IPsec-VPN – Übersicht

Im Folgenden werden einige der IPsec-VPN-Topologien aufgeführt, die das Betriebssystem Junos unterstützt:

• Site-to-Site-VPNs: Verbindet zwei Standorte in einem Unternehmen miteinander und ermöglicht eine sichere Kommunikation zwischen den Standorten.

• Hub-and-Spoke-VPNs: Verbindet Zweigstellen mit dem Unternehmensbüro in einem Unternehmensnetzwerk. Sie können diese Topologie auch verwenden, um Spokes miteinander zu verbinden, indem Sie Datenverkehr durch den Hub senden.

• REMOTE-Zugriffs-VPNs: Ermöglicht Benutzern, die von zu Hause aus oder auf Reisen arbeiten, sich mit dem Büro des Unternehmens und seinen Ressourcen zu verbinden. Diese Topologie wird manchmal auch als end-to-site tunnel.

Tabelle 2 fasst die Unterschiede zwischen richtlinienbasierten VPNs und routenbasierten VPNs zusammen.

Ein IPsec-VPN-Tunnel besteht aus Tunneleinrichtung und angewandter Sicherheit. Während der Tunneleinrichtung richten die Peers Sicherheitszuordnungen (Security Associations, SAs) ein, die die Parameter für die Sicherung des Datenverkehrs untereinander definieren. (Siehe IPsec – Übersicht.) Nach der Einrichtung des Tunnels schützt IPsec den zwischen den beiden Tunnelendpunkten gesendeten Datenverkehr durch Anwendung der von den SAs definierten Sicherheitsparameter während der Tunneleinrichtung. Bei der Junos OS-Implementierung wird IPsec im Tunnelmodus angewendet, der die Protokolle Encapsulating Security Payload (ESP) und Authentication Header (AH) unterstützt.

Dieses Thema umfasst die folgenden Abschnitte:

Paketverarbeitung im Tunnelmodus

IPsec funktioniert in einem von zwei Modi: Transport oder Tunnel. Wenn beide Enden des Tunnels Hosts sind, können Sie beide Modi verwenden. Wenn mindestens eines der Endpunkte eines Tunnels ein Sicherheits-Gateway ist, z. B. ein Junos OS-Router oder eine Firewall, müssen Sie den Tunnelmodus verwenden. Geräte von Juniper Networks arbeiten immer im Tunnelmodus für IPsec-Tunnel.

Im Tunnelmodus wird das gesamte ursprüngliche IP-Paket – Nutzdaten und Header – in einer anderen IP-Payload gekapselt, und ein neuer Header wird daran angefügt, wie in Abbildung 1. Das gesamte Originalpaket kann verschlüsselt, authentifiziert oder beides sein. Mit dem AH-Protokoll (Authentication Header) werden auch die AH und neue Header authentifiziert. Mit dem Protokoll Encapsulating Security Payload (ESP) kann auch der ESP-Header authentifiziert werden.

Abbildung 1: Tunnelmodus

In einem Site-to-Site-VPN werden im neuen Header Quell- und Zieladressen die IP-Adressen der ausgehenden Schnittstelle verwendet. Siehe Abbildung 2.

Abbildung 2: Site-to-Site-VPN im Tunnelmodus

In einem DFÜ-VPN gibt es am Ende des Tunnels kein Tunnel-Gateway. der Tunnel erstreckt sich direkt auf den Client selbst (siehe Abbildung 3). In diesem Fall haben sowohl der neue Header als auch der gekapselte Original-Header bei Paketen, die vom DFÜ-Client gesendet werden, dieselbe IP-Adresse: auf dem Computer des Clients.

Einige VPN-Clients, wie der dynamische VPN-Client und Netscreen-Remote, verwenden eine virtuelle innere IP-Adresse (auch "Sticky Address" genannt). Netscreen-Remote ermöglicht es Ihnen, die virtuelle IP-Adresse zu definieren. Der dynamische VPN-Client verwendet die virtuelle IP-Adresse, die während des XAuth-Konfigurationsaustauschs zugewiesen wurde. In solchen Fällen ist die virtuelle innere IP-Adresse die Quell-IP-Adresse im ursprünglichen Paket-Header des vom Client ausgehenden Datenverkehrs, und die IP-Adresse, die der ISP dem Einwahl-Client dynamisch zuweist, ist die Quell-IP-Adresse im äußeren Header. Ab Junos OS Version 21.4R1 wird dynamisches VPN auf SRX300-, SRX320-, SRX340-, SRX345-, SRX380- und SRX550-HM-Geräten nicht unterstützt.

