IPsec-VPN – Übersicht

Im Folgenden sind einige der IPsec-VPN-Topologien aufgeführt, die vom Betriebssystem Junos unterstützt werden:

• Site-to-Site-VPNs: Verbindet zwei Standorte in einer Organisation miteinander und ermöglicht eine sichere Kommunikation zwischen den Standorten.

• Hub-and-Spoke-VPNs: Verbindet Zweigstellen mit der Unternehmenszentrale in einem Unternehmensnetzwerk. Sie können diese Topologie auch verwenden, um Spokes miteinander zu verbinden, indem Sie Datenverkehr über den Hub senden.

• VPNs für Remote-Zugriff: Ermöglicht es Benutzern, die zu Hause oder auf Reisen arbeiten, sich mit der Unternehmenszentrale und ihren Ressourcen zu verbinden. Diese Topologie wird manchmal auch als end-to-site tunnel.

Tabelle 2 fasst die Unterschiede zwischen richtlinienbasierten VPNs und routenbasierten VPNs zusammen.

In diesem Thema erfahren Sie, wie Sie die logische Punkt-zu-Punkt-Schnittstelle st0 für mehrere VPN-Objekte gemeinsam nutzen.

Junos OS unterstützt die gemeinsame Nutzung der logischen Punkt-zu-Punkt-st0-Schnittstelle, wenn Sie den IPsec-VPN-Dienst mit dem iked-Prozess ausführen, um einen Migrationspfad vom kmd-Prozess bereitzustellen. Sie können mehrere VPN-Objekte so konfigurieren, dass sie eine Punkt-zu-Punkt-st0-Schnittstelle gemeinsam nutzen, wenn Sie die folgenden Voraussetzungen erfüllen:

• Sie haben Selektoren für expliziten Datenverkehr konfiguriert.

• Sie haben in Ihrer Konfiguration keine Platzhalter-Netzwerkmaske verwendet.

Lesen Sie weiter, um die Vorteile und Einschränkungen der gemeinsam genutzten Punkt-zu-Punkt-st0-Schnittstelle zu verstehen.

• Vorteile
• Begrenzungen
• Beispielkonfiguration

Ein IPsec-VPN-Tunnel besteht aus der Einrichtung des Tunnels und der angewendeten Sicherheit. Während des Tunnelaufbaus richten die Peers Sicherheitszuordnungen (Security Associations, SAs) ein, die die Parameter für die Sicherung des Datenverkehrs untereinander definieren. Weitere Informationen finden Sie unter IPsec – Übersicht. Nachdem der Tunnel eingerichtet wurde, schützt IPsec den Datenverkehr, der zwischen den beiden Tunnelendpunkten gesendet wird, indem die von den SAs während der Tunneleinrichtung definierten Sicherheitsparameter angewendet werden. In der Junos OS-Implementierung wird IPsec im Tunnelmodus angewendet, der die Protokolle Encapsulating Security Payload (ESP) und Authentication Header (AH) unterstützt.

Dieses Thema umfasst die folgenden Abschnitte:

Paketverarbeitung im Tunnelmodus

IPsec arbeitet in einem von zwei Modi: Transport oder Tunnel. Wenn beide Enden des Tunnels Hosts sind, können Sie beide Modi verwenden. Wenn es sich bei mindestens einem der Endpunkte eines Tunnels um ein Sicherheitsgateway handelt, z. B. ein Junos OS-Router oder eine Firewall, müssen Sie den Tunnelmodus verwenden. Geräte von Juniper Networks werden für IPsec-Tunnel immer im Tunnelmodus betrieben.

Im Tunnelmodus wird das gesamte ursprüngliche IP-Paket – Nutzlast und Header – in eine andere IP-Nutzlast gekapselt und ein neuer Header wird angehängt, wie in Abbildung 1gezeigt. Das gesamte ursprüngliche Paket kann verschlüsselt, authentifiziert oder beides sein. Mit dem AH-Protokoll (Authentication Header) werden auch der AH und neue Header authentifiziert. Mit dem ESP-Protokoll (Encapsulating Security Payload) kann auch der ESP-Header authentifiziert werden.

