IPv6-IPsec-VPNs
Juniper Networks unterstützt manuelle und automatische IKE mit vorinstallierten Schlüsselkonfigurationen für IPv6 IPsec VPN.
VPN-Funktionsunterstützung für IPv6-Adressen
Ein routenbasierter Site-to-Site-VPN-Tunnel mit einer sicheren Punkt-zu-Punkt-Tunnelschnittstelle kann im IPv4-in-IPv4-, IPv6-in-IPv6-, IPv6-in-IPv4- oder IPv4-in-IPv6-Tunnelmodus betrieben werden. IPv6-Adressen können sich im äußeren IP-Header, der den Tunnelendpunkt darstellt, oder im inneren IP-Header befinden, der die endgültigen Quell- und Zieladressen für ein Paket darstellt.
Tabelle 1 definiert die Unterstützung für IPv6-Adressen in VPN-Funktionen.
Funktion |
Routingprotokolle |
Ausnahmen |
|---|---|---|
IKE- und IPsec-Unterstützung: |
||
IKEv1 und IKEv2 |
Ja |
Sofern nicht angegeben, sind alle unterstützten Funktionen für IKEv1 und IKEv2 anwendbar. |
Routenbasiertes VPN |
Ja |
– |
Richtlinienbasiertes VPN |
Ja |
Richtlinienbasierte IPv6-VPNs werden auf Geräten der SRX-Serie in Gehäuse-Cluster-Konfigurationen nicht unterstützt. Richtlinienbasierte IPv6-VPNs werden nur mit IPv6-in-IPv6-Tunneln auf eigenständigen SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten unterstützt. |
Site-to-Site-VPN |
Ja |
Es wird nur One-to-One-Site-VPN unterstützt. Many-to-One-Site-VPN (NHTB) wird nicht unterstützt. Die NHTB-Konfiguration kann nicht für andere Tunnelmodi als IPv4-in-IPv4-Tunnel festgelegt werden. |
Dynamisches Endpunkt-VPN |
Ja |
– |
Wähl-VPN |
Ja |
– |
AutoVPN |
Ja |
AutoVPN-Netzwerke, die sichere Tunnelschnittstellen im Punkt-zu-Punkt-Modus verwenden, unterstützen IPv6-Adressen für Datenverkehrs-Selektoren und IKE-Peers. AutoVPN im Point-to-Multipoint-Modus unterstützt keinen IPv6-Datenverkehr. |
Gruppen-VPN |
Nicht vorhanden. |
– |
Punkt-zu-Punkt-Tunnel-Schnittstellen |
Ja |
– |
Point-to-Multipoint-Tunnelschnittstellen |
Nicht vorhanden. |
– |
Hub-and-Spoke-Szenario für Site-to-Site-VPNs |
Ja |
– |
Nummerierte und nicht nummerierte Tunnelschnittstellen |
Ja |
– |
Unicast statisches und dynamisches Routing (RIP, OSPF, BGP) |
Ja |
– |
Dynamisches Multicast-Routing (PIM) |
Nicht vorhanden. |
– |
Virtueller Router |
Ja |
– |
Logisches System |
Nicht vorhanden. |
– |
Automatisches und manuelles SA- und Schlüsselmanagement |
Ja |
– |
Mehrere SPUs |
Ja |
– |
Gehäuse-Cluster |
Ja |
IPsec-VPN mit aktiv-aktiv-Modus wird nur auf Geräten mit SRX300, SRX320, SRX340, SRX345 und SRX550HM für routenbasierte IPv6-Tunnel unterstützt. IPsec-VPN mit aktiv-aktiv-Modus wird auf SRX5400-, SRX5600- und SRX5800-Geräten nicht unterstützt. |
Statistiken, Protokolle, Debugging pro Tunnel |
Ja |
– |
SNMP-MIB |
Ja |
– |
Lokale Adressauswahl |
Ja |
Wenn mehrere Adressen derselben Adressfamilie auf einer physischen externen Schnittstelle zu einem VPN-Peer konfiguriert werden, empfehlen wir, dass Sie auch auf Hierarchieebene [ |
Loopback-Adressterminierung |
Ja |
– |
Xauth oder Modecfg über IPv6 |
Nicht vorhanden. |
– |
SPC-Einlage |
Ja |
– |
ISSU |
Ja |
– |
DNS-Name als IKE-Gateway-Adresse |
Ja |
Wie bei IPv4-Tunneln werden Änderungen der Peer-Gateway-Adressen am DNS-Namen von IPv6-Tunneln nicht unterstützt. |
Preshared-Schlüssel oder Zertifikatsauthentifizierung |
Ja |
– |
NAT-Traversal (NAT-T) für IPv4-IKE-Peers |
Ja |
NAT-T wird nur für IPv6-in-IPv4- und IPv4-in-IPv4-Tunnelmodi mit IKEv1 unterstützt. IPv6-in-IPv6- und IPv4-in-IPv6-Tunnelmodi werden nicht unterstützt. IKEv2 wird für NAT-T nicht unterstützt. NAT-T von IPv6 zu IPv4 oder von IPv4 zu IPv6 wird nicht unterstützt. |
Dead Peer Detection (DPD) und DPD Gateway-Failover |
Ja |
DPD-Gateway-Failover wird nur für verschiedene Gateway-Adressen innerhalb derselben Produktfamilie unterstützt. Ein Failover von einer IPv6-Gateway-Adresse auf eine IPv4-Gateway-Adresse oder umgekehrt wird nicht unterstützt. |
Verschlüsselungssätze, Authentifizierungsalgorithmen und DH-Gruppen, die in Junos OS Version 12.1X45-D10 für Geräte der SRX-Serie unterstützt werden. |
Ja |
– |
Generische Vorschläge und Richtlinien für IPv6 und IPv4 |
Ja |
– |
Allgemeine IKE-ID |
Ja |
– |
ESP- und AH-Transportmodi |
Nicht vorhanden. |
Diese Modi werden für IPv4 nicht unterstützt. |
ESP- und AH-Tunnelmodi |
Ja |
AH-Tunnel-Modus mit mutierbaren Erweiterungs-Headern und -Optionen wird nicht unterstützt. |
Erweiterte Sequenznummer |
Nicht vorhanden. |
– |
Einzelne Proxy-ID-Paare |
Ja |
– |
Mehrere Datenverkehrsauswahlpaare |
Ja |
Nur mit IKEv1 unterstützt. |
Lebensdauer von IKE oder IPsec SA, in Sekunden |
Ja |
– |
Lebensdauer von IKE SA, in Kilobyte |
Ja |
– |
VPN-Überwachung |
Nicht vorhanden. |
Die Konfiguration mit IPv6-Tunneln kann nicht festgelegt werden. |
DF-Bit |
Ja |
Für IPv6-in-IPv6-Tunnel wird das DF-Bit nur festgelegt, wenn es auf Hierarchieebene [ |
