer. Jede SA zählt als individueller VPN-Tunnel. |
Da die Route und nicht die Richtlinie bestimmt, welcher Datenverkehr durch den Tunnel geleitet wird, können mehrere Richtlinien mit einer einzigen SA oder einem VPN unterstützt werden. |
In einem richtlinienbasierten VPN muss die Aktion zulässig sein und einen Tunnel umfassen. |
In einem routenbasierten VPN ist die Regulierung des Datenverkehrs nicht an die Art und Weise seiner Bereitstellung gekoppelt. |
Der Austausch dynamischer Routing-Informationen wird in richtlinienbasierten VPNs nicht unterstützt. |
Routenbasierte VPNs unterstützen den Austausch dynamischer Routing-Informationen über VPN-Tunnel. Sie können eine Instanz eines dynamischen Routingprotokolls, z. B. OSPF, auf einer st0-Schnittstelle aktivieren, die an einen VPN-Tunnel gebunden ist. |
Wenn Sie mehr Granularität benötigen, als eine Route bieten kann, um den an einen Tunnel gesendeten Datenverkehr zu spezifizieren, ist die Verwendung eines richtlinienbasierten VPN mit Sicherheitsrichtlinien die beste Wahl. |
Routenbasierte VPNs verwenden Routen, um den Datenverkehr anzugeben, der an einen Tunnel gesendet wird. Eine Richtlinie verweist nicht ausdrücklich auf einen VPN-Tunnel. |
Bei einem richtlinienbasierten VPN-Tunnel können Sie einen Tunnel als Element beim Aufbau einer Richtlinie betrachten. |
Wenn das Sicherheitsgerät eine Routensuche durchführt, um die Schnittstelle zu finden, über die es Datenverkehr senden muss, um eine Adresse zu erreichen, findet es eine Route über eine sichere Tunnelschnittstelle (st0). Bei einem routenbasierten VPN-Tunnel können Sie einen Tunnel als Mittel zum Übermitteln von Datenverkehr in Betracht ziehen und die Richtlinie als Methode zum Zulassen oder Verweigern der Übermittlung dieses Datenverkehrs betrachten. |
Grundlegendes zur Paketverarbeitung von IKE und IPsec
Ein IPsec-VPN-Tunnel besteht aus der Einrichtung des Tunnels und der angewendeten Sicherheit. Während des Tunnelaufbaus richten die Peers Sicherheitszuordnungen (Security Associations, SAs) ein, die die Parameter für die Sicherung des Datenverkehrs untereinander definieren. (Siehe IPsec – Übersicht.) Nachdem der Tunnel eingerichtet wurde, schützt IPsec den zwischen den beiden Tunnelendpunkten gesendeten Datenverkehr durch Anwendung der Sicherheitsparameter, die von den Sicherheitszuordnungen während der Tunneleinrichtung definiert wurden. In der Junos OS-Implementierung wird IPsec im Tunnelmodus angewendet, der die Protokolle Encapsulating Security Payload (ESP) und Authentication Header (AH) unterstützt.
Dieses Thema umfasst die folgenden Abschnitte:
Paketverarbeitung im Tunnelmodus
IPsec arbeitet in einem von zwei Modi: Transport oder Tunnel. Wenn beide Enden des Tunnels Hosts sind, können Sie beide Modi verwenden. Wenn es sich bei mindestens einem der Endpunkte eines Tunnels um ein Sicherheitsgateway handelt, z. B. ein Junos OS-Router oder eine Firewall, müssen Sie den Tunnelmodus verwenden. Geräte von Juniper Networks werden für IPsec-Tunnel immer im Tunnelmodus betrieben.