Abbildung 1: Tunnel-Modus

In einem Site-to-Site-VPN sind die Quell- und Zieladressen, die im neuen Header verwendet werden, die IP-Adressen der ausgehenden Schnittstelle. Siehe Abbildung 2.

Abbildung 2: Site-to-Site-VPN im Tunnelmodus

In einem DFÜ-VPN gibt es kein Tunnelgateway am VPN-DFÜ-Client-Ende des Tunnels. Der Tunnel erstreckt sich direkt auf den Client selbst (siehe Abbildung 3). In diesem Fall haben bei Paketen, die vom DFÜ-Client gesendet werden, sowohl der neue Header als auch der gekapselte ursprüngliche Header dieselbe IP-Adresse: die des Computers des Clients.

Einige VPN-Clients, wie z.B. die Netscreen-Remote, verwenden eine virtuelle innere IP-Adresse (auch "Sticky Address" genannt). Netscreen-Remote ermöglicht es Ihnen, die virtuelle IP-Adresse zu definieren. In solchen Fällen ist die virtuelle innere IP-Adresse die Quell-IP-Adresse im ursprünglichen Paket-Header des Datenverkehrs, der vom Client stammt, und die IP-Adresse, die der ISP dem DFÜ-Client dynamisch zuweist, ist die Quell-IP-Adresse im äußeren Header.

Abbildung 3: DFÜ-VPN im Tunnelmodus

Plattformspezifische SPUs, VPN-Verarbeitungsverhalten Im Abschnitt finden Sie Hinweise zu Ihrer Plattform.

In Firewallsder SRX-Serie bietet IKE Tunnelmanagement für IPsec und authentifiziert Endentitäten. IKE führt einen Diffie-Hellman-Schlüsselaustausch (DH) durch, um einen IPsec-Tunnel zwischen Netzwerkgeräten zu erzeugen. Die von IKE generierten IPsec-Tunnel werden verwendet, um den Benutzerdatenverkehr zwischen den Netzwerkgeräten auf der IP-Ebene zu verschlüsseln, zu entschlüsseln und zu authentifizieren.

Das VPN wird erstellt, indem die IKE- und IPsec-Arbeitsauslastung auf die verschiedenen Services Processing Units (SPUs) der Plattform verteilt wird. Bei Site-to-Site-Tunneln wird die SPU mit der geringsten Auslastung als Anker-SPU ausgewählt. Wenn mehrere SPUs die gleiche kleinste Last haben, kann jede von ihnen als Anker-SPU ausgewählt werden. Hier entspricht die Last der Anzahl der Site-to-Site-Gateways oder manuellen VPN-Tunnel, die auf einer SPU verankert sind. Bei dynamischen Tunneln verwenden die neu eingerichteten dynamischen Tunnel einen Round-Robin-Algorithmus zur Auswahl der SPU.

Bei IPsec wird die Arbeitsauslastung durch denselben Algorithmus verteilt, der auch die IKE verteilt. Die Phase-2-Sicherheitszuordnung für ein bestimmtes VPN-Tunnel-Endpunktpaar gehört ausschließlich einer bestimmten SPU, und alle IPsec-Pakete, die zu dieser Phase-2-Sicherheitszuordnung gehören, werden zur IPsec-Verarbeitung an die Verankerungs-SPU dieser Sicherheitszuordnung weitergeleitet.

Mehrere IPsec-Sitzungen (Phase 2 SA) können über eine oder mehrere IKE-Sitzungen ausgeführt werden. Die SPU, die für die Verankerung der IPsec-Sitzung ausgewählt wird, basiert auf der SPU, die die zugrunde liegende IKE-Sitzung verankert. Daher werden alle IPsec-Sitzungen, die über ein einzelnes IKE-Gateway ausgeführt werden, von derselben SPU bedient und haben keinen Lastenausgleich über mehrere SPUs.