Dual-Stack (parallele IPv4- und IPv6-Tunnel) über eine einzige physische Schnittstelle |
Ja |
Für routenbasierte Site-to-Site-VPNs. Ein einzelner IPv4-Tunnel kann sowohl im IPv4-in-IPv4- als auch im IPv6-in-IPv4-Tunnelmodus betrieben werden, und ein einzelner IPv6-Tunnel kann sowohl im IPv4-in-IPv6- als auch im IPv6-in-IPv6-Tunnelmodus betrieben werden. |
IPv6-Erweiterungs-Header |
Ja |
IPv6-Erweiterungs-Header und IPv4-Optionen für IKE- und IPsec-Pakete werden akzeptiert, aber nicht verarbeitet. AH mit veränderbaren EHs und Optionen wird nicht unterstützt. |
Fragmentierung und Reassemierung |
Ja |
– |
Affinität zu VPN-Sitzungen |
Ja |
– |
Multicast-Datenverkehr |
Nicht vorhanden. |
– |
Tunnel-IP-Services (Screen, NAT, ALG, IPS, AppSecure) |
Ja |
– |
Paketanordnung für IPv6-Fragmente über Tunnel |
Nicht vorhanden. |
– |
Bidirectional Forwarding Detection (BFD) über OSPFv3-Routen auf st0-Schnittstelle |
Nicht vorhanden. |
– |
Neighbor Discovery Protocol (NDP) über st0-Schnittstellen |
Nicht vorhanden. |
– |
PKI-Unterstützung: |
||
PKI im virtuellen Router |
Ja |
– |
RSA-Signaturauthentifizierung (512-, 1024-, 2048- oder 4096-Bit-Schlüsselgröße) |
Ja |
– |
DSA-Signaturauthentifizierung (1024-, 2048- oder 4096-Bit-Schlüsselgröße) |
Ja |
– |
ECDSA-Signaturen |
Ja |
– |
Zertifikatskettenauthentifizierung |
Nicht vorhanden. |
– |
Automatische oder manuelle Anmeldung über IPv4 |
Ja |
– |
Automatische oder manuelle Sperrung über IPv4 |
Ja |
– |
Automatische oder manuelle Anmeldung über IPv6 |
Nicht vorhanden. |
– |
Automatische oder manuelle Sperrung über IPv6 |
Nicht vorhanden. |
– |
IPv6-Adressen in PKI-Zertifikatsfeldern |
Nicht vorhanden. |
– |
Siehe auch
Grundlegendes zur IPv6-IKE- und IPsec-Paketverarbeitung
Dieses Thema umfasst die folgenden Abschnitte:
IPv6-IKE-Paketverarbeitung
Internet Key Exchange (IKE) ist Teil der IPsec-Suite von Protokollen. Es ermöglicht automatisch zwei Tunnel-Endpunkten, Sicherheitszuordnungen (SAs) einzurichten und geheime Schlüssel miteinander auszuhandeln. Die Sicherheitsparameter müssen nicht manuell konfiguriert werden. IKE bietet auch die Authentifizierung für die Kommunikation von Peers.
Die IKE-Paketverarbeitung in IPv6-Netzwerken umfasst die folgenden Elemente:
Internet Security Association and Key Management Protocol (ISAKMP)-Identifizierungs-Payload
ISAKMP-Identifizierungsnutzlast wird verwendet, um die kommunizierenden IPv6-Peers zu identifizieren und zu authentifizieren. Für IPv6 sind zwei ID-Typen (ID_IPV6_ADDR und ID_IPV6_ADDR_SUBNET) aktiviert. Der ID-Typ gibt den Typ der zu verwendenden Identifizierung an. Der ID_IPV6_ADDR-Typ gibt eine einzelne IPv6-Adresse mit 16 Oktett an. Dieser ID-Typ stellt eine IPv6-Adresse dar. Der ID_IPV6_ADDR_SUBNET-Typ gibt einen Bereich von IPv6-Adressen an, der durch zwei 16-Oktett-Werte dargestellt wird. Dieser ID-Typ stellt eine IPv6-Netzwerkmaske dar. Tabelle 2 listet die ID-Typen und ihre zugewiesenen Werte in der Identifizierungsnutzlast auf.
Tabelle 2: ISAKMP-ID-Typen und ihre Werte ID-Typ
Wert
RESERVIERT
0
ID_IPV4_ADDR
1
ID_FQDN
2
ID_USER_FQDN
3
ID_IPV4_ADDR_SUBNET
4
ID_IPV6_ADDR
5
ID_IPV6_ADDR_SUBNET
6
ID_IPV4_ADDR_RANGE
7
ID_IPV6_ADDR_RANGE
8
ID_DER_ASN1_DN
9
ID_DER_ASN1_GN
10
ID_KEY_ID
11
ID_LIST
12
Der ID_IPV6_ADDR_RANGE-Typ gibt einen Bereich von IPv6-Adressen an, der durch zwei 16-Oktett-Werte dargestellt wird. Der erste Oktettwert repräsentiert die IPv6-Startadresse und der zweite Oktettwert die endende IPv6-Adresse im Bereich. Alle IPv6-Adressen, die zwischen der ersten und der letzten IPv6-Adresse fallen, gelten als Teil der Liste.
Zwei ID-Typen in ISAKMP-Identifizierungsnutzlasten (ID_IPV6_ADDR_RANGE und ID_IPV4_ADDR_RANGE) werden in dieser Version nicht unterstützt.
Proxy-ID
In Phase 2 der IKE-Aushandlung wird eine Proxy-ID verwendet. Er wird generiert, bevor ein IPsec-Tunnel eingerichtet wird. Eine Proxy-ID identifiziert die SA, die für das VPN verwendet werden soll. Es werden zwei Proxy-IDs generiert – lokal und remote. Die lokale Proxy-ID bezieht sich auf die lokale IPv4- oder IPv6-Adresse/Netzwerk und Subnet-Maske. Die Remote-Proxy-ID bezieht sich auf die Remote-IPv4- oder IPv6-Adresse/Netzwerk und Subnet-Maske.
Security Association
Eine SA ist eine Vereinbarung zwischen VPN-Teilnehmern zur Unterstützung einer sicheren Kommunikation. SAs werden anhand von drei Parametern differenziert: Security Parameter Index (SPI), Ziel-IPv6-Adresse und Sicherheitsprotokoll (entweder AH oder ESP). Der SPI ist ein eindeutiger Wert, der einer SA zugewiesen wird, um eine SA unter mehreren SAs zu identifizieren. In einem IPv6-Paket wird die SA von der Zieladresse im äußeren IPv6-Header identifiziert, und das Sicherheitsprotokoll wird entweder aus dem AH- oder dem ESP-Header identifiziert.