Im Tunnelmodus wird das gesamte ursprüngliche IP-Paket – Nutzlast und Header – in eine andere IP-Nutzlast gekapselt und ein neuer Header wird angehängt, wie in gezeigt.Abbildung 1 Das gesamte ursprüngliche Paket kann verschlüsselt, authentifiziert oder beides sein. Mit dem AH-Protokoll (Authentication Header) werden auch der AH und neue Header authentifiziert. Mit dem ESP-Protokoll (Encapsulating Security Payload) kann auch der ESP-Header authentifiziert werden.
In einem Site-to-Site-VPN sind die Quell- und Zieladressen, die im neuen Header verwendet werden, die IP-Adressen der ausgehenden Schnittstelle. Siehe .Abbildung 2
In einem DFÜ-VPN gibt es kein Tunnelgateway am VPN-DFÜ-Client-Ende des Tunnels. Der Tunnel erstreckt sich direkt auf den Client selbst (siehe ).Abbildung 3 In diesem Fall haben bei Paketen, die vom DFÜ-Client gesendet werden, sowohl der neue Header als auch der gekapselte ursprüngliche Header dieselbe IP-Adresse: die des Computers des Clients.
Einige VPN-Clients, wie z.B. die Netscreen-Remote, verwenden eine virtuelle innere IP-Adresse (auch "Sticky Address" genannt). Netscreen-Remote ermöglicht es Ihnen, die virtuelle IP-Adresse zu definieren. In solchen Fällen ist die virtuelle innere IP-Adresse die Quell-IP-Adresse im ursprünglichen Paket-Header des Datenverkehrs, der vom Client stammt, und die IP-Adresse, die der ISP dem DFÜ-Client dynamisch zuweist, ist die Quell-IP-Adresse im äußeren Header.
Siehe auch
Verteilung von IKE- und IPsec-Sitzungen auf SPUs
In den Geräten SRX5400, SRX5600 und SRX5800 bietet IKE Tunnelmanagement für IPsec und authentifiziert Endentitäten. IKE führt einen Diffie-Hellman-Schlüsselaustausch (DH) durch, um einen IPsec-Tunnel zwischen Netzwerkgeräten zu erzeugen. Die von IKE generierten IPsec-Tunnel werden verwendet, um den Benutzerdatenverkehr zwischen den Netzwerkgeräten auf der IP-Ebene zu verschlüsseln, zu entschlüsseln und zu authentifizieren.
Das VPN wird erstellt, indem die IKE- und IPsec-Arbeitsauslastung auf die verschiedenen Services Processing Units (SPUs) der Plattform verteilt wird. Bei Site-to-Site-Tunneln wird die SPU mit der geringsten Auslastung als Anker-SPU ausgewählt. Wenn mehrere SPUs die gleiche kleinste Last haben, kann jede von ihnen als Anker-SPU ausgewählt werden. Hier entspricht die Last der Anzahl der Site-to-Site-Gateways oder manuellen VPN-Tunnel, die auf einer SPU verankert sind. Bei dynamischen Tunneln verwenden die neu eingerichteten dynamischen Tunnel einen Round-Robin-Algorithmus zur Auswahl der SPU.
Bei IPsec wird die Arbeitsauslastung durch denselben Algorithmus verteilt, der auch die IKE verteilt. Die Phase-2-Sicherheitszuordnung für ein bestimmtes VPN-Tunnel-Endpunktpaar gehört ausschließlich einer bestimmten SPU, und alle IPsec-Pakete, die zu dieser Phase-2-Sicherheitszuordnung gehören, werden zur IPsec-Verarbeitung an die Verankerungs-SPU dieser Sicherheitszuordnung weitergeleitet.
Mehrere IPsec-Sitzungen (Phase 2 SA) können über eine oder mehrere IKE-Sitzungen ausgeführt werden. Die SPU, die für die Verankerung der IPsec-Sitzung ausgewählt wird, basiert auf der SPU, die die zugrunde liegende IKE-Sitzung verankert. Daher werden alle IPsec-Sitzungen, die über ein einzelnes IKE-Gateway ausgeführt werden, von derselben SPU bedient und haben keinen Lastenausgleich über mehrere SPUs.