Tabelle 3 zeigt ein Beispiel für eine Firewall mit drei SPUs, die sieben IPsec-Tunnel über drei IKE-Gateways ausführen.

Die drei SPUs haben die gleiche Last von jeweils einem IKE-Gateway. Wenn ein neues IKE-Gateway erstellt wird, können SPU0, SPU1 oder SPU2 ausgewählt werden, um das IKE-Gateway und seine IPsec-Sitzungen zu verankern.

Das Einrichten und Beenden vorhandener IPsec-Tunnel wirkt sich nicht auf die zugrunde liegende IKE-Sitzung oder vorhandene IPsec-Tunnel aus.

Verwenden Sie den folgenden show Befehl, um die aktuelle Anzahl der Tunnel pro SPU anzuzeigen: show security ike tunnel-map.

Verwenden Sie die summary Option des Befehls, um die Ankerpunkte der einzelnen Gateways anzuzeigen: show security ike tunnel-map summary.

Plattformspezifisches SRX5000-Line-SPC-Verhalten Im Abschnitt finden Sie Hinweise zu Ihrer Plattform.

Weitere Informationen finden Sie im Abschnitt Zusätzliche Plattforminformationen für kmd- und iked-Prozess in SRX5000 Zeile .

In High-End-Gehäuse-Clustern der SRX-Serie können Sie SPCs in die Geräte einfügen , ohne den Datenverkehr in den vorhandenen IKE- oder IPsec-VPN-Tunnelnzu beeinträchtigen oder zu unterbrechen.

Siekönnen eine SPC3 - oder SPC2-Karte in ein vorhandenes Gehäuse mit einer SPC3-Karte einfügen. Sie können die Karten nur in einen höheren Steckplatz als die vorhandene SPC3-Karte im Gehäuse einsetzen.

Vorhandene Tunnel können jedoch nicht die Rechenleistung der Service Processing Units (SPUs) in den neuen SPCs nutzen. Eine neue SPU kann neu eingerichtete Site-to-Site- und dynamische Tunnel verankern. Es kann jedoch nicht garantiert werden, dass neu konfigurierte Tunnel auf einer neuen SPU verankert werden.

Site-to-Site-Tunnel werden auf der Grundlage eines Lastausgleichsalgorithmus auf verschiedenen SPUs verankert. Der Lastenausgleichsalgorithmus ist abhängig von der Anzahl der Datenflussthreads, die jede SPU verwendet. Tunnel, die zu denselben lokalen und Remote-Gateway-IP-Adressen gehören, sind in derselben SPU in unterschiedlichen Datenfluss-RT-Threads verankert, die von der SPU verwendet werden. Als Anker-SPU wird die SPU mit der geringsten Last gewählt. Jede SPU verwaltet die Anzahl der Flow-RT-Threads, die in dieser bestimmten SPU gehostet werden. Die Anzahl der Flow-RT-Threads, die auf jeder SPU gehostet werden, hängt vom Typ der SPU ab.

Tunnellastfaktor = Anzahl der auf der SPU verankerten Tunnel / Gesamtzahl der von der SPU verwendeten RT-Threads im Fluss.

Dynamische Tunnel werden auf der Grundlage eines Round-Robin-Algorithmus auf verschiedenen SPUs verankert. Es kann nicht garantiert werden, dass neu konfigurierte dynamische Tunnel auf der neuen SPC verankert werden.

Wenn sowohl SPC2- als auch SPC3-Karten installiert sind, können Sie die Tunnelzuordnung auf verschiedenen SPUs mit dem show security ipsec tunnel-distribution Befehl überprüfen.