Abbildung 3: DFÜ-VPN im Tunnelmodus

In den Geräten SRX5400, SRX5600 und SRX5800 bietet IKE Tunnelmanagement für IPsec und authentifiziert Endentitäten. IKE führt einen Diffie-Hellman (DH)-Schlüsselaustausch durch, um einen IPsec-Tunnel zwischen Netzwerkgeräten zu generieren. Die von IKE generierten IPsec-Tunnel werden zur Verschlüsselung, Entschlüsselung und Authentifizierung des Benutzerdatenverkehrs zwischen den Netzwerkgeräten auf der IP-Ebene verwendet.

Das VPN wird erstellt, indem die IKE- und IPsec-Workload auf mehrere Services Processing Units (SPUs) der Plattform verteilt wird. Für Site-to-Site-Tunnel wird die am wenigsten geladene SPU als Anker-SPU ausgewählt. Wenn mehrere SPUs dieselbe kleinste Last haben, kann jede von ihnen als Anker-SPU ausgewählt werden. Hier entspricht die Last der Anzahl der Site-to-Site-Gateways oder manuellen VPN-Tunnel, die auf einer SPU verankert sind. Für dynamische Tunnel verwenden die neu eingerichteten dynamischen Tunnel einen Round-Robin-Algorithmus zur Auswahl der SPU.

In IPsec wird die Arbeitsauslastung durch den gleichen Algorithmus verteilt, der auch die IKE verteilt. Das Phase-2-SA für ein bestimmtes VPN-Tunnel-Terminpunktepaar gehört ausschließlich einer bestimmten SPU, und alle zu dieser Phase 2 SA gehörenden IPsec-Pakete werden zur IPsec-Verarbeitung an die Verankerungs-SPU dieser SA weitergeleitet.

Mehrere IPsec-Sitzungen (Phase 2 SA) können über eine oder mehrere IKE-Sitzungen ausgeführt werden. Die zur Verankerung der IPsec-Sitzung ausgewählte SPU basiert auf der SPU, die die zugrunde liegende IKE-Sitzung verankert. Daher werden alle IPsec-Sitzungen, die über ein einziges IKE-Gateway ausgeführt werden, von derselben SPU verwaltet und nicht über mehrere SPUs hinweg lastausgleichen.

Tabelle 3 zeigt ein Beispiel für eine SRX5000-Reihe mit drei SPUs, die sieben IPsec-Tunnel über drei IKE-Gateways ausführen.

Die drei SPUs haben jeweils die gleiche Last von einem IKE-Gateway. Wenn ein neues IKE-Gateway erstellt wird, kann SPU0, SPU1 oder SPU2 ausgewählt werden, um das IKE-Gateway und seine IPsec-Sitzungen zu verankern.

Das Einrichten und Abreißen vorhandener IPsec-Tunnel wirkt sich nicht auf die zugrunde liegende IKE-Sitzung oder vorhandene IPsec-Tunnel aus.

Verwenden Sie den folgenden show Befehl, um die aktuelle Tunnelanzahl pro SPU anzuzeigen: show security ike tunnel-map.

Verwenden Sie die summary Option des Befehls, um die Ankerpunkte jedes Gateways anzuzeigen: show security ike tunnel-map summary.

In einem Chassis-Cluster für SRX5400, SRX5600 oder SRX5800 können Sie neue SPCs auf den Geräten einfügen, ohne den Datenverkehr in den vorhandenen IKE- oder IPsec-VPN-Tunneln zu beeinträchtigen oder zu unterbrechen. Wenn Sie in jedes Gehäuse des Clusters eine neue SPC einfügen, sind die vorhandenen Tunnel nicht betroffen und der Datenverkehr fließt unterbrechungsfrei weiter.

Ab Junos OS Version 19.4R1 können Sie auf allen SRX5000-Line Chassis-Clustern eine neue SRX5K-SPC3 (SPC3) oder SRX5K-SPC-4-15-320 (SPC2)-Karte in ein vorhandenes Gehäuse mit einer SPC3-Karte einfügen. Sie können die Karten nur in einen höheren Steckplatz als die vorhandene SPC3-Karte auf dem Gehäuse einsetzen. Sie müssen den Knoten nach dem Einfügen der SPC3 neu starten, um die Karte zu aktivieren. Nach dem Neustart des Knotens werden IPsec-Tunnel an die Karten verteilt.

Vorhandene Tunnel können die Verarbeitungsleistung der Service Processing Units (SPUs) in den neuen SPCs jedoch nicht nutzen. Eine neue SPU kann neu eingerichtete Standort-zu-Standort- und dynamische Tunnel verankern. Neu konfigurierte Tunnel sind jedoch nicht garantiert auf einer neuen SPU verankert.