IPv6-IPsec-Paketverarbeitung
Nachdem die IKE-Verhandlungen abgeschlossen sind und die beiden IKE-Gateways Phase-1- und Phase-2-SAs eingerichtet haben, setzt IPv6-IPsec Authentifizierungs- und Verschlüsselungstechnologien ein, um die IPv6-Pakete zu schützen. Da IPv6-Adressen 128 Bits lang sind im Vergleich zu IPv4-Adressen, die 32 Bits lang sind, erfordert die IPv6-IPsec-Paketverarbeitung mehr Ressourcen.
Die Neuanordnung von Paketen für IPv6-Fragmente über einen Tunnel wird nicht unterstützt.
Geräte mit IPv6-Adressierung führen keine Fragmentierung durch. IPv6-Hosts sollten entweder Pfad-MTU-Erkennung durchführen oder Pakete senden, die kleiner als die IPv6-MTU-Mindestgröße von 1280 Bytes sind.
Dieses Thema umfasst die folgenden Abschnitte:
- AH-Protokoll in IPv6
- ESP-Protokoll in IPv6
- IPv4-Optionen und IPv6-Erweiterungs-Header mit AH und ESP
- Wertberechnung der Integritätsprüfung in IPv6
- Header-Konstruktion in Tunnelmodi
AH-Protokoll in IPv6
Das AH-Protokoll bietet Datenintegrität und Datenauthentifizierung für IPv6-Pakete. IPv6-IPsec verwendet Erweiterungs-Header (z. B. Hop-für-Hop- und Routing-Optionen), die in einer bestimmten Weise im IPv6-Datagramm angeordnet werden müssen. Im AH-Tunnel-Modus folgt der AH-Header sofort dem neuen äußeren IPv6-Header, ähnlich wie im IPv4-AH-Tunnelmodus. Die Extension-Header werden nach dem ursprünglichen inneren Header platziert. Daher wird im AH-Tunnelmodus das gesamte Paket gekapselt, indem ein neuer äußerer IPv6-Header hinzugefügt wird, gefolgt von einem Authentifizierungs-Header, einem inneren Header, Erweiterungs-Headern und dem Rest des ursprünglichen Datagramms, wie in Abbildung 1.
Im Gegensatz zu ESP deckt der AH-Authentifizierungsalgorithmus den äußeren Header sowie alle neuen Erweiterungs-Header und Optionen ab.
Der AH-Tunnelmodus auf Geräten der SRX-Serie unterstützt keine IPv4-Optionen oder IPv6-mutierbare Erweiterungs-Header. Siehe Tabelle 3.
ESP-Protokoll in IPv6
DAS ESP-Protokoll bietet sowohl Verschlüsselung als auch Authentifizierung für IPv6-Pakete. Da IPv6-IPsec im IPv6-Datagramm Erweiterungs-Header (z. B. Hop-für-Hop- und Routing-Optionen) verwendet, besteht der wichtigste Unterschied zwischen dem IPv6 ESP-Tunnelmodus und dem IPv4 ESP-Tunnelmodus in der Platzierung von Erweiterungs-Headern im Paketlayout. Im ESP-Tunnel-Modus folgt der ESP-Header sofort dem neuen äußeren IPv6-Header, ähnlich wie im IPv4 ESP-Tunnelmodus. Daher wird im ESP-Tunnelmodus das gesamte Paket gekapselt, indem ein neuer äußerer IPv6-Header hinzugefügt wird, gefolgt von einem ESP-Header, einem inneren Header, Erweiterungs-Headern und dem Rest des ursprünglichen Datagramms, wie in Abbildung 2.
IPv4-Optionen und IPv6-Erweiterungs-Header mit AH und ESP
IPsec-Pakete mit IPv4-Optionen oder IPv6-Erweiterungs-Headern können zur Entkapselung auf Geräten der SRX-Serie empfangen werden. Tabelle 3 zeigt die IPv4-Optionen oder IPv6-Erweiterungs-Header an, die vom ESP- oder AH-Protokoll auf Geräten der SRX-Serie unterstützt werden. Wenn ein nicht unterstütztes IPsec-Paket empfangen wird, schlägt die ICV-Berechnung fehl und das Paket wird gelöscht.
Optionen oder Erweiterungs-Header |
Geräte SRX300, SRX320, SRX340, SRX345 und SRX550HM |
GERÄTE DER SERIE SRX5400, SRX5600 und SRX5800 |
|---|---|---|
ESP mit IPv4-Optionen |
Routingprotokolle |
Routingprotokolle |
ESP mit IPv6-Erweiterungs-Headern |
Routingprotokolle |
Routingprotokolle |
AH mit unveränderlichen IPv4-Optionen |
Routingprotokolle |
Routingprotokolle |
AH mit IPv6 unveränderlichen Erweiterungs-Headern |
Routingprotokolle |
Routingprotokolle |
AH mit IPv4-Optionen |
Nicht unterstützt |
Nicht unterstützt |
AH mit IPv6-mutierbaren Erweiterungs-Headern |
Nicht unterstützt |
Nicht unterstützt |
Wertberechnung der Integritätsprüfung in IPv6
Das AH-Protokoll überprüft die Integrität des IPv6-Pakets durch Berechnung eines Integrity Check Value (ICV) für den Paketinhalt. ICV basiert normalerweise auf einem Authentifizierungsalgorithmus wie MD5 oder SHA-1. Die IPv6-ICV-Berechnungen unterscheiden sich von denen in IPv4 in Bezug auf zwei Header-Felder : veränderbarer Header und optionaler Erweiterungs-Header.
Sie können den AH ICV über die IPv6-Header-Felder berechnen, die bei der Übertragung entweder unveränderlich oder vorhersehbar sind, wenn sie an den Tunnelendpunkten ankommen. Sie können auch den AH ICV über den AH-Header und die Protokolldaten der oberen Ebene (die bei der Übertragung als unveränderlich angesehen werden) berechnen. Sie können den ESP ICV über das gesamte IPv6-Paket berechnen, mit Ausnahme des neuen äußeren IPv6-Headers und der optionalen Erweiterungs-Header.
Im Gegensatz zu IPv4 verfügt IPv6 über eine Methode für Tagging-Optionen, die während der Übertragung als veränderbar sind. Optionale IPv6-Erweiterungs-Header enthalten ein Flag, das die Mutierbarkeit anzeigt. Dieses Flag bestimmt die entsprechende Verarbeitung.
IPv4-Optionen und IPv6-Erweiterungs-Header werden vom AH-Protokoll nicht unterstützt.
Header-Konstruktion in Tunnelmodi
Im Tunnelmodus stellen die Quell- und Zieladressen des äußeren IPv4- oder IPv6-Headers die Tunnelendpunkte dar, während die Quell- und Zieladressen des inneren IPv4- oder IPv6-Headers die endgültigen Quell- und Zieladressen darstellen. Tabelle 4 fasst zusammen, wie sich der äußere IPv6-Header auf den inneren IPv6- oder IPv4-Header für IPv6-in-IPv6- oder IPv4-in-IPv6-Tunnelmodi bezieht. In äußeren Header-Feldern bedeutet "Konstruiert", dass der Wert des äußeren Kopfzeilenfeldes unabhängig vom Wert im inneren Kopfzeilenfeld erstellt wird.
Header-Felder |
Outer Header am Encapsulator |
Innerer Header am Entkapselungsregler |
|---|---|---|
version |
6. |
Keine Änderung. |
DS-Feld |
Aus dem inneren Header kopiert. |
Keine Änderung. |
ECN-Feld |
Aus dem inneren Header kopiert. |
Konstruiert. |
Datenstrom-Label |
0. |
Keine Änderung. |
Nutzlastlänge |
Konstruiert. |
Keine Änderung. |
nächster Header |
AH-, ESP- und Routing-Header. |
Keine Änderung. |
Hop-Limit |
64. |
Dekrementieren. |
src-Adresse |
Konstruiert. |
Keine Änderung. |
dest-Adresse |
Konstruiert. |
Keine Änderung. |
Extension-Header |
Niemals kopiert. |
Keine Änderung. |
Tabelle 5 fasst zusammen, wie sich der äußere IPv4-Header auf den inneren IPv6- oder IPv4-Header für IPv6-in-IPv4- oder IPv4-in-IPv4-Tunnelmodi bezieht. In äußeren Header-Feldern bedeutet "Konstruiert", dass der Wert des äußeren Kopfzeilenfeldes unabhängig vom Wert im inneren Kopfzeilenfeld erstellt wird.
Header-Felder |
Outer Header |
Innerer Header |
|---|---|---|
version |
4. |
Keine Änderung. |
Header-Länge |
Konstruiert. |
Keine Änderung. |
DS-Feld |
Aus dem inneren Header kopiert. |
Keine Änderung. |
ECN-Feld |
Aus dem inneren Header kopiert. |
Konstruiert. |
Gesamtlänge |
Konstruiert. |
Keine Änderung. |
ID |
Konstruiert. |
Keine Änderung. |
Flaggen (DF, MF) |
Konstruiert. |
Keine Änderung. |
Fragment-Offset |
Konstruiert. |
Keine Änderung. |
TTL |
64. |
Dekrementieren. |
Protokoll |
AH, ESP |
Keine Änderung. |
Prüfsumme |
Konstruiert. |
Konstruiert. |
src-Adresse |
Konstruiert. |
Keine Änderung. |
dest-Adresse |
Konstruiert. |
Keine Änderung. |
Optionen |
Niemals kopiert. |
Keine Änderung. |
Für den IPv6-in-IPv4-Tunnelmodus wird das DF-Bit (Don't Fragment) standardmäßig deaktiviert. Wenn die df-bit set Optionen df-bit copy auf der Hierarchieebene [edit security ipsec vpn vpn-name] für das entsprechende IPv4-VPN konfiguriert sind, wird das DF-Bit im äußeren IPv4-Header festgelegt.
Für den IPv4-in-IPv4-Tunnelmodus basiert das DF-Bit im äußeren IPv4-Header auf der df-bit für den inneren IPv4-Header konfigurierten Option. Wenn df-bit nicht für den inneren IPv4-Header konfiguriert ist, wird das DF-Bit im äußeren IPv4-Header deaktiviert.
Siehe auch
IPv6 IPsec-Konfiguration – Übersicht
Juniper Networks unterstützt manuelle und automatische IKE mit vorinstallierten Schlüsselkonfigurationen für IPv6 IPsec VPN.
AutoKey-IKE-VPN: In einer autoKey-IKE-VPN-Konfiguration werden die geheimen Schlüssel und SAs automatisch mit dem AutoKey-IKE-Mechanismus erstellt. Um ein IPv6-AutoKey-IKE-VPN einzurichten, sind zwei Verhandlungsphasen erforderlich : Phase 1 und Phase 2.
Phase 1: In dieser Phase schaffen die Teilnehmer einen sicheren Kanal für die Aushandlung der IPsec-SAs.
Phase 2: In dieser Phase verhandeln die Teilnehmer die IPsec-SAs für die Authentifizierung und Verschlüsselung der IPv6-Datenpakete.
Weitere Informationen zu Phase-1- und Phase-2-Verhandlungen finden Sie unter Internet Key Exchange
Siehe auch
Beispiel: Konfigurieren eines IPv6 IPsec Manuellen VPN
Dieses Beispiel zeigt, wie Sie ein manuelles IPv6-IPsec-VPN konfigurieren.
Anforderungen
Bevor Sie beginnen:
Verstehen Sie, wie VPNs funktionieren. Siehe IPsec – Übersicht.
Verstehen Sie die IPv6-IPsec-Paketverarbeitung. Siehe Grundlegendes zur IPv6-IKE- und IPsec-Paketverarbeitung.
Überblick
In einer manuellen VPN-Konfiguration werden die geheimen Schlüssel auf den beiden IPsec-Endgeräten manuell konfiguriert.
In diesem Beispiel:
Konfigurieren Sie die Authentifizierungsparameter für ein VPN namens vpn-sunnyvale.
Konfigurieren Sie die Verschlüsselungsparameter für vpn-sunnyvale.
Geben Sie die ausgehende Schnittstelle für die SA an.
Geben Sie die IPv6-Adresse des Peers an.
Definieren Sie das IPsec-Protokoll. Wählen Sie das ESP-Protokoll aus, da die Konfiguration sowohl Authentifizierung als auch Verschlüsselung umfasst.
Konfigurieren Sie einen Sicherheitsparameterindex (SPI).
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ipsec vpn vpn-sunnyvale manual authentication algorithm hmac-md5–96 key ascii-text “$ABC123” set security ipsec vpn vpn-sunnyvale manual encryption algorithm 3des-cbc key ascii-text “$ABC123” set security ipsec vpn vpn-sunnyvale manual external-interface ge-0/0/14.0 set security ipsec vpn vpn-sunnyvale manual gateway 2001:db8:1212::1112 set security ipsec vpn vpn-sunnyvale manual protocol esp set security ipsec vpn vpn-sunnyvale manual spi 12435
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsalgorithmen:
Konfigurieren Sie die Authentifizierungsparameter.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set authentication algorithm hmac-md5–96 key ascii-text “$ABC123”
Konfigurieren Sie die Verschlüsselungsparameter.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set encryption algorithm 3des-cbc key ascii-text “$ABC123”
Geben Sie die ausgehende Schnittstelle für die SA an.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set external-interface ge-0/0/14.0
Geben Sie die IPv6-Adresse des Peers an.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set gateway 2001:db8:1212::1112
Definieren Sie das IPsec-Protokoll.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set protocol esp
Konfigurieren Sie einen SPI.
[edit security ipsec vpn vpn-sunnyvale manual] user@host# set spi 12435
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec vpn vpn-sunnyvale Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
[user@host]show security ipsec vpn vpn-sunnyvale
manual {
gateway 2001:db8:1212::1112 ;
external-interface ge-0/0/14.0 ;
protocol esp ;
spi 12435 ;
authentication {
algorithm hmac-md5-96 ;
key ascii-text $ABC123” ;## SECRET DATA
}
encryption {
algorithm 3des-cbc ;
key ascii-text $ABC123”; ## SECRET DATA
}
}
Überprüfung
Führen Sie diese Aufgabe durch, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Beispiel: Konfigurieren eines richtlinienbasierten IPv6 AutoKey IKE
Dieses Beispiel zeigt, wie Sie ein richtlinienbasiertes IPv6-AutoKey-IKE-VPN konfigurieren, damit IPv6-Daten sicher zwischen der Zweigstelle und dem Unternehmensbüro übertragen werden können.
Richtlinienbasierte IPv6-VPNs werden nur auf eigenständigen SRX300-, SRX320-, SRX340-, SRX345- und SRX550HM-Geräten unterstützt.
Anforderungen
In diesem Beispiel wird die folgende Hardware verwendet:
-
SRX300-Gerät
Bevor Sie beginnen:
-
Verstehen Sie, wie VPNs funktionieren. Siehe IPsec – Übersicht.
-
Verstehen Sie die IPv6-IKE- und IPsec-Paketverarbeitung. Siehe Grundlegendes zur IPv6-IKE- und IPsec-Paketverarbeitung.
Überblick
In diesem Beispiel konfigurieren Sie ein richtlinienbasiertes IPv6-IKE-VPN für eine Zweigstelle in Chicago, Illinois, da Sie keine Tunnelressourcen sparen oder viele Sicherheitsrichtlinien konfigurieren müssen, um Datenverkehr durch den Tunnel zu filtern. Benutzer im Büro in Chicago nutzen das VPN, um sich mit ihrer Unternehmenszentrale in Sunnyvale, Kalifornien, zu verbinden.
Abbildung 3 zeigt ein Beispiel für eine richtlinienbasierte IPv6-IKE-Topologie. In dieser Topologie befindet sich ein Gerät der SRX-Serie in Sunnyvale und ein weiteres Gerät der SRX-Serie (dies kann ein zweites Gerät der SRX-Serie oder ein Gerät eines Drittanbieters) in Chicago.
In diesem Beispiel konfigurieren Sie Schnittstellen, eine IPv6-Standardroute, Sicherheitszonen und Adressbücher. Dann konfigurieren Sie IKE Phase 1, IPsec Phase 2, eine Sicherheitsrichtlinie und TCP-MSS-Parameter. Sehen Sie Tabelle 6 durch Tabelle 10.
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Schnittstellen |
ge-0/0/14.0 |
2001:db8:3::1/96 |
|
ge-0/0/15.0 |
2001:db8:0:2::1/96 |
|
|
Sicherheitszonen |
TRost |
|
|
UnTrust |
|
|
|
Adressbucheinträge |
Sunnyvale |
|
|
Chicago |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
ipv6-ike-phase1-proposal |
|
|
Richtlinien |
ipv6-ike-phase1-policy |
|
|
Gateway |
gw-C hicago |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
ipv6-ipsec-phase2-proposal |
|
|
Richtlinien |
ipv6-ipsec-phase2-policy |
|
|
VPN |
ipv6-ike-vpn-chicago |
|
|
Zweck |
Name |
Konfigurationsparameter |
|---|---|---|
|
Diese Sicherheitsrichtlinie erlaubt den Datenverkehr von der Trust Zone zur Zone "Nicht vertrauenswürdig". |
ipv6-vpn-tr-untr |
|
|
Diese Sicherheitsrichtlinie erlaubt den Datenverkehr von der Zone "Nicht vertrauenswürdig " zur Zone "Trust" . |
ipv6-vpn-untr-tr |
|
|
Diese Sicherheitsrichtlinie erlaubt den gesamten Datenverkehr von der Trust Zone zur Zone "Nicht vertrauenswürdig". Sie müssen die Richtlinie ipv6-vpn-tr-untr vor der Sicherheitsrichtlinie "Permit-Any" setzen. Junos OS führt eine Suche nach Sicherheitsrichtlinien durch, die oben in der Liste beginnt. Wenn die Richtlinie Permit-Any vor der Richtlinie ipv6-vpn-tr-untr liegt, wird der gesamte Datenverkehr aus der Trust Zone mit der Richtlinie permit-any übereinstimmen und zugelassen. Daher wird kein Datenverkehr jemals mit der Ipv6-vpn-tr-untr-Richtlinie übereinstimmen. |
permit-any |
|
|
Zweck |
Konfigurationsparameter |
|---|---|
|
TCP-MSS wird als Teil des TCP-Drei-Wege-Handshakes ausgehandelt und begrenzt die maximale Größe eines TCP-Segments, um besser an die MTU-Grenzen in einem Netzwerk zu passen. Dies ist besonders wichtig für VPN-Datenverkehr, da der IPsec-Kapselungsaufwand zusammen mit dem IP- und Frame-Overhead dazu führen kann, dass das resultierende ESP-Paket die MTU der physischen Schnittstelle übersteigt und so zu Fragmentierung führt. Fragmentierung führt zu einer erhöhten Nutzung von Bandbreite und Geräteressourcen. Wir empfehlen einen Wert von 1350 als Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einer MTU von 1500 oder mehr. Möglicherweise müssen Sie mit verschiedenen TCP-MSS-Werten experimentieren, um eine optimale Leistung zu erzielen. Sie müssen beispielsweise den Wert ändern, wenn ein Gerät im Pfad eine niedrigere MTU hat oder wenn zusätzlichen Overhead wie PPP oder Frame Relay entsteht. |
MSS-Wert: 1350 |
Konfiguration
- Konfigurieren von Grundlegenden Netzwerk-, Sicherheitszonen- und Adressbuchinformationen
- Konfiguration von IKE
- Konfigurieren von IPsec
- Konfigurieren von Sicherheitsrichtlinien
- Konfigurieren von TCP-MSS
Konfigurieren von Grundlegenden Netzwerk-, Sicherheitszonen- und Adressbuchinformationen
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/14 unit 0 family inet6 address 2001:db8:3::1/96 set interfaces ge-0/0/15 unit 0 family inet6 address 2001:db8:2::1/96 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1 set security zones security-zone Untrust interfaces ge-0/0/15.0 set security zones security-zone Untrust host-inbound-traffic system-services ike set security zones security-zone Trust interfaces ge-0/0/14.0 set security zones security-zone Trust host-inbound-traffic system-services all set security address-book book1 address Sunnyvale 2001:db8:3::2/96 set security address-book book1 attach zone Trust set security address-book book2 address Chicago 2001:db8:0::2/96 set security address-book book2 attach zone Untrust
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie grundlegende Netzwerk-, Sicherheitszonen- und Adressbuchinformationen:
-
Konfigurieren Sie Die Ethernet-Schnittstelleninformationen.
[edit] user@host# set interfaces ge-0/0/14 unit 0 family inet6 address 2001:db8:3::1/96 user@host# set interfaces ge-0/0/15 unit 0 family inet6 address 2001:db8:2::1/96
-
Konfigurieren Sie statische Routeninformationen.
[edit] user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
-
Konfigurieren Sie die Nicht vertrauenswürdige Sicherheitszone.
[edit] user@host# edit security zones security-zone Untrust
-
Weisen Sie der Zone "Nicht vertrauenswürdig " eine Schnittstelle zu.
[edit security zones security-zone Untrust] user@host# set interfaces ge-0/0/15.0
-
Geben Sie zulässige Systemservices für die Sicherheitszone "Nicht vertrauenswürdig " an.
[edit security zones security-zone Untrust] user@host# set host-inbound-traffic system-services ike
-
Konfigurieren Sie die Sicherheitszone T-Rost.
[edit] user@host# edit security zones security-zone Trust
-
Weisen Sie der Sicherheitszone Trust eine Schnittstelle zu.
[edit security zones security-zone Trust] user@host# set interfaces ge-0/0/14.0
-
Geben Sie die zulässigen Systemservices für die Trust-Sicherheitszone an.
[edit security zones security-zone Trust] user@host# set host-inbound-traffic system-services all
-
Erstellen Sie ein Adressbuch und fügen Sie eine Zone an.
[edit security address-book book1] user@host# set address Sunnyvale 2001:db8:3::2/96 user@host# set attach zone Trust
-
Erstellen Sie ein anderes Adressbuch und fügen Sie eine Zone an.
[edit security address-book book2] user@host# set address Chicago 2001:db8:0::2/96 user@host# set attach zone Untrust
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show routing-options, show security zonesund show security address-book eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/14 {
unit 0 {
family inet6 {
address 2001:db8:3::1/96;
}
}
}
ge-0/0/15 {
unit 0 {
family inet6 {
address 2001:db8:2::1/96;
}
}
}
[edit]
user@host# show routing-options
static {
route 0.0.0.0/0 next-hop 10.1.1.1;
}
[edit]
user@host# show security zones
security-zone Untrust {
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/15.0;
}
}
security-zone Trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/14.0;
}
}
[edit]
user@host# show security address-book
book1 {
address Sunnyvale 2001:db8:3::2/96;
attach {
zone Trust;
}
}
book2 {
address Chicago 2001:db8:0::2/96;
attach {
zone Untrust;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfiguration von IKE
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ike proposal ipv6-ike-phase1-proposal authentication-method pre-shared-keys set security ike proposal ipv6-ike-phase1-proposal dh-group group2 set security ike proposal ipv6-ike-phase1-proposal authentication-algorithm sha1 set security ike proposal ipv6-ike-phase1-proposal encryption-algorithm aes-128-cbc set security ike policy ipv6-ike-phase1-policy mode aggressive set security ike policy ipv6-ike-phase1-policy proposals ipv6-ike-phase1-proposal set security ike policy ipv6-ike-phase1-policy pre-shared-key ascii-text 1111111111111111 set security ike gateway gw-chicago external-interface ge-0/0/15.0 set security ike gateway gw-chicago ike-policy ipv6-ike-phase1-policy set security ike gateway gw-chicago address 2001:db8:0:1::1/96
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IKE:
-
Erstellen Sie den IKE Phase 1-Vorschlag.
[edit security ike] user@host# set proposal ipv6-ike-phase1-proposal
-
Definieren sie die Authentifizierungsmethode für IKE-Vorschläge.
[edit security ike proposal ipv6-ike-phase1-proposal] user@host# set authentication-method pre-shared-keys
-
Definieren Sie die IKE-Vorschlag Diffie-Hellman-Gruppe.
[edit security ike proposal ipv6-ike-phase1-proposal] user@host# set dh-group group2
-
Definieren Sie den Authentifizierungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ipv6-ike-phase1-proposal] user@host# set authentication-algorithm sha1
-
Definieren Sie den Verschlüsselungsalgorithmus für IKE-Vorschläge.
[edit security ike proposal ipv6-ike-phase1-proposal] user@host# set encryption-algorithm aes-128-cbc
-
Erstellen Sie eine IKE Phase-1-Richtlinie.
[edit security ike] user@host# set policy ipv6-ike-phase1-policy
-
Legen Sie den IKE Phase 1-Richtlinienmodus fest.
[edit security ike policy ipv6-ike-phase1-policy] user@host# set mode aggressive
-
Geben Sie einen Verweis auf den IKE-Vorschlag an.
[edit security ike policy ipv6-ike-phase1-policy] user@host# set proposals ipv6-ike-phase1-proposal
-
Definieren der IKE Phase 1-Richtlinienauthentifizierungsmethode.
[edit security ike policy ipv6-ike-phase1-policy] user@host# set pre-shared-key ascii-text 1111111111111111
-
Erstellen Sie ein IKE Phase 1-Gateway und definieren Sie dessen externe Schnittstelle.
[edit security ike] user@host# set gateway gw-chicago external-interface ge-0/0/15.0
-
Definieren der IKE Phase 1-Richtlinienreferenz.
[edit security ike gateway gw-chicago] user@host# set ike-policy ipv6-ike-phase1-policy
-
Weisen Sie dem IKE Phase 1-Gateway eine IP-Adresse zu.
[edit security ike gateway gw-chicago] user@host# set address 2001:db8:1::1
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ike Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security ike
proposal ipv6-ike-phase1-proposal {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ipv6-ike-phase1-policy {
mode ;
proposals ipv6-ike-phase1-proposal;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway gw-chicago {
ike-policy ipv6-ike-phase1-policy;
address 2001:db8:1::1;
external-interface ge-0/0/15.0;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von IPsec
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security ipsec proposal ipv6-ipsec-phase2-proposal protocol esp set security ipsec proposal ipv6-ipsec-phase2-proposal authentication-algorithm hmac-sha1-96 set security ipsec proposal ipv6-ipsec-phase2-proposal encryption-algorithm aes-128-cbc set security ipsec policy ipv6-ipsec-phase2-policy proposals ipv6-ipsec-phase2-proposal set security ipsec policy ipv6-ipsec-phase2-policy perfect-forward-secrecy keys group2 set security ipsec vpn ipv6-ike-vpn-chicago ike gateway gw-chicago set security ipsec vpn ipv6-ike-vpn-chicago ike ipv6-ipsec-policy ipsec-phase2-policy
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IPsec:
-
Erstellen Sie einen IPsec-Phase-2-Vorschlag.
[edit] user@host# set security ipsec proposal ipv6-ipsec-phase2-proposal
-
Geben Sie das IPsec-Phase 2-Vorschlagsprotokoll an.
[edit security ipsec proposal ipv6- ipsec-phase2-proposal] user@host# set protocol esp
-
Geben Sie den IPsec Phase 2-Authentifizierungsalgorithmus an.
[edit security ipsec proposal ipv6-ipsec-phase2-proposal] user@host# set authentication-algorithm hmac-sha1-96
-
Geben Sie den IPsec Phase 2-Vorschlagsverschlüsselungsalgorithmus an.
[edit security ipsec proposal ipv6-ipsec-phase2-proposal] user@host# set encryption-algorithm aes-128-cbc
-
Erstellen Sie die IPsec-Phase-2-Richtlinie.
[edit security ipsec] user@host# set policy ipv6-ipsec-phase2-policy
-
Geben Sie die IPsec-Phase-2-Vorschlagsreferenz an.
[edit security ipsec policy ipv6-ipsec-phase2-policy] user@host# set proposals ipv6-ipsec-phase2-proposal
-
Geben Sie IPsec Phase 2 PFS an, um Diffie-Hellman Group 2 zu verwenden.
[edit security ipsec policy ipv6-ipsec-phase2-policy] user@host# set perfect-forward-secrecy keys group2
-
Geben Sie das IKE-Gateway an.
[edit security ipsec] user@host# set vpn ipv6-ike-vpn-chicago ike gateway gw-chicago
-
Geben Sie die IPsec-Phase-2-Richtlinie an.
[edit security ipsec] user@host# set vpn ipv6-ike-vpn-chicago ike ipsec-policy ipv6-ipsec-phase2-policy
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security ipsec Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security ipsec
proposal ipv6-ipsec-phase2-proposal {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipv6-ipsec-phase2-policy {
perfect-forward-secrecy {
keys group2;
}
proposals ipv6-ipsec-phase2-proposal;
}
vpn ipv6-ike-vpn-chicago {
ike {
gateway gw-chicago;
ipsec-policy ipv6-ipsec-phase2-policy;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von Sicherheitsrichtlinien
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr match source-address Sunnyvale set security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr match destination-address Chicago set security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr match application any set security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr then permit tunnel ipsec-vpn ipv6-ike-vpn-chicago set security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr then permit tunnel pair-policy ipv6-vpn-untr-tr set security policies from-zone Untrust to-zone Trust policy ipv6-vpn-untr-tr match source-address Chicago set security policies from-zone Untrust to-zone Trust policy ipv6-vpn-untr-tr match destination-address Sunnyvale set security policies from-zone Untrust to-zone Trust policy ipv6-vpn-untr-tr match application any set security policies from-zone Untrust to-zone Trust policy ipv6-vpn-untr-tr then permit tunnel ipsec-vpn ipv6-ike-vpn-chicago set security policies from-zone Untrust to-zone Trust policy ipv6-vpn-untr-tr then permit tunnel pair-policy ipv6-vpn-tr-untr set security policies from-zone Trust to-zone Untrust policy permit-any match source-address any set security policies from-zone Trust to-zone Untrust policy permit-any match destination-address any set security policies from-zone Trust to-zone Untrust policy permit-any match application any set security policies from-zone Trust to-zone Untrust policy permit-any then permit insert security policies from-zone Trust to-zone Untrust policy ipv6-vpn-tr-untr before policy permit-any
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie Sicherheitsrichtlinien:
-
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Trust Zone zur Zone Nicht vertrauenswürdig zuzulassen.
[edit security policies from-zone Trust to-zone Untrust] user@host# set policy ipv6-vpn-tr-untr match source-address Sunnyvale user@host# set policy ipv6-vpn-tr-untr match destination-address Chicago user@host# set policy ipv6-vpn-tr-untr match application any user@host# set policy ipv6-vpn-tr-untr then permit tunnel ipsec-vpn ipv6-ike-vpn-chicago user@host# set policy ipv6-vpn-tr-untr then permit tunnel pair-policy ipv6-vpn-untr-tr
-
Erstellen Sie die Sicherheitsrichtlinie, um den Datenverkehr von der Nicht vertrauenswürdigen Zone zur Trust-Zone zuzulassen.
[edit security policies from-zone Untrust to-zone Trust] user@host# set policy ipv6-vpn-untr-tr match source-address Sunnyvale user@host# set policy ipv6-vpn-untr-tr match destination-address Chicago user@host# set policy ipv6-vpn-untr-tr match application any user@host# set policy ipv6-vpn-untr-tr then permit tunnel ipsec-vpn ipv6-ike-vpn-chicago user@host# set policy ipv6-vpn-untr-tr then permit tunnel pair-policy ipv6-vpn-tr-untr
-
Erstellen Sie die Sicherheitsrichtlinie, um Datenverkehr von der Trust Zone zur Zone Nicht vertrauenswürdig zuzulassen.
[edit security policies from-zone Trust to-zone Untrust] user@host# set policy permit-any match source-address any user@host# set policy permit-any match destination-address any user@host# set policy permit-any match application any user@host# set policy permit-any then permit
-
Ordnen Sie die Sicherheitsrichtlinien neu an, sodass die Sicherheitsrichtlinie vpn-tr-untr über der Sicherheitsrichtlinie "Permit-Any" platziert wird.
[edit security policies from-zone Trust to-zone Untrust] user@host# insert policy ipv6-vpn-tr-untr before policy permit-any
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone Trust to-zone Untrust {
policy ipv6-vpn-tr-untr {
match {
source-address Sunnyvale;
destination-address Chicago;
application any;
}
then {
permit {
tunnel {
ipsec-vpn ipv6-ike-vpn-chicago;
pair-policy ipv6-vpn-untr-tr;
}
}
}
}
policy permit-any {
match {
source-address any;
destination-address any;
application any;
}
then {
permit
}
}
}
from-zone Untrust to-zone Trust {
policy ipv6-vpn-untr-tr {
match {
source-address Chicago;
destination-address Sunnyvale;
application any;
}
then {
permit {
tunnel {
ipsec-vpn ipv6-ike-vpn-chicago;
pair-policy ipv6-vpn-tr-untr;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfigurieren von TCP-MSS
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security flow tcp-mss ipsec-vpn mss 1350
Schritt-für-Schritt-Verfahren
So konfigurieren Sie TCP-MSS-Informationen:
-
Konfigurieren Sie TCP-MSS-Informationen.
[edit] user@host# set security flow tcp-mss ipsec-vpn mss 1350
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security flow Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfung des IKE Phase 1-Status
Zweck
Überprüfen Sie den Status von IKE Phase 1.
Aktion
Bevor Sie mit der Verifizierung beginnen, müssen Sie Datenverkehr von einem Host in Sunnyvale an einen Host in Chicago senden. Für richtlinienbasierte VPNs muss ein separater Host den Datenverkehr generieren. Der vom Gerät der SRX-Serie initiierte Datenverkehr entspricht nicht der VPN-Richtlinie. Wir empfehlen, dass der Testverkehr von einem separaten Gerät auf der einen Seite des VPN zu einem zweiten Gerät auf der anderen Seite des VPN erfolgt. Starten Sie beispielsweise den Ping von 2001:db8:3::2/96 bis 2001:db8:0::2/96.
Geben Sie im Betriebsmodus den show security ike security-associations Befehl ein. Verwenden Sie show security ike security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host> show security ike security-associations Index Remote Address State Initiator cookie Responder cookie Mode 5 2001:db8:1::1 UP e48efd6a444853cf 0d09c59aafb720be Aggressive
user@host> show security ike security-associations index 5 detail
IKE peer 2001:db8:1::1, Index 5,
Role: Initiator, State: UP
Initiator cookie: e48efd6a444853cf, Responder cookie: 0d09c59aafb720be
Exchange type: Aggressive, Authentication method: Pre-shared-keys
Local: 2001:db8:2::1:500, Remote: 2001:db8:1::1:500
Lifetime: Expires in 19518 seconds
Peer ike-id: not valid
Xauth assigned IP: 0.0.0.0
Algorithms:
Authentication : sha1
Encryption : aes-128-cbc
Pseudo random function: hmac-sha1
Traffic statistics:
Input bytes : 1568
Output bytes : 2748
Input packets: 6
Output packets: 23
Flags: Caller notification sent
IPSec security associations: 5 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Initiator, Message ID: 2900338624
Local: 2001:db8:2::1:500, Remote: 2001:db8:1::1:500
Local identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Flags: Caller notification sent, Waiting for doneBedeutung
Der show security ike security-associations Befehl listet alle aktiven IKE Phase 1 Security Associations (SAs) auf. Wenn keine SAs aufgeführt sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE-Richtlinienparameter und externen Schnittstelleneinstellungen in Ihrer Konfiguration.
Wenn SAs aufgeführt sind, lesen Sie die folgenden Informationen:
-
Index: Dieser Wert ist für jede IKE SA eindeutig, den Sie im
show security ike security-associations index index_number detailBefehl verwenden können, um weitere Informationen zur SA zu erhalten. -
Remote-Adresse: Stellen Sie sicher, dass die Remote-IP-Adresse korrekt ist.
-
Bundesland
-
UP: Phase 1 SA wurde eingerichtet.
-
DOWN: Es gab ein Problem bei der Einrichtung der Phase 1 SA.
-
-
Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.
Stellen Sie sicher, dass folgendes in Ihrer Konfiguration korrekt ist:
-
Externe Schnittstellen (die Schnittstelle muss diejenige sein, die IKE-Pakete empfängt)
-
IKE-Richtlinienparameter
-
Vorab-Schlüsselinformationen
-
Phase-1-Vorschlagsparameter (müssen für beide Peers übereinstimmen)
Der show security ike security-associations index 5 detail Befehl listet zusätzliche Informationen zur Sicherheitszuordnung mit der Indexnummer 5 auf:
-
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
-
Phase 1 Lebensdauer
-
Datenverkehrsstatistiken (können verwendet werden, um zu überprüfen, ob der Datenverkehr ordnungsgemäß in beide Richtungen fließt)
-
Informationen zu Initiator- und Responder-Rollen
Die Fehlerbehebung wird am besten auf dem Peer mit der Responder-Rolle durchgeführt.
-
Anzahl der erstellten IPsec-SAs
-
Anzahl der laufenden Phase-2-Verhandlungen
Überprüfung des IPsec-Phase-2-Status
Zweck
Überprüfen Sie den IPsec-Phase-2-Status.
Aktion
Geben Sie im Betriebsmodus den show security ipsec security-associations Befehl ein. Verwenden Sie show security ipsec security-associations index index_number detail den Befehl, nachdem Sie eine Indexnummer aus dem Befehl erhalten haben.
user@host> show security ipsec security-associations total configured sa: 2 ID Algorithm SPI Life:sec/kb Mon vsys Port Gateway 2 ESP:aes-128/sha1 14caf1d9 3597/ unlim - root 500 2001:db8:1::1 2 ESP:aes-128/sha1 9a4db486 3597/ unlim - root 500 2001:db8:1::1
user@host> show security ipsec security-associations index 2 detail
Virtual-system: Root
Local Gateway: 2001:db8:2::1, Remote Gateway: 2001:db8:1::1
Local Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Remote Identity: ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
DF-bit: clear
Direction: inbound, SPI: 14caf1d9, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3440 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2813 seconds
Mode: tunnel, Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 9a4db486, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 3440 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 2813 seconds
Mode: tunnel, Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: aes-cbc (128 bits)
Anti-replay service: counter-based enabled, Replay window size: 64Bedeutung
Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:
-
Die ID-Nummer ist 2. Verwenden Sie diesen Wert mit dem
show security ipsec security-associations indexBefehl, um weitere Informationen zu dieser bestimmten SA zu erhalten. -
Es gibt ein IPsec SA-Paar mit Port 500, was anzeigt, dass keine NAT-Traversal implementiert ist. (NAT-Traversal verwendet Port 4500 oder einen anderen zufälligen, hohen Anzahl-Port.)
-
Die SPIs, die Lebensdauer (in Sekunden) und die Nutzungsgrenzen (oder die Lebensgröße in KB) werden für beide Richtungen angezeigt. Der Wert 3597/unlim zeigt an, dass die Lebensdauer der Phase 2 in 3597 Sekunden abläuft und keine lebensgröße angegeben wurde, was angibt, dass die Lebensdauer unbegrenzt ist. Die Lebensdauer der Phase 2 kann sich von phase 1 unterscheiden, da Phase 2 nicht von Phase 1 abhängig ist, nachdem das VPN eingerichtet wurde.
-
Die VPN-Überwachung ist für diese SA nicht aktiviert, wie durch einen Bindestrich in der Mon-Spalte angegeben. Wenn die VPN-Überwachung aktiviert ist, wird U (up) oder D (down) aufgelistet.
-
Das virtuelle System (vsys) ist das Root-System, und es listet immer 0 auf.
Die Ausgabe des show security ipsec security-associations index 2 detail Befehls listet die folgenden Informationen auf:
-
Die lokalen und Remote-Identitäten machen die Proxy-ID für die SA aus.
Eine Nichtübereinstimmung der Proxy-ID ist einer der häufigsten Gründe für einen Phase-2-Fehler. Für richtlinienbasierte VPNs wird die Proxy-ID aus der Sicherheitsrichtlinie abgeleitet. Die lokalen und Remote-Adressen werden aus den Adressbucheinträgen abgeleitet, und der Dienst wird von der für die Richtlinie konfigurierten Anwendung abgeleitet. Wenn Phase 2 aufgrund einer nicht übereinstimmenden Proxy-ID fehlschlägt, können Sie die Richtlinie verwenden, um zu bestätigen, welche Adressbucheinträge konfiguriert sind. Stellen Sie sicher, dass die Adressen mit den gesendeten Informationen übereinstimmen. Überprüfen Sie den Service, um sicherzustellen, dass die Ports mit den gesendeten Informationen übereinstimmen.
Bei einigen Drittanbietern muss die Proxy-ID zur Übereinstimmung manuell eingegeben werden.