Richtlinienbasierte IPsec-VPNs
Ein richtlinienbasiertes VPN ist eine Konfiguration, in der ein IPSec-VPN-Tunnel zwischen zwei Endpunkten innerhalb der Richtlinie selbst mit einer Richtlinienaktion für den Transitdatenverkehr festgelegt wird, der den Übereinstimmungskriterien der Richtlinie entspricht.
Richtlinienbasierte IPsec-VPNs verstehen
Bei richtlinienbasierten IPsec-VPNs gibt eine Sicherheitsrichtlinie als Aktion den für den Transitdatenverkehr zu verwendenden VPN-Tunnel an, der den Übereinstimmungskriterien der Richtlinie entspricht. Ein VPN wird unabhängig von einer Richtlinienauszug konfiguriert. Die Richtlinienauszugsauszug bezieht sich auf DAS VPN nach Namen, um den Datenverkehr anzugeben, der Zugriff auf den Tunnel hat. Bei richtlinienbasierten VPNs erstellt jede Richtlinie eine individuelle IPsec-Sicherheitszuordnung (IPSec-Sicherheitszuordnung) zum Remote-Peer, von denen jede als einzelner VPN-Tunnel zählt. Wenn beispielsweise eine Richtlinie eine Quelladresse einer Gruppe und eine Zieladresse einer Gruppe enthält, wird ein neuer Tunnel ausgehandelt und eingerichtet, wenn einer der Benutzer, die zu den Adressen gehören, versucht, mit einem der als Zieladresse angegebenen Hosts zu kommunizieren. Da für jeden Tunnel ein eigener Aushandlungsprozess und separate Paar von SAs erforderlich sind, kann die Verwendung von richtlinienbasierten IPsec-VPNs ressourcenintensiver sein als routenbasierte VPNs.
Beispiele für die Verwendung richtlinienbasierter VPNs:
Sie implementieren ein Einwahl-VPN.
Mit richtlinienbasierten VPNs können Sie Datenverkehr basierend auf Firewall-Richtlinien direkt nutzen.
Wir empfehlen, dass Sie routenbasiertes VPN verwenden, wenn Sie ein VPN zwischen mehreren Remotestandorten konfigurieren möchten. Routenbasierte VPNs können die gleichen Funktionen bereitstellen wie richtlinienbasierte VPNs.
Siehe auch
Beispiel: Konfigurieren eines richtlinienbasierten VPN
In diesem Beispiel wird gezeigt, wie Sie ein richtlinienbasiertes IPsec-VPN konfigurieren, damit Daten sicher zwischen zwei Standorten übertragen werden können.
Anforderungen
In diesem Beispiel wird folgende Hardware verwendet:
-
Alle Geräte der SRX-Serie
- Aktualisiert und erneut aktualisiert mit vSRX am Junos OS Release 20.4R1.
Möchten Sie praktische Erfahrungen mit den in diesem Leitfaden behandelten Themen und Vorgängen sammeln? Besuchen Sie die auf IPsec-Richtlinien basierte Demo in Juniper Networks virtuellen Labs und reservieren Sie Ihre kostenlose Sandbox noch heute! Sie finden die auf IPSec-VPN-Richtlinien basierende Sandbox in der Kategorie Sicherheit.
Lesen Sie zunächst IPsec - Übersicht ...
Überblick
In diesem Beispiel konfigurieren Sie ein richtlinienbasiertes VPN auf SRX1 und SRX2. Host1 und Host2 verwenden das VPN, um Datenverkehr zwischen beiden Hosts sicher über das Internet zu senden.
Abbildung 1 zeigt ein Beispiel für eine richtlinienbasierte VPN-Topologie.
IKE der IPsec-Tunnel-Aushandlung erfolgt in zwei Phasen. In Phase 1 schaffen die Teilnehmer einen sicheren Kanal, über den die IPsec-Sicherheitszuordnung auszuhandeln ist. In Phase 2 handelt die Teilnehmer die IPsec-Sicherheitszuordnung für die Authentifizierung des Datenverkehrs aus, der durch den Tunnel fließt. Wie es zwei Phasen für die Tunnel-Aushandlung gibt, gibt es auch zwei Phasen für die Tunnelkonfiguration.