Verwenden Sie den Befehl show security ike tunnel-map , um die Tunnelzuordnung auf verschiedenen SPUs anzuzeigen, in die nur eine SPC2-Karte eingelegt ist. Der Befehl show security ike tunnel-map ist in einer Umgebung, in der SPC2- und SPC3-Karten installiert sind, nicht gültig.

Einsetzen der SPC3-Karte: Richtlinien und Einschränkungen:

• Wenn in einem Chassis-Cluster einer der Knoten über 1 SPC3-Karte und der andere Knoten über 2 SPC3-Karten verfügt, wird das Failover auf den Knoten mit 1 SPC3-Karte nicht unterstützt.

• Sie müssen SPC3 oder SPC2 in ein vorhandenes Gehäuse in einem höheren Steckplatz einsetzen als ein aktuelles SPC3 in einem niedrigeren Steckplatz.

• Damit SPC3 ISHU funktioniert, müssen Sie die neue SPC3-Karte in die höhere Steckplatznummer einsetzen.

• Wir unterstützen die SPC3-Hot-Removal nicht.

Die beiden Prozesse iked und ikemd unterstützen IPsec-VPN-Funktionen auf Firewalls der SRX-Serie. Es wird jeweils eine einzelne Instanz von iked und ikemd auf der Routing-Engine ausgeführt.

Mit junos-ike dem Paket führt die Firewall den IPsec-VPN-Dienst unter Verwendung des iked-Prozesses aus. Das Support-Paket junos-ike für Firewalls der SRX-Serie umfasst mehrere Versionen.

Weitere Informationen finden Sie im Abschnitt Zusätzliche Plattforminformationen für junos-ike die Paketunterstützung .

Sowohl der iked - als auch der ikemd-Prozess , der auf der Routing-Engine ausgeführt wird, sind mit dem junos-ike Paket verfügbar.

Verwenden Sie den folgenden Befehl, um das junos-ike Paket auf einer Firewall der SRX-Serie zu installieren:

Um den ikemd-Prozess in der Routine Engine neu zu starten, verwenden Sie den restart ike-config-management Befehl.

Um den iked-Prozess in der Routing-Engine neu zu starten, verwenden Sie den restart ike-key-management Befehl.

Führen Sie den request system software delete junos-ike Befehl aus,und starten Sie das Gerät neu, um IPsec-VPN-Funktionen mit dem veralteten kmd-Prozess auf Firewalls der SRX-Serie auszuführen.

Um das installierte junos-ike Paket zu überprüfen, verwenden Sie den folgenden Befehl:

Lesen Sie den Abschnitt Plattformspezifisches kryptografisches Beschleunigungsverhalten , um Hinweise zu Ihrer Plattform zu erhalten.

Weitere Informationen finden Sie im Abschnitt Zusätzliche Plattforminformationen für die Unterstützung der kryptografischen Beschleunigung .

Junos OS unterstützt die Beschleunigung kryptografischer Vorgänge der Hardware-Kryptografie-Engine. Die Firewall der SRX-Serie kann kryptografische DH-, RSA- und ECDSA-Vorgänge an die Hardware-Kryptografie-Engine auslagern.

Mit dem Junos-ike-Paket führt die Firewall den IPsec-VPN-Dienst unter Verwendung des iked-Prozesses aus. Die Firewall benötigt den iked-Prozess als Software der Steuerungsebene, um erweiterte IPsec-VPN-Funktionen zu installieren und zu aktivieren. Als Ergebnis des Junos-ike-Pakets führt die Firewall standardmäßig den iked - und ikemd-Prozess auf der Routing-Engine anstelle des IPsec Key Management Daemon (kmd)aus.

Die Firewalls unterstützen Hardwarebeschleunigung für verschiedene Verschlüsselungen.

Weitere Informationen finden Sie im Tabelle 12Abschnitt , Tabelle 13, Tabelle 14, Tabelle 15Tabelle 16, und Tabelle 17 im Abschnitt Zusätzliche Plattforminformationen .