Tabelle 3 zeigt ein Beispiel für eine SRX5000 Linie mit drei SPUs, die sieben IPsec-Tunnel über drei IKE-Gateways ausführen.
SPU |
IKE-Gateway |
IPsec-Tunnel |
|---|---|---|
SPU0 |
IKE-1 |
IPsec-1 |
IPsec-2 |
||
IPsec-3 |
||
SPU1 |
IKE-2 |
IPsec-4 |
IPsec-5 |
||
IPsec-6 |
||
SPU2 |
IKE-3 |
IPsec-7 |
Die drei SPUs haben die gleiche Last von jeweils einem IKE-Gateway. Wenn ein neues IKE-Gateway erstellt wird, können SPU0, SPU1 oder SPU2 ausgewählt werden, um das IKE-Gateway und seine IPsec-Sitzungen zu verankern.
Das Einrichten und Beenden vorhandener IPsec-Tunnel wirkt sich nicht auf die zugrunde liegende IKE-Sitzung oder vorhandene IPsec-Tunnel aus.
Verwenden Sie den folgenden Befehl, um die aktuelle Anzahl der Tunnel pro SPU anzuzeigen:show show security ike tunnel-map.
Verwenden Sie die Option des Befehls, um die Ankerpunkte der einzelnen Gateways anzuzeigen:summary show security ike tunnel-map summary.
VPN-Unterstützung für das Einfügen von Dienstverarbeitungskarten
SRX5400-, SRX5600- und SRX5800-Geräte verfügen über eine Chassis-basierte verteilte Prozessorarchitektur. Die Flow-Verarbeitungsleistung wird geteilt und basiert auf der Anzahl der Services Processing Cards (SPCs). Sie können die Rechenleistung des Geräts skalieren, indem Sie neue SPCs installieren.
In einem SRX5400-, SRX5600- oder SRX5800-Gehäusecluster können Sie neue SPCs auf den Geräten einfügen, ohne den Datenverkehr in den vorhandenen IKE- oder IPsec-VPN-Tunneln zu beeinträchtigen oder zu unterbrechen. Wenn Sie in jedem Gehäuse des Clusters eine neue SPC einfügen, sind die vorhandenen Tunnel nicht betroffen, und der Datenverkehr fließt ohne Unterbrechung weiter.
Ab Junos OS Version 19.4R1 können Sie auf allen SRX5000-Line-Chassis-Clustern eine neue SRX5K-SPC3 (SPC3)- oder SRX5K-SPC-4-15-320 (SPC2)-Karte in ein vorhandenes Gehäuse mit SPC3-Karte einsetzen. Sie können die Karten nur in einen höheren Steckplatz als die vorhandene SPC3-Karte im Gehäuse einsetzen. Sie müssen den Knoten nach dem Einsetzen von SPC3 neu starten, um die Karte zu aktivieren. Nach Abschluss des Neustarts des Knotens werden IPsec-Tunnel auf die Karten verteilt.
Vorhandene Tunnel können jedoch nicht die Rechenleistung der Service Processing Units (SPUs) in den neuen SPCs nutzen. Eine neue SPU kann neu eingerichtete Site-to-Site- und dynamische Tunnel verankern. Es kann jedoch nicht garantiert werden, dass neu konfigurierte Tunnel auf einer neuen SPU verankert werden.
Site-to-Site-Tunnel werden auf der Grundlage eines Lastausgleichsalgorithmus auf verschiedenen SPUs verankert. Der Lastenausgleichsalgorithmus ist abhängig von der Anzahl der Datenflussthreads, die jede SPU verwendet. Tunnel, die zu denselben lokalen und Remote-Gateway-IP-Adressen gehören, sind in derselben SPU in unterschiedlichen Datenfluss-RT-Threads verankert, die von der SPU verwendet werden. Als Anker-SPU wird die SPU mit der geringsten Last gewählt. Jede SPU verwaltet die Anzahl der Flow-RT-Threads, die in dieser bestimmten SPU gehostet werden. Die Anzahl der Flow-RT-Threads, die auf jeder SPU gehostet werden, hängt vom Typ der SPU ab.