In diesem Beispiel konfigurieren Sie Schnittstellen, einen IPv4-Standardroute und Sicherheitszonen. Dann konfigurieren Sie IKE Phase 1, IPsec Phase 2, Sicherheitsrichtlinie und TCP-MSS-Parameter. Tabelle 1Durch. Tabelle 5
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Schnittstellen |
ge-0/0/0.0 |
10.100.11.1/24 |
|
ge-0/0/1.0 |
172.16.13.1/24 |
|
|
Sicherheitszonen |
Vertrauen |
|
|
nicht vertrauenswürdig |
|
|
|
Statische Routen |
0.0.0.0/0 |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
Standard |
|
|
Richtlinien |
IKE-POL |
|
|
Gateway |
IKE-GW |
|
|
Funktion |
Name |
Konfigurationsparameter |
|---|---|---|
|
Vorschlag |
Standard |
|
|
Richtlinien |
IPSEC-POL |
|
|
VPN |
VPN-to-Host2 |
|
|
Zweck |
Name |
Konfigurationsparameter |
|---|---|---|
|
Diese Sicherheitsrichtlinie ermöglicht Datenverkehr von der Trust Zone in die Nicht-Trust-Zone. |
VPN-OUT |
|
|
Diese Sicherheitsrichtlinie ermöglicht Datenverkehr von der nicht vertrauenswürdigen Zone zur Vertrauenszone. |
VPN-IN |
|
|
Diese Sicherheitsrichtlinie ermöglicht allen Datenverkehr von der Trust Zone zur Nicht-vertrauenswürdigen Zone. Sie müssen die VPN-OUT-Richtlinie vor der standardbasierten Sicherheitsrichtlinie stellen. Junos OS führt eine Sicherheitsrichtliniensuche oben in der Liste durch. Wenn die Default-Permit-Richtlinie vor der VPN-OUT-Richtlinie kommt, entspricht der ganze Datenverkehr der Trust Zone der Standard-Genehmigungsrichtlinie und ist zulässig. Folglich wird kein Datenverkehr jemals mit der VPN-OUT-Richtlinie übereinstimmen. |
Standardgenehmigung |
|
|
Zweck |
Konfigurationsparameter |
|---|---|
|
TCP-MSS wird als Teil des TCP-Three-Way-Handshakes ausgehandelt und beschränkt die maximale Größe eines TCP-Segments, um die MTU (MTU) Grenzen eines Netzwerks besser zu MTU. Dies ist besonders für den VPN-Datenverkehr wichtig, da der IPsec-Einkapselungs-Overhead in Verbindung mit dem IP- und Frame-Overhead dazu führen kann, dass das resultierende Encapsulating Security Payload (ESP)-Paket die MTU der physischen Schnittstelle überschreitet und so eine Fragmentierung verursacht. Fragmentierung führt zu einer höheren Nutzung von Bandbreite und Geräteressourcen. Wir empfehlen einen Wert von 1350 als Ausgangspunkt für die meisten Ethernet-basierten Netzwerke mit einem Wert von MTU von 1500 oder mehr. Um eine optimale Leistung zu erzielen, müssen Sie möglicherweise verschiedene TCP-MSS-Werte ausprobieren. Sie könnten beispielsweise den Wert ändern, wenn ein Gerät MTU in der Pfad einen geringeren Pfad hat oder wenn ein zusätzlicher Overhead wie PPP oder Frame Relay besteht. |
MSS-Wert: 1350 |
Konfiguration
- Konfigurieren grundlegender Netzwerk- und Sicherheitszoneninformationen
- Konfiguration IKE
- IPsec-Konfiguration
- Konfigurieren von Sicherheitsrichtlinien
- Konfigurieren von TCP-MSS
- Konfiguration von SRX2
Konfigurieren grundlegender Netzwerk- und Sicherheitszoneninformationen
CLI-Konfiguration
Um dieses Beispiel für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.1/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.
So konfigurieren Sie Informationen zu Schnittstellen, statischem Route und Sicherheitszonen:
-
Konfigurieren Sie die Schnittstellen.
[edit] user@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 10.100.11.1/24 user@SRX1# set interfaces ge-0/0/1 unit 0 family inet address 172.16.13.1/24 user@SRX1# set interfaces lo0 unit 0 family inet address 10.100.100.1/32
-
Konfigurieren Sie die statischen Routen.