Site-to-Site-Tunnel sind basierend auf einem Load-Balancing-Algorithmus auf verschiedenen SPUs verankert. Der Load-Balancing-Algorithmus ist von der Anzahl der von jeder SPU genutzten Datenstromthreads abhängig. Tunnel, die zu den gleichen lokalen und Remote-Gateway-IP-Adressen gehören, sind auf derselben SPU auf verschiedenen Flow-RT-Threads verankert, die von der SPU verwendet werden. Die SPU mit der kleinsten Last wird als Anker-SPU gewählt. Jede SPU behält die Anzahl der Flow-RT-Threads, die in dieser bestimmten SPU gehostet werden. Die Anzahl der auf den einzelnen SPU gehosteten Flow-RT-Threads hängt vom Typ der SPU ab.

Tunnellastfaktor = Anzahl der auf der SPU verankerten Tunnel / Gesamtzahl der von der SPU verwendeten Flow-RT-Threads.

Dynamische Tunnel sind basierend auf einem Round-Robin-Algorithmus auf verschiedenen SPUs verankert. Neu konfigurierte dynamische Tunnel sind nicht garantiert auf der neuen SPC verankert.

Ab Junos OS Version 18.2R2 und 18.4R1 alle vorhandenen IPsec-VPN-Funktionen, die derzeit nur auf SRX5K-SPC3 (SPC3) unterstützt werden, werden auf SRX5400-, SRX5600- und SRX5800-Geräten unterstützt, wenn SRX5K-SPC-4-15-320 (SPC2) und SPC3-Karten in einem Gehäuse-Cluster-Modus oder in einem eigenständigen Modus installiert sind und auf dem Gerät betrieben werden.

Wenn sowohl SPC2- als auch SPC3-Karten installiert sind, können Sie die Tunnelzuordnung auf verschiedenen SPUs mit dem show security ipsec tunnel-distribution Befehl überprüfen.

Verwenden Sie den Befehl show security ike tunnel-map , um die Tunnelzuordnung auf verschiedenen SPUs anzuzeigen, bei der nur die SPC2-Karte eingefügt ist. Der Befehl show security ike tunnel-map ist in einer Umgebung, in der SPC2- und SPC3-Karten installiert sind, nicht gültig.

Einstecken der SPC3-Karte: Richtlinien und Einschränkungen:

• Wenn in einem Gehäuse-Cluster einer der Knoten 1 SPC3-Karte und der andere Knoten über 2 SPC3-Karten verfügt, wird das Failover zu dem Knoten mit 1 SPC3-Karte nicht unterstützt.

• Sie müssen die SPC3 oder SPC2 in ein vorhandenes Gehäuse in einem höheren Steckplatz als eine aktuelle SPC3 in einem niedrigeren Steckplatz einfügen.

• Damit die SPC3-ISHU funktioniert, müssen Sie die neue SPC3-Karte in die höhere Steckplatznummer einfügen.

• Auf dem SRX5800-Gehäusecluster dürfen Sie die SPC3-Karte aufgrund der Leistungs- und Wärmeverteilungsgrenze nicht in den höchsten Steckplatz (Steckplatz Nr. 11) einlegen.

• Wir unterstützen keine SPC3 Hot Removal.

Tabelle 4 fasst die SRX5000-Reihe mit SPC2- oder SPC3-Karte zusammen, die folgendes unterstützt kmd oder iked verarbeitet:

SRX5000-Reihe mit SRX5K-SPC3-Karte (Services Processing Card), SRX-Plattformen mittlerer Reichweite (SRX4100-, SRX4200-, SRX1500- und SRX4600-Serie) und virtuelle Firewall vSRX erfordert ein Paket, da die Steuerungsebenen-Software zur Installation und Aktivierung von IPsec-VPN-Funktionen erforderlich ist junos-ike .

• Auf der SRX5000-Reihe mit RE3 wird das Paket standardmäßig junos-ike in Junos OS-Versionen 20.1R2, 20.2R2, 20.3R2, 20.4R1 und höher installiert. ikedikemd Infolgedessen wird der Prozess standardmäßig auf der Routing-Engine statt auf IPsec-Schlüsselverwaltungs-Daemon (kmd) ausgeführt. Die SRX5000-Reihe mit SRX5K-SPC3 verlagern kryptografische Vorgänge an die Hardware-Kryptografie-Engine.

• Die SRX-Plattformen der srX-Serie für die Firewalls der SRX1500-, SRX4100-, SRX4200- und SRX4600-Serie verlagern die kryptografischen Vorgänge der DH-, ECDH- und ECDSA-Verschlüsselung auf die Hardware-Kryptografie-Engine mit Geräten, auf denen Software ausgeführt wird junos-ike . Diese Funktion ist ab Junos OS Version 23.2R1 verfügbar, wenn Geräte mit einem junos-ike Paket installiert sind. Die Geräte, auf denen ältere iked Software (kmd-Prozess) weiterhin ausgeführt wird, unterstützen diese Funktion nicht.