Tunnellastfaktor = Anzahl der auf der SPU verankerten Tunnel / Gesamtzahl der von der SPU verwendeten RT-Threads im Fluss.
Dynamische Tunnel werden auf der Grundlage eines Round-Robin-Algorithmus auf verschiedenen SPUs verankert. Es kann nicht garantiert werden, dass neu konfigurierte dynamische Tunnel auf der neuen SPC verankert werden.
Ab Junos OS Version 18.2R2 und 18.4R1 werden alle vorhandenen IPsec-VPN-Funktionen, die derzeit nur auf SRX5K-SPC3 (SPC3) unterstützt werden, auf SRX5400-, SRX5600- und SRX5800-Geräten unterstützt, wenn SRX5K-SPC-4-15-320 (SPC2)- und SPC3-Karten installiert sind und auf dem Gerät in einem Chassis-Cluster-Modus oder in einem Standalone-Modus betrieben werden.
Wenn sowohl SPC2- als auch SPC3-Karten installiert sind, können Sie die Tunnelzuordnung auf verschiedenen SPUs mit dem Befehl überprüfen.show security ipsec tunnel-distribution
Verwenden Sie den Befehl , um die Tunnelzuordnung auf verschiedenen SPUs anzuzeigen, in die nur eine SPC2-Karte eingelegt ist.show security ike tunnel-map Der Befehl ist in einer Umgebung, in der SPC2- und SPC3-Karten installiert sind, nicht gültig.show security ike tunnel-map
Einsetzen der SPC3-Karte: Richtlinien und Einschränkungen:
-
Wenn in einem Chassis-Cluster einer der Knoten über 1 SPC3-Karte und der andere Knoten über 2 SPC3-Karten verfügt, wird das Failover auf den Knoten mit 1 SPC3-Karte nicht unterstützt.
-
Sie müssen SPC3 oder SPC2 in ein vorhandenes Gehäuse in einem höheren Steckplatz einsetzen als ein aktuelles SPC3 in einem niedrigeren Steckplatz.
-
Damit SPC3 ISHU funktioniert, müssen Sie die neue SPC3-Karte in die höhere Steckplatznummer einsetzen.
-
Bei SRX5800 Chassis-Cluster dürfen Sie die SPC3-Karte aufgrund der Begrenzung der Strom- und Wärmeverteilung nicht in den höchsten Steckplatz (Steckplatz Nr. 11) einsetzen.
-
Wir unterstützen die SPC3-Hot-Removal nicht.
fasst die SRX5000 Zeile mit SPC2- oder SPC3-Karte zusammen, die Folgendes unterstützt oder verarbeitet:Tabelle 4kmdiked
|
SRX5000 Linie |
Support für oder Prozess |
|---|---|
|
SRX5000 Linie , bei der nur eine SPC2-Karte installiert ist |
Unterstützt den Prozess. |
|
SRX5000-Reihe , bei der nur eine SPC3-Karte installiert ist |
Unterstützt den Prozess. |
|
SRX5000 Linie mit installierter SPC2- und SPC3-Karte |
Unterstützt den Prozess. |
Siehe auch
Unterstützung für kryptografische Beschleunigung auf der SRX5K-SPC3-Karte, SRX-Midrange-Plattformen und virtueller vSRX-Firewall
SRX5000 Verbindung mit der SRX5K-SPC3-Karte (Services Processing Card), SRX-Midrange-Plattformen (Firewalls der Serien SRX4100, SRX4200, SRX1500 und SRX4600) und der virtuellen vSRX-Firewall ist ein Paket als Software der Steuerungsebene erforderlich , um IPsec-VPN-Funktionen zu installieren und zu aktivieren.junos-ike
-
In SRX5000 Zeile mit RE3 wird das Paket standardmäßig in den Junos OS-Versionen 20.1R2, 20.2R2, 20.3R2, 20.4R1 und höher installiert.
junos-ikeDaher wird der Prozess standardmäßig auf der Routing-Engine und nicht auf dem IPsec Key Management Daemon (kmd) ausgeführt.ikedikemd Die SRX5000-Reihe mit SRX5K-SPC3 lagert die kryptografischen Vorgänge auf die Hardware-Kryptografie-Engine aus. -
Die SRX-Midrange-Plattformen, die Firewalls der Serien SRX1500, SRX4100, SRX4200 und SRX4600 abdecken, lagern die kryptografischen DH-, RSA- und ECDSA-Vorgänge auf die Hardware-Kryptografie-Engine mit Geräten aus, auf denen Software ausgeführt wird .
junos-ikeDiese Funktion ist ab Junos OS Version 23.2R1 verfügbar, auf denen Geräte installiert sind .junos-ikeGeräte, auf denen weiterhin Legacy-Software ausgeführt wird (kmd-Prozess), unterstützen diese Funktion nicht.iked -
In der virtuellen vSRX-Firewall lagert der CPU-Thread der Datenebene die DH-, RSA- und ECDSA-Vorgänge aus. Die Hardwarebeschleunigung ist auf diesen Geräten nicht verfügbar. Diese Funktion ist ab Junos OS Version 23.2R1 mit dem auf dem Gerät installierten Paket verfügbar.
junos-ike
Das beschreibt die Hardwarebeschleunigungsunterstützung für verschiedene Verschlüsselungen:Tabelle 5
| Chiffren | SRX1500 | SRX4100/SRX4200 | SRX4600 | SRX5K – SPC3 | vSRX3.0 | ||||
|---|---|---|---|---|---|---|---|---|---|
| KMD | IKED | KMD | IKED | KMD | IKED | IKED | KMD | IKED | |
| DH (Gruppen 1, 2, 5, 14) | Ja | Ja | Ja | Ja | Ja | Ja | Ja | Ja | Ja |
| DH (Gruppen 19, 20) | Nein | Ja | Nein | Ja | Nein | Ja | Ja | Ja | Ja |
| DH (Gruppen 15, 16) | Nein | Ja | Nein | Ja | Nein | Ja | Ja | Ja | Ja |
| DH Gruppe 21 | Nein | Ja | Nein | Ja | Nein | Ja | Ja | Ja | Ja |
| DH Gruppe 24 | Ja | Ja | Ja | Ja | Ja | Ja | Nein | Nein | Nein |
| RSA | Ja | Ja | Ja | Ja | Ja | Ja | Ja | Ja | Ja |
| ECDSA (256, 384, 521) | Nein | Ja | Nein | Ja | Nein | Ja | Ja | Ja | Ja |
Verwenden Sie den folgenden Befehl, um das Junos IKE-Paket auf Ihrer Firewall der SRX-Serie zu installieren:
user@host> request system software add optional://junos-ike.tgz Verified junos-ike signed by PackageProductionECP256_2022 method ECDSA256+SHA256 Rebuilding schema and Activating configuration... mgd: commit complete Restarting MGD ... WARNING: cli has been replaced by an updated version: CLI release 20220208.163814_builder.r1239105 built by builder on 2022-02-08 17:07:55 UTC Restart cli using the new version ? [yes,no] (yes)
Um process zu verwenden , um IPsec-VPN-Funktionen auf SRX5000 Leitung ohne SPC3-Karte zu aktivieren, müssen Sie den Befehl ausführen.kmdrequest system software delete junos-ike Starten Sie das Gerät nach dem Ausführen des Befehls neu.
Um das installierte Paket zu überprüfen, verwenden Sie den folgenden Befehl:junos-ike
user@host> show version | grep ike
JUNOS ike [20190617.180318_builder_junos_182_x41]
JUNOS ike [20190617.180318_builder_junos_182_x41]
{primary:node0}
Siehe auch
Unterstützung von IPsec-VPN-Funktionen mit neuem Paket
Die beiden Prozesse unterstützen IPsec-VPN-Funktionen auf Firewalls der SRX-Serie.ikedikemd Eine einzelne Instanz der Routing-Engine, die jeweils auf dieser ausgeführt wird.ikedikemd
Standardmäßig wird das Paket in Junos OS Version 19.4R1 und höher für SRX5K-SPC3 mit RE3 installiert.junos-ike Sowohl die als auch die Prozesse, die auf der Routing-Engine ausgeführt werden, sind mit diesem Paket verfügbar.ikedikemd Bei SRX5K-SPC3 mit RE2 ist dies ein optionales Paket und muss explizit installiert werden.
Um den Prozess in der Routine Engine neu zu starten , verwenden Sie den Befehl.ikemdrestart ike-config-management
Um den Prozess in der Routing-Engine neu zu starten , verwenden Sie den Befehl.ikedrestart ike-key-management
zeigt die Details der Junos OS-Versionen, in denen das Paket eingeführt wird.Tabelle 6junos-ike
|
Plattform |
Junos OS-Version mit Paket |
|---|---|
|
SRX5K-SPC3 mit RE3 |
19.4R1 und höher als Standardpaket |
|
SRX5K-SPC3 mit RE2 |
18.2R1 und höher als optionales Paket |
|
Virtuelle Firewall vSRX |
20.3R1 und höher als optionales Paket |
|
SRX1500 |
22.3R1 und höher als optionales Paket |
|
SRX4100, SRX4200, SRX4600 |
22.3R1 und höher als optionales Paket |
|
SRX1600, SRX2300 |
23.4R1 und höher als Standardpaket |
Das Missachten der angegebenen Junos OS-Releaseversionen bei der Installation des Pakets kann dazu führen, dass nicht unterstützte Funktionen nicht wie erwartet funktionieren.junos-ike
Um IPsec-VPN-Funktionen mit dem Legacy-Prozess auf SRX5000 Leitung ohne SRX5K-SPC3-Karte auszuführen, müssen Sie den Befehl ausführen und das Gerät neu starten.kmdrequest system software delete junos-ike
IPsec-VPN-Funktionen werden nicht unterstützt
In diesem Abschnitt finden Sie eine Zusammenfassung der IPsec-VPN-Funktionen und -Konfigurationen, die SRX5000 Linie mit SRX5K-SPC3 und auf virtuellen vSRX-Firewall-Instanzen nicht unterstützt werden.
Informationen dazu, ob eine Funktion von einer bestimmten Plattform oder Junos OS-Version unterstützt wird, finden Sie im Funktions-Explorer.https://pathfinder.juniper.net/feature-explorer/
Tabelle 7 fasst die nicht unterstützten IPsec-VPN-Funktionen auf Firewalls der SRX-Serie und virtuellen vSRX-Firewalls zusammen, auf denen IKED-Prozesse ausgeführt werden:
|
Funktionen |
Unterstützung auf SRX5000-Linie mit SRX5K-SPC3 und vSRX Virtual Firewall Instances |
|---|---|
|
AutoVPN Protocol Independent Multicast (PIM) Punkt-zu-Multipunkt-Modus. |
Nein |
|
Konfigurieren der Weiterleitungsklasse auf IPsec-VPNs. |
Nein |
|
Gruppen-VPN. |
Nein |
|
Paketgrößenkonfiguration für die IPsec-Datenpfadüberprüfung. |
Nein |
|
Richtlinienbasiertes IPsec-VPN. |
Nein |
Unterstützung von Routing-Protokollen in IPsec-VPN-Tunneln
Wir unterstützen Routing-Protokolle wie OSPF, BGP, PIM, RIP und BFD für die Ausführung in IPsec-Tunneln auf Firewalls der SRX-Serie und Routern der MX-Serie, die ausgeführt kmdwerden oder ikedverarbeitet werden. Die Protokollunterstützung variiert je nach IP-Adressierungsschema oder Typ der st0-Schnittstelle, Punkt-zu-Punkt (P2P) oder Punkt-zu-Multipunkt (P2MP).
Tabelle 8 fasst die Unterstützung des OSPF-Protokolls auf Firewalls und MX-Routern der SRX-Serie zusammen.
| OSPF | ||||
|---|---|---|---|---|
| Geräte | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 und SRX5K-SPC2 | Ja | Nein | Ja | Nein |
| SRX5K-SPC3 | Ja | Nein | Ja | Nein |
| SRX5K im Mixed-Mode (SPC3 + SPC2) | Ja | Nein | Ja | Nein |
| Virtuelle Firewall vSRX 3.0 | Ja | Nein | Ja | Nein |
| MX-SPC3 | Ja | Nein | Nein | Nein |
Tabelle 9 fasst die Unterstützung des OSPFv3-Protokolls auf Firewalls und MX-Routern der SRX-Serie zusammen.
| OSPFv3 | ||||
|---|---|---|---|---|
| Geräte | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 und SRX5K-SPC2 | Nein | Ja | Nein | Ja |
| SRX5K-SPC3 | Nein | Ja | Nein | Ja |
| SRX5K im Mixed-Mode (SPC3 + SPC2) | Nein | Ja | Nein | Ja |
| Virtuelle Firewall vSRX 3.0 | Nein | Ja | Nein | Ja |
| MX-SPC3 | Nein | Ja | Nein | Nein |
Tabelle 10 fasst die Unterstützung des BGP-Protokolls auf Firewalls und MX-Routern der SRX-Serie zusammen.
| BGP | ||||
|---|---|---|---|---|
| Geräte | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 und SRX5K-SPC2 | Ja | Ja | Ja | Ja |
| SRX5K-SPC3 | Ja | Ja | Ja | Ja |
| SRX5K im Mixed-Mode (SPC3 + SPC2) | Ja | Ja | Ja | Ja |
| Virtuelle Firewall vSRX 3.0 | Ja | Ja | Ja | Ja |
| MX-SPC3 | Ja | Ja | Nein | Nein |
Tabelle 11 fasst die Unterstützung des PIM-Protokolls auf Firewalls und MX-Routern der SRX-Serie zusammen.
| PIM | ||||
|---|---|---|---|---|
| Geräte | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX550, SRX550 HM, SRX650, SRX1400, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 und SRX5K-SPC2 | Ja | Nein | Nein | Nein |
| SRX300, SRX320, SRX340, SRX345, SRX380 und SRX1500 | Ja | Nein | Ja | Nein |
| SRX5K-SPC3 | Ja | Nein | Nein | Nein |
| SRX5K im Mixed-Mode (SPC3 + SPC2) | Ja | Nein | Nein | Nein |
| Virtuelle Firewall vSRX | Ja | Nein | Ja HINWEIS:
Multithread wird nicht unterstützt. |
Nein |
| MX-SPC3 | Ja | Nein | Nein | Nein |
Tabelle 12 fasst die Unterstützung des RIP-Protokolls auf Firewalls und MX-Routern der SRX-Serie zusammen.
| RIP | ||||
|---|---|---|---|---|
| Geräte | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 und SRX5K-SPC2 | Ja | Ja | Nein | Nein |
| SRX5K-SPC3 | Ja | Ja | Nein | Nein |
| SRX5K im Mixed-Mode (SPC3 + SPC2) | Ja | Ja | Nein | Nein |
| Virtuelle Firewall vSRX 3.0 | Ja | Ja | Nein | Nein |
| MX-SPC3 | Ja | Ja | Nein | Nein |
Tabelle 13 fasst die Unterstützung des BFP-Protokolls auf Firewalls und MX-Routern der SRX-Serie zusammen.
| BFD | ||||
|---|---|---|---|---|
| Geräte | P2P | P2MP | ||
| IPv4 | IPv6 | IPv4 | IPv6 | |
| SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550 HM, SRX650, SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600 und SRX5K-SPC2 | Ja | Ja | Ja | Ja |
| SRX5K-SPC3 | Ja | Ja | Ja | Ja |
| SRX5K im Mixed-Mode (SPC3 + SPC2) | Ja | Ja | Ja | Ja |
| Virtuelle Firewall vSRX 3.0 | Ja | Ja | Ja | Ja |
| MX-SPC3 | Ja | Ja | Nein | Nein |
Anti-Replay-Fenster
Bei Firewalls der SRX-Serie ist standardmäßig mit einem Fenstergrößenwert von 64 aktiviert.anti-replay-window
Bei der SRX-Serie 5000 mit installierten SPC3-Karten können Sie die Größe im Bereich von 64 bis 8192 (Potenz 2) konfigurieren.anti-replay-window Um die Fenstergröße zu konfigurieren, verwenden Sie die neue Option.anti-replay-window-size Ein eingehendes Paket wird basierend auf dem konfigurierten Wert für einen Replay-Angriff validiert.anti-replay-window-size
Sie können auf zwei verschiedenen Ebenen konfigurieren :replay-window-size
-
– Wird auf der Hierarchieebene [] konfiguriert.Global level
edit security ipsecHier einige Zahlen zum Generationswechsel:
[edit security ipsec] user@host# set anti-replay-window-size <64..8192>;
-
– Wird auf der Hierarchieebene [] konfiguriert.VPN object
edit security ipsec vpn vpn-name ikeHier einige Zahlen zum Generationswechsel:
[edit security ipsec vpn vpn-name ike] user@host# set anti-replay-window-size <64..8192>;
Wenn Anti-Replay auf beiden Ebenen konfiguriert ist, hat die für eine VPN-Objektebene konfigurierte Fenstergröße Vorrang vor der auf globaler Ebene konfigurierten Fenstergröße. Wenn Anti-Replay nicht konfiguriert ist, beträgt die Fenstergröße standardmäßig 64.
Um die Option für das Anti-Wiedergabe-Fenster für ein VPN-Objekt zu deaktivieren, verwenden Sie den Befehl auf der Hierarchieebene [].set no-anti-replayedit security ipsec vpn vpn-name ike Sie können Anti-Replay nicht auf globaler Ebene deaktivieren.
Sie können nicht sowohl als auch für ein VPN-Objekt konfigurieren.anti-replay-window-sizeno-anti-replay
Siehe auch
Grundlegendes zu Hub-and-Spoke-VPNs
Wenn Sie zwei VPN-Tunnel erstellen, die an einem Gerät enden, können Sie ein Routenpaar so einrichten, dass das Gerät den Datenverkehr, der einen Tunnel verlässt, an den anderen Tunnel weiterleitet. Außerdem müssen Sie eine Richtlinie erstellen, damit der Datenverkehr von einem Tunnel zum anderen weitergeleitet werden kann. Eine solche Anordnung wird als Hub-and-Spoke-VPN bezeichnet. (Siehe Abbildung 4.)
Sie können auch mehrere VPNs konfigurieren und den Datenverkehr zwischen zwei beliebigen Tunneln weiterleiten.
Die Firewalls der SRX-Serie unterstützen nur die routenbasierte Hub-and-Spoke-Funktion.
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
junos-ike Daher wird der Prozess standardmäßig auf der Routing-Engine und nicht auf dem IPsec Key Management Daemon (kmd) ausgeführt.ikedikemd