Junos OS unterstützt Routing-Protokolle auf IPsec-VPN-Tunneln mit Firewalls der SRX-Serie und Routern der MX-Serie mit SPC3. Zu den unterstützten Protokollen gehören OSPF, BGP, PIM, RIP und BFD beim Ausführen des kmd- oder iked-Prozesses. Die Protokollunterstützung hängt von den folgenden Faktoren ab:

• IP-Adressierungsschema: IPv4- oder IPv6-Adressen

• Art der st0-Schnittstelle: Punkt-zu-Punkt (P2P) oder Punkt-zu-Mehrpunkt (P2MP)

Plattformspezifisches Anti-Replay-Fensterverhalten Im Abschnitt finden Sie Hinweise zu Ihrer Plattform.

Bei Firewalls anti-replay-window der SRX-Serie ist standardmäßig mit einem Fenstergrößenwert von 64 aktiviert.

Um die Fenstergröße zu konfigurieren, verwenden Sie die neue anti-replay-window-size Option. Ein eingehendes Paket wird basierend auf dem anti-replay-window-size konfigurierten Wert für einen Replay-Angriff validiert.

Sie können auf zwei verschiedenen Ebenen konfigurieren replay-window-size :

• Global level– Wird auf der Hierarchieebene [edit security ipsec] konfiguriert.

  Zum Beispiel:

• VPN object– Wird auf der Hierarchieebene [edit security ipsec vpn vpn-name ike] konfiguriert.

  Zum Beispiel:

Wenn Anti-Replay auf beiden Ebenen konfiguriert ist, hat die für eine VPN-Objektebene konfigurierte Fenstergröße Vorrang vor der auf globaler Ebene konfigurierten Fenstergröße. Wenn Anti-Replay nicht konfiguriert ist, beträgt die Fenstergröße standardmäßig 64.

Um die Option für das Anti-Wiedergabe-Fenster für ein VPN-Objekt zu deaktivieren, verwenden Sie den set no-anti-replay Befehl auf der Hierarchieebene [edit security ipsec vpn vpn-name ike]. Sie können Anti-Replay nicht auf globaler Ebene deaktivieren.

Sie können nicht sowohl als auch anti-replay-window-sizeno-anti-replay für ein VPN-Objekt konfigurieren.

Wenn Sie zwei VPN-Tunnel erstellen, die an einem Gerät enden, können Sie ein Routenpaar so einrichten, dass das Gerät den Datenverkehr, der einen Tunnel verlässt, an den anderen Tunnel weiterleitet. Außerdem müssen Sie eine Richtlinie erstellen, damit der Datenverkehr von einem Tunnel zum anderen weitergeleitet werden kann. Eine solche Anordnung wird als Hub-and-Spoke-VPNbezeichnet. (Siehe Abbildung 4.)

Sie können auch mehrere VPNs konfigurieren und den Datenverkehr zwischen zwei beliebigen Tunneln weiterleiten.

Die Firewalls der SRX-Serie unterstützen nur die routenbasierte Hub-and-Spoke-Funktion.

Abbildung 4: Mehrere Tunnel in einer Hub-and-Spoke-VPN-Konfiguration

Verwenden Sie den Funktions-Explorer , um die Plattform- und Releaseunterstützung für bestimmte Features zu bestätigen.

Weitere Informationen finden Sie in diesem Zusätzliche Plattforminformationen Abschnitt.

Verwenden Sie die folgenden Tabellen, um das plattformspezifische Verhalten für Ihre Plattformen zu überprüfen.

• Plattformspezifische SPUs, VPN-Verarbeitungsverhalten
• Plattformspezifisches SRX5000-Line-SPC-Verhalten
• Plattformspezifisches kryptografisches Beschleunigungsverhalten
• Plattformspezifisches Anti-Replay-Fensterverhalten

Verwenden Sie den Funktions-Explorer , um die Plattform- und Releaseunterstützung für bestimmte Features zu bestätigen. Zusätzliche Plattformen können unterstützt werden.