• Auf der virtuellen Firewall vSRX entlastet der CPU-Thread der Data Plane den DH-, ECDH-, RSA- und ECDSA-Betrieb. Hardwarebeschleunigung ist auf diesen Geräten nicht verfügbar. Diese Funktion ist ab Junos OS Version 23.2R1 mit junos-ike auf dem Gerät installierten Paket verfügbar.

Verwenden Sie den folgenden Befehl, um das Junos IKE-Paket auf Ihrer Firewall der SRX-Serie zu installieren:

Um den Prozess zu verwenden kmd , um IPsec-VPN-Funktionen auf der SRX5000-Reihe ohne SPC3-Karte zu aktivieren, müssen Sie den request system software delete junos-ike Befehl ausführen. Starten Sie das Gerät neu, nachdem Sie den Befehl ausgeführt haben.

Verwenden Sie den folgenden Befehl, um das installierte junos-ike Paket zu überprüfen:

In diesem Thema erhalten Sie eine Zusammenfassung der IPsec-VPN-Funktionen und -Konfigurationen, die von der SRX5000-Reihe mit SRX5K-SPC3 und auf virtuellen vSRX-Firewall-Instanzen nicht unterstützt werden.

Die IPsec-VPN-Funktion wird von zwei Prozessen unterstützt, iked und ikemd zwar auf SRX5K-SPC3- und vSRX Virtual Firewall-Instanzen. Eine einzelne Instanz von iked und ikemd wird auf der Routing-Engine gleichzeitig ausgeführt.

Standardmäßig Junos-ike wird das Paket in Junos OS Releases 20.1R2, 20.2R2, 20.3R2, 20.4R1 und höher für DIE SRX5000-Reihe mit RE3 installiert, und ikemd beide iked werden auf der Routing-Engine ausgeführt.

Verwenden Sie den restart ike-config-management Befehl, um den Prozess in der Routine-Engine neu zu startenikemd.

Verwenden Sie den restart ike-key-management Befehl, um den Prozess in der Routing-Engine neu zu starteniked.

Wenn Sie den Prozess zur Aktivierung von IPsec-VPN-Funktionen auf der SRX5000-Reihe ohne SRX5K-SPC3-Karte verwenden kmd möchten, müssen Sie den request system software delete junos-ike Befehl ausführen. Nach dem Ausführen des Befehls müssen Sie das Gerät neu starten.

Auf Firewalls anti-replay-window der SRX-Serie ist die Fenstergröße standardmäßig mit dem Wert 64 aktiviert.

Auf der 5000-Serie der SRX-Serie mit installierten SPC3-Karten können Sie die anti-replay-window Größe im Bereich von 64 bis 8192 (Leistung von 2) konfigurieren. Verwenden Sie die neue anti-replay-window-size Option, um die Fenstergröße zu konfigurieren. Ein eingehendes Paket wird basierend auf dem anti-replay-window-size konfigurierten Replay-Angriff validiert.

Sie können auf zwei verschiedenen Ebenen konfigurieren replay-window-size :

• Global level— Konfiguration auf [edit security ipsec] Hierarchieebene.

  Zum Beispiel:

• VPN object— Konfiguration auf [edit security ipsec vpn vpn-name ike] Hierarchieebene.

  Zum Beispiel:

Wenn die Anti-Wiedergabe auf beiden Ebenen konfiguriert ist, hat die für eine VPN-Objektebene konfigurierte Fenstergröße Vorrang vor der auf globaler Ebene konfigurierten Fenstergröße. Wenn anti-replay nicht konfiguriert ist, beträgt die Fenstergröße standardmäßig 64.

Verwenden Sie den Befehl auf [] Hierarchieebene, um die set no-anti-replayedit security ipsec vpn vpn-name ikeAnti-Wiedergabe-Fensteroption für ein VPN-Objekt zu deaktivieren. Sie können die Anti-Wiedergabe auf globaler Ebene nicht deaktivieren.

Sie können beides anti-replay-window-size und no-anti-replay auf einem VPN-Objekt nicht konfigurieren.

Wenn Sie zwei VPN-Tunnel erstellen, die an einem Gerät enden, können Sie ein Routenpaar einrichten, sodass das Gerät den Datenverkehr, der einen Tunnel verlässt, zum anderen leitet. Außerdem müssen Sie eine Richtlinie erstellen, damit der Datenverkehr von einem Tunnel zum anderen geleitet werden kann. Eine solche Anordnung wird als Hub-and-Spoke-VPN bezeichnet. (Siehe Abbildung 4.)

Sie können auch mehrere VPNs konfigurieren und den Datenverkehr zwischen zwei beliebigen Tunneln routen.

Firewalls der SRX-Serie unterstützen nur die routenbasierte Hub-and-Spoke-Funktion.

Abbildung 4: Mehrere Tunnel in einer Hub-and-Spoke-VPN-Konfiguration