[edit] user@SRX1# set routing-options static route 0.0.0.0/0 next-hop 172.16.13.2
-
Weisen Sie die Internetverbindung der Sicherheitszone zu, die nicht vertrauenswürdig ist.
[edit security zones security-zone untrust] user@SRX1# set interfaces ge-0/0/1.0
-
Geben Sie die zulässigen Systemdienste für die nicht vertrauenswürdige Sicherheitszone an.
[edit security zones security-zone untrust] user@SRX1# set host-inbound-traffic system-services ike user@SRX1# set host-inbound-traffic system-services ping
-
Weisen Sie der Sicherheitszone mit Blick auf Host1 eine Schnittstelle zu.
[edit security zones security-zone trust] user@SRX1# set interfaces ge-0/0/0.0
-
Geben Sie die zulässigen Systemservices für die Sicherheitszone der Vertrauensstellung an.
[edit security zones security-zone trust] user@SRX1# set host-inbound-traffic system-services all
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow routing-options , und Befehle show security zones eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@SRX1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.100.11.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.13.1/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.100.100.1/32;
}
}
}
[edit]
user@SRX1# show routing-options
static {
route 0.0.0.0/0 next-hop 172.16.13.2;
}
[edit]
user@SRX1# show security zones
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
ge-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ike;
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
Konfiguration IKE
CLI-Konfiguration
Um dieses Beispiel für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.23.1 set security ike gateway IKE-GW external-interface ge-0/0/1
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.
So konfigurieren Sie IKE:
-
Erstellen Sie den IKE Vorschlag.
[edit security ike] user@SRX1# set proposal standard
-
Definieren Sie die IKE Authentifizierungsmethode für einen Vorschlag.
[edit security ike proposal standard] user@SRX1# set authentication-method pre-shared-keys
-
Erstellen Sie IKE Richtlinien.
[edit security ike] user@SRX1# set policy IKE-POL
-
Legen Sie den IKE fest.
[edit security ike policy IKE-POL] user@SRX1# set mode main
-
Geben Sie einen Bezug zum IKE an.
[edit security ike policy IKE-POL] user@SRX1# set proposals standard
-
Definieren Sie die IKE Authentifizierungsmethode für Richtlinien.
[edit security ike policy IKE-POL] user@SRX1# set pre-shared-key ascii-text $ABC123
-
Erstellen Sie das IKE-Gateway und definieren Sie seine externe Schnittstelle.
[edit security ike gateway IKE-GW] user@SRX1# set external-interface ge-0/0/1.0
-
Definieren Sie die IKE Gateway-Adresse.
[edit security ike gateway IKE-GW] user@SRX1# address 172.16.23.1
-
Definieren Sie den IKE Richtlinienreferenz.
[edit security ike gateway IKE-GW] user@SRX1# set ike-policy IKE-POL
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security ike eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security ike
proposal standard {
authentication-method pre-shared-keys;
}
policy IKE-POL {
mode main;
proposals standard;
pre-shared-key ascii-text "$ABC123"; ## SECRET-DATA
}
gateway IKE-GW {
ike-policy IKE-POL;
address 172.16.23.1;
external-interface ge-0/0/1;
}
IPsec-Konfiguration
CLI-Konfiguration
Um dieses Beispiel für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host2 ike gateway IKE-GW set security ipsec vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host2 establish-tunnels immediately
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.
So konfigurieren Sie IPsec:
-
IPsec-Vorschlag erstellen.
[edit] user@SRX1# set security ipsec proposal standard
-
Erstellen Sie die IPsec-Richtlinie.
[edit security ipsec] user@SRX1# set policy IPSEC-POL
-
Geben Sie die IPsec-Vorschlagreferenz an.
[edit security ipsec policy IPSEC-POL] user@SRX1# set proposals standard
-
Geben Sie das IKE Gateway an.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike gateway IKE-GW
-
Geben Sie die IPSec-Richtlinie an.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 ike ipsec-policy IPSEC-POL
-
Den Tunnel so konfigurieren, dass er sofort konfiguriert wird.
[edit security ipsec] user@SRX1# set vpn VPN-to-Host2 establish-tunnels immediately
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security ipsec eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@SRX1# show security ipsec
proposal standard;
policy IPSEC-POL {
proposals standard;
}
vpn VPN-to-Host2 {
ike {
gateway IKE-GW;
ipsec-policy IPSEC-POL;
}
establish-tunnels immediately;
}
Konfigurieren von Sicherheitsrichtlinien
CLI-Konfiguration
Um dieses Beispiel für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone trust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone untrust set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie im Benutzerhandbuch CLI Anleitung.
So konfigurieren Sie Sicherheitsrichtlinien:
-
Erstellen Sie Adressbucheinträge für die Netzwerke, die in den Sicherheitsrichtlinien verwendet werden.
[edit] user@SRX1# set security address-book Host1 address Host1-Net 10.100.11.0/24 user@SRX1# set security address-book Host1 attach zone trust user@SRX1# set security address-book Host2 address Host2-Net 10.100.22.0/24 user@SRX1# set security address-book Host2 attach zone untrust
-
Erstellen Sie die Sicherheitsrichtlinie, die für Datenverkehr von Host1 in der Vertrauenswürdigkeitszone zu Host2 in der nicht vertrauenswürdigen Zone abgestimmt wird.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy VPN-OUT match source-address Host1-Net user@SRX1# set policy VPN-OUT match destination-address Host2-Net user@SRX1# set policy VPN-OUT match application any user@SRX1# set policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host2
-
Erstellen Sie die Sicherheitsrichtlinie, um allen anderen Datenverkehr zum Internet von der Vertrauensszone bis zur Nicht-vertrauenswürdigen Zone zu ermöglichen.
[edit security policies from-zone trust to-zone untrust] user@SRX1# set policy default-permit match source-address any user@SRX1# set policy default-permit match destination-address any user@SRX1# set policy default-permit match application any user@SRX1# set policy default-permit then permit
-
Erstellen Sie eine Sicherheitsrichtlinie, um Datenverkehr von Host2 in der nicht vertrauenswürdigen Zone zu Host1 in der Vertrauenswürdigkeitszone zu ermöglichen.
[edit security policies from-zone untrust to-zone trust] user@SRX1# set policy VPN-IN match source-address Host2-Net user@SRX1# set policy VPN-IN match destination-address Host1-Net user@SRX1# set policy VPN-IN match application any user@SRX1# set policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host2
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security policies eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@SRX1# show security policies
from-zone trust to-zone untrust {
policy VPN-OUT {
match {
source-address Host1-Net;
destination-address Host2-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
policy default-permit {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy VPN-IN {
match {
source-address Host2-Net;
destination-address Host1-Net;
application any;
}
then {
permit {
tunnel {
ipsec-vpn VPN-to-Host2;
}
}
}
}
}
Konfigurieren von TCP-MSS
CLI-Konfiguration
Um dieses Beispiel für SRX1 schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Leitungsbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security flow tcp-mss ipsec-vpn mss 1350
Schritt-für-Schritt-Verfahren
Zur Konfiguration von TCP-MSS-Informationen:
-
Konfigurieren Sie die TCP-MSS-Informationen.
[edit] user@SRX1# set security flow tcp-mss ipsec-vpn mss 1350
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den Befehl show security flow eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@SRX1# show security flow
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.
Konfiguration von SRX2
CLI-Konfiguration
Als Referenz wird die Konfiguration für SRX2 bereitgestellt.
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie line breaks, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI-Hierarchieebene und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.
set security ike proposal standard authentication-method pre-shared-keys set security ike policy IKE-POL mode main set security ike policy IKE-POL proposals standard set security ike policy IKE-POL pre-shared-key ascii-text $ABC123 set security ike gateway IKE-GW ike-policy IKE-POL set security ike gateway IKE-GW address 172.16.13.1 set security ike gateway IKE-GW external-interface ge-0/0/1 set security ipsec proposal standard set security ipsec policy IPSEC-POL proposals standard set security ipsec vpn VPN-to-Host1 ike gateway IKE-GW set security ipsec vpn VPN-to-Host1 ike ipsec-policy IPSEC-POL set security ipsec vpn VPN-to-Host1 establish-tunnels immediately set security address-book Host1 address Host1-Net 10.100.11.0/24 set security address-book Host1 attach zone untrust set security address-book Host2 address Host2-Net 10.100.22.0/24 set security address-book Host2 attach zone trust set security flow tcp-mss ipsec-vpn mss 1350 set security policies from-zone trust to-zone untrust policy VPN-OUT match source-address Host2-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match destination-address Host1-Net set security policies from-zone trust to-zone untrust policy VPN-OUT match application any set security policies from-zone trust to-zone untrust policy VPN-OUT then permit tunnel ipsec-vpn VPN-to-Host1 set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy VPN-IN match source-address Host1-Net set security policies from-zone untrust to-zone trust policy VPN-IN match destination-address Host2-Net set security policies from-zone untrust to-zone trust policy VPN-IN match application any set security policies from-zone untrust to-zone trust policy VPN-IN then permit tunnel ipsec-vpn VPN-to-Host1 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone untrust host-inbound-traffic system-services ike set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/1.0 set interfaces ge-0/0/0 unit 0 family inet address 10.100.22.1/24 set interfaces ge-0/0/1 unit 0 family inet address 172.16.23.1/24 set interfaces lo0 unit 0 family inet address 10.100.100.2/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.23.2
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfung des IKE Status
- Überprüfung des IPsec-Phase-2-Status
- Datenverkehrsfluss im VPN testen
- Überprüfung von Statistiken und Fehlern für eine IPsec Security Association
Überprüfung des IKE Status
Zweck
Überprüfen Sie den IKE Status.
Aktion
Geben Sie im Betriebsmodus den Befehl show security ike security-associations ein. Verwenden Sie den Befehl, nachdem Sie eine Index-Nummer aus dem Befehl show security ike security-associations index index_number detail erhalten haben.
user@SRX1> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 1859361 UP 9788fa59c3ee2e2a 0b17e52f34b83aba Main 172.16.23.1
user@SRX1> show security ike security-associations index 1859361 detail
IKE peer 172.16.23.1, Index 1859361, Gateway Name: IKE-GW
Role: Responder, State: UP
Initiator cookie: 9788fa59c3ee2e2a, Responder cookie: 0b17e52f34b83aba
Exchange type: Main, Authentication method: Pre-shared-keys
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Lifetime: Expires in 17567 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Disabled, Size: 0
Remote Access Client Info: Unknown Client
Peer ike-id: 172.16.23.1
AAA assigned IP: 0.0.0.0
Algorithms:
Authentication : hmac-sha1-96
Encryption : 3des-cbc
Pseudo random function: hmac-sha1
Diffie-Hellman group : DH-group-2
Traffic statistics:
Input bytes : 1740
Output bytes : 1132
Input packets: 15
Output packets: 7
Input fragmentated packets: 0
Output fragmentated packets: 0
IPSec security associations: 4 created, 4 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 172.16.13.1:500, Remote: 172.16.23.1:500
Local identity: 172.16.13.1
Remote identity: 172.16.23.1
Flags: IKE SA is created
Bedeutung
Im show security ike security-associations Befehl werden alle aktiven Sicherheitszuordnungen IKE Phase 1 (SAs) aufgeführt. Wenn keine AAs aufgelistet sind, gab es ein Problem mit der Einrichtung in Phase 1. Überprüfen Sie die IKE und externen Schnittstelleneinstellungen in Ihrer Konfiguration.
Wenn Anforderungen aufgeführt sind, lesen Sie die folgenden Informationen:
-
Index: Dieser Wert ist eindeutig für jede IKE SICHERHEITSzuordnung, die Sie im Befehl verwenden können, um weitere Informationen über die
show security ike security-associations index detailSicherheitszuordnung zu erhalten. -
Remoteadresse: Vergewissern Sie sich, dass die Remote-IP-Adresse korrekt ist.
-
Bundesland
-
UP – Die Phase 1-Sicherheitszuordnung wurde festgelegt.
-
DOWN: Es gab ein Problem bei der Einführung der Lösung für phase 1.
-
-
Modus: Stellen Sie sicher, dass der richtige Modus verwendet wird.
Stellen Sie sicher, dass Folgendes in Ihrer Konfiguration korrekt ist:
-
Externe Schnittstellen (die Schnittstelle muss die Schnittstelle sein, die Pakete IKE erhält)
-
IKE von Richtlinienparametern
-
Preshared-Schlüsselinformationen
-
Parameter des Angebot für Phase 1 (müssen sowohl auf Peers abgestimmt sein)
Der show security ike security-associations index 1859361 detail Befehl listet zusätzliche Informationen zur Sicherheitsgemeinschaft mit einer Indexnummer 1859361 auf:
-
Verwendete Authentifizierungs- und Verschlüsselungsalgorithmen
-
Lebensdauer der Phase 1
-
Datenverkehrsstatistiken (können zur Prüfung des ordnungsgemäßen Datenverkehrsflusses in beide Richtungen verwendet werden)
-
Rolleninformationen für Daten über Rollen des /der Reaktions-/Reaktionsfunktion
Die Fehlerbehebung wird am besten für Peers in der Rolle des Befragten durchgeführt.
-
Anzahl der erstellten IPsec-SAs
-
Anzahl der aus Phase 2 derzeit aus vorbereitungen
Überprüfung des IPsec-Phase-2-Status
Zweck
Überprüfen des IPsec-Phase-2-Status
Aktion
Geben Sie im Betriebsmodus den Befehl show security ipsec security-associations ein. Verwenden Sie den Befehl, nachdem Sie eine Index-Nummer aus dem Befehl show security ipsec security-associations index index_number detail erhalten haben.
user@SRX1 show security ipsec security-associations Total active tunnels: 1 Total Ipsec sas: 1 ID Algorithm SPI Life:sec/kb Mon lsys Port Gateway <2 ESP:3des/sha1 ae5afc5a 921/ unlim - root 500 172.16.23.1 >2 ESP:3des/sha1 6388a743 921/ unlim - root 500 172.16.23.1
user@SRX1> show security ipsec security-associations index 2 detail
ID: 2 Virtual-system: root, VPN Name: VPN-to-Host2
Local Gateway: 172.16.13.1, Remote Gateway: 172.16.23.1
Local Identity: ipv4_subnet(any:0,[0..7]=10.100.11.0/24)
Remote Identity: ipv4_subnet(any:0,[0..7]=10.100.22.0/24)
Version: IKEv1
DF-bit: clear, Copy-Outer-DSCP Disabled , Policy-name: VPN-OUT
Port: 500, Nego#: 30, Fail#: 0, Def-Del#: 0 Flag: 0x600829
Multi-sa, Configured SAs# 1, Negotiated SAs#: 1
Tunnel events:
Thu Jul 29 2021 14:29:22 -0700: IPSec SA negotiation successfully completed (29 times)
Thu Jul 29 2021 12:00:30 -0700: IKE SA negotiation successfully completed (4 times)
Wed Jul 28 2021 15:20:58
: IPSec SA delete payload received from peer, corresponding IPSec SAs cleared (1 times)
Wed Jul 28 2021 15:05:13 -0700: IPSec SA negotiation successfully completed (1 times)
Wed Jul 28 2021 15:05:13
: Tunnel is ready. Waiting for trigger event or peer to trigger negotiation (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's address received. Information updated (1 times)
Wed Jul 28 2021 15:05:13 -0700: External interface's zone received. Information updated (1 times)
Wed Jul 28 2021 11:17:38
: Negotiation failed with error code NO_PROPOSAL_CHOSEN received from peer (1 times)
Wed Jul 28 2021 09:27:11 -0700: IKE SA negotiation successfully completed (19 times)
Thu Jul 22 2021 16:34:17 -0700: Negotiation failed with INVALID_SYNTAX error (3 times)
Thu Jul 22 2021 10:34:55 -0700: IKE SA negotiation successfully completed (1 times)
Thu Jul 22 2021 10:34:46 -0700: No response from peer. Negotiation failed (16 times)
Direction: inbound, SPI: ae5afc5a, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Direction: outbound, SPI: 6388a743, AUX-SPI: 0
, VPN Monitoring: -
Hard lifetime: Expires in 828 seconds
Lifesize Remaining: Unlimited
Soft lifetime: Expires in 234 seconds
Mode: Tunnel(0 0), Type: dynamic, State: installed
Protocol: ESP, Authentication: hmac-sha1-96, Encryption: 3des-cbc
Anti-replay service: counter-based enabled, Replay window size: 64
Bedeutung
Die Ausgabe des show security ipsec security-associations Befehls listet die folgenden Informationen auf:
-
Die ID-Nummer ist 2. Nutzen Sie diesen Wert mit dem
show security ipsec security-associations indexBefehl, um weitere Informationen zu dieser speziellen Sicherheitszuordnung zu erhalten. -
Es gibt ein IPsec SA-Paar mit Port 500, was bedeutet, dass kein IPSec-NAT implementiert ist. (NAT-Traversal verwendet Port 4500 oder einen anderen zufälligen High-Number-Port.)
-
SpIs, die Lebensdauer (in Sekunden) und die Nutzungsbegrenzung (bzw. Lebenszeit in KB) sind für beide Richtungen dargestellt. Der Wert von 921/unlim bedeutet, dass die Lebensdauer von Phase 2 in 921 Sekunden abläuft und keine Lebensdauer angegeben wurde. Das bedeutet, dass sie unbegrenzt ist. Die Lebensdauer der Phase 2 kann von der Lebensdauer von Phase 1 abweichen, da Phase 2 nicht von Phase 1 abhing, nachdem das VPN da ist.
-
Die VPN-Überwachung ist für diese SICHERHEITSzuordnung nicht aktiviert, wie in einer Bindestriche in der Spalte "Mon" angegeben. Wenn die VPN-Überwachung aktiviert ist, werden U (up) oder D (down) aufgelistet.
-
Das virtuelle System (vsys) ist das Root-System, und immer ist 0 aufgeführt.
Die Ausgabe des show security ipsec security-associations index 2 detail Befehls listet die folgenden Informationen auf:
-
Die proxy-ID für die Sicherheitszuordnung ist die lokale identität und die Remote-Identität.
Ein Proxy-ID-Mismatch ist einer der häufigsten Gründe für einen Fehler in Phase 2. Für richtlinienbasierte VPNs stammt die Proxy-ID von der Sicherheitsrichtlinie. Die lokale Adresse und Remoteadresse stammen aus den Adressbucheinträgen, und der Service stammt von der für die Richtlinie konfigurierten Anwendung. Wenn Phase 2 aufgrund eines Proxy-ID-Mismatch ausfällt, können Sie mit der Richtlinie bestätigen, welche Adressbucheinträge konfiguriert sind. Stellen Sie sicher, dass die Adressen mit den gesendeten Informationen übereinstimmen. Prüfen Sie den Service, um sicherzustellen, dass die Ports mit den gesendeten Informationen übereinstimmen.
Datenverkehrsfluss im VPN testen
Zweck
Überprüfen Sie den Datenverkehrsfluss im VPN.
Aktion
Verwenden Sie ping den Befehl vom Host1-Gerät zum Testen des Datenverkehrsflusses zu Host2.
user@Host1> ping 10.100.22.1 rapid count 100 PING 10.100.22.1 (10.100.22.1): 56 data bytes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! --- 10.100.22.1 ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.300/3.936/8.562/0.720 ms
Bedeutung
Wenn der Befehl von Host1 aus ausfällt, kann es ein Problem mit dem Routing, den Sicherheitsrichtlinien, dem Endhost oder der Verschlüsselung und Entschlüsselung von ESP-Paketen ping geben.
Überprüfung von Statistiken und Fehlern für eine IPsec Security Association
Zweck
Überprüfen der ESP- und Authentifizierungsüberschriftzähler und -fehler für eine IPsec-Sicherheits association.
Aktion
Geben Sie den Befehl im Betriebsmodus unter Verwendung der Indexnummer des VPN, für das Statistiken angezeigt werden, show security ipsec statistics index index_number ein.
user@SRX1> show security ipsec statistics index 2 ESP Statistics: Encrypted bytes: 13600 Decrypted bytes: 8400 Encrypted packets: 100 Decrypted packets: 100 AH Statistics: Input bytes: 0 Output bytes: 0 Input packets: 0 Output packets: 0 Errors: AH authentication failures: 0, Replay errors: 0 ESP authentication failures: 0, ESP decryption failures: 0 Bad headers: 0, Bad trailers: 0
Sie können den Befehl auch show security ipsec statistics verwenden, um Statistiken und Fehler für alle AAs zu überprüfen.
Verwenden Sie den Befehl, um alle IPsec-Statistiken zu clear security ipsec statistics löschen.
Bedeutung
Wenn in einem VPN Probleme beim Paketverlust angezeigt werden, können Sie den Befehl mehrmals ausführen, um zu bestätigen, dass die verschlüsselten und entschlüsselten Paketzähler show security ipsec statistics inkrementieren. Sie sollten auch prüfen, ob die anderen Fehlerzähler inkrementierend